Engenharia social defensiva
Engenharia social defensiva
Atençao: A primeira coisa que se deve aprender é a Engenharia social....
Você REALMENTE sabe o que é Engenharia Social ?
Bom, quantas vezes não paramos para pensar se estamos sendo enganados ou não? Quantas vazes temos aquela dúvida se abrir aquele tal e-mail ou não? Essa pequena matéria irá ajudar você nessas questões e ainda por cima fazer com que você pense diferente sobre a engenharia social: ENGENHARIA SOCIAL = PRIMATAS. O texto está um pouco longo, mas conta detalhadamente quase tudo (a engenharia social está sempre se ampliando) sobre a mesma.
Basicamente, engenharia social são a arte e a ciência de fazer as pessoas confiarem nas propostas do aplicador. Não é um tipo de controle mental, isto não vai deixar o aplicador com o controle total sobre a pessoa para que ela face tarefas fora de suas naturezas.
A engenharia social também envolve muitas outras coisas do que simplesmente fazer a pessoa pensar ao seu favor. Engenharia social pode envolver muito 'trabalho de campo', a captura de informações pessoas é o principal passo antes de uma boa investida contra a vítima. Como hackear, quase todo o trabalho está na preparação, muito mais trabalho do que na investida em si.
Você pode estar pensado que essa conversa é apenas para demonstrar como você pode induzir uma pessoa a confiar em você e usar técnicas hackers. OK, sem problemas. Contudo, o único jeito de se defender contra esse tipo de ataque é saber como ele funciona. Com esse conhecimento é possível se prevenir adequadamente contra essa técnica e até achar pontos fracos em seu sistema onde ela pode ser implementada.
Certo estilo de segurança é muito importante nesse caso. Isso vai simplesmente "Alguém pode querer ter acesso ao seu sistema dizendo coisas que não são verdades. Não confie nesse!" Como de usual, apenas avisos nada de precaução ou conhecimento prévio.
E então?
A engenharia social se concentra no elo mais fraco da corrente do computador ligado a tomada, o operador. Com isso é altamente correto afirmar que o único computador seguro é o não está conectado na tomada. O fato de você poder persuadir uma pessoa de ligar o computador e se conectar a internet significa que mesmo um computador desligado corre perigo =D.
Também, a parte humana da preparação da segurança de seu sistema também é uma parte fundamental. Não existe, por enquanto, algum sistema computadorizado que não precise de humanos para ser operados. Isso significa que essa parte fraca da segurança é universal, independente da plataforma, software, rede ou idade do equipamento.
Qualquer um com acesso a alguma parte do sistema, psicologicamente ou eletronicamente é um risco potencial à sua segurança. Qualquer informação que você der, qualquer mesmo, pode ser usada para uma engenharia social contra você mesmo.
Um grande problema?
Os profissionais da segurança sempre estão dizendo que a segurança baseada somente na prevenção e não no entendimento das técnicas usadas é uma segurança muito fraca. Mas no caso da engenharia social não é a segurança em si. É impossível esconder o fato de que as pessoas que operam o sistema o influenciam, como eu havia dito anteriormente, não existe um computador na face da terra que não possua um humano com uma parte 'operante' do sistema.
Basicamente, todos os humanos estão capacitados de efetuar um 'ataque' de engenharia social, a única diferença é o conhecimento que o aplicador tem e os métodos usados.
Métodos
Para um método bem sucedido da aplicação da engenharia social, podemos usar inúmeros métodos. O primeiro e o mais óbvio é um pedido direto do aplicador, onde a vítima é induzida diretamente pelo aplicador a executar as tarefas pedidas pelo mesmo. Este método mesmo sendo o mais fácil, rápido e objetivo, tem a menor chance de obter sucesso. A vítima sabe exatamente o que o aplicador quer que ela face.
O segundo método é criar uma historia onde a vítima seja simplesmente uma parte integrante do conto. Com muitos mais fatores do que somente seu pedido para o 'ataque' e consideração de que a vítima será mais facilmente persuadia, isso ocorre pois você pode montar um ambiente totalmente projetado para que a vítima creia que o que você está falando seja a pura e simples verdade.
Esse processo exige muito mais trabalho para o aplicador, e o que é certo, para o aplicador é necessário saber sobre a vida pessoal da vítima. Mas isso não significa que o aplicador se baseia somente em fatos e não em invenções. Mas a imaginação não pode ir muito alto, quanto mais fatos verídicos usarmos, melhores resultados vamos obter.
