E-book sobre Engenharia Social

o que é
engenharia
social?
Quando a gente pensa em hackers, cibercrime, vazamento de informação, amea-
ças digitais, é bem provável que a primeira imagem que venha a cabeça seja de
uma pessoa encapuzada em um quarto escuro, de frente para o computador, inva-
dindo redes e computadores com programas que nem conseguiríamos imaginar o
funcionamento.
Isso não é 100% verdade. É claro que o cenário de pessoas que tentam invadir re-
des e computadores usando apenas tecnologias e vulnerabilidades desconhecidas
é real. Mas não é a forma mais fácil de se fazer, hoje nós temos processos e tecnolo-
gias que partem do uso de inteligência artificial e correlação de dados que dificultam
bastante a vida dessas pessoas.
Então como ainda existe vazamentos e roubos de informação? A maneira mais fácil
é manipulando pessoas. Mais especificamente, usuários negligentes que não sa-
bem boas práticas de Segurança da Informação.
Esse usuário pode ser manipulado por diferentes estímulos a fim de que esse des-
respeite práticas de segurança padrão, assim fornecendo informações sensíveis
para um atacante. Isso é o que chamamos de Engenharia Social.
Qualquer estratégia que explore vulnerabilidades e falhas humanas para iludir o usu-
ário a fim de que esse desrespeite práticas de segurança padrão. E essas estraté-
gias são as mais variáveis possíveis, vão desde abrir um e-mail Phishing a esquecer
documentos na impressora, falar sobre informações sensíveis em espaço público
até aceitar serviços de desconhecidos.
Esse tipo de ataque é difícil de evitar pois não existe antivírus, firewall ou tecno-
logia que projeta as empresas e pessoas de ataques de Engenharia Social. Essas
tecnologias impedem, na medida do possível, que algumas ameaças cheguem até
as pessoas, porém nem sempre elas são eficientes e conseguem ser abrangentes
para diferentes técnicas de Engenharia Social.
Sendo assim, a principal forma de se proteger desse tipo de ataque é estando cons-
ciente de como a Engenharia Social funciona e saber categorizar informações que
possam ser sensíveis a fim de não as divulgar de forma inconsciente.

tipos de ataques
Como foi dito antes, não existe tecnologia que faça com que pessoas não cliquem
em e-mails de Phishing ou passem informações sensíveis sem saber por telefone,
mas existe pessoas bem informadas de boas práticas de segurança da informação
e de como Engenharia Social funciona.
As vulnerabilidades humanas que a Engenharia Social explora, como curiosidade e
ingenuidade, podem ser superadas a partir do entendimento de como essas técni-
cas funcionam.
O atacante abandona um pendrive infectado com um malware em algum lugar onde
possa ser encontrada pelo usuário, na esperança de aguçar a curiosidade humana a
ponto do usuário plugar o dispositivo em sua máquina. O pendrive no caso funciona
com uma isca (bait), assim sendo uma das características essenciais para identifi-
car um Baiting.
Imagine agora, que você chegou ao estacionamento onde trabalha e encontrou um
pen-drive. Curioso você o pegou e o levou para o escritório da empresa para inserir
em seu computador, esta mídia estava infectada e dessa maneira um invasor conse-
guiu acesso ao seu computador e a rede do seu trabalho.
Uma forma de evitar esse tipo de ataque é seguindo algumas boas práticas como:
• Não inserir nenhum tipo de mídia removível (pendrive, CD, HD externo) desconheci-
da em qualquer computador, seja do trabalho ou de casa.
Um ataque de quid pro quo ocorre quando um hacker requer informações privadas
de alguém em troca de algo. “Quid pro quo” basicamente significa “isso por aquilo”,
em que o cibercriminoso oferece algo à vítima em troca de informações sensíveis.
A tática mais comum envolve se passar por alguém da TI e abordar diversas vítimas
com fim de encontrar alguém com um problema real de TI. Sob instruções do hacker,
a vítima então dá acesso a códigos, desabilita programas vitais e instala malwares
achando que conseguirá resolver seu problema.
Outra tática bastante usada é a de simular uma pesquisa em que funcionários pas-
sam uma série de informações sensíveis em troca de brindes e descontos.
Para evitar ataques no qual o atacante finge ser outra pessoa:
• Suspeite de pedidos que não foram avisados anteriormente.
• Cheque com os envolvidos se aquele contato/pedido é verídico.
• Não utilize de serviços que não sejam contratados pela empresa.
Nessa vertente de ataque, os hackers criam circunstâncias falsas para coagir a ví-
tima e conseguir acesso às informações e sistemas. Nesse caso, os hackers criam
um pretexto (“pretexting) e assumem uma nova identidade para fingir que são al-
guém de confiança da vítima.
Pense, agora, que você recebeu um e-mail do CEO da empresa onde trabalha pedin-
do para que você se encarregue de uma operação sigilosa que envolve uma série de
baiting
quid pro quo
pretexting

