Engenharia social: o inimigo ilusório no mundo da segurança cibernética

Proteger informações, redes e estações de trabalho corporativas contra constantes ameaças externas e internas é uma tarefa semelhante a disparar contra um alvo em movimento. E a engenharia social transforma esse trabalho em um feito quase impossível. Atividades destinadas a "invadir" a consciência humana, em regra, são invisíveis e podem penetrar profundamente no sistema da empresa.

O que é engenharia social?

Em um sentido amplo, esse conceito inclui todas as situações em que os criminosos brincam com as características da psique humana e manipulam indivíduos, de modo a violar os procedimentos e protocolos de segurança usuais. Os invasores não tentam penetrar na rede corporativa através de vulnerabilidades do sistema. Seus ataques são direcionados a pessoas. E eles mesmos compartilham informações confidenciais que dão acesso ao espaço, sistemas ou redes de escritórios.

Mesmo que a organização possua os melhores sistemas, firewalls e procedimentos de defesa cibernética, ainda pode acontecer um dia que os cibercriminosos tenham conseguido obter dados importantes importantes.

Estrutura de ataque

Um ataque usando métodos de engenharia social é sempre pensado e adaptado às características individuais do alvo do ataque, em contraste com ataques de phishing comuns com e-mails aleatórios em massa ou chamadas para milhares de pessoas. Isso requer mais preparação, mas as chances de sucesso aumentam significativamente.

Primeiro, os atacantes procuram informações específicas sobre a empresa-alvo, sua estrutura organizacional e funcionários. Suas ações podem ser direcionadas contra funcionários de determinados departamentos ou contra pessoas com baixo nível de acesso a sistemas através dos quais você pode atingir níveis mais altos. A idéia não é procurar um elo fraco no sistema de segurança, mas encontrar uma pessoa vulnerável. Brincando com seus medos, ganância ou curiosidade, os atacantes o forçam a quebrar o protocolo.

Para fazer isso, o criminoso procura informações em fontes online e offline e identifica possíveis vítimas. A Internet e as mídias sociais simplificaram bastante o acesso a esses dados.

Portanto, um bom ponto de partida para a ação indireta são os organogramas. Redes sociais como LinkedIn e Facebook são um depósito de informações. Por exemplo, no LinkedIn, é muito fácil encontrar uma lista de pessoas que trabalham em uma divisão específica da empresa. Em seguida, você pode observar o comportamento deles no Facebook para calcular os indivíduos mais ingênuos. Depois disso, resta obter as informações de contato (endereço de email, número de telefone).

Os atacantes tentam ganhar a confiança da vítima ou brincar com sentimentos de medo e pressa, para que a pessoa não tenha tempo para pensar adequadamente na situação.

Exemplos de cenários de ataque:

• Usando um endereço de remetente falso, os atacantes fazem as pessoas acreditarem que a carta foi enviada por um gerente de topo (por exemplo, um diretor geral), um funcionário ou um parceiro de negócios. Em seguida, o malware é iniciado clicando no anexo ou link no corpo da mensagem. Ou, a carta estabelece um pedido para fornecer urgentemente informações classificadas. Imagine que você recebe uma carta do diretor da empresa ou colega, onde ele pede que você compartilhe suas opiniões sobre o documento em anexo. Sua primeira reação é baixar o arquivo. Outro exemplo: você recebeu uma carta de um provedor regular no qual ele reclamou que os dados da autorização não funcionavam e ele precisava da sua ajuda para inserir um determinado segmento do sistema. Nessa situação, você também pode ter um desejo impulsivo de ajudar. Porque não No final, o provedor realmente tem acesso. E você dificilmente quer ser a pessoa que interrompeu a entrega urgente.
  

• Um funcionário pode receber uma "chamada de retorno" de "suporte técnico". O atacante liga para o grupo de funcionários da organização e expressa o desejo de coletar informações sobre uma solicitação enviada anteriormente à equipe de suporte. Existe a possibilidade de ele realmente encontrar a pessoa que enviou tal solicitação ou que simplesmente quer ajudar. Quando uma vítima crédula é encontrada, os criminosos a induzem a inserir informações de login ou tentam instalar remotamente malware.
  

