O que é engenharia social?

Na primeira vez que ouvi falar de engenharia social, tentei adivinhar: seria uma forma mais eficiente de organizar pessoas, ou um termo politicamente correto da área de RH, ou ainda uma forma de programação comportamental das massas?

Apesar da wikipedia-inglês dizer que esta última opção seria válida para o campo da política (onde o Estado ou a mídia tentariam direcionar a vontade das pessoas), o que nos interessa aqui é a sua conotação no campo da segurança. Ou seja, simplesmente, engenharia social é sinônimo de manipulação.

Tá, vamos a uma definição mais formal. Segundo a wikipedia, “no contexto da segurança da informação, engenharia social é a manipulação psicológica de uma pessoa para fazê-la realizar certas ações ou revelar informações confidenciais. Ela difere de um simples golpe ao geralmente envolver vários passos complexos para montar o esquema”.

Como normalmente esse tipo de tática é usado contra grandes empresas (corporações, bancos, etc) e órgãos do governo (ministérios, aeroportos, usinas, etc.), os coletivos e organizações que visam transformação social quase nunca ouviram falar de engenharia social. Por outro lado, nesses casos, a infiltração parece ser o mais comum. Quem sabe falamos sobre isso em outra postagem.

Mas quais seriam esses “passos complexos para montar o esquema”?

Antes de apresentar um passo a passo, é preciso dizer que a engenharia social explora o ponto mais fraco de um sistema informático: o ser humano. Seja por erro técnico, ingenuidade ou percepção equivocada, uma pessoa é muito mais facilmente enrolada do que software ou uma fechadura.

O lendário hacker Kevin Mitnick escreveu um livro sobre o assunto, chamado A arte de enganar: controlando o fator humano na segurança da informação. Aqui está o PDF do livro em português. Ele define:

A engenharia social usa a influência e a persuasão para enganar as pessoas e convencê-las de que o engenheiro social é alguém que na verdade ele não é. Como resultado, o engenheiro social pode aproveitar-se das pessoas para obter as informações com ou sem o uso da tecnologia.

A paranoia tá subindo? Pois é. Vamos levantá-la mais um pouco.

Niall Merrigan, na sua palestra “Psychology of Social Engineering“, aponta algumas das fraquezas humanas exploradas na engenharia social e dá diversos exemplos, principalmente da área de marketing. Na verdade, certos padrões de comportamento humano não são necessariamente fraquezas em si, mas como são previsíveis, Merrigan afirma, você vai usá-los a seu favor.

Um padrão segundo o qual todas nós operamos é chamado de viés cognitivo. Vejamos a wikipedia:

Um viés cognitivo (ou tendência cognitiva) é um padrão de distorção de julgamento que ocorre em situações particulares, levando à distorção perceptual, julgamento pouco acurado, interpretação ilógica.

Esse viés, somado à nossa experiência cotidiana, possivelmente gera o senso comum e os preconceitos. O primeiro é aquilo esperado de qualquer pessoa numa determinada sociedade (como formas de cortesia, cumprimentos, subentendidos, etc). Alguns preconceitos também podem fazer parte do senso comum, mas se, além disso, você descobre aqueles que são particulares da pessoa na sua frente, então é como fazer micro-targeting: modular os assuntos e as maneiras de falar sobre eles para causar um efeito esperado. Fascistas têm preconceitos e obviamente anarquistas também! O processo mental é o mesmo, logo, dá para explorar da mesma forma em qualquer pessoa.

A wikipedia fornece os seguintes exemplos de vieses cognitivos:

Enquadramento: É se usar uma abordagem bastante ortodoxa na descrição de uma situação ou problema.
Viés de retrospecto às vezes chamado de “eu-sabia-de-tudo”: É a inclinação para ver os eventos do passado como sendo previsíveis.
Viés de confirmação: É a tendência para procurar ou interpretar informações de uma maneira que confirme preconceitos próprios.
Viés da autoconveniência: É a tendência de reivindicar mais responsabilidade pelos sucessos do que pelas falhas. Este viés também pode se manifestar como a tendência de avaliar informações ambíguas de uma forma benéfica a interesses próprios.

Sabendo disso e com um pouco de dissimulação e preparo, é possível conseguir se passar por uma autoridade simplesmente vestindo uma roupa e um crachá adequados ou imitando um site oficial. Dar o que as pessoas esperam é metade do caminho.

E então, como é que faz?

Chris Pritchard lista uma série de dicas na sua palestra “The basics of social engineering” sobre como realizar um “ataque”. Vou colocar aqui um resumo do resumo, ou seja, muita coisa vai se perder, mas acho que vale.

