Definição de engenharia social
A engenharia social é a arte de explorar a psicologia humana, em vez de técnicas técnicas de hackeamento, para obter acesso a edifícios , sistemas ou dados.
Por exemplo, em vez de tentar encontrar uma vulnerabilidade de software, um engenheiro social pode ligar para um funcionário e se passar por uma pessoa de suporte de TI, tentando enganar o funcionário para que divulgue sua senha.
O famoso hacker Kevin Mitnick ajudou a popularizar o termo “engenharia social” nos anos 90, embora a ideia e muitas das técnicas existam desde que existiram golpistas.
Mesmo que você tenha todos os recursos quando se trata de proteger seu data center, suas implantações de nuvem, a segurança física de seu prédio e tenha investido em tecnologias defensivas, tem o direito políticas e processos de segurança em vigor e medir sua eficácia e melhorar continuamente e, ainda um engenheiro social habilidoso pode abrir caminho através (ou ao redor).
Técnicas de engenharia social
A engenharia social provou ser uma forma muito bem-sucedida de um criminoso “entrar” em sua organização. Depois que um engenheiro social tem a senha de um funcionário confiável, ele pode simplesmente fazer login e bisbilhotar dados confidenciais. Com um cartão de acesso ou código para entrar fisicamente em uma instalação, o criminoso pode acessar dados, roubar ativos ou até mesmo prejudicar pessoas.
No artigo Anatomia de um hack, um testador de penetração explica como ele usou eventos atuais, informações públicas disponíveis em sites de redes sociais e uma camiseta Cisco de $ 4 que ele comprou em um brechó para se preparar para sua entrada ilegal. A camisa o ajudou a convencer a recepção do prédio e outros funcionários de que ele era um funcionário da Cisco em uma visita de suporte técnico. Uma vez lá dentro, ele também pôde permitir a entrada ilegal de seus outros membros da equipe. Ele também conseguiu colocar vários USBs carregados de malware e invadir a rede da empresa, tudo à vista de outros funcionários.
Você não precisa ir às compras em um brechó para realizar um ataque de engenharia social. Eles funcionam tão bem por e-mail, telefone ou mídia social. O que todos os ataques têm em comum é que eles usam a natureza humana em seu benefício, aproveitando nossa ganância, medo, curiosidade e até mesmo nosso desejo de ajudar os outros.
Exemplos de engenharia social
Os criminosos costumam usar semanas e meses para conhecer um lugar antes mesmo de entrar em casa ou fazer uma ligação. A preparação pode incluir encontrar uma lista de telefones ou organograma da empresa e pesquisar funcionários em sites de redes sociais como LinkedIn ou Facebook.
1. Ao telefone
Um engenheiro social pode ligar e fingir ser um colega de trabalho ou uma autoridade externa confiável (como uma autoridade policial ou um auditor).
2. No escritório
“Você pode segurar a porta para mim? Eu não tenho minha chave / cartão de acesso comigo. ” Quantas vezes você já ouviu isso em seu prédio? Embora a pessoa que está perguntando possa não parecer suspeita, essa é uma tática muito comum usada por engenheiros sociais.
3. Online
Os sites de redes sociais tornaram os ataques de engenharia social mais fáceis de conduzir. Os atacantes de hoje podem ir a sites como o LinkedIn e encontrar todos os usuários que trabalham em uma empresa e reunir muitas informações detalhadas que podem ser usadas para promover um ataque.
Os engenheiros sociais também tiram proveito de quebrar eventos de notícias, feriados, cultura pop e outros dispositivos para atrair as vítimas. Em Woman perde US $ 1.825 em golpes de compras misteriosas se passando por BestMark, Inc., você vê como os criminosos aproveitaram o nome de uma conhecida empresa de compras misteriosas para conduzir seu golpe. Os golpistas costumam usar falsas instituições de caridade para promover seus objetivos criminosos durante as festas de fim de ano.