• Simulação de uma chamada do departamento de TI referente à violação de uma política de segurança ou vazamento de informações de autorização. A vítima é solicitada a fornecer informações pessoais para “redefinir a senha”, instalar um arquivo, executar um comando ou seguir o link para verificar se há dados na lista de senhas comprometidas. Na realidade, essas ações levarão à instalação de malware.
  

• Uma chamada de um "auditor", "um agente da lei" ou outros funcionários do governo que "têm o direito" de obter acesso a informações confidenciais.
  

• Para convencer a vítima de que está ligando de uma determinada empresa, os criminosos usam jargões profissionais específicos ou "batidas" musicais por telefone.
  

• Os criminosos deixam um drive USB com uma marca atraente (“salário” ou “estimativa de custo”) em um local visível nas instalações da empresa, por exemplo, em um estacionamento, em um elevador ou em outros locais públicos. Um funcionário que encontrar uma unidade flash pode transferi-la para o serviço de segurança ou, por curiosidade, conectá-la ao seu escritório ou computador doméstico. De uma forma ou de outra, o malware incorporado encontrará seu caminho no sistema.
  

• Um invasor pode entrar em um prédio fechado com um funcionário que possui um cartão-chave. Nesse caso, o infrator se comporta como se ele realmente tivesse o direito de acesso às instalações. Para fazer isso, ele pode vestir um uniforme da empresa ou segurar em suas mãos um cartão parecido com o real.
  

• Os invasores obtêm acesso infectando um grupo específico de sites nos quais um funcionário confia. Nesse caso, eles falsificam links usando nomes de domínio com aparência e som semelhantes.
  

• Os invasores personificam trabalhadores técnicos, limpadores ou guardas de segurança, na tentativa de não atrair muita atenção durante o roubo de informações.
  

Por que os ataques de engenharia social são mais perigosos?

A abordagem da engenharia social é sempre mais complexa do que outros ataques cibernéticos e, portanto, eles representam uma ameaça significativa. Aqui estão alguns motivos que tornam a engenharia social mais perigosa do que outros ataques:

• Os atacantes sempre tentam criar uma situação completamente natural à primeira vista. Suas fontes parecem confiáveis. A falsificação pode ser reconhecida apenas se você estiver constantemente em alerta.
  

• Os criminosos costumam receber informações de funcionários da empresa fora do local de trabalho, em um ambiente mais descontraído e confortável. Por exemplo, ao se reunir em um bar, parque, academia e outros lugares semelhantes.
  

• As medidas de firewall e segurança cibernética são ineficazes, porque os criminosos não tentam explorar uma vulnerabilidade no software ou sistema da empresa. Em vez disso, eles provocam funcionários comuns a cometerem erros e a subsequente penetração no sistema ocorre sob a cobertura das credenciais de usuários legais.
  

• Se os criminosos conseguem obter acesso, o ataque prossegue gradualmente, ignorando as possíveis funções de reconhecimento de atividades anormais. Os invasores se escondem em um local visível e se fundem com o sistema, estudando seus pontos fracos e pontos de acesso por algum tempo. Eles se esforçam para ganhar uma posição, expandir suas capacidades, penetrar em outros segmentos, coletar e preparar o máximo de dados possível para transmissão externa, inclusive sob o disfarce do tráfego de rede comum.
  

• Os atacantes às vezes destroem evidências de sua presença enquanto se movem pelo sistema, removendo malware daqueles segmentos em que eles já adquiriram informações importantes.
  

• Os invasores podem deixar um ponto de entrada oculto (o chamado backdoor), permitindo que eles retornem ao sistema a qualquer momento.
  

• Os invasores podem se infiltrar no sistema através de funcionários de organizações externas com um certo nível de acesso. Esses são, por exemplo, parceiros de negócios ou provedores de serviços de armazenamento em nuvem. Como a empresa visada pelo ataque não pode controlar os procedimentos de segurança de parceiros ou provedores de serviços, o risco de perda de dados aumenta. Um exemplo vívido é o vazamento de dados no gigante varejista Target.
  