Uma das principais armas que o aplicador pode ter para aplicar o 'ataque' de engenharia social é uma boa memória para guardar fatos. Isso é uma coisa que hackers e administradores de sistemas tendem a marcar, especialmente quando esses fatos são relacionados diretamente com o seu campo de atuação. Para ilustrar esses fatos vou mostrar algumas que o aplicador pode usar contra a vítima....
*Eu não gosto de fulano de tal... (mostrar links suspeitos que falam mal
desse fulano de tal)
*Meu namorado (a) me traiu... (enviar possíveis fotos da amante dele)
*Meu computador estragou... (tentar ajudar com um mirabuloso programa)
*Vou viajar para Pindamonhangaba (mostrar links falsos ou fotos suspeitas relacionados à Pindamonhangaba)
*Eu quebrei meu pé... (apontar um link falso que diga de uma terapia contra a dor)
*Meu chefe diz que eu digito muito lento... (enviar um programa suspeito que treine a datilografia)
Como podemos ver à cima, o aplicador pode se aproveitar de qualquer coisa mencionada pela vítima, qualquer fato coerente que a vitima realmente sofreu poderá ser usada a favor do aplicador. Para melhores resultados, o mesmo não irá ousar (ou irá se ele não se importa) de expor a sua imagem real para a vítima, ele usará uma identidade virtual (no caso de bate papo) falsa. Mesmo obtendo uma identidade falsa e conseguido a atenção da vítima uma outra coisa é altamente necessária, conquistar a confiança.
Para o aplicador conquistar o respeito da vítima ele poderá usar diversas ferramentas, a simpatia falsa, o carisma falso, entre muitos outros... Uma grande jogada do aplicador é gostar propositalmente das mesmas coisas da vítima, quem não gostaria de saber que existe outra pessoa no mundo que goste e pense do mesmo jeito que o seu?
Além da pesquisa direta, outro meio muito usado pelo aplicador é a pesquisa indireta, ela consiste em simples dois passos: achar, pesquisar, aplicar no meio (esse último é opcional).
Enquanto o aplicador estiver na fase de pesquisa, ele tentará encontrar uma pessoa que esteja ligada diretamente ou até mesmo indiretamente a vitima, a essa pessoa chamaremos de MEIO, poder ser o amigo do amigo do amigo da vítima, qualquer fato mencionado por essa pessoa é altamente favorável na montagem da engenharia social contra a vítima.
Podemos concluir com isso que todos estamos em perigo ao expormos fatos relevantes a outras pessoas. Quando o aplicador encontrar o meio, ele irá para o segundo passo, a pesquisa. O aplicador mostrará interesse na pessoa da vítima de várias formas para que o meio não suspeite e forneça as informações necessárias. Após todo esse processo ele pode seguir para o terceiro passo, o qual ele poderá julgar se irá ou não ser necessário.
A aplicação da engenharia social no meio. Esta fase consiste em um processo relativamente complexo para que o meio seja persuadido a persuadir (aplicando uma engenharia social sem estar ciente) a vítima.
Mas esse processo não é necessário pois o meio pode participar somente na informação dos fatos o aplicador efetuar a engenharia social diretamente na vítima.
Um outro recurso utilizado por aplicadores que cresce cada vez mais hoje em dia é a engenharia social voltada para um grupo específico, chamado de 'grupo controlado'. Esse recurso pode ser conciderando o que mais tem chances de persuasão por pessoa.
E também pode ser considerando o estilo de engenharia social do momento, isso ocorre pelo número crescente de tentativas visíveis em nosso dia a dia. Essa técnica tem como fundamento o objetivo ao qual o aplicador tem a chegar. Ele irá seguir o seguinte raciocínio:
1) Estabelecer uma meta: ele irá pensar no objetivo da persuasão do grupo controlado;
2) Pesquisar: o aplicador irá efetuar uma pesquisa dividida em três partes:
a) Local: Ele irá procurar onde esse existe a maior possibilidade de seu objetivo ser alcançado, e normalmente onde o grupo controle é maior
b) Tendências: Ele irá efetuar uma pesquisa do que o grupo controle está precisando no momento ou gostam de fazer.
c) Equilibrar as tendências: O grupo controle nunca irá gostar ou precisar de
somente uma coisa, então, o aplicador irá ver o que mais aparece e irá usar essa para que ele tenha maior chance de sucesso em sua engenharia social.
