Por Hélio Pentinali, 26/07/2018 - Os crimes de engenharia social são mais comuns do que qualquer outro, envolvem 70% dos ataques cibernéticos no mundo, outros tipos de ataque também usam ele como método para prover outros ataques, visto que ele explora o elo mais fraco da segurança da informação que são as pessoas. Engenharia Social é a arte de enganar pessoas para obtenção de um dado ou informação, explora a curiosidade da pessoa, em vez de invadir ou usar técnicas de hackers. Por exemplo, em vez de tentar encontrar ou explorar uma vulnerabilidade de software, um engenheiro social pode ...
chamar um funcionário e se passar por um alguém, para obtenção de uma senha ou acesso ao local premeditado.
Como ocorrem os ataques de engenharia social
Os ataques de engenharia social ocorrem em duas etapas:
O ataque direto: Onde um Cracker primeiro investiga a vítima pretendida para coletar as informações básicas necessárias, como nome, endereço de e-mail, número de celular, hobbies, animal de estimação e possíveis pontos de entrada e protocolos de segurança fracos, necessários para prosseguir com o ataque. Em seguida, o invasor se move para ganhar a confiança da vítima e fornecer estímulos para ações subsequentes que violem práticas de segurança, como revelar informações confidenciais ou conceder acesso a recursos essenciais. O ataque indireto: Onde o cracker não conhece seu alvo, ele cria uma isca, como envio de e-mails, infectado pen drives deixando em algum lugar que possa ser percebido para explorar a curiosidade da pessoa, e criando as Fake News.
Leia também - Universo Holográfico
Tipos de ataque engenharia social
Phishing
Este tipo de ataque ocorre quando o invasor envia um e-mail para alguém conhecido ou não de um endereço de e-mail aparentemente legítimo. O objetivo deste ataque é fazer com que a vítima forneça dados confidenciais ou enganá-los para que instalem malwares clicando em um link ou anexo como: pdf, doc, xls, jpeg e etc.
Baiting “ISCA”
O invasor deixa um dispositivo infectado com malware, spyware e Rubber Ducky para explorar a curiosidade da pessoa. O engenheiro social deixa intencionalmente o dispositivo físico, como uma unidade flash, em um lugar óbvio para explorar a curiosidade da vítima. O código malicioso no dispositivo será executado automaticamente assim que for detectado que está conectado e continuará infectando, destruindo, roubando ou destruindo o dispositivo usando USBs conhecidos como “USB Killers” ou “kill sticks” que são projetados especificamente para fritar qualquer computador ou porta que eles estão conectados) a máquina da vítima.
Pretexting
Ocorre através de reclamações sob um falso pretexto (ou seja, mentira) para obtenção de acesso a dados confidenciais. O invasor cria uma persona falsa que pode ou não usar referências legítimas para fazer com que a pessoa em geral pareça legítima. Eles então criam uma mentira para obter acesso a informações confidenciais.
Tailgating “piggybacking”,
O engenheiro social procura entrar em uma área restrita que não possui autenticação adequada, pode simplesmente entrar atrás de uma pessoa autorizada a acessar a área. Em um cenário de ataque típico, uma pessoa se faz passar por um motorista de entrega ou por um zelador que está lotado de pacotes e espera quando um funcionário abre a porta. O atacante pede que o funcionário segure a porta, ignorando as medidas de segurança em vigor (ou seja, controle de acesso eletrônico)
Exemplos de ataque engenharia social
Descreverei exemplos de engenharia social usado por um dos mestres na arte de enganar pessoas Chris Hadnagy, ele usa táticas de manipulação para ilustrar aos clientes o quanto as pessoas são vulneráveis. Em um artigo publicado pelo site do site www.cio.com, Hadnagy descreve que foi contratado como auditor de SE para obter acesso aos servidores de uma empresa de impressão que tinha alguns processos e fornecedores proprietários que os concorrentes buscavam. Em uma reunião telefônica com o sócio de Hadnagy, o CEO informou-o de que “hackeá-lo seria quase impossível”, porque “guardava seus segredos com sua vida”.
