Engenheiro social mais habilidoso

Escrito por:

Engenheiro social, como torná-lo mais habilidoso?

“Engenharia social usa a influência e a persuasão para enganar as pessoas e convencê-las de que o engenheiro social é alguém que ele não é, ou pela manipulação. Como resultado, o engenheiro social pode aproveitar-se das pessoas para obter as informações com ou sem uso da tecnologia.” (MITNICK, 2003, p.6)

As pessoas são o elo mais fraco de uma organização, isto é, o ser humano possui uma tendência de confiar nas pessoas e querer ser útil principalmente se a pessoa que solicita se apresenta como alguém influente ou importante tornando a empresa vulnerável a ataques de engenheiros sociais.

Para por em prática a engenharia social, pode-se utilizar algumas técnicas como: Contato telefônico, análise do lixo, internet e redes sociais, phishing e abordagem pessoal.

Tendo em vista todas as habilidades de um engenheiro social, a empresa precisa treinar os funcionários para que os mesmo possam identificar quando estão sofrendo um ataque e quais atitudes devem tomar para que todos saibam e fiquem em alerta. Existem alguns passos para fazer a manipulação por telefone que são: conquistar a confiança do alvo, fazer sentir-se seguro e mesclar as perguntas.

Os funcionários precisam saber quem pode solicitar determinadas informações e porque, pois quando as pessoas não entendem pra que serve um procedimento os mesmos tendem a não realizarem por acharem que é burocracia, tornando a vida de um engenheiro social mais fácil. Também é preciso que todos tenham consciência que uma informação por si só não é determinante para um ataque, mas o engenheiro faz um trabalho de formiga unindo todas as migalhas de informações para ser bem sucedido. E o mais importante é fazer uma autenticação do solicitante da informação que pode ser por conhecer pessoalmente ou reconhecer a voz, conferir se o funcionário realmente existe e entrar em contato com o mesmo de outra forma antes de fornecer as informações solicitadas.

As pessoas e as empresas descartam o lixo sem alguns cuidados básicos com destruição de dados pessoais e confidenciais, com isso tornam-se mais vulneráveis e a vida do engenheiro mais fácil, pois aumenta a credibilidade do ataque usando informações verdadeiras do alvo fazendo com que seja quase impossível reconhecer que está sofrendo um ataque e não uma rotina de algum serviço.

Muitas vezes as empresas nem sabem que sofreram um ataque com as informações do lixo, pois os documentos podem ter sido usados para vencer uma concorrência de um contrato, contratar um funcionário para a concorrente e conseguir dados de um cliente da empresa. Para que esse ataque não ocorra ou minimizá-lo, é preciso ter um programa de descarte de documentos e não utilizá-lo como bloco de anotação ou triturar com equipamentos baratos que produzem falhas no corte além de treinar o pessoal para estas práticas de descarte.

A internet é algo maravilhoso, mas também possui muitas armadilhas que as próprias pessoas criam ou não, para que possam sofrer um ataque sem saber. As redes sociais servem para socializar, mas algumas pessoas fornecem informações desnecessárias para os amigos e importantes para a sua segurança na internet. Ex: informar que estão sozinhas em casa, que vai viajar, quais bens possui, realizar checking em todos os lugares que freqüentam. Também possuem as informações divulgadas por sites alheio ao controle das pessoas. Ex: número de telefone fornecido pela companhia telefônica, sites que com apenas o nome fornece outras informações ajudando o trabalho de formiga do engenheiro social a coletar todos os dados das pessoas. É preciso fazer um uso criterioso das informações que se divulga na internet, pois o mesmo tornou-se um mar de informações, então não contribua desnecessariamente com informações para preencher este mar.

E-mail é uma forma muito utilizada para comunicação atualmente tornando-o semelhante a uma chamada telefônica no âmbito de um ataque, pois o engenheiro pode se disfarçar e enganar muitas pessoas, mas neste caso o mesmo usa a técnica de phishing que consiste em enviar e-mails falsos para as pessoas com o intuito de aguçar algo que faça o usuário abrir o mesmo e realizar as solicitações contidas. A ganância neste caso é a arma principal do engenheiro, pois a maioria da população perde a capacidade de analisar racionalmente uma situação quando a mesma envolve o ganho de alguma vantagem tornando-o vulnerável aos ataques. Esse tipo de e-mail serve não apenas para coletar informações que o usuário informou, mas também para ter acesso ao computador e a rede a qual o alvo se encontra e neste último caso o ataque tem uma proporção muito maior, pois o engenheiro pode acessar dados de outras pessoas. Alguns passos devem ser observados em e-mails: se não conhece o remetente ou não está o esperando é melhor descartá-lo; Estão solicitando informações pessoais em um site que é conhecido, então feche o e-mail e acesse o site da empresa para confrontar o porquê da solicitação; Jamais abrir arquivos de remetentes que não conhece pessoalmente ou não foi solicitado; e o principal: dinheiro não dá em árvores, então se algum e-mail informar que ganhou algo que não esperava descarte-o, pois é um ataque de um engenheiro social.

A abordagem pessoal é o menos recorrente tipo de ataque, pois cria rastreabilidade, mas algumas vezes se faz necessário para o ataque. Ex: se passar por um fornecedor, terceiro, técnico ou funcionário.

Em uma empresa, a diretoria estar comprometida com o processo de segurança da informação é fundamental, caso contrário o funcionário não optará por gastar tempo com procedimentos enquanto as atividades básicas acumulam. Também a instituição deverá possuir protocolos de segurança definido para que os funcionários tenham uma noção do que fazer e argumentos para uma possível represália caso algum chefe não goste da ação de segurança.

A melhor forma de tornar um engenheiro social mais habilidoso é dificultar a vida do mesmo e para isso, possuir o conhecimento das técnicas usadas e as contra medidas para cada uma, mas só é possível desenvolver essa defesa através de treinamento e duas regras: Sempre desconfie do por que as pessoas querem as suas informações antes de confirmá-las; e não tente ajudar se para isso é necessário quebrar protocolos de segurança que aparentemente são corriqueiros ou burocráticos, pois uma pessoa não gastou horas planejando medidas para não terem um propósito.

Ninguém está livre de um ataque, pois só depende do empenho do engenheiro, então faça de tudo para que o mesmo não obtenha sucesso em um ataque e ele se tornará mais habilidoso ou por seleção natural, só os melhores conseguirão sobreviver.


Graduada pela Univercidade em Ciência da Computação. Pós-graduada pela Unicarioca no MBA em Gerência de Projetos.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *