A engenharia social, Como os criminosos exploram o comportamento humano

Tag: Engenharia Social

crimes-ciberneticos-imid-group-eng-social
Cibersegurança Consultoria de TI Empresa de TI

A engenharia social, Como os criminosos exploram o comportamento humano

A engenharia social, Como os criminosos exploram o comportamento humano

Engenharia social é a arte de explorar a psicologia humana, ao invés de técnicas de hacking, para obter acesso a edifícios, sistemas ou dados. 

 

Técnicas de engenharia social

A engenharia social provou ser uma maneira muito bem-sucedida de um criminoso “entrar” em sua organização. Depois que um engenheiro social tem a senha de um funcionário confiável, ele pode simplesmente fazer login e bisbilhotar em busca de dados confidenciais. Com um cartão ou código de acesso para entrar fisicamente em uma instalação, o criminoso pode acessar dados, roubar bens ou até mesmo ferir pessoas.

Um Pentester explica como ele usou eventos atuais, informações públicas disponíveis em sites de redes sociais e uma camisa Cisco de R$ 200 que ele comprou em um brechó para se preparar para sua entrada ilegal no prédio. A camisa o ajudou a convencer a recepção do prédio e outros funcionários de que ele era um funcionário da Cisco em uma visita de suporte técnico. Uma vez lá dentro, ele também foi capaz de permitir a entrada ilegal de seus outros membros da equipe. Ele também conseguiu inserir vários USBs carregados de malware e invadir a rede da empresa, tudo à vista de outros funcionários. 

No entanto, você não precisa ir às compras em um brechó para realizar um ataque de engenharia social. Eles funcionam tão bem por e-mail, telefone ou mídia social. O que todos os ataques têm em comum é que eles usam a natureza humana em seu benefício, atacando nossa ganância, medo, curiosidade e até mesmo nosso desejo de ajudar os outros.

Exemplos de engenharia social

Os criminosos costumam levar semanas e meses para conhecer um lugar antes mesmo de entrar em sua casa ou fazer um telefonema. A preparação pode incluir encontrar uma lista de telefones ou organograma da empresa e pesquisar funcionários em sites de redes sociais como LinkedIn ou Facebook.

1. Ao telefone

  • Um engenheiro social pode ligar e fingir ser um colega de trabalho ou uma autoridade externa confiável (como uma autoridade policial ou um auditor).

2. No escritório

  • “Você pode segurar a porta para mim? Não tenho minha chave / cartão de acesso comigo.” Quantas vezes você já ouviu isso em seu prédio? Embora a pessoa que está perguntando possa não parecer suspeita, essa é uma tática muito comum usada por engenheiros sociais.

3. Rede Sociais

  • Os sites de redes sociais online tornaram os ataques de engenharia social mais fáceis de conduzir. Os atacantes de hoje podem ir a sites como o LinkedIn e encontrar todos os usuários que trabalham em uma empresa e reunir muitas informações detalhadas que podem ser usadas para promover um ataque. 

 

Os engenheiros sociais também aproveitam eventos de notícias de última hora, feriados, cultura pop e outros dispositivos para atrair as vítimas. mulher perde $ 1.825 para um golpe de compras misteriosas se passando por BestMark, Inc., você vê como os criminosos aproveitaram o nome de uma conhecida empresa de compras misteriosas para conduzir seu golpe. Os golpistas costumam usar instituições de caridade falsas para promover seus objetivos escusos nas festas de fim de ano. 

Os invasores também personalizam os ataques de phishing para atingir interesses conhecidos (por exemplo, artistas favoritos, atores, música, política, filantropia) que podem ser aproveitados para estimular os usuários a clicar em anexos com malware. 

Ataques de engenharia social famosos

Uma boa maneira de ter uma noção de quais táticas de engenharia social você deve procurar é saber o que foi usado no passado. Temos todos os detalhes em um extenso artigo sobre o assunto , mas, por enquanto, vamos nos concentrar em três técnicas de engenharia social – independentes de plataformas tecnológicas – que têm obtido grande sucesso para os golpistas.

1º Ofereça algo Atrativo. 