“Ele era o cara que nunca iria se apaixonar por isso”, disse Hadnagy. “Ele estava pensando que alguém provavelmente ligaria e pediria sua senha, e ele estava pronto para uma abordagem como essa.”
Após algumas informações, a Hadnagy encontrou os locais de servidores, endereços IP, endereços de e-mail, números de telefone, endereços físicos, servidores de e-mail, nomes e títulos de funcionários e muito mais. Mas o verdadeiro prêmio do conhecimento veio quando Hadnagy aprendeu que o CEO tinha um membro da família que lutara contra o câncer e vivia. Como resultado, ele estava interessado e envolvido na captação de recursos e pesquisa sobre o câncer. Através do Facebook, ele também conseguiu outros detalhes pessoais sobre o CEO, como seu restaurante favorito e sua equipe esportiva.
Armado com a informação, ele estava pronto para atacar. Ele ligou para o CEO e se apresentou como patrocinador de uma instituição de caridade contra o câncer que o CEO havia tratado no passado. Ele informou que eles estavam oferecendo um sorteio em troca de doações – e os prêmios incluíam ingressos para um jogo jogado por seu time favorito, bem como certificados de presentes para vários restaurantes, incluindo seu local favorito.
O CEO pouco, e concordou em deixar Hadnagy enviar-lhe um PDF com mais informações sobre o fundo. Ele até conseguiu que o CEO lhe dissesse qual versão do Adobe Reader ele estava rodando, porque ele disse ao CEO “Eu quero ter certeza de que estou lhe enviando um PDF que você pode ler”. Logo depois que ele enviou o PDF, o CEO o abriu, instalando uma concha que permitia que Hadnagy acessasse sua máquina.
Quando Hadnagy e seu sócio relataram à empresa sobre seu sucesso com a quebra do computador do CEO, o CEO estava compreensivelmente irritado, disse Hadnagy.
“Ele achava injusto usar algo assim, mas é assim que o mundo funciona”, disse Hadnagy. “Um hacker mal-intencionado não pensaria duas vezes antes de usar essa informação contra ele.”
Nenhuma informação, independentemente de sua natureza pessoal ou emocional, está fora dos limites para um engenheiro social que procura fazer mal
Técnicas de Coletas Forense “Dado”
Devido ao objetivo do ataque de engenharia social que é de explorar vulnerabilidade humana, é primordial que foco da perícia seja nas pessoas além dos dispositivos.
Sendo assim separamos o processo de investigação em 2 etapas crucias.
Técnicas de Coletas de Dados: Entrevista Forense
É um dos artigos feito pelo primeiro CFI do Brasil Mario da Silva Junior ele descreve a “A importância da condução adequada da entrevista investigativa. ” Ao lidar com entrevistas investigativas no mundo corporativo temos que ter em mente que estamos lidando diretamente com a vida e com o futuro dos funcionários envolvidos na investigação.
Leia também - CIA investe em tecnologia para monitorar redes sociais
Além disso, muita coisa por parte da empresa também está em jogo como a sua imagem, reputação e obviamente que a parte financeira. Tenha em mente que o melhor recurso deve estar disponível para esta atividade e por isso certifique-se da capacidade, habilidade, treinamentos e certificações do entrevistador. Não caia na ingenuidade de acreditar que qualquer recurso de posse de algumas evidências e provas terá sucesso em uma entrevista investigativa. Ele também salienta que análise o currículo, tempo de carreira e experiência na área do profissional responsável pela investigação. Estes são indicativos que o trabalho será bem feito e os riscos de uma injustiça para com os funcionários envolvidos ou de um processo civil e criminal para com a empresa serão mitigados. Entrevista investigativa requer experiência e bagagem. Negligenciar esses fatores é a mesma coisa de não dar ao entrevistado o direito à ampla defesa observada por pessoas isentas, imparciais e habilitadas para tratar deste assunto no ambiente corporativo.
Processo de coleta das informações
Mário da Silva Junior também dá algumas dicas que se seguidas no processo de coleta de informação pode levar as evidencias claras ou não.
