A história da engenharia social na era dos computadores e da internet
No contexto da segurança da informação, a engenharia social é um dos tópicos da moda. É uma técnica utilizada por hackers para aumentar a credibilidade de seus golpes e fraudes. De maneira sucinta, podemos dizer que a engenharia social envolve manipulação e persuasão, e tem relação direta com roubo de identidade, impersonation e spoofing. Na prática, isto significa que os hackers usam a engenharia social como uma ferramenta para se passar por pessoas ou empresas legítimas, conquistando a confiança de suas vítimas.
Em outras palavras, a engenharia social é usada para induzir pessoas a agirem de uma certa maneira. Sem dúvidas, esta não é uma tática nova. A engenharia social está presente desde os primórdios da humanidade. Os grandes casos de espionagem, por exemplo, envolvem engenharia social. Se você é fã das histórias de James Bond, sabe do que eu estou falando. A história do guerreiro grego Ulisses e seu grande cavalo de madeira que foi usado para superar as muralhas de Troia é outro exemplo.
Mas o meu exemplo preferido para ilustrar e definir a engenharia social vem dos quadrinhos. A personagem ficcional Mística, dos X-men, é a engenharia social em “pessoa”. Mística é uma mutante que nasceu com a habilidade de mudar de forma. Ou seja, ela pode imitar quem ela quiser, quando ela quiser, com extrema precisão. Então, nós podemos dizer que a personagem é uma social engineer.
Na vida real, a engenharia social é usada de várias maneiras. Na maioria dos casos, ela é utilizada em golpes cibernéticos, como campanhas de spam e ataques de phishing e de spear phishing. Mas também é usada em fraudes que envolvem telefonemas, SMS e até presença física.
Neste artigo, você vai ler mais sobre:
BEC - Business Email Compromise
Faça o download deste ebook para entender tudo sobre BEC, das características às técnicas mais usadas.
O termo engenharia social e a segurança da informação
Dentro do mundo da cibersegurança, a quem diga que a popularização do termo engenharia social se deve ao especialista em cibersegurança Kevin Mitnick. Em 2013, Mitnick publicou o livro “The Art of Deception: Controlling the Human Element of Security”. Nele, o especialista fala sobre o conceito e as técnicas de engenharia social e relata a sua própria experiência como um social engineer e hacker.
Mitnick já foi condenado, nos Estados Unidos, por diversos crimes, incluindo roubo de senhas e acesso não autorizado a redes de computadores de grandes corporações mundiais. No livro, ele conta que um dos primeiros encontros dele com a engenharia social aconteceu no ensino médio, na década de 70.
Mitnick aprendeu como hackear a companhia telefônica explorando os sistemas e os funcionários da empresa. Com isso, ele tinha acesso a informações confidencias de clientes e ainda fazia chamadas gratuitas. Além disso, ele costumava promover pegadinhas. Quando uma vítima dele tentava telefonar de casa, recebia uma mensagem dizendo que precisava pagar pela ligação por se tratar de um telefone público.
Primeiros casos de engenharia social
Certamente, a engenharia social já existia antes dos computadores e da internet. Mas a pergunta mais interessante a ser feita é: quais seriam os primeiros casos de engenharia social na era dos computadores e da internet?
É uma pergunta difícil de ser respondida porque os casos de hacking mais antigos carecem de recursos e fontes. O que é facilmente observável é que a engenharia social passou a ganhar mais força a partir dos anos 2000, depois do boom dos computadores e da internet na década de 90.
Apesar da dificuldade, criamos uma lista tríplice. São três casos reais de ataques que remetem às origens e ao uso da engenharia social na era dos computadores e da internet.
1. Elk Cloner, 1982
“It will get on all your disks. It will infiltrate your chips. Yes, it’s Cloner! It will stick to you like glue. It will modify RAM too. Send in the Cloner!”. Esta é a mensagem (ou poema?) que apareceria na sua tela se o seu computador fosse infectado pelo Elk Cloner.
O Cloner é um malware do tipo vírus que foi criado em 1982 como uma pegadinha por um garoto de 15 anos. Ele era transmitido via disquete e pode ser citado como um dos primeiros casos de engenharia social na era os dispositivos eletrônicos porque as vítimas acreditavam se tratar de um jogo.
2. Melissa, 1999
O vírus Melissa é considerado um dos primeiros casos de engenharia social da história e um marco porque infectou milhares de computadores no final da década de 90. O Melissa foi propagado através de um ataque de phishing que utilizava um anexo malicioso do Microsoft Word.
Ele enganava o usuário com o seguinte assunto: “Mensagem importante de (nome de alguém conhecido pelo alvo)”. O prejuízo estimado do Melissa chega a USD 80 milhões.
3. ILOVEYOU, 2000
O worm ILOVEYOU é outro caso emblemático de engenharia social. Ele se disfarçava de uma suposta carta de amor que a vítima recebia por e-mail. Obviamente, o anexo se tratava de um arquivo malicioso.
No e-mail, o social engineer (se passando por um pobre apaixonado) pedia para que a vítima gentilmente olhasse a carta. Nos anos 2000, o prejuízo estimado do ILOVEYOU chega a 15 bilhões de dólares.
Como se proteger contra engenharia social
O interessante a se notar sobre a engenharia social é que ela envolve manipulação psicológica. Ela brinca com as emoções a as crenças dos usuários (ou potenciais vítimas). Ao explorar as pessoas ou, como dizemos, o fator humano, a engenharia social se torna atrativa para o cibercriminoso, que pode ignorar aqueles meios de proteção e segurança que foram projetados para detectar ataques convencionais.
Se nós pegarmos como base um relatório da Verizon, podemos dizer que de cada 10 vazamentos de dados em empresas hoje, 3 deles envolvem engenharia social. Observe que estamos falando apenas de empresas. Imagine o que há para além disso.
Basta pegarmos como exemplo a enxurrada de ataques que utilizam o nome e a marca de grandes empresas, como Apple, Amazon, Netflix, Microsoft, Spotify, entre outras. Centenas de novos golpes são criados diariamente.
Uma das dicas mais importantes para se proteger contra ataques de engenharia social é cuidar bem dos seus dados e informações. Isto significa, inclusive, não compartilhar informações pessoais em sites suspeitos e cuidar com a sua presença nas redes sociais.
Outra dica valiosa é não interagir com e-mails, telefonemas ou mensagens suspeitas. Em caso de dúvidas, procure confirmar a informação de outra maneira. Manter os seus sistemas atualizados e usar softwares de proteção também evitam infecções.
No caso de empresas, dê uma olhada neste post: 4 dicas para proteger a sua empresa contra ataques de engenharia social.