Como qualquer vigarista lhe dirá, a maneira mais fácil de enganar uma marca é explorar sua própria ganância. Essa é a base do clássico golpe 419 da Nigéria, no qual o golpista tenta convencer a vítima a ajudar a obter dinheiro supostamente obtido de maneira ilícita de seu próprio país para um banco seguro, oferecendo uma parte dos fundos em troca. Esses e-mails do “príncipe nigeriano” têm sido uma piada recorrente por décadas, mas ainda são uma técnica de engenharia social eficaz pela qual as pessoas se apaixonam: em 2007, o tesoureiro de um condado escassamente povoado de Michigan doou US $ 1,2 milhão em fundos públicos para um golpista em as esperanças de lucrar pessoalmente. Outra atração comum é a perspectiva de um emprego novo e melhor, o que aparentemente é algo que muitos de nós desejam: em uma violação extremamente embaraçosa em 2011,

2º Finja até você conseguir. 

Uma das mais simples – e surpreendentemente mais bem-sucedidas – técnicas de engenharia social é simplesmente fingir ser sua vítima. Em um dos primeiros golpes lendários de Kevin Mitnick, ele teve acesso aos servidores de desenvolvimento de SO da Digital Equipment Corporation simplesmente ligando para a empresa, alegando ser um de seus principais desenvolvedores e dizendo que estava tendo problemas para fazer login; ele foi imediatamente recompensado com um novo login e senha. Tudo isso aconteceu em 1979, e você pensaria que as coisas teriam melhorado desde então, mas você está errado: em 2016, um hacker obteve o controle de um endereço de e-mail do Departamento de Justiça dos EUA e o usou para se passar por um funcionário, persuadindo um help desk para entregar um token de acesso para a intranet DoJ, dizendo que era sua primeira semana no trabalho e ele não

Muitas organizações têm barreiras destinadas a evitar esses tipos de personificações descaradas, mas muitas vezes elas podem ser contornadas com bastante facilidade. Quando a Hewlett-Packard contratou investigadores particulares para descobrir quais membros do conselho da HP estavam vazando informações para a imprensa em 2005, eles foram capazes de fornecer aos PIs os últimos quatro dígitos do número do seguro social de seus alvos – que o suporte técnico da AT&T aceitou como prova de identificação antes de entregar registros de chamadas detalhados.

Aja como se você estivesse no comando.

A maioria de nós é orientada a respeitar a autoridade – ou, ao que parece, a respeitar as pessoas que agem como se eles tivessem autoridade para fazer o que estão fazendo. Você pode explorar diversos graus de conhecimento dos processos internos de uma empresa para convencer as pessoas de que você tem o direito de estar em lugares ou de ver coisas que não deveria, ou de que uma comunicação vinda de você realmente vem de alguém que eles respeitam. Por exemplo, em 2015, os funcionários financeiros da Ubiquiti Networks transferiram milhões de dólares em dinheiro da empresa para golpistas que estavam se passando por executivos da empresa, provavelmente usando uma URL semelhante em seus endereços de e-mail. No lado da baixa tecnologia, os investigadores que trabalhavam para tablóides britânicos no final dos anos 2000 e início dos anos 10 muitas vezes encontravam maneiras de obter acesso às contas de correio de voz das vítimas fingindo ser outros funcionários da companhia telefônica por meio de um blefe; por exemplo,

Às vezes, são as autoridades externas cujas demandas atendemos sem pensar muito. O chefe da campanha de Hillary Clinton, John Podesta, teve seu e-mail hackeado por espiões russos em 2016, quando eles lhe enviaram um e-mail de phishing disfarçado como uma nota do Google pedindo que ele redefinisse sua senha. Ao tomar medidas que pensava que protegeria sua conta, ele realmente forneceu suas credenciais de login.

Prevenção de engenharia social

O treinamento de conscientização sobre segurança é a forma número um de prevenir a engenharia social. Os funcionários devem estar cientes de que existe engenharia social e estar familiarizados com as táticas mais comumente usadas. 

Felizmente, a consciência da engenharia social se presta à narrativa. E histórias são muito mais fáceis de entender e muito mais interessantes do que explicações de falhas técnicas. Questionários e pôsteres interessantes ou engraçados também são lembretes eficazes sobre não presumir que todos são quem dizem ser.

Mas não é apenas o funcionário médio que precisa estar ciente da engenharia social. Liderança sênior e executivos são os principais alvos da empresa. 

5 dicas para se defender contra a engenharia social

IMID GROUP oferece os seguinte conselho:

1. Treine e treine novamente quando se trata de conscientização de segurança. 
Certifique-se de ter um programa de treinamento de conscientização de segurança abrangente em vigor que seja atualizado regularmente para lidar com as ameaças gerais de phishing e as novas ameaças cibernéticas direcionadas. Lembre-se de que não se trata apenas de clicar em links.

