Loading...

February 10, 2019

Hackear pessoas é mais fácil do que hackear sistemas

Imagem do filme Prenda-me se For Capaz, baseado na história real de Frank Abagnale Jr, que chegou a ser copiloto da Panam sem nunca ter passado por uma escola de aviação.

Disclaimer: Minha missão neste texto é atuar com um white hat hacker. Aqui falo sobre as formas de ataque mais usadas em Engenharia Social. Acredito que a melhor forma de se proteger, é conhecer o ataque. Espero com este post ajudar pessoas a refletir, e principalmente, ter mais cuidado ao lidar com dados sigilosos.

O título é um click-bait? Talvez. Mas há uma verdade nisso.

  • Platform

  • Year

  • Agency

Segurança Digital seria um conhecimento obrigatório para mim por causa da minha profissão, como Desenvolvedor Web. Mas acabei tendo meu primeiro contato com isso antes mesmo de saber o que era Desenvolvimento Web, lá em 2007, nos tempos do Orkut.

Só pra contextualizar – O Brasil nesta época ainda vivia um período de inclusão digital, e o Orkut, estava na moda. Ninguém entendia muito bem sobre e-mails, senhas seguras e por aí vai, e para se cadastrar na plataforma, você simplesmente digitava um e-mail que não havia sido usado anteriormente, uma senha, e voilá, você já poderia sair adicionando seus amigos. Isso abria uma brecha bizarra para a galerinha do mal. Caso o e-mail de sua “vitíma” não tivesse sido criado em algum serviço de e-mail (Hotmail era o mais comum na época), era só criar este e-mail, ir no Orkut, clicar em “Esqueci a senha”, digitar o e-mail e pronto, você recebia em segundos um link para redefinir a senha. Sim, era assim que a galera “hackeava” perfis no Orkut.

O tempo passou e fui estudando mais sobre brechas em sistemas web, e com o boom do “grupo hacker” Anonymous em 2012, acabei aprendendo SQL Injection. E meu amigo, nesta época o que tinha de site vulnerável… Acabei fazendo alguns defacement (tipo de ataque em que o hacker altera a página inicial de um site) como forma de protesto à corrupção em que o Brasil passava (e ainda passa, rá!) na época. Bons tempos.

Mas o que conheci nesta área e que hoje é minha “vertente” favorita, é a Engenharia Social.

O que é Engenharia Social?

Engenharia social é termo utilizado para descrever um método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança da pessoa, para obter informações que podem ser utilizadas para ter acesso não autorizado a dados sigilosos.

E quem usa?

  • Pentesters;
  • Empresas praticando espionagem industrial.

E com motivações diferentes:

  • Vendedores: quando eles colocam na sua cabeça que você precisa do produto deles;
  • Você: quando tem que convencer seus pais para te deixarem ir em alguma balada.

O fator mais explorado (por pessoas má intencionadas) neste sentido é a do ser-humano sempre querer ajudar outras pessoas. No quadro perfeito da Segurança da Informação, como vemos abaixo, o ser-humano na maioria das vezes não se encaixa.

Kevin Mitnick, figura conhecidíssima da área, conseguiu o código-fonte do Melhor Telefone Celular de 1992 com poucas ligações, apenas se passando por outras pessoas para conseguir níveis de acesso cada vez mais altos. No Brasil, com motivações diferentes, Marcelo Nascimento da Rocha (famoso VIP), também usou da Engenharia Social para se passar por outras pessoas, e assim, ter certos privilégios.

Mas primeiro, vamos para a principal para executar este ataque

  • Ética. Importantíssimo. Não é nada legal ser pego fazendo algo não autorizado. Caso queira ganhar dinheiro com isso, tenha em mente que há empresas de Segurança da Informação pagando salários altos por este tipo de profissional.

E quais são os tipos de persuasão mais comuns?

  • Conformidade: 1000 pessoas não podem estar erradas – se todo mundo está fazendo, porque eu não deveria fazer?
  • Necessidade: Desconfie de diálogos do tipo: “Pode me ajudar?“, “Estou desesperado!“, “Meu chefe vai me matar!
  • Autoridade: Pessoas bem vestidas passam confiança, e segundo um estudo da NatGeo, pessoas de terno só precisam citar nomes 😮
  • Similaridade: Pessoas tendem a confiar em pessoas do mesmo ramo (idade, data de aniversário, quantidade de filhos, mesma situação: grávida, por exemplo). Pessoas do sexo oposto e mais altas, são mais confiáveis.
  • Informacional: Quando a pessoa má intencionada tem informações sobre o ambiente para criar situações confortáveis.

