Como se proteger da engenharia social

A engenharia social é o que capacita os e-mails de phishing e sites maliciosos vestidos para parecer sites populares e seguros. Durante uma discussão com Chris Hadnagy, chefe de hackers humanos da Social-Engineer Inc., perguntei-lhe como identificar esses golpes. Seus conselhos ecoam o que sempre dissemos aos leitores: sempre desconfie.

Mais do que um golpe

Da minha discussão com Hadnagy, fica claro que alguns dos que chamamos de engenharia social são os mesmos truques que as pessoas usam nas decisões de influência há anos. A indústria de fast food, por exemplo, explorou famosamente quais cores encorajariam as pessoas a comer mais rápido. Os espíritas falsos do século XIX (que incluem membros da minha família) e hoje usam uma tática chamada "leitura fria" para induzir as vítimas a revelar informações sobre si mesmas.

Mas há mais na engenharia social do que truques baratos, como demonstrado pela Competição Capturar a Bandeira da Engenharia Social realizada na Def Con. Aqui, os concorrentes ganham pontos pelas informações que obtêm das empresas pesquisadoras e do contato direto dessas empresas. Hadnagy disse que os competidores com melhor pontuação também fizeram a maior parte das pesquisas, o que demonstra o quanto é útil conhecer seus alvos.

Infelizmente, agora é um ótimo momento para ser um engenheiro social pesquisando ou coletando informações de código aberto. Hadnagy explicou que empresas e indivíduos publicam muitas informações nas mídias sociais, muitas das quais podem ser usadas em ataques de engenharia social. Anteriormente, vimos como os golpistas tentavam usar as informações coletadas no Facebook para fazer com que seus golpes parecessem mais atraentes - às vezes com resultados hilariantes.

Emoção de segmentação

Uma das melhores táticas de engenharia social é impedir que você pense criticamente, geralmente visando a emoção. Hadnagy disse que um ataque que quase o enganou alegou ser um e-mail de envio da Amazon. "Foi algo pessoal, algo que afetou minha vida e algo importante para mim", disse ele.

Nesse ataque em particular, Hadnagy recebeu um e-mail dizendo que um de seus importantes pedidos da Amazon estava atrasado devido a um número de cartão de crédito recusado. Nos dias que antecederam uma grande conferência, Hadnagy disse que estava sobrecarregado e clicou no link no email - em vez de visitar a Amazon diretamente. A página para a qual ele foi levado foi bem trabalhada, mas felizmente ele percebeu o domínio ".ru" antes de inserir qualquer informação pessoal.

Embora fosse simples, essa tática era muito eficaz. "Sou o cara que, por causa do que faço, phishing mais de 190.000 pessoas nos últimos meses", disse Hadnagy, referindo-se ao seu trabalho de consultoria. "Eu quase caí nesse ataque."

Outra vantagem de apelar à emoção é que ela não requer o tipo de pesquisa que os melhores engenheiros sociais empregaram. "O que veremos é que escolhe coisas importantes para as massas". Hadnagy explicou que isso inclui remessas da UPS, pedidos da Amazon e transferências do PayPal.

O apelo em massa também funciona bem para a transmissão em massa, outra tática frequente. "Eles os enviam para milhões de pessoas ao mesmo tempo, para que não se importem se recebem 100%", disse Hadnagy. "10% ainda são milhares de contas comprometidas".

Ficando seguro

Muitas das táticas usadas para detectar e-mails de phishing também são verdadeiras para a engenharia social. Tudo o que parece bom demais para ser verdade - ou ruim demais para ser verdade - provavelmente não é verdade. Táticas como passar o mouse sobre os links para ver o URL completo, inserir manualmente endereços da Web e evitar links que surgem do nada são todas táticas corretas.

Mas a parte de chamadas ao vivo da competição Capture the Flag destaca outra faceta da engenharia social: a confiança institucional. Este ano, muitos dos concorrentes se apresentaram como colegas de trabalho ou fornecedores, o que deu aos funcionários das empresas-alvo uma razão imediata para confiar neles. Às vezes, vale a pena fazer perguntas quando alguém que afirma ser o CEO da sua empresa liga para você pessoalmente.

Hadnagy fez uma carreira explicando a engenharia social, mas não está preocupado se os atacantes estão aprendendo seus truques. "Os bandidos não estão procurando os dados sobre como fazer isso", disse ele ao SecurityWatch. "Eles já sabem como. O problema é que os mocinhos não." Por meio de seu trabalho, Hadnagy acredita que ele pode ensinar a América corporativa e as pessoas comuns a pensar criticamente sobre suas interações diárias e como responder nos piores cenários. Hadnagy explicou da seguinte maneira: "Em vez de armar os bandidos, arma os mocinhos".

Imagem via usuário do Flickr Travis V.