2. Forneça um briefing detalhado “roadshow” sobre as mais recentes técnicas de fraude online para funcionários-chave. 
Sim, inclua executivos seniores, mas não se esqueça de quem tem autoridade para fazer transferências eletrônicas ou outras transações financeiras. Lembre-se de que muitas das histórias verdadeiras envolvendo fraude ocorrem com funcionários de nível inferior que são levados a acreditar que um executivo está pedindo a eles para realizar uma ação urgente – geralmente contornando os procedimentos e / ou controles normais.

3. Revisar os processos, procedimentos e separação de funções existentes para transferências financeiras e outras transações importantes.
Adicione controles extras, se necessário. Lembre-se de que a separação de funções e outras proteções podem ser comprometidas em algum ponto por ameaças internas, portanto, as revisões de risco podem precisar ser reavaliadas devido ao aumento das ameaças.

4. Considere novas políticas relacionadas a transações “fora da banda” ou solicitações urgentes de executivos. 
Um e-mail da conta do Gmail do CEO deve automaticamente levantar uma bandeira vermelha para a equipe, mas eles precisam entender as técnicas mais recentes implantadas pelo lado negro. Você precisa de procedimentos de emergência autorizados que sejam bem compreendidos por todos.

5. Revise, refine e teste seus sistemas de gerenciamento de incidentes e relatórios de phishing.
Faça regularmente um exercício de mesa com a gerência e o pessoal-chave. Teste os controles e faça engenharia reversa em áreas potenciais de vulnerabilidade.

Kit de ferramentas de engenharia social

Vários fornecedores oferecem ferramentas ou serviços para ajudar a conduzir exercícios de engenharia social e / ou para conscientizar os funcionários por meio de pôsteres e boletins informativos.

Também vale a pena conferir o Social Engineering Toolkit do social-engineer.org  , que pode ser baixado gratuitamente. O kit de ferramentas ajuda a automatizar o teste de penetração por meio de engenharia social, incluindo  ataques de spear phishing , criação de sites de aparência legítima, ataques baseados em unidade USB e muito mais.

Outro bom recurso é The Social Engineering Framework .

Atualmente, a melhor defesa contra ataques de engenharia social é a educação do usuário e camadas de defesas tecnológicas para detectar e responder melhor aos ataques. A detecção de palavras-chave em e-mails ou telefonemas pode ser usada para eliminar ataques em potencial, mas mesmo essas tecnologias provavelmente serão ineficazes para impedir engenheiros sociais qualificados. 

FONTES: CSO ONLINE

lobo-pele-cordeiro-imid-group
Cibersegurança Consultoria de TI Empresa de TI

Famosos ataques de engenharia social: 12 golpes engenhosos

Famosos ataques de engenharia social: 12 golpes engenhosos

 

Os seres humanos são criaturas essencialmente sociais. Gostamos de ajudar uns aos outros. Geralmente preferimos pessoas em posições mais altas na hierarquia do que nós. Temos a tendência de confiar que as outras pessoas são honestas, querem dizer o que dizem e são quem dizem ser, porque questionar qualquer uma dessas coisas sem um bom motivo é rude.

Infelizmente, essas sutilezas sociais podem nos tornar o elo mais fraco em segurança da informação. Frequentemente, os hacks resultam não de falhas técnicas, mas do que é conhecido como engenharia social: seres humanos se deixando convencer a baixar a guarda. Muitas das técnicas são tão antigas quanto a própria arte, mas foram atualizadas para a era digital.

Considere os exemplos de ataques de engenharia social abaixo dos contos de advertência.

A corrida selvagem de Kevin Mitnick

Kevin Mitnick foi um dos hackers mais notórios dos anos 80 e 90 da era da informática. Suas façanhas eram motivadas pela curiosidade, não pelo lucro, e a engenharia social era sua superpotência. Aqui está um truque clássico de Mitnick: em 1979, na idade avançada de 16, ele fez amizade com alguns hackers que encontraram o número de um modem dial-up para o sistema que a Digital Equipment Corporation (DEC) usava para desenvolvimento de SO, mas eles contaram ele que era inútil porque eles não tinham um nome de conta ou senha. Mitnick simplesmente ligou para o gerente de sistema da DEC, alegou ser Anton Chernoff, um dos principais desenvolvedores da empresa, e disse que estava tendo problemas para fazer login; ele recebeu imediatamente um login que fornecia acesso de alto nível ao sistema . (Mitnick, agora reformado,.)