Os invasores também personalizam os ataques de phishing para atingir interesses conhecidos (por exemplo, artistas favoritos, atores, música, política, filantropia) que podem ser aproveitados para atrair os usuários a clique em anexos com malware.
Famosos ataques de engenharia social
Uma boa maneira de ter uma ideia de quais táticas de engenharia social você deve procurar é para saber o que foi usado no passado. Conseguimos todos os detalhes em um extenso artigo sobre o assunto, mas, por enquanto, vamos nos concentrar em três técnicas de engenharia social – independentes de plataformas tecnológicas – que têm sido um grande sucesso para golpistas.
Ofereça algo doce. Como qualquer vigarista irá lhe dizer, a maneira mais fácil de enganar uma marca é explorar sua própria ganância. Essa é a base do golpe 419 clássico nigeriano, no qual o golpista tenta convencer a vítima a ajudar a obter dinheiro supostamente obtido de forma ilícita de seu próprio país para um banco seguro, oferecendo uma parte dos fundos em troca.Esses e-mails do “príncipe nigeriano” têm sido uma piada recorrente por décadas, mas eles “ainda são uma técnica de engenharia social eficaz pela qual as pessoas se apaixonam: em 2007, o tesoureiro de um condado escassamente povoado de Michigan doou US $ 1,2 milhão em fundos públicos para um fraudador em as esperanças de lucrar pessoalmente. Outra atração comum é a perspectiva de um emprego novo e melhor, o que aparentemente é algo que muitos de nós desejam: em uma violação extremamente embaraçosa em 2011, a empresa de segurança RSA foi comprometida quando pelo menos dois funcionários de nível abriram um arquivo de malware anexado a um e-mail de phishing com o nome de arquivo “plano de recrutamento de 2011.xls.”
Finja até conseguir. Uma das mais simples – e surpreendentemente mais bem-sucedidas – técnicas de engenharia social é simplesmente fingir ser sua vítima. Em um dos primeiros golpes lendários de Kevin Mitnick, ele teve acesso aos servidores de desenvolvimento de SO da Digital Equipment Corporation simplesmente ligando para a empresa, alegando ser um de seus principais desenvolvedores e dizendo ele estava tendo problemas para fazer login; ele foi imediatamente recompensado com um novo login e senha. Tudo isso aconteceu em 1979, e você pensaria que as coisas teriam melhorado desde então, mas você estaria errado: em 2016, um hacker obteve o controle de um endereço de e-mail do Departamento de Justiça dos EUA e o usou para se passar por um funcionário, persuadindo um help desk para entregar um token de acesso para a intranet DoJ, dizendo que era sua primeira semana no trabalho e ele não sabia como tudo funcionava.
Muitas organizações têm barreiras destinadas a prevenir esses tipos de personificações descaradas, mas muitas vezes podem ser contornadas com bastante facilidade. Quando a Hewlett-Packard contratou investigadores particulares para descobrir quais membros do conselho da HP estavam vazando informações para a imprensa em 2005, eles foram capazes de fornecer aos PIs os últimos quatro dígitos de seus alvos “número do seguro social – que AT & O suporte técnico da T é aceito como prova de identificação antes de entregar registros de chamadas detalhados.
Aja como se você estivesse no comando. A maioria de nós estão preparados para respeitar a autoridade – ou, ao que parece, para respeitar as pessoas que agem como se tivessem autoridade para fazer o que estão fazendo. Você pode explorar vários graus de conhecimento dos processos internos de uma empresa para convencer as pessoas de que você tem o direito de estar em lugares ou de ver coisas que não deveria, ou de que uma comunicação vinda de você realmente vem de alguém que respeitam. Por exemplo, em 2015, os funcionários financeiros da Ubiquiti Networks transferiram milhões de dólares em dinheiro da empresa para golpistas que estavam se passando por executivos da empresa, provavelmente usando uma URL semelhante em seus endereços de e-mail. No lado da baixa tecnologia, os investigadores que trabalhavam para tablóides britânicos no final dos anos 2000 e início dos anos 10 muitas vezes encontravam maneiras de obter acesso às contas de correio de voz das vítimas fingindo ser outros funcionários da companhia telefônica por meio de puro blefe; por exemplo, um PI convenceu a Vodafone a redefinir o PIN do correio de voz da atriz Sienna Miller ligando e dizendo ser “John do controle de crédito”.
