PÓS-GRADUÇÃO CYBERSECURITY – CS20
Douglas Oliveira
Fábio Zaguetto
Juliano Santos
Luciano Freitas Ribeiro
Ynaiara Silva
Ricardo Hayama Reis
HACKEANDO PESSOAS ATRAVÉS DA ENGENHARIA SOCIAL
Artigo Científico apresentado como Trabalho de Conclusão de Curso de Pós-graduação em Cybersecurity, sob a orientação da Profa. Dra. Sandra R. da Luz Inácio.
São Paulo/SP
Fevereiro/2022
HACKEANDO PESSOAS
Persuadir e enganar pessoas é uma técnica utiliza na engenharia social para convencer as pessoas de que o engenheiro social é alguém que na verdade ele não é, para obter informações com ou sem o uso de tecnologia. O objetivo desse trabalho é apresentar as técnicas mais utilizadas na engenharia social, como exemplo, Phishing, Spear Phishing, Eavesdropping, Shouder Surfing, Dumpster Diving, Tailgating, Piggybacking. Além disso, apresentar os riscos que esses tipos de ataque podem causar às empresas e à sociedade de um modo geral.
A metodologia utilizada é a bibliográfica, descritiva, exploratória, de natureza pura, qualitativa e utilizada como exemplo de caso a empresa Sony Pictures Entertainment Inc. Os resultados foram que os ataques de engenharia social visam as vulnerabilidades comportamentais das pessoas, que é considerado o elo mais fraco da corrente. Por isso, esse tipo de ataque foi eficiente. Utilizando-se de uma técnica de phishing, o atacante enviou um e-mail para os funcionários da Sony, que permitiu que um malware fosse implantado na rede da empresa, com isso, os atacantes passaram a ter acesso remoto ao ambiente da Sony por um longo período sem serem detectados. Isso nos mostra que os sistemas de detecção e prevenção da empresa não foram eficazes para bloquear o ataque.
Palavras-Chave: Engenharia Social, persuasão, o caso Sony Pictures Entertainment Inc.
abstract
Persuading and deceiving people is a technique used in social engineering to convince people that the social engineer is someone he is not, in order to obtain information with or without the use of technology. The objective of this work is to present the most used techniques in social engineering, such as Phishing, Spear Phishing, Eavesdropping, Shouder Surfing, Dumpster Diving, Tailgating, Piggybacking. In addition, present the risks that these types of attacks can cause to companies and society in general.
The methodology used is bibliographical, descriptive, exploratory, of a pure, qualitative nature and used as an example of a case of Sony Pictures Entertainment Inc. The results were that social engineering attacks target people’s behavior vulnerabilities, which is considered the weakest link. Therefore, this kind of attack was efficient. Using a phishing technique, the attacker sent an email to Sony employees, who certainly clicked on a link in the content of the email that allowed malware to be deployed on the company’s network, thus, the attackers gained remote access to Sony’s environment for an extended period without being detected. This shows us that the company’s detection and prevention systems were not effective in blocking the attack.
Keywords: Social Engineering, persuasion, case Sony Pictures Entertainment Inc.
1. INTRODUÇÃO
A arte de enganar, influenciar, persuadir e manipular pessoas, é conhecida atualmente como engenharia social. Onde o engenheiro social convence as pessoas de que ele é alguém que, na verdade, ele não é. Como resultado, o engenheiro social pode aproveitar-se das pessoas para obter as informações com ou sem o uso da tecnologia.
O objetivo deste trabalho é identificar as técnicas mais utilizadas na engenharia social, e os riscos que esse tipo de ataque pode causar as empresas e a sociedade de um modo geral.
O problema de pesquisa tratado é: Quais são as técnicas mais utilizadas pelos engenheiros sociais?
A importância e justificativa deste artigo se dá pelas exigências de mercado que as empresas e a sociedade de um modo geral necessitam conscientizar-se dos riscos dos ataques de engenharia social, que fazem vítimas diariamente causando perdas financeiras na ordem de milhões de reais. Observamos que com o advento da pandemia de COVID-19 e com aumento do número de pessoas trabalhando de forma remota, os ataques de engenharia social cresceram de forma significativa visando as grandes corporações e a sociedade de um modo geral.
Para exemplificarmos, foi utilizado a empresa Sony Pictures Entertainment Inc., um caso de ataque de engenharia social através do uso da utilização de técnica de phishing que gerou um prejuízo na ordem de milhões de dólares.
2. REFERENCIAL TEÓRICO
Nesse capítulo iniciaremos falando sobre o que é Engenharia Social e sua evolução histórica. Trataremos das técnicas utilizadas pelos engenheiros sociais para conseguir enganar as suas vítimas.
2.1 ENGENHARIA SOCIAL
A engenharia social usa a influência e a persuasão para enganar as pessoas e convencê-las de que o engenheiro social é alguém que, na verdade, ele não é, ou pela manipulação. Como resultado, o engenheiro social pode aproveitar-se das pessoas para obter as informações com ou sem o uso da tecnologia. (MITNICK; SIMON, 2003, n.p).
Para Rosencrance e Bacon (2021) a engenharia social é um vetor de ataque que depende fortemente da interação humana e frequentemente envolve manipular as pessoas para quebrar os procedimentos normais de segurança e as melhores práticas para obter acesso a sistemas, redes ou locais físicos, ou para ganho financeiro.
Para EC-Council (2020), a engenharia social é a arte de manipular pessoas para divulgar informações confidenciais e usá-las para realizar alguma ação maliciosa. Apesar das políticas de segurança, os invasores podem comprometer as informações confidenciais de uma organização usando engenharia social, que visa a fraqueza das pessoas, por exemplo submissão às autoridades, intimidação, consenso ou prova social, escassez, urgência e confiança.