Irmãos no crime

Os hackers mais famosos do Oriente Médio na década de 1990 foram Muzher, Shadde e Ramy Badir, três irmãos árabes israelenses que eram cegos desde o nascimento. Os alvos favoritos dos Badirs eram as empresas de telefonia – a certa altura, eles operavam suas próprias telecomunicações contrabandeadas e cobravam uma estação de rádio do exército israelense por toda a largura de banda – e muitos de seus golpes foram alcançados por meio de técnicas de engenharia social, como ligar para HQs de empresas de telefonia alegando ser engenheiros em campo ou conversar com secretárias para obter detalhes sobre seus chefes que os ajudariam a adivinhar as senhas. Mas os Badirs tinham habilidades absolutamente únicas: eles podiam causar estragos imitando vozes perfeitamente (do investigador de fraude em seu encalço, por exemplo) e podiam identificar o PIN de um telefone apenas por ouvir alguém digitá-lo do outro lado da sala.

Manchando a reputação da HP 

Em 2005 e 2006, a Hewlett-Packard (HP) foi atormentada por lutas internas corporativas e a administração estava convencida de que um membro do conselho estava vazando informações privilegiadas para a mídia. A HP contratou investigadores particulares para investigar a comunicação de seu próprio conselho, o que eles fizeram por meio de pretextos, um termo para uma forma de engenharia social que o escândalo que se seguiu trouxe à atenção nacional. Armados apenas com os nomes dos membros do conselho e os últimos quatro dígitos de seus números de previdência social, os PIs conseguiram ligar para a AT&T e convencê-los a fornecer acesso a registros de chamadas detalhados para as vítimas. Embora a liderança da HP afirmasse que não havia autorizado essas técnicas, a queda resultou em várias demissões; embora pretextos para obter registros financeiros fossem anteriormente ilegais, o escândalo também resultou em uma lei federal mais forte contra a prática.

Algum dia meu Príncipe virá

E-mails de “príncipes nigerianos” pedindo ajuda para tirar grandes somas de dinheiro do país são um assunto comum nas piadas da internet – mas também são armadilhas de engenharia social que atraíram os incautos, mesmo aqueles que deveriam saber mais. Em 2007, o tesoureiro de um condado escassamente povoado de Michigan roubou até US $ 1,2 milhão em dinheiro público como parte de uma fraude de adiantamento da Nigéria, dizendo a amigos que se aposentaria confortavelmente em breve e estaria voando para Londres para receber o dinheiro que pensava ser. tinha “ganho”. Ele voltou para os EUA de mãos vazias e logo foi preso.

Turbulência de tabloide

De 2009 a 2011, o cenário da mídia do Reino Unido foi agitado por revelações de que os tabloides britânicos haviam contratado investigadores durante anos para invadir o correio de voz do celular de vários alvos em busca de histórias; as vítimas variavam de estrelas de cinema a cortesãos reais. Particularmente chocante foi a revelação de que os investigadores podem ter apagado mensagens de voz deixadas para uma menina assassinada , dando aos pais falsas esperanças de que ela estava viva.

Embora as técnicas empregadas variassem, um dos métodos principais era o uso de pretextos, conhecido na gíria britânica como “blagging”; por exemplo, um investigador convenceu a equipe da Vodafone a redefinir o PIN do correio de voz da atriz Sienna Miller alegando ser ” John do controle de crédito “. (Em outros casos, os investigadores foram capazes de simplesmente adivinhar o PIN , que muitos usuários nunca alteram do padrão.)

Pequeno phishing abre grandes buracos

Phishing , embora um tanto impessoal, definitivamente é um tipo de engenharia social, pois se concentra em tentar persuadir a vítima a abrir um arquivo ou executar um aplicativo que não deveria por meio de algum tipo de isca tentadora. Em 2011, em uma violação extremamente embaraçosa para a potência da infosec RSA, pelo menos dois funcionários de baixo escalão abriram um arquivo chamado ” Plano de recrutamento 2011.xls ” de um remetente desconhecido (a perspectiva de uma oferta de emprego é uma isca comum de phishing). A planilha continha uma macro que instalou um backdoor em seus computadores, um compromisso que reduziu a eficácia do produto principal SecurID da RSA e custou à empresa US $ 66 milhões.

Presa bebendo no bebedouro

A engenharia social funciona em parte ao compreender os comportamentos das vítimas, como onde gostam de passar o tempo – e isso também pode incluir o tempo online. Os ataques watering hole são considerados um ataque de engenharia social no sentido de que os hackers comprometem sites onde eles sabem que seus alvos permanecem. Em 2013, os hackers conseguiram inserir JavaScript malicioso na página Site Exposure Matrices (SEM) do Departamento do Trabalho dos EUA, que contém dados sobre substâncias tóxicas presentes nas instalações do Departamento de Energia. Obviamente, a página era frequentemente visitada por funcionários do Departamento de Energia – e os invasores conseguiram infectar alguns de seus computadores com Poison Ivy, um cavalo de Troia de acesso remoto .

