A Fraude Ocupacional: entendendo e mitigando a Oportunidade.


Mário Sérgio Ribeiro (*) O caso da Americanas trouxe de volta à cena as questões relacionadas à Fraude Ocupacional. As investigações prosseguem mas, os indícios, pelas notícias publicamente vinculadas, dão conta de que pode ter ocorrido uma fraude ocupacional (FO). Read more

Mitos da certificação na ISO 27001


Mário Sérgio Ribeiro (*) Um movimento importante ocorreu nos últimos dois anos acerca da procura e da conquista da certificação de empresas nacionais na ISO 27001, a norma de segurança da informação. Os motivos para tanto talvez pouco importem – Read more

O Porquê de se ter um Gerenciamento de Crise.


Mário Sérgio Ribeiro (*) ________________________________________________________________________________________ Em tempos bicudos, especialmente como esse em que vivemos, considero de extrema importância que qualquer empresa, seja ela pública ou privada, ter um Gerenciamento de Crise implementado.   Infelizmente, uma Crise não anuncia quando vai ocorrer, Read more

Engenharia Social: uma ameaça silenciosa nas empresas. (27fev14)

27 de fevereiro de 2014 enigma.consultoria Sem categoria Leave a comment   , ,

Mário Sérgio Ribeiro (*)

Leonardo di Caprio na pele de Frank Abagnale Jr em Prenda-me se for capaz, com seus disfarces e golpes milionários ou Kevin Mitnick, considerado o maior hacker e engenheiro social de todos os tempos, que ganhou fama, foi perseguido, preso e hoje está com os bolsos cheios de seus livros e palestras, são exemplos da aplicação de uma técnica que está por toda parte, em todas as empresas e, que de forma silenciosa, pode trazer graves problemas se não for entendida e tratada seus riscos. Ela atende pelo nome de Engenharia Social e vamos nesse artigo explorar um pouco a ameaça por trás dela.

 Se você puxar por sua memória verá que em pelo menos alguma vez em sua vida alguém tentou aplicar uma engenharia social em você; talvez esse “engenheiro social” nem sabia que estava ganhando um título de “engenheiro” ao aplicar tal técnica e até mesmo não sabia que era uma técnica. De toda forma, o fato é que a Engenharia Social definida como uma técnica capaz de manipular pessoas, enganando-as, para que forneçam informações ou executem uma ação desejada pelo executor (engenheiro social), podendo ocorrer interna ou externamente ao ambiente da empresa é uma ameaça às organizações e das grandes!

 Apenas para alinharmos nosso discurso, a Engenharia Social encontra-se no domínio Pessoas, quando classificamos a Segurança da Informação em domínios.  Os outros três domínios são: Tecnologia da Informação, Processos e Infraestrutura física. E complementando o que todos nós sabemos há muito tempo, Pessoas é o elo fraco da corrente de segurança da informação.

 Quando disse no parágrafo anterior que a Engenharia Social pode ocorrer interna ou externamente, é porque existe o engenheiro social interno e o engenheiro social externo. Infelizmente, a maioria das notícias dá conta de que parece apenas existir o engenheiro social externo, personificado na figura dos hackers; eles enviam, por exemplo, pishing para a lista de e-mails da empresa, e pescam os, digamos, ingênuos ou outras qualificações que exploraremos a seguir de plantão que tem em todo lugar. Ou telefonam para uma e para outro até obter a informação desejada, ou, deixam cair um disquete no saguão da empresa até que um incauto abaixe, lê o rótulo, enfia no bolso e insere em seu driver para saber detalhes da etiqueta que lhe deixou tão curioso (essa é uma das muitas histórias de Kevin). O que estava escrito na etiqueta? O logo da empresa e o título: “Folha de Pagamento – fevereiro de 2014”.

 Ledo engano dos que acreditam apenas existir o engenheiro social externo; o interno existe e pode ser muito, mas muito mais perigoso. Um colaborador formal, um terceiro atuando em período integral nas instalações da empresa, um parceiro/terceiro que não atue de maneira integral, mas é rotineira sua presença na empresa, são alguns exemplos do engenheiro social interno, que pode ter motivações muito mais diversificadas e danosas à empresa do que o externo.

