quarta-feira, 1 de abril de 2015

DE VOLTA À ENGENHARIA SOCIAL


CHEGAMOS A TAL PONTO DE IMBECILIDADE QUE CONSIDERAMOS O TRABALHO NÃO SÓ HONROSO, MAS TAMBÉM SAGRADO, QUANDO NA VERDADE ELE NÃO PASSA DE UMA TRISTE NECESSIDADE.  

Muito já se disse aqui no Blog sobre o tema em pauta, mas, dada a sua importância e considerando que hoje é 1º de abril, resolvi revisitá-lo, até porque a audiência deste humilde espaço é rotativa, e os recém-chegados nem sempre se dão conta de que podem acessar, mediante poucos cliques do mouse, qualquer uma das mais de 2200 postagens publicadas.

Passando ao que interessa, chamamos ENGENHARIA SOCIAL a um conjunto de técnicas que exploram a ingenuidade, a confiança, ou, em certos casos, a cobiça das pessoas, visando induzi-las a cometar atos que auxiliem os cybercriminosos em seus propósitos escusos.

As táticas que a bandidagem usa variam, mas as mais comuns consistem na remessa de emails com anexos suspeitos ou links duvidosos, pretensamente oriundos de pessoas de reputação ilibada, empresas idôneas, instituições financeiras ou órgãos públicos. Afinal, pouca gente deixa de seguir as instruções de um email supostamente recebido da Microsoft ou reluta em averiguar uma pretensa pendência com a Receita Federal ou a Justiça Eleitoral, por exemplo, embora seja público e notório que tais órgãos não utilizam o correio eletrônico para convocações que tais.

Observação: É possível separar o joio do trigo (embora nem sempre) salvando os anexos de email e fiscalizando-os com o VIRUSTOTAL, buscando discrepâncias entre os links e os endereços que eles apontam, checando-os com o ONLINE LINK SCAM, e por aí vai, mas o melhor é contatar por telefone a empresa/instituição remetente e conferir a autenticidade da mensagem.

Segundo a INTEL SECURITY (McAfee) os cyberataques baseados em engenharia social se dividem em “caçada” e “cultivo”, e se dividem em quatro etapas:

1.    A pesquisa (opcional) consiste na coleta de informações sobre o alvo que forneçam ao atacante elementos para a construção do anzol, tais como hobbies, endereços de casa e do local de trabalho, Banco em que a vítima mantém conta, e por aí vai.

2.   O anzol tem como objetivo encenar um “enredo” bem-sucedido envolvendo o alvo e proporcionando um pretexto para interação. O psicólogo Robert Cialdini cita seis alavancas de influência que permitem tirar proveito do subconsciente do alvo:

a)   Reciprocidade: as pessoas ganham alguma coisa, ficam agradecidas e sentem-se na obrigação de retribuir o favor.
b)  Escassez: as pessoas tendem a obedecer quando acreditam que algo está em falta.
c)   Consistência: uma vez que os alvos tenham prometido fazer algo, eles cumprem suas promessas por receio de parecerem pouco confiáveis.
d)  Propensão: é mais provável que os alvos obedeçam quando o engenheiro social é alguém de quem eles gostam.
e)   Autoridade: explora a tendência humana de obedecer quando a solicitação vem de alguma autoridade.
f)   Validação social: a tendência de obedecer quando outras pessoas estão fazendo o mesmo.

3.   Enredo: execução da parte principal do ataque, que pode envolver a divulgação de informações, um clique em um link, a transferência de fundos, etc.

4.   Saída: a interação é encerrada. Note que, dependendo do fruto do golpe, pode ser uma vantagem sair antes de despertar suspeitas ou prolongar o ataque para obter vantagens adicionais.


A melhor arma contra a engenharia social é a informação. Mesmo tendo um arsenal de segurança responsável e mantendo o sistema e os programas atualizados, as brechas humanas continuam a existir e como muitos internautas não têm noção do perigo que correm, maravilham-se com a Web e passam a acreditar em tudo aquilo que leem nesse meio.

Barbas de molho, minha gente.