Na maioria das vezes, os funcionários nem mesmo estão cientes de uma falha de segurança de sua parte e, inadvertidamente, revelam as informações críticas da organização. Por exemplo, responder inadvertidamente as perguntas de estranhos ou responder a e-mails de spam.
Para Moreno (2015) a engenharia social não se limita apenas aos meios computacionais. Qualquer pessoa, mesmo sem o auxílio de um computador pode convencer outra pessoa a realizar determinadas atitudes para que o engenheiro social alcance o seu objetivo, pois a engenharia social se baseia no fator confiança.
“É uma mistura de ciência, psicologia e arte. E, embora seja incrível e complexo, também é muito simples” (SECURITY THROUGH EDUCATION, 2021, tradução nossa).
Segundo Hadnagy (2018) a engenharia social é qualquer ato que influencie uma pessoa a realizar uma ação que pode ou não ser do seu melhor interesse.
Conforme explica Weidman (2014) os usuários representam a vulnerabilidade que jamais pode ser corrigida. Mesmo implementando todos os controles de segurança, se um funcionário puder ser convencido a dar informações sensíveis da empresa, tudo terá sido em vão.
Ainda para a autor (2014), a engenharia social explora as vulnerabilidades humanas, por exemplo o desejo de ser prestativo, a falta de conscientização a respeito de políticas de segurança e assim por diante. Pois as pessoas querem ser prestativas e a menos que exista uma política de segurança em vigor, um funcionário do help desk poderá passar a senha pelo telefone, mesmo que a pessoa que ligo não seja quem diz ser.
Nunca ache que os ataques da engenharia social precisem ter mentiras elaboradas tão complexas que provavelmente serão reconhecidas antes de serem concluídas. Alguns são ataques diretos, rápidos e muito simples, os quais nada mais são do que simplesmente pedir as informações. (MITNICK, 2003, p. 30)
Para Mitnick (2003) existem duas especialidades dentro da classificação do cargo de artista da trapaça. Aquele que faz falcatruas e engana as pessoas para tirar o seu dinheiro recebe o nome de Grifter. Já alguém que usa a fraude, a influência e a persuasão contra as empresas em geral visando suas informações, é chamado de engenheiro social.
2.1.1 A ORIGEM DA ENGENHARIA SOCIAL
Para Mitnick Security (2021, tradução nossa) a engenharia social é um conceito que existe há milênios. Mas é aquele que evoluiu e se desenvolveu dramaticamente ao longo do tempo especialmente desde que a prática recebeu um nome formal e notoriedade digital nas últimas duas décadas.
Ainda para o autor (2021) os primeiros relatos de situações estratégicas semelhantes à engenharia social remetem à Guerra de Tróia em 1184 a.C.
Nesse período os troianos e gregos estavam em guerra e após um cerco de 10 anos, os gregos perceberam que precisavam ser astutos para derrotar os troianos, então eles construíram um cavalo de madeira gigante e esconderam parte de seu exército dentro dele e o restante partiu parecendo derrotado. Os troianos caíram no truque; arrastando a estátua de madeira para dentro de suas muralhas como um troféu de sua vitória, então após o pôr do sol, os soldados gregos saíram de dentro da estátua e destrancaram os portões ao redor de sua cidade para que o restante de suas forças armadas adentrasse os portões da fortaleza. Esse foi o primeiro exemplo registrado de engenharia social.
2.1.2 EVOLUÇÃO DA ENGENHARIA SOCIAL
Conforme a Mitnick Security (2021, tradução nossa), foi Kevin Mitnick quem ajudou a popularizar o conceito de engenharia social no mundo da segurança cibernética na década de 1990, quando foi considerado o cibercriminoso mais procurado do país. Em 1992, ele se tornou um foragido quando violou a liberdade condicional de crimes cibernéticos anteriores, monitorando as mensagens de voz das autoridades que o investigavam.
Para a Compugraf (2020), a engenharia social teve outros períodos históricos relevantes conforme elencado:
- No primeiro livro de gênesis, Adão e Eva foram os primeiros pecadores da humanidade ao comerem o fruto proibido, enganados pela figura da serpente que se aproveitando de uma fraqueza emocional de Eva, a inveja, a convenceu a provar do fruto da árvore do conhecimento.
- Ulysses na mitologia Grega que enganou os troianos com a falsa desistência da guerra deixando de presente uma grande estatua de um cavalo, utilizando a vaidade dos troianos contra eles.
- Nos anos 60 Frank William Abagnale, Jr., um grande impostor que aplicou diversos golpes, o mais conhecido foi se passar por membro da tripulação da Pan Am, na época a maior companhia aérea americana, tendo acesso a diversos voos gratuitamente, além de fraudar contracheques e documentos.
- Em 2010 a Netflix, durante a realização de um concurso cedeu voluntariamente os dados de mais de 480.000 (quatrocentos e oitenta mil) de assinantes.
2.2. TÉCNICAS MAIS UTILIZADAS PELOS ENGENHEIROS SOCIAIS
Conforme a EC-Council (2020), os atacantes utilizam suas habilidades sociais para induzir as vítimas a revelarem informações importantes como dados pessoais, dados financeiros, informações confidenciais sobre a sua organização ou sistemas de computador. Esses atacantes utilizam esses dados para promover ataques ou cometerem fraudes ou outras atividades criminosas.
Os ataques de engenharia social são categorizados em três categorias: baseadas em pessoas, baseadas em computador e baseadas em dispositivo móvel. (EC-