pagamentos e que você tem autorização total para proceder com os pagamentos
necessários. E para finalizar, pede que esse assunto seja mantido em segredo para
o bem da organização.
Você pode achar que esse e-mail é verídico, mas é na verdade um ataque de enge-
nharia social. O invasor conseguiu plagiar o e-mail do CEO, te fazendo acreditar que
se tratava de uma operação legítima.
O Pretexting também pode ser por uma ligação telefônica, por exemplo. O atacante
interpreta a identidade de um fornecedor ou terceirizado para conseguir alguma in-
formação de um funcionário ou cliente.
Por isso, nesses casos antes de prosseguir com as instruções, é de extrema
importância:
• Se certificar com uma segunda pessoa que tenha ligação com a atividade se o con-
teúdo da mensagem, seja e-mail ou telefone, é verídico.
• Verificar a autenticidade da pessoa que entrou em contato.
É um tipo de situação que pode ser evitada perguntando para pessoas envolvidas
que possam ter conhecimento, pode ser chefe, gerente, coordenador ou até algum
amigo de trabalho, antes de passar a informação.
O Tailgating é uma técnica física de engenharia social que ocorre quando indivíduos não
autorizados seguem indivíduos autorizados até localizações não permitidas a todos.
Imagine que para entrar no prédio no qual você trabalha, é preciso usar um cartão de
acesso, e assim que você está entrando no prédio, alguém pede para que você segure
a porta porque esqueceu seu próprio cartão. Assim como um desconhecido entrar no
prédio junto com você, já que é comum quando as pessoas estão em grupo apenas uma
pessoa destravar a porta.
Ao perceber alguma movimentação suspeita de pessoas desconhecidas, é importante
averiguar quem é a pessoa e o que ela está fazendo no ambiente e não deixar a pes-
soa entrar antes de uma identificação.
O e-mail de Phishing é uma das técnicas mais comuns de engenharia social pelo alto
nível de eficiência. O Phishing ocorre quando um hacker produz comunicações frau-
dulentas que podem ser interpretadas como legítimas pela vítima por alegarem vir de
fontes confiáveis.
Em um ataque de Phishing, os usuários podem instalar um malware baixando um arqui-
vo anexado no e-mail ou compartilhar informações pessoais, como credenciais, a partir
de páginas falsas de serviços legítimos.
Apesar de o e-mail ser o modo mais tradicional para o envio de Phishing, esse tipo de
ataque também pode vir na forma de um contato telefônico, SMS ou até mesmo uma
mensagem no Whatsapp, por exemplo.
Alguns e-mails de Phishing são incrivelmente fáceis de identificar, no entanto, há os que
são extremamente convincentes, simulando, por exemplo, comunicações do banco e
empresas de cartão de crédito e comunicados oficiais da própria empresa pedindo para
que os funcionários façam download de um novo software de segurança corporativa.
Enquanto o Phishing trabalha com uma dinâmica de campanhas com um escopo maior
e genérico, seria como pescar com uma rede, tendo em vista que o sucesso da ação
está relacionado com o tamanho da rede (base com milhares de endereços de e-mails)
e o volume de peixes pescados (número de vítimas).
O Spear-Phishing atua de uma forma mais direcionada, com alvos e objetivos espe-
cíficos. O modo de pescar nessa modalidade não está preocupado em pegar um car-
dume de sardinha, por exemplo, o foco está em pescar um salmão de forma certeira.O
significado de Spear-Phishing articula as palavras em inglês de spear (lança) e phishing
(pescar), o pescar com lança representa justamente essa especificidade dos alvos.
O atacante “estuda” sua vítima de modo que o Spear-Phishing pode tomar diferentes
formas: desde um e-mail falso de um outro colaborador ou fornecedor pedindo alguma
informação ou enviando algum arquivo malicioso para a vítima abrir, até de uma empre-
sa da qual você já comprou alguma coisa.
tailgating
phishing