• A engenharia social é especialmente perigosa quando combinada com ataques entre plataformas. Rastrear esses casos é ainda mais difícil. O computador doméstico ou o dispositivo pessoal da vítima geralmente é muito menos seguro que as redes do escritório. Através do hacking, o malware também pode chegar a um computador de trabalho mais seguro e, por meio dele, a outras partes do sistema corporativo.
  

• As ferramentas convencionais de proteção anti-malware podem ser ineficazes, pois os invasores obtêm acesso ao software permitido no sistema e o utilizam para maior penetração.
  

Precauções de segurança

Ataques usando métodos de engenharia social são bastante sofisticados e não é fácil detê-los ou pelo menos detectá-los. Como observado anteriormente, os sistemas de detecção de hackers a esse respeito podem não ser eficazes o suficiente. No entanto, existem algumas práticas úteis na prevenção de ataques:

• As empresas devem treinar funcionários regularmente, informando-os sobre técnicas comuns de engenharia social. Modelar situações com a divisão de funcionários em equipes de intrusos e defesa pode ser eficaz. Sempre que possível, os funcionários das empresas parceiras devem ser incluídos nesse processo.
  

• É útil configurar email seguro e gateways da Web que filtram links maliciosos.
  

• As cartas devem ser monitoradas e recebidas de uma rede externa, não corporativa.
  

• Você pode configurar o sistema de notificação para detectar nomes de domínio semelhantes ao nome da empresa.
  

• A rede corporativa deve ser dividida em elementos separados. O controle sobre o acesso a eles deve ser mais rigoroso, e a autoridade deve ser concedida apenas de acordo com o grau de necessidades oficiais do funcionário. Ao gerenciar os direitos de acesso, deve-se basear-se no princípio da confiança zero.
  

• Os principais sistemas com informações e contas importantes dos funcionários que trabalham com dados confidenciais devem ser protegidos usando a autenticação de dois ou múltiplos fatores.
  

• É importante minimizar o amplo acesso e redundância de autoridade.
  

• É necessário configurar o monitoramento do acesso aos sistemas, análise dos dados obtidos e determinação da atividade anormal.
  

• É necessário verificar regularmente o tráfego interno quanto a tendências anormais, a fim de detectar uma cópia lenta dos dados do sistema. Deve-se observar e investigar situações em que um funcionário com acesso a determinados dados os copia regularmente após o expediente. Ou assim, quando os dados são copiados do escritório e o funcionário já saiu das instalações. As tentativas de reunir informações privilegiadas também devem ser observadas e rastreadas.
  

• As listas de usuários devem ser auditadas regularmente e marcadas com as contas mais acessíveis, especialmente as administrativas. Atenção especial deve ser dada à verificação do Active Directory, pois muitas atividades maliciosas deixam rastros neste sistema.
  

• Você precisa monitorar consultas LDAP anormais ou redundantes. A inteligência, com a ajuda deles, é uma parte importante dos ataques, já que as estruturas de rede de diferentes empresas são diferentes, e os atacantes estudam cada um separadamente. Esse comportamento é muito diferente dos padrões de comportamento dos usuários comuns e é facilmente reconhecido.
  

• Será útil limitar o intervalo de programas confiáveis ​​para servidores de baixa tarefa.
  

• É importante instalar novas correções em todas as estações de trabalho.
  

• Uma avaliação de risco deve ser realizada regularmente.
  

• A empresa deve ter desenvolvido e implementado procedimentos para que as alterações autorizadas sejam processadas urgentemente para lidar com solicitações urgentes da gerência. Todos os funcionários com acesso a informações confidenciais devem estar familiarizados com eles e suas versões mais recentes.
  

• Se um ataque for detectado, as backdoors devem ser encontradas e eliminadas.
  

Os atacantes precisam fazer sérios esforços para coordenar o ataque. No entanto, existem muitos sites e fóruns on-line especializados na Internet que ajudam criminosos inexperientes a melhorar suas habilidades de engenharia social com software pronto e informações teóricas detalhadas. Portanto, proteger uma organização de tais atividades ilegais exigirá maior atividade e atenção. Mas todos os esforços serão recompensados ​​integralmente, porque essa é uma maneira de evitar incidentes como o que aconteceu no Target.