3) Elaborar a engenharia social: nessa parte é que o aplicador precisa de sua criatividade, podemos dizer que é a principal parte pois o sucesso da engenharia social depende diretamente de uma boa elaboração da aplicação.
4) Escolher onde vai ser lançado: o aplicador agora se encarrega de escolher por onde sua engenharia social já elaborada vai viajar até chegar ao grupo controle, essa também é uma parte importante mas óbvia, os meios podem ser variados como e-mail, jornal, revista, televisão, celular.
5) Recolhimento de resultados: o aplicador recolherá os resultados ou somente o observará, tudo depende da meta que ele utilizou.
Observando o exemplo dado, como podemos saber que foi-nos aplicado uma engenharia social? Simples, se procurarmos na internet, iremos encontrar que o software livre está tomando conta por ser melhor, por podermos ver o que ele realmente faz, o exemplo mundial disso é que os servidores Unix e Unix Baseds (Linux, FreeBSD, Solaris, etc..) já batem o número de mais de 85% dos servidores mundiais.
Exemplo 2: para o exemplo 2 vamos pegar um está quase por dominante, os e-mails falsos (fake mails) de bancos pedindo para entrar ou executar um arquivo que esteja infectado.
1) Estabelecer uma meta: fazer com que as pessoas que possuam conta corrente em banco executem um programa ou mandem a senha para alguém.
2) Pesquisar: aplicado às três partes:
a) Local: Quem tem conta on-line.
b) Tendências: Compras on-line, prêmios em dinheiro, qualidade do banco, etc.
c) Equilibrar as tendências: A tendência foi equilibrada e resultaram nas compras on-line.
3) Elaborar a engenharia social: dizer que a loja mencionada (falsa) tem preços mais baratos e melhores produtos.
4) Escolher onde vai ser lançado: Internet, e-mail.
Recolhimento de resultados: Conseqüentemente o aplicador conseguirá algumas senhas de banco.
Persuasão Pessoal
Em um nível de persuasão pessoal, onde o aplicador tenta botar em prática a engenharia social diretamente com a vítima, existem técnicas a serem usadas pelo aplicador para facilitar a engenharia social. O objetivo desta persuasão pessoal pelo aplicador na vítima, não será forçar a vítima a fazer as tarefas que o aplicador mandar, mas sim tentar com que a vítima seja 'voluntariado' a executar as tarefas.
Entre estes contextos existem uma diferença muito grande. Basicamente, a vítima é simplesmente GUIADA para o caminho em que o aplicador quer que ela faça as coisas. A vítima acredita fielmente que ela é que tem controle da situação, e não o aplicador, e que o aplicador apenas esteja exercitando a sua capacidade de ajudar as pessoas.
A vítima nunca suspeitará de que o aplicador esteja mentindo sobre a ajuda, já que é uma ajuda, o aplicador poderia não ter-lha ajudado não? A vítima acreditará fielmente que o aplicador é uma fonte de conhecimento onde ela não precisará pesquisar por tudo que é lugar procurando por uma resposta ao seu problema, assim, a vítima estará pensando que o aplicador está apenas fazendo com que ela não perca tempo e energias.
Co-operação
Existem inúmeros fatores, que se estiverem presentes, farão com que a vítima coopere mais facilmente com a engenharia social do aplicador.
Quanto menos conflito com vítima melhor. A co-operação nada mais e nada menos é do que a o envolvimento do aplicador com a vítima no passado.
O fator 'pé no chão' também pode ser determinante, como já foi citado a cima é quando o aplicador já conhece a vítima ou já conversou com ela. Essa técnica é particularmente efetiva. Pesquisas psicológicas mostraram que as pessoas aceitam mais facilmente pedidas grandes quando pedidos pequenos já foram feitos da mesma pessoa anteriormente. Nessa técnica de 'pé no chão' é essencial um histórico positivo no passado entre o aplicador e a vítima, onde as coisas foram boas no passado, assim as chances desta técnica crescem bastante.
Quanto mais informações ganhada diretamente, frente-a-frente pela vítima, melhor irá ser. A vítima confiará mais em alguém que ela viu e ouviu diretamente do que somente uma voz que passou pelo telefone.