Phishing e suas variações, como Spear Phishing e SMShing, também são problemas
que envolvem diretamente o fator humano. Por mais que faça uso de uma tecnologia
(e-mail), a vulnerabilidade explorada é exclusivamente humana, pois o fato de cair em
um Phishing depende apenas do usuário tomar a decisão de clicar no e-mail e seguir os
passos determinados pelo atacante.
Para identificar um e-mail Phishing, nós temos algumas dicas:
Troque a sua senha de acesso
Service Desk <[email protected]>
bit.ly/servicedesk-proof
Caro, colaborador.

Sua senha de acesso ao Service Desk acaba de
espirar. Para renovar a sua credencial clique aqui.

Caso a renovação não seja feita, a conta será
suspensa por tempo indeterminado.
Atenciosamente,
Suporte Interno
VEJA O ENDEREÇO DE E-MAIL DO REMETENTE
PRESTE ATENÇÃO NOS LINKS
ERROS ORTOGRÁFICOS
ANALISE COMO A MENSAGEM SE
DIRIGE A VOCÊ
O E-MAIL NÃO POSSUI ANEXOS
NÃO SOLICITADOS
DESCONFIE DE EMAILS
COM URGÊNCIA OU
TOM DE AMEAÇA NO
ASSUNTO
A ASSINATURA PODE DIZER
MUITO SOBRE A INTENÇÃO
DO EMAIL
E-MAIL NÃO PEDE INFORMAÇÃO
PESSOAL
Nos casos de e-mail, além de saber identificar um ataque de Phishing é importante tam-
bém saber reportar para que o time de segurança da informação tome as providências
necessárias para mitigar esse tipo de incidente. Para isso, encaminhe o e-mail identifica-
do como Phishing para [email protected]

dumpster
diving
Dumpster Driving, ou Trash Surfing, é um termo inglês que utilizado para descrever al-
guém que revira lixo. Na Engenharia Social, revirar o lixo é uma excelente forma de en-
contrar informações confidenciais através de materiais e recursos que foram descarta-
dos de forma indevida, como por exemplo um pendrive não formatado, um CD que não
foi inutilizado ou contratos e relatórios confidenciais que não foram triturados e jogadas
em lixos separados.
A melhor maneira de evitar que informações confidenciais possam ser facilmente en-
contrada no lixo é dando o descarte apropriado para cada tipo de mídia que contenha
informações com esse tipo de classificação.
• No caso de papéis, contratos e relatórios por exemplo, e cartões magnéticos, como cartão
de banco e crachás, triturar ou rasgar e jogar em lixos separados é o mais recomendado.
• Inutilize pendrives quebrando-os ao meio.
• Em relação a CD-ROMs, risque a parte do leitor com algum material pontiagudo, como
uma faca ou caneta, e depois quebre.
A ideia do Visual Hacking é bem simples, o seu conceito se refere ao roubo de informa-
ções sigilosas apenas pelo recurso visual, ou seja, olhando para tela de algum compu-
tador (shoulder surfing), documentos esquecidos em cima da mesa, em salas de reunião
ou até mesmo na impressora.
O Visual Hacking é rápido e imperceptível, segundo o Ponemon Institute, essa técnica
demora menos de 15 minutos para ser executada (2016 Global Visual Hacking Experi-
ment). Não só pela agilidade, porém na maioria das vezes as vítimas estão expostas
tanto no ambiente de trabalho quanto em espaços públicos e não confrontam quando
estão sendo observadas.
Para evitar incidentes de Visua Hacking:
• Mantenha a estação de trabalho organizada, evite deixar papéis importantes em cima
da mesa, assim informações sigilosas não ficam ao alcance dos olhos das pessoas que
passam perto da sua estação.
• Não deixe documentos na impressora, ao imprimir vá direto buscar, não deixando bre-
cha para que outra pessoa pegue o seus papeis ou veja alguma informação que deveria
ser sigilosa.
• Quando estiver trabalhando com informações sensíveis, preste atenção quem está em
sua volta. Caso haja alguém, espere a pessoa sair ou peça para se retirar.
visual
hacking