Conheça o novo “chefe”

Em 2015, a Ubiquiti Networks, fabricante de equipamentos de rede, foi vítima do que é conhecido como “comprometimento do e-mail comercial” – ou, mais comumente, um ” golpe de CEO “. Os agressores enviaram e-mails aos funcionários do departamento financeiro da subsidiária da Ubiquiti em Hong Kong, alegando ser um alto executivo, e solicitaram transferências eletrônicas para “terceiros” – contas sob o controle dos criminosos. A Ubiquiti não quis saber exatamente como o pessoal das finanças foi enganado; como a empresa disse que não havia “nenhuma evidência de que nossos sistemas foram invadidos”, é provável que os hackers tenham usado uma técnica como um URL semelhante para fazer o truque.

Inteligência insegura

Em 2015 e 2016, o adolescente britânico Kane Camble conseguiu obter acesso a contas de Internet em casa e no trabalho para importantes figuras da inteligência dos EUA usando a engenharia social como ponto de entrada . Por exemplo, ele ligou para a Verizon e os convenceu a conceder acesso à conta de e-mail do Diretor da CIA John Brennan, apesar de não ser capaz de responder à pergunta de segurança de Brennan (seu primeiro animal de estimação); ele ligou para um help desk do FBI alegando ser o vice-diretor Mark Giuliano e os convenceu a conceder acesso à conta de Giuliano, embora a agência soubesse que um hack estava em andamento. Uma vez instalado nos computadores de seu alvo, ele vazou informações confidenciais e causou outros estragos; por exemplo, ele encaminhava os telefonemas do Diretor de Inteligência Nacional, Dan Coats, para o Movimento Palestina Livre.

O spear phish que mudou uma eleição

Spear phishing é uma variante especializada de phishing em que os invasores tentam enganar um alvo de alto valor para revelar informações confidenciais e, para hackers patrocinados pela Rússia em 2016, não havia alvo de maior valor do que o gerente de campanha de Hillary Clinton, John Podesta. Podesta recebeu um e-mail falso de “redefinição de conta” que parecia ser do Google, pedindo-lhe para fazer login e alterar sua senha; o domínio real do link fornecido, escondido atrás de um encurtador de link bit.ly, era myaccount.google.com-securitysettingpage.ml.

Podesta estava desconfiado, mas um dos assessores que ele consultou cometeu o erro de digitação mais importante da história em um e-mail, dizendo “este é um e-mail legítimo” quando queria digitar “ilegítimo”. Podesta inseriu as informações de sua conta e os hackers russos conseguiram acessar e vazar seus e-mails, o que ajudou a afundar a campanha de Clinton.

A desculpa de “é meu primeiro dia”

Em 2016, um hacker anônimo invadiu uma rede interna do Departamento de Justiça dos EUA e divulgou online milhares de registros pessoais de agentes do FBI e do DHS. O ataque começou quando o hacker de alguma forma obteve o controle de um endereço de e-mail do DoJ, mas foi capaz de fazer o movimento mais importante por meio da engenharia social, enquanto se regozijava com o Motherboard . Quando ele não conseguiu entrar no portal do DoJ para funcionários, “liguei, disse a eles que era novo e não entendia como superar [isso]”, disse ele. “Eles perguntaram se eu tinha um código de token, eu disse não, eles disseram que tudo bem – use apenas o nosso.” Ele imediatamente teve acesso à intranet do DoJ. 

Cegueira da caixa de diálogo

Nesse ponto, estamos todos acostumados com as caixas de diálogo que aparecem em nosso computador pedindo para confirmarmos algum curso de ação potencialmente arriscado – e elas podem ser adaptadas para nos manipular no decorrer de um ataque de engenharia social. Em 2017, uma onda de e-mails de phishing atingiu alvos ucranianos que incluíam um documento do Microsoft Word anexado com código de macro malicioso. Se as macros foram desabilitadas, os usuários viram uma caixa de diálogo especialmente criada , projetada para se parecer especificamente com uma da Microsoft, para persuadi-los a permitir a execução do código da macro. (Se executado, o código instalou um backdoor no computador que permitiu que os invasores ouvissem pelo microfone do usuário.) A lição, como em todos esses incidentes: sempre olhe duas vezes antes de clicar ou dizer sim.

 

FONTES; CSO ONLINE