 E o que desejam esses engenheiros sociais internos? Na mesma linha do externo, enganar, manipular pessoas para que façam o que desejam: informações que eles não poderiam obter de forma lícita e ações que somente essas pessoas podem executar para favorecê-lo de alguma forma. Com as informações coletadas ou ações tomadas pelo seu alvo, podem iniciar uma lista de ilícitos. Vejamos alguns:

  • Todo e qualquer tipo de fraude interna;
  • Roubo de propriedade intelectual;
  • Sabotagem com ou sem o intuito de extorsão;
  • Vingança contra a empresa e/ou seu chefe;
  • Vazamento de informação à concorrência mediante ganho financeiro;
  • Espionagem industrial;
  • A lista é grande …

As pessoas em sua maioria acreditam serem pensadores independentes, mas a realidade é que é fácil fazer com que as pessoas sigam instruções, ainda mais se eu faço parte do corpo funcional da empresa. E esse é o intuito do Engenheiro Social: fazer com que as pessoas obedeçam e sigam as suas instruções.

 Apesar da nossa crença de que não seguimos instruções dadas pelos outros, a realidade é que para cada vez que você recusa, existem milhares de vezes em que você obedece. Desde que eu me conheço por gente nós naturalmente seguimos instruções. Vejamos algumas condições onde a maioria de nós obedece a instruções e saiba, o engenheiro social sabe do que vou dizer.

 Uma grande parcela de pessoas obedece a instruções quando se sente ignorante a respeito da situação em que está. Por exemplo, vamos pegar o tema TI. Olhe para o interior de sua empresa e veja que a maioria das pessoas sente-se relativamente ignorante a respeito do tema. Isso é mais evidente quando percebem que outras pessoas sabem mais do que elas. Um engenheiro social interno que tenha esse conhecimento acima da média, nem precisa ser um técnico de TI, pode usar isso em benefício próprio para conseguir obediência. Na maioria dos casos, um usuário normal vai sempre seguir sua instrução, pois o “cara” sabe mais do que eu, é um especialista. E não se trata de falta de inteligência do usuário e sim um sentimento localizado que se relaciona com as circunstâncias específicas nas quais o alvo se posiciona.

Nos enganamos se acreditarmos que somente os “menos inteligentes” são os alvos do engenheiro social. Segundo algumas pesquisas, uma das premissas mais fortes para explicar a engenharia social é a tentativa de explorar a ingenuidade das pessoas, e essa característica pode pegar o menos ou o mais inteligente.

 Outra característica explorada é tal da Credulidade das pessoas. Essa tal credulidade tende a aumentar se elas recebem uma oferta de benefícios cada vez mais atraentes. Um exemplo famoso ficou conhecido pela Fraude 419 (419 refere-se à parte do Código Criminal Nigeriano que trata de fraude). Você recebe um e-mail de um parente de um príncipe africano que tem uma história de milhões que estão bloqueadas em uma conta bancária em algum lugar. Escolheram você para transferir os fundos por meio da sua conta bancária e por isto você vai receber uma comissão de um milhão …você deve pagar uma pequena quantia…e chega o dia e o dinheiro não cai na conta…Você acha que tem gente que não cai nessa? Cai e cai em outras variantes desse golpe. Mas por quê?

 Parece que quanto maior for a promessa, mais os nossos processos lógicos conscientes dão espaço para a ganância que há no nosso subconsciente. É em função dessa lógica que uma grande quantidade de pessoas chega a você e dizem o que elas fariam com o dinheiro viessem a ganhar na loteria do que falar da probabilidade irrisória de elas realmente ganharem.

 Os Engenheiros sociais sabem e exploram com muita naturalidade e maestria o desejo de sermos amados, isso é próprio e necessário ao ser humano. Kevin Mitnick sabia disso e usava com incrível habilidade essa, digamos, necessidade do ser humano. São inúmeros os casos contados por Kevin onde o alvo eram pessoas que ele percebia serem solitárias, o que ampliava ainda mais esse desejo.