&
engenharia
social
redes sociais
Nós falamos quase de sete técnicas diferentes, algumas que envolvem mais questões
de relacionadas a ambientes físicos, como o Tailgating e o Visual Hacking, outras uti-
lizam da tecnologia como um vetor para manipular os usuários negligentes, como o
Phishing por exemplo.
Um ponto que é bastante negligenciado quando se trata de Engenharia Social são as re-
des sociais. Nós estamos sempre postando informações sobre nossos cotidianos, vida
pessoal e profissional e esses posts podem servir de insumos para a Engenharia Social.
Um bom exemplo que de ataque que faz uso de insumos vindos de redes sociais é o
Spear Phishing, para uma personalização e construção de uma veracidade, o atacan-
te precisa entender algumas práticas de consumo e comportamento da sua vítima. E
como essas informações são obtidas? Elas estão todas distribuídas pela internet.
Uma forma fácil de descobrir credenciais ou informações sobre uma empresa pode ser
a partir das fotos que os funcionários postam em suas redes sociais.
O atacante consegue achar quem trabalha em uma empresa através de marcações de
localização nas fotos ou então por redes sociais voltadas para mercado de trabalho.
Seguindo as práticas de Phishing, Engenheiros Sociais criam sites com a mesma interfa-
ce do serviço original com o intuito de conseguir dados como usuário e senha a partir da
distração da vítima. Contudo, descobrir se a site que você está acessando é verdadeiro
ou não pode parecer mais simples que parece.
O primeiro indício que verifica essa legitimidade está na URL da página. Sites como Fa-
cebook, Instagram e Twitter possuem a sigla HTTPS antes do seu endereço. HTTPS
significa Hyper Text Transfer Protocol Secure (Protocolo de transferência de hipertexto
seguro), ou seja, que a conexão entre os servidores da rede social e o computador do
usuário estão seguros.
Além do HTTPS, ainda na barra de endereço, é importante checar qual é o domínio da
URL. As principais redes sociais que temos hoje em dia são “.com”. Então se você ver
um facebook.net, pode já ficar desconfiado.
fotos em ambiente de
trabalho e perfis aberto
sites e perfis falsos
Localizando as fotos com as marcações, as possibilidades são grandes, desde fotos
com crachá até número de serial de equipamentos e identificação de máquinas presen-
tes no local, por exemplo.
Essa dinâmica funciona de forma semelhante ao Visual Hacking, porém o atacante não
precisa se locomover até o ambiente que ele quer atacar. Uma forma simples de se co-
letar insumos para Pretexting é descobrir qual pessoa está ausente do trabalho, seja de
férias ou viajando a negócios.
Ter um perfil aberto permite que pessoas que não te conhecem saibam onde você está,
que tipo de serviços e produtos você consome, quais eventos sociais e profissionais par-
ticipa e com quais pessoas você se relaciona diretamente. Essas informações são uma
boa base para se construir uma veracidade para ataques de Spear Phishing e Pretexting.

