Cibercriminalidade: o boom da Engenharia Social
O primeiro semestre de 2010 foi marcado por diversos ataques informáticos dirigidos contra as empresas, através de técnicas conhecidas como "Engenharia Social ". Embora não seja novo, este processo cibercriminoso está tomando uma proporção cada vez maior, como foi confirmado por vários estudos recentes e, como demonstra o famoso "Caso Hacker Croll", que abalou a plataforma de microblogging Twitter. Ao contrário de outras técnicas de crime cibernético, a engenharia social explora, principalmente, o fator "humano", e não a falha informática (mesmo se os dois podem ser combinados): dedução de senhas com base nas informações coletadas em redes sociais, abuso de confiança da vítima para fins de manipulação, a engenharia social tem muitas facetas. Veja uma visão geral desse novo componente do crime cibernético, cujo crescimento está diretamente ligado às ferramentas Web 2.0. .
Engenharia Social : uma ameaça crescente que explora o fator humano
Como parte da 15ª edição do seu Relatório Anual sobre a análise da atividade do crime cibernético, a Symantec lançou o alarme, no início deste ano, sobre a crescente sofisticação das técnicas de crime cibernético herdado da "Engenharia Social". Como conseqüência, a multiplicação de casos de roubo de identidade, envolvendo a perda de dados sensíveis da empresa. Barato de se implementar - pois, como não requer investimentos específicos - os métodos da engenharia social florescem, num período de crise econômica, onde os criminosos cibernéticos tentam, acima de tudo, a tranqüilizar o REI de suas atividades ... Este processo engenhoso é distante o bastante das artimanhas utilizadas, geralmente, pelos hackers: Ao contrário dos métodos mais complexos de infiltração, que se baseiam na manipulação do código de computador, a engenharia social é baseada, principalmente, no "fator humano»... E, especialmente, na intuição (ex: adivinhar senhas) e /ou cenários destinados a ganhar a confiança do usuário: seja para incentivá-lo a executar um programa malicioso, seja para divulgar informações confidenciais ou, simplesmente, para roubar sua identidade.
Os ataques utilizando técnicas de engenharia social estão cada vez mais direcionados para empresas
O relatório anual da Symantec destaca, especialmente, que os criminosos cibernéticos estão se voltando cada vez mais para as empresas. Principalmente para comprometer a propriedade intelectual (IP) ligada aos projetos em que elas estão trabalhando. Os e-mails são, obviamente, as portas de entrada preferidas: no início deste ano, o cavalo de Tróia, chamado "Hydraq" (que continua ativo), usou os e-mails da engenharia social, destinados a um indivíduo ou pequeno grupo de funcionários, para infectar os computadores. Se o hacker consegue enganar o usuário através do seu e-mail, aparentemente legítimo - ou seja, se ele consegue que o usuário abra um link ou um anexo - Hydraq pode infectar a máquina e permitir que o hacker tenha o controle, à distância.
Fenômeno correlacionado ao crescimento das Redes Sociais
Mais interessante, o relatório da Symantec revela que os hackers exploraram a riqueza de informações pessoais disponíveis nos sites de redes sociais, para direcionar seus ataques sobre pessoas-chave dentro das empresas visadas. A correlação entre a engenharia social e o crescimento das redes sociais é significativa, fato confirmado recentemente por um novo relatório publicado pela Symantec.
O "Caso" Hacker Croll e o roubo de identidade nas redes sociais
O dossiê "Hacker Croll" ilustra como a engenharia social pode ajudar a infiltrar as redes sociais, ou seja, o Twitter, neste caso. No início deste ano, um francês de 25 anos, conseguiu - sem nenhum conhecimento especial de computador- muitas "conquistas", entre outras coisas, usurpar contas do Twitter de celebridades como Barack Obama e Britney Spears e, principalmente, se inserir nas caixas de e-mails dos funcionários da plataforma de microblogging, para roubar documentos confidenciais sobre o futuro da empresa. Ele se baseou, principalmente, nas características de "recuperação" de acesso e senhas de contas do Yahoo!Mail e Google dos funcionários do Twitter, para assumir o controle. Um ataque feito através de webmails pessoais dos empregados, que, obrigatoriamente, coloca em questão o uso misto do twitter (trabalho/uso pessoal) na empresa.
"Aprender a frustrar as técnicas da Engenharia Social"
Um estudo de caso publicado no início deste ano pelo BMV Engineering College, uma universidade indiana, resume os novos desafios colocados pelas técnicas de engenharia social para a segurança informática: de acordo com os autores, "é uma das ameaças mais graves contra a segurança das redes informáticas. As técnicas e a filosofia subjacentes são muito antigas, como foi ilustrado na história do cavalo de Tróia na mitologia grega. É um tipo de ataque muito poderoso, na medida em que nenhum software ou hardware pode se defender de forma eficaz. A engenharia social tem a ver com a psicologia, ou seja, são os usuários que devem aprender a desmascarar e frustrar suas técnicas".
BitDefender alerta contra o excesso de confiança nas redes sociais
O aspecto "psicológico" é o centro dos ataques empregados pela engenharia social. O editor de softwares de segurança demonstrou recentemente "como é fácil ganhar a confiança dos usuários" nas redes sociais, e o risco de vazamento de dados, que são conseqüência direta, por ocasião da um levantamento de 2000 usuários regulares de plataformas comunitárias. O teste realizado pela BitDefender consistiu em submeter " friend request" aos " testadores ", e então, determinar o tipo de detalhes que eles revelavam. O resultado é bastante surpreendente, porque mostra que 86% dos usuários que aceitaram o pedido de amizade "teste" (uma mulher), trabalham na indústria da informática, no qual, 31% em segurança informática, mais especialmente. A razão para a aceitação deste pedido: "rosto bonito" da amiga do teste, para 53% dos entrevistados. De acordo com o teste, depois de meia hora de utilização das redes sociais, 10% dos usuários, que aceitaram o pedido da amiga, começaram a fornecer informações pessoais como seu endereço e número de telefone. Duas horas depois, 73% deles "vazam" uma série de informações confidenciais: sobre seu local de trabalho, a estratégia da empresa, ou ainda,sobre softwares ou produtos tecnológicos ainda não comercializados.
96% dos empregados vítimas da Engenharia social, em um teste realizado pela Defcon
Outro teste, realizado durante a conferência Defcon em julho, foi utilizado para avaliar o risco de divulgação de informações por funcionários da empresa, submetidos aos processos de engenharia social: 135 trabalhadores de 17 grandes empresas, incluindo a Coca-Cola, Ford, Pepsi, Cisco, Wal-Mart, foram testados neste "concurso de hacking". Os resultados são interessantes, já que 96% deles, contatados por telefone ou correio, divulgaram informações consideradas como "sensíveis ", tipo: versão do sistema operacional, softwares antivírus e navegadores utilizados na empresa, etc. Uma das técnicas para implementar esta fraude, consistia, para os hackers, em fingir que eram auditores ou consultores. Fato interessante: os cinco funcionários que se recusaram a compartilhar informações eram, todas, mulheres.
Saber mais
Symantec Relata Aumento De Roubo De Dados, Vazamento De Dados E Ataques Direcionados De Hackers Com Objetivo De Ganho Financeiro
"Case Study on Social Engineering Techniques for Persuasion", BVM Engineering College"
Os riscos de vazamento dos dados corporativos nas redes WiFi
Assine nossa newsletter!