Camuflagem
Normalmente o aplicador não se mostrará assim como ele é, e sim por uma pessoa que agradará muito a vítima, assim, o aplicador se incumbirá de fazer um e-mail falso, dar nome falso, ter interesse falso, tudo para agradar a vitima. Mas não podemos descartar o fato de que se o aplicador realmente necessitar invadir o sistema daquela pessoa, ele pode mostrar-se assim mesmo como ele é. O problema é que se alguma coisa der errado a vítima estará ciente de quem foi à última pessoa a lhe fornecer ajuda no computador. Esse o motivo da camuflagem.
Envolvimento
No entanto, o sucesso da engenharia social depende diretamente do quanto a vítima está envolvida e endereçada no assunto que foi proposto pela engenharia social. Nós podemos dizer que administradores de sistemas, especialistas em segurança computadorizada, técnicos e pessoas que se interessam na computação são os mais envolvidos em engenharia social por hackers.
Pessoas realmentes envolvidas pela computação são mais fáceis de persuadir com argumentos fortes. Em fato, quanto mais argumentos fortes você der melhor. Mas as regras de argumentos fortes não se aplicam somente às pessoas com alto nível de conhecimento, o aplicador tem que pensar em um argumento que não fará com a cabeça da vítima entre em conflito com sua idéia.
Basicamente, as pessoas que não estão tão envolvidas com a informática ou as que não sabem o que a engenharia social é vão ser persuadias mais facilmente pelo número de argumentos ou a quantidade de pedido feito pelo aplicador do que o quanto relevante esse argumento é.
Um ponto importante é que as pessoas menos competentes tendem a seguir ordens de pessoas mais competentes.
Segurança contra os ataques humanos
Com todas essas informações, como uma pessoa vai fazer com que seu sistema seja mais seguro? Um bom primeiro passo é tornar a segurança tecnológica parte do trabalho de cada um, não interessando se ela use computador ou não. Contudo, a melhor defesa contra a engenharia social, assim como a maioria dos outros ataques, é a pura educação.
Explicando para os empregados ou pessoas que usam o computador a importância da segurança tecnológica e que existem pessoas que podem querer manipulá-las para terem acesso ao sistema é um primeiro passo muito efetivo. Um simples alerta para as pessoas costuma ser o suficiente para detectá-los e não caírem na engenharia social.
Notas Finais
O objetivo deste tutorial é simplesmente entender que a qualquer momento podemos ser persuadidos de qualquer maneira, tanto eu quanto você. Temos que ter cuidado com pessoas estranhas que entram de maneira abrupta em nosso dia a dia. Claro que isso visando à segurança das informações, se você não se preocupa com isso tudo bem, apenas um aviso.
Gostaria de que este tópico também fosse uma fonte de pesquisa para não cairmos em futuras armadilhas, que todos os usuários do invasão contribuam com uma técnica conhecida para manter todos informados e até dar novas idéias do que pode vir.
A minha colaboração além do texto será citar outros 3 exemplos de engenharia social, e para pensar na questão não somente do computador, mas sim do mundo em geral, pense em quantas vazes os políticos são os aplicadores e nós somos as vítimas?
=>Em jogos: Nunca caiam na velha história de passar a senha e o usuário de qualquer jogo para alguém com a história de que será acrescentado mais gold ou sei lá o que.
=>Orkut: Pessoal, nunca cliquem em links passados pelos usuários do Orkut a não ser se for um link interno ou que você realmente conhece!
=> Existe uma técnica criada muito interessante que consiste na seguinte história, também para o Orkut.
“Quem está a fim de se tornar dono de uma comunidade simplesmente passe um e-mail para (algum e-mail que face pensar que faz parte da administração)@gmail.com com o texto abaixo, este método hacker é baseado em uma falha no sistema de recuperação de comunidades do Orkut. Os administradores pensaram que você era dono da comunidade e está tentando recuperá-la. Abaixo o texto do e-mail (não alterar)!”
=====Community Request Mail======
(seuID).6d5e8s42e3
(sua senha).request_of_hacked_community=8956644
(nome completo da comunidade que você quer).field0inmyname=or<87a4a2s.32
(nova senha desta comunidade)=new_mod_in_application_if=(digite novamente)
=====End of Request Mail======
Muito convincente não? Pois não caiam nessa...
Muito bem pessoal! Espero que gostem! E espero a colaboração de muitas pessoas para evoluirmos nessa questão: invasão não é só um programa codado, mas sim o pensamento humano em si. A engenharia social é uma arte e uma ciência ao mesmo tempo!