1 – Lidando com a incerteza e com a falta de comprometimento:
A incerteza e a falta de comprometimento de um entrevistado podem ser verificadas por uma resposta atrasada, um encolher dos ombros, os olhos olhando para o teto ou a diminuição no volume de sua voz. Esses comportamentos não significam que o entrevistado é necessariamente mentiroso, mas revelam que ele está incerto de sua resposta.
2 – A utilização de um comportamento observado para facilitar a obtenção de informação.
Durante uma entrevista pode ser produtivo comentar sobre um comportamento observado de um entrevistado e usá-lo como uma indicação na análise do entrevistador de que o entrevistado está com dificuldade para dizer a verdade. É uma forma de persuadi-lo a dizer verdade, pois o entrevistado está ciente de seu envolvimento e o comportamento observado pelo entrevistador é somente mais uma evidência que pode ser apresentada ao entrevistado, mostrando que a situação está afunilando para ele.
3 – Não abordar especificamente o aparente nervosismo de um entrevistado durante uma entrevista.
Ambos os entrevistados inocentes ou culpados podem parecer inicialmente nervosos durante uma entrevista. Uma entrevista com essa característica foge da naturalidade e da zona de conforto de qualquer pessoa mesmo aquela que não possui envolvimento com o caso. Nessa circunstância o entrevistado pode oferecer pouco contato visual, exibir tremor, frequentemente limpar a garganta ou falar em voz baixa. Em algumas situações, entrevistados não envolvidos apresentam tantos sinais de nervosismo e de ansiedade durante a entrevista que acabam sendo confundidos com sinais de dissimulação, quando na verdade estes sinais são gerados pelo receio sobre o quão capaz o entrevistador é para fazer uma leitura correta de suas respostas e por consequência não o indicar como culpado ou envolvido no caso.
Técnicas de Coletas de Dados: Mídias
Principais dispositivos para coletas de dados que ajudará no processo e pesquisa mais eficiente de evidencia para o levantamento de dados, informação a ser verdadeiro e verificável.
Smartphones
Com o crescente número de pessoas que usando smartphones é muito provável que o engenheiro social use como uma das suas técnicas usando redes sociais como: Tinder, Facebook, WhatsApp, Twitter, LinkedIn e outros com a criação de perfil falso e tendencioso para alcançar seu alvo final e explorando a vulnerabilidade humana que é a curiosidade com Fake News e perfil de vendas falso com link de Malware, ou através de conversas para obter o máximo de informação possível para preparação do seu ataque.
Câmeras
A coleta de câmeras é indispensável visto que existem crimes que o engenheiro social obtém acesso ao local desejado usando credencial e se fazendo passar por alguém ou explorando a vulnerabilidade encontrada no local.
HD
A coleta de HD´s é um dos processos cruciais para obtenção de evidencias visto que é nele onde fica armazenado todos os arquivos voláteis do dispositivo.
E não menos importante coletamos os e-mails visto que através dele o engenheiro social usa técnicas como Phishing enviando link maliciosos para obter informação desejada ou acesso ao dispositivo.
Conclusão engenharia social
É de extrema importância que no processo de investigação de crimes de engenharia de Social, o consultor em forense digital use o olhar forense, fixando nos mínimos detalhes e use a criatividade para obtenção de evidencias. Ele também deverá ter bons conhecimento em LGPD (Lei Geral de Proteção de Dados do Brasil), para que não haja rompimento da privacidade de Dados dos entrevistados.
Toda evidencia que serve de álibi deve ser reportada (em inglês dá-se o nome de “exculpatory evidence”).
Conheça a relação entre hackers e a 'engenharia social'
15/05/2012 - Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras. Quando hackers aparecem na ficção, normalmente eles são retratados como conhecedores da área de informática, que usam apenas falhas em sistemas para conseguir realizar uma invasão, o roubo de dados ou a destruição de um sistema. O hacker norte-americano Kevin Mitnick, que chegou a ser condenado por crimes de informática, conseguiu muita coisa manipulando pessoas – e não bits.