O último ponto sobre a URL é a ortografia. Por mais que as empresas que administram
essas redes sociais tentam bloquear a criação de domínios falsos como “facebook.net”,
os atacantes partem para variações que podem passar despercebidas, como “faace-
book.com” ou “faceboook.com”.
O mesmo acontece para páginas ou perfis falsos de empresas oferecendo algum tipo
de promoção. Geralmente essas promoções são links que redirecionam para um site
falso, no qual para a validação de um desconto, por exemplo, é necessário um cadastro
ou o download de algum arquivo malicioso.
Uma segunda forma de verificar a legitimidade do site é colocando informações aleató-
rias nos campos de login e senha. Se o site for legítimo, uma mensagem de erro como
“Login e senha inválidos” aparecerá após a tentativa de login, pois o banco de dados do
site não reconhece aquele tipo de registro. Em sites falsos a dinâmica é diferente, o login
com informações aleatórias levará o usuário a uma página não existente, uma tela em
branco ou as conhecidas “404 Page not found”.
O roubo de credenciais e informações sensíveis podem ter diversos fins, desde falsida-
de ideológica, passando pelo uso indevido de crédito bancário, roubo de seguro desem-
prego até criação de bots para redes sociais.
Uma das maiores facilidades que existe hoje em dia aplicativos ou sites é poder utilizar
a sua conta do Facebook ou do Google para se cadastrar. Porém, alguns detalhes as
vezes passam batidos como as permissões de acesso a informação que essas redes já
possuem de você.
Uma boa prática nesse caso é checar quais as informações suas esses serviços ou site
está pedindo para ter do Facebook, Google ou até mesmo do seu celular. Desconfie se
o cadastro pedir mais que nome, e-mail e data de nascimento. Questione a finalidade
daquele acesso para a funcionalidade da aplicação. Há alguns casos que o aplicativo
pode precisar da sua localização geográfica para funcionar, mas não há necessidade ter
acesso ao seu histórico de conversas.
Esse ponto também vale para aplicativos de celular que ao instalados podem pedir au-
torização a informações que não são tão essenciais para a sua funcionalidade final, por
exemplo, um aplicativo de transporte particular que pede acesso ao microfone do seu
aparelho ou a câmera.
Além de sites falsos, também é preciso ter uma atenção redobrada para perfis falsos
de produtos e serviços. Geralmente esses perfis se passam por perfis legítimos com fo-
tos e propagandas reais, porém não possuem um número de seguidores expressivos e
estão sempre divulgando alguma promoção irresistível que envolve marcar amigos em
publicação, compartilhamento de post e seguir como moeda de troca para participação.
Esses perfis podem possuir diversas finalidades, uma delas é como venda de base de
seguidores, então alguma pessoa compra a conta e a utiliza para outros fins. Contudo,
podem servir como um “meio de transporte” para sites falsos, tanto de uma empresa
quanto de cadastro para uma promoção ou serviço, sendo uma forma de acesso fácil a
informações como nome, CPF, endereço e telefone.
permissões abusivas

a melhor
defesa
Em Tipos de Ataque e Engenharia Social e Redes Sociais fica evidente que o fator huma-
no é a principal vulnerabilidade explorada pelas técnicas de Engenharia Social, a tecno-
logia é usada somente como vetor, um “meio de transporte”, para concretizar o ataque.
No caso do Phishing, o e-mail por si só não executa a técnica ou rouba as credenciais
do usuário apenas por estar na caixa de entrada, é preciso do clique, do preenchimento
dos campos de login e senha ou o download de um anexo malicioso, sendo assim, se
fazendo valer da curiosidade e ignorância da vítima.
Contudo, o fator humano é a principal forma de defesa contra a Engenharia Social. O
usuário consciente de como funciona a Engenharia Social, de quais são as situações e
cenários que as brechas podem existir e de boas práticas a seguir é a prevenção e defe-
sa ideal. É esse o usuário que sabe identificar um possível ataque, que consegue classi-
ficar o conteúdo das informações e que, principalmente, passa o conhecimento adiante.
Agora é questão de colocar esse conhecimento em prática.
Por exemplo, um amigo seu mostra um e-mail estranho que ele recebeu de um ban-
co, que nem é o dele, sobre uma dívida. Essa é uma boa abertura para se falar sobre
Phishing, ensiná-lo como a identificar e reportar um.
Ou então aquele colega que sai no final da tarde para fazer um lanche, vai em uma reu-
nião ou no banheiro e não bloqueia o computador. É uma boa situação para se falar
sobre Visual Hacking, como o acesso as informações daquela máquina e credenciais
ficaram desprotegidas. Alguém poderia enviar uma mensagem em seu nome, roubar
arquivos confidenciais, etc.
A questão é que quanto mais pessoas souberem dessas boas práticas de Segurança da
Informação e de como Engenharia Social funciona e seus impactos nas empresas e nas
nossas próprias vidas pessoais, nós teremos menos vulnerabilidades e falhas humanas
e uma sociedade mais segura.

[email protected]
+55 21 2277.7520
www.proof.com.br
Rua Sete de Setembro, 99 / 14º andar
Rio de Janeiro – RJ – 20050-005