 Por último, o ser prestativo com os colegas de trabalho, praticada incentivada por 100 entre 100 empresas. O ser prestativo em um ambiente de trabalho é não dizer não para um colega, mesmo sabendo em seu subconsciente que a pessoa que te pediu uma determinada informação não deveria poder obtê-la, pelo simples fato de não ter direito de acesso sobre ela. Ou o prestativo que pode vir do lado do engenheiro social, como nos inúmeros casos em que um engenheiro social de forma engenhosa, atua sobre um colega de trabalho que vai sair de férias, com a seguinte ação: “Ricardo, você vai sair de férias na semana que vem, certo? Então deixe sua senha comigo para o caso de acontecer imprevistos, e você sabe, eu não quero te atrapalhar em suas férias caso…” Ou pelo outro lado de atuação, buscando o amigo de trabalho prestativo: “ Carlos, os caras de informática, sempre aqueles caras, ainda não liberaram o meu acesso no sistema de contas a receber e eu preciso gerar uns relatórios. Empresta sua senha e seu token para eu gerar os relatórios e depois te devolvo.” Não preciso comentar…

 O objetivo primário do engenheiro social é desenvolver a confiança para que ele possa em seguida executar o ataque. É essencial que a área de Segurança da Informação ou quem cuide do tema entenda muito bem os processos que compõem o desenvolvimento da confiança. Para entendermos e nos protegermos dos ataques de engenharia social, é importante que entendamos onde devem ficar os limites da confiança.

Um engenheiro social precisa adquirir a habilidade necessária para desenvolver confiança em seu alvo que seja proporcional à tarefa que ele vai solicitar ao alvo. Um ataque pode ser facilmente executado em um único telefonema, enquanto outros requerem semanas para que se desenvolva a confiança necessária para lograr êxito.

 Ministrando uma palestra um dia desses, onde o tema engenharia social foi abordado, uma pessoa perguntou: “Professor, mas como mitigar o risco dessa ameaça presente em todas as empresas?” A resposta é simples nas palavras, mas construída aos poucos dentro da empresa: entender o tamanho do risco e implantar conscientização e treinamento.

 Sabendo que a ameaça existe e está presente, conhecer o tamanho do risco é procurar identificar nossas vulnerabilidades e o que estamos fazendo, se estamos fazendo alguma coisa para mitigá-la. Em nossos trabalhos de consultoria utilizamos uma Metodologia de Testes de Engenharia Social para testar vulnerabilidades de engenharia social de uma organização. Trabalhamos com níveis de progressão, onde no nível 1 não temos informações internas, no nível 2 temos informações internas e no nível 3 temos ajuda interna ativa. E a partir daí realizamos os Testes em cinco etapas, onde a última é o relatório final, onde a base é a análise do risco com as recomendações.

 O outro lado da solução é a Implantação de um Programa de Conscientização e Treinamento com objetivos claros:

 1. Promover a conscientização sobre a ameaça do ataque de engenharia social (interno e/ou externo)

2. Treinar os usuários para cumprir e apoiar as medidas defensivas de segurança sistêmica que protegem as informações e sistemas de ataque.

3. Entender o perfil e como pensa e age um Engenheiro Social.

 Como conclusão desse artigo gostaria de deixar um recado. Se existem inúmeras evidências que Pessoas é considerado o Domínio “elo fraco da corrente de segurança da informação” as empresas devem focar seus controles para ele. Os engenheiros sociais internos e externos sabem disso e exploram essas fraquezas e você nunca deve subestimar sua capacidade de atuação. Trabalhar de forma ininterrupta a cabeça das pessoas de sua empresa é uma atitude que você não pode deixar de fazer. Não se atenha somente a um domínio (Tecnologia da Informação), como muitos erroneamente se atêm. Os quatro domínios da Segurança da Informação devem ser todos avaliados, e o das Pessoas, bem, esse você já sabe.

 Até a próxima!

 _______________________________________________________________

(*) 54 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br