No livro que publicou em 2002, "A Arte de Enganar", Mitnick revela que boa parte das invasões que realizou só foi possível porque ele enganava pessoas para que lhe dessem as senhas dos sistemas. Com as senhas na mão, bastava "entrar pela porta da frente".Até hoje, em muitos casos, os roubos de internet não acontecem devido a alguma técnica sofisticada dos criminosos, mas sim por falha da própria vítima. Um grande exemplo são as fraudes bancárias brasileiras que ocorrem pela internet. Quase todas começam com uma mensagem de e-mail que convence a vítima de alguma mentira – como uma investigação policial, uma mensagem especial, uma declaração de amor ou mesmo uma solicitação falsa do próprio banco. Quando a vítima cai e clica no link oferecido, fazendo normalmente o download do software, ela estará infectada com um ladrão de senhas bancárias.
Leia também - Vencedor do Nobel afirma que moléculas de DNA podem se "teletransportar"
Não é necessária, de modo geral, nenhuma técnica avançada de informática. Apenas o envio de uma mensagem falsa para milhares (ou milhões) de possíveis vítimas para que algumas dessem voluntariamente – embora sem saber – cedam o controle do computador aos hackers. É claro que alguns golpes fazem, sim, uso de técnicas mais sofisticadas. Mas muitas fraudes têm sucesso mesmo explorando apenas o ser humano. O conjunto de técnicas para manipular o ser humano é chamado de "engenharia social" no campo de segurança da informação. Uma reportagem do "Bom Dia São Paulo" do início de abril mostra como um golpe de engenharia social pode ser aplicado sem envolver computadores. Um grupo de mulheres alterava caixas eletrônicos para que o cartão da vítima ficasse preso. Uma das envolvidas fornecia panfletos informativos com o número de telefone do banco falsificado.
Quando o cliente ligava para "o banco", acabava cedendo todas as informações da conta para outra pessoa do grupo. Em seguida, os dados eram usados para roubar o dinheiro da conta. Outro golpe já clássico no Brasil e que mesmo assim continua acontecendo é o do bilhete premiado. Um golpista alega que tem um bilhete premiado e que não poderá retirar o prêmio, oferecendo-o à vítima – normalmente idosos. Há variações do golpe, e algumas fontes, segundo o site Monitor das Fraudes, indica que esse golpe é realizado no Brasil desde 1940. O golpe do bilhete premiado foi adaptado para o prêmio da falsa promoção, em que a vítima recebe um SMS ou um e-mail comunicando que ela foi sorteada para receber algo. O golpista normalmente exige que a vítima pague algum valor adiantado – como o frete – para poder receber o prêmio. Claro, o prêmio nunca chega.
A fraude do falso sequestro – em que o golpista afirma ter sequestrado alguém da família, fingindo todo o episódio – é outro exemplo. Combinadas com a internet, essas fraudes podem ficar ainda mais elaboradas. Por exemplo, se alguém descobrir o seu nome e perfil no Facebook, a próxima ligação fingindo ser um falso sequestro poderá ter muitas outras informações para que o golpe pareça mais real. Em 2009, Dmitry Bestuzhev, especialista da fabricante de antivírus Kaspersky Lab, explicou ao G1 que o criminoso brasileiro compensava as técnicas rudimentares com a lábia, quer dizer, com a engenharia social. Desde então, os hackers brasileiros melhoraram bastante tecnicamente. Mesmo assim, as técnicas de engenharia social continuam como pilares do crime virtual brasileiro. Não existe uma dica para evitar a engenharia social. É preciso pensar como o criminoso: estou fornecendo alguma informação que pode ser usada contra mim? Estou, talvez, seguindo um link ou uma instrução que pode me prejudicar? Como ter certeza que a informação é realmente correta – como no caso do número de telefone nos panfletos falsos do banco?
Não existe solução técnica para engenharia social. É realmente preciso ter noção dos riscos de cada atitude e tentar confirmar a autenticidade de tudo – seja de um bilhete, de um torpedo promocional, de um e-mail, de um panfleto ou de uma chamada telefônica. Como será possível confirmar essa autenticidade dependerá das ferramentas e informações disponíveis. Mas, sabendo dos riscos de ser enganado, pender para a dúvida e desconfiar pode não ser uma má ideia.
Fonte: https://www.academiadeforensedigital.com.br
http://g1.globo.com