Não há uma forma mais efetiva do que a outra, tudo depende de cada situação e motivação.

Tipos de ataques

Phishing (OLD BUT GOLD)

Aquele famoso e-mail que você recebe dizendo que alguém tem fotos comprometedoras de você – o e-mail de phishing, apesar de já existir há anos, ainda é uma das técnicas mais comuns de engenharia social pelo alto nível de eficiência. O phishing ocorre quando o hacker produz comunicações fraudulentas que podem ser interpretadas como legítimas pela vítima por alegarem vir de fontes confiáveis.

Pretexting

Por meio do pretexting, os hackers fabricam falsas circunstâncias para coagir a vítima a oferecer acesso a informações e sistemas críticos. Neste caso, os hackers assumem uma nova identidade ou papel para fingir que são alguém de confiança da vítima.

QUID PRO QUO (isso por aquilo)

Um ataque de quid pro quo ocorre quando um hacker requer informações privadas (sem deixar explícito) de alguém em troca de algo.

Tailgating (técnica física)

É o caso, por exemplo, de quando alguém pede para o outro “segurar a porta” porque esqueceu seu cartão de acesso, ou pede seu smartphone emprestado para fazer “algo rapidinho”, como: “A bateria do meu celular acabou, posso ligar para meu pai? É urgente…”, mas na verdade instala malwares e rouba dados do dispositivo.

Baiting (meu favorito)

Por meio dessa técnica, hackers deixam à disposição do usuário um dispositivo infectado com malware, como um pen drive ou um CD. A intenção é despertar a curiosidade do indivíduo para que insira o dispositivo em uma máquina a fim de checar seu conteúdo.

Citando um exemplo da série Mr Robot, imagine que você precisa invadir o sistema penitenciário para libertar uma pessoa. Que tal jogar alguns pen drives infectados perto de uma delegacia para despertar a curiosidade de um policial?

Ah, mas isso funciona?

Em 2011, a Bloomberg relatou que, em um teste feito com funcionários do governo norte-americano, 60% das pessoas pegaram um pen drive deixado no estacionamento e plugaram nos computadores do escritório. No caso dos dispositivos que tinham um logo oficial, 90% instalaram o arquivo.

Ok, o estudo é de 2011, os alvos já estão mais espertos sobre pen drives desconhecidos. Mas, viajando com a mente, vamos deixar essa técnica mais efetiva?

Hoje, com pouco investimento ($50, no caso), é possível ter em mãos o Rubber Ducky, para leigos, um simples pen drive. Mas que na verdade é um dispositivo que executa diversos ataques para conseguir dados. A grande charada neste caso, é que o dispositivo se passa como um periférico comum, um teclado, por exemplo. Com isso, o dispositivo simplesmente pula verificações de segurança e executa o que estiver programado, afinal de contas, não tem como hackear um computador usando um teclado, né? Então…

Mas voltando, vamos pensar mais um pouco em como deixar este ataque mais efetivo. Que tal comprar aqueles ventiladores USB baratinhos, plugar o Rubber Ducky nele e dar de brinde para sua vítima? Ou melhor, vamos descobrir a operadora de internet da sua vítima, usar a técnica de phishing para enviar um e-mail dizendo que a vítima foi premiada em um sorteio, e como forma de agradecimento pela fidelidade, receberá em seu endereço comercial uma linda e útil power bank como brinde. Bem, eu cairia facilmente nisso.

Estou assustado! Como me proteger disso?

Bom, primeiro é bom ter em mente que os alvos mais comuns desse tipo de ataque são pessoas com pouco conhecimento sobre informática ou sem treinamento adequado para lidar com dados sigilosos. E também, as chefias, que acham que vão perder tempo e dinheiro participando de treinamentos sobre Segurança da Informação.

Como recomendação, indico a série Mr Robot. A grande maioria dos ataques descritos aqui acontecem na trama das formas mais corriqueiras possíveis. Fica a dica 😉

Don't leave without say hi :)