Às vezes, são as autoridades externas cujas exigências atendemos sem pensar muito. Hillary Clinton O honcho da campanha John Podesta teve seu e-mail hackeado por espiões russos em 2016, quando eles lhe enviaram um e-mail de phishing disfarçado como uma nota do Google pedindo que ele redefinisse sua senha. Ao realizar uma ação que ele pensou que protegeria sua conta, ele realmente forneceu suas credenciais de login de distância.
Prevenção de engenharia social
O treinamento de conscientização de segurança é a forma número um de prevenir a engenharia social. Os funcionários devem estar cientes de que a engenharia social existe e estar familiarizados com o máximo táticas comumente usadas.
Felizmente, a consciência da engenharia social se presta à narrativa. E histórias são muito mais fáceis de entender e muito mais interessantes do que explicações de falhas técnicas. Questionários e pôsteres interessantes ou engraçados também são lembretes eficazes sobre não presumir que todos são quem dizem ser.
Mas não é apenas o funcionário comum que precisa ser ciente da engenharia social. Liderança sênior e executivos são os principais alvos da empresa.
5 dicas para se defender contra a engenharia social
O colaborador da CSO Dan Lohrmann oferece o seguinte conselho:
1. Treine e treine novamente quando se trata de conscientização de segurança.
Certifique-se de ter um programa abrangente de treinamento de conscientização de segurança em vigor que seja atualizado regularmente para lidar com as ameaças gerais de phishing e as novas ameaças cibernéticas direcionadas. não apenas sobre clicar em links.
2. Fornecer um briefing detalhado “roadshow” sobre as mais recentes técnicas de fraude online para a equipe principal.
Sim, inclua executivos seniores, mas não se esqueça de quem tem autoridade para fazer transferências eletrônicas ou outras transações financeiras.Lembre-se de que muitas das histórias verdadeiras que envolvem fraude ocorrem com funcionários de nível inferior que são levados a acreditar que um executivo está pedindo a eles para realizar uma ação urgente – geralmente ignorando procedimentos e / ou controles normais.
3. Revise os processos, procedimentos e separação de tarefas existentes para transferências financeiras e outras transações importantes.
Adicione controles extras, se necessário. Lembre-se de que a separação de tarefas e outras proteções podem ser comprometidas em algum ponto por ameaças internas, portanto, as revisões de risco podem precisar ser reanalisadas devido ao aumento das ameaças.
4. Considere novas políticas relacionadas a transações “fora da banda” ou solicitações urgentes de executivos.
Um e-mail da conta do Gmail do CEO deve automaticamente levantar uma bandeira vermelha para a equipe, mas eles precisam entender as técnicas mais recentes implantadas pelo lado negro. Você precisa de procedimentos de emergência autorizados que sejam bem compreendidos por todos.
5. Revise, refine e teste seus sistemas de gerenciamento de incidentes e relatórios de phishing.
Faça um exercício de mesa com a gerência e o pessoal-chave em um regularmente. Teste os controles e faça engenharia reversa em áreas potenciais de vulnerabilidade.
Kit de ferramentas de engenharia social
Vários fornecedores oferecem ferramentas ou serviços para ajudar a conduzir exercícios de engenharia social e / ou para conscientizar os funcionários por meio de pôsteres e boletins informativos.
Também vale a pena conferir o Social-engineer.org “s Social Engineering Toolkit, que é um download gratuito. O kit de ferramentas ajuda a automatizar o teste de penetração por meio de engenharia social, incluindo ataques de spear phishing, criação de sites de aparência legítima, ataques baseados em unidade USB e muito mais.
Outro bom recurso é a Estrutura de Engenharia Social.