1. Fazer reconhecimento
   • Pesquisar as informações que estão públicas (open source intelligence,  OSINT – isso merece uma postagem também!)
   • Ir ao local (se você vai precisar entrar num prédio, terreno, etc.)
   • Como as pessoas se vestem ali?
   • Entenda os padrões de horários (intervalos, horário de maior movimento, etc)
   • Como as pessoas se identificam? (crachás, uniformes, etc)
2. Construa seu pretexto (por que você está ali?)
   • Use sempre o que você já conhece
   • Use a verdade
   • Vista-se adequadamente
   • Carregue e use coisas adequadas ao seu pretexto (equipamentos)
3. Portões
   • Conheça as entradas
4. Conseguiu entrar! E agora?
   • Mantenha a calma (a adrenalina sempre aumenta)
   • Lembre-se das infos que você coletou previamente sobre o lugar
   • Observe o local por dentro: onde estão as saídas, os banheiros
   • Não tenha medo de pedir ajuda.Na verdade, peça ajuda: é uma forma rápida de criar um laço de confiança
   • Sempre use o tom formal ao iniciar uma conversa
   • Fale de modo positivo (ex.: “vim aqui para…”, o contrário seria “não vim aqui para roubar nada, viu?”)
5. Outras coisas:
   • O medo está sempre presente
   • Esconda-se no banheiro para se acalmar
   • Resolva os problemas éticos da sua ação antes de ir para o campo
   • Esse é um trabalho muito exaustivo

Uma forma simplificada de descrever o ciclo da engenharia social é:

1. Coleta de informações
2. Interação com a vítima
3. Ataque
4. Fechamento da interação

Além do viés cognitivo, ou desdobrando-se dele, a engenharia social usa seis pressupostos ou princípios sobre a interação humana:

1. Reciprocidade: as pessoas tendem a retornar um favor
2. Comprometimento: se uma pessoa se compromete a fazer algo, é bem provável que ela irá fazê-lo em nome da sua honra/autoimagem.
3. Adequação social: as pessoas tendem a fazer o que as outras fazem.
4. Autoridade: as pessoas tendem a obedecer a figuras de autoridade.
5. Preferência: as pessoas são facilmente persuadidas pelas pessoas que elas gostam.
6. Escassez: a escassez gera demanda.

A maioria das pessoas querem parecer legais.

Provavelmente o seu viés cognitivo está lhe dizendo: “isso só acontece com as outras, eu não caio nessa”. Ãham.

Agora que você sabe como a coisa funciona e que a galera que faz isso não tá de brincadeira, segue abaixo algumas formas simples de evitar ser vítima de engenharia social.

• Nunca entregue a sua senha para ninguém (ninguém!)
• Verifique a fonte (link, pendrive, site) ou a origem (pessoa, organização, solução etc.) por outros meios
• Diminua a velocidade da interação: o estresse de ter que tomar uma decisão rapidamente pode turvar o seu discernimento
• Quando a esmola é demais, o santo desconfia (veja se o atacante não está tocando na sua corda sensível, te dando o que você quer: aprovação,  reconhecimento, carinho, etc.)
• Defina dentro da organização os níveis de confidencialidade das informações que vocês utilizam e armazenam: o que dá para falar por aí?
• Faça um teste de segurança sem aviso
• Simule situações de engenharia social
• Cuide da forma como vocês descartam informação (documento ou bilhetes no lixo, etc.)
• Responder “não” é sempre uma opção (“Não vou lhe passar meu CPF, mas teria alguma outra coisa em que eu poderia lhe ajudar?”

Para fechar, existem várias formas de atacar. Pode ser presencialmente, por telefone, por email ou mandando sms. Mas também existem diferentes escalas. Niall Merrigan dá o exemplo da fraude tipo phishing. Essa palavra é uma corruptela de fishing, pescaria, com o ph de phone, telefone. Antigamente, o comum era usar o telefone para conseguir informações sem se expor. Há algumas décadas, se usa o email. Enfim, phishing é o famoso “esquema”: chega um email com uma história comovente ou ameaçadora e no fim te pede alguma informação pessoal, documento, conta do banco, senha. Ou te pede para entrar num site falso e aí colocar documento, senha, etc. Ou pede pra você abrir um arquivo extremamente importante.

Bom, Merrigan afirma que phishing é caro, dá muito trabalho para pouco resultado. Seria tipo uma pesca de arrastão com uma rede de malha muito grande. Joga prum lado, joga pro outro, varre metade dos mares e quem sabe pega alguma pessoa desavisada. É a escala macro.

A escala micro seria o que ele chama de pesca de arpão (spear phishing). Nessa situação, o atacante usa informações pessoais públicas (OSINT) e manda uma mensagem direcionada. Por ser uma conversa pensada para o alvo, ela tem muito mais chance de ter sucesso do que uma mensagem genérica daquelas que rolaram pelo zap “tô precisando de uma grana” ou um email “entrei no seu computador por uma falha de segurança do windows”.

Agora, dentro da escala micro ainda pode haver um refinamento. Na “pesca de arpão”, o alvo pode ser um simples funcionário ou um terceiro que vai indiretamente levar ao objetivo. Se o alvo é a pessoa mais importante da organização, então Merrigan usa o termo “caça de baleia” (whaling).

Resumindo, as pessoas são o elo mais fraco da corrente da segurança. Tem gente especializada em testar esse elo usando conhecimento psicológico e técnicas de manipulação para fazer uma pessoa de dentro da organização dar o que ela quer (com ou sem o uso de tecnologia!). Transforme a segurança em pauta ordinária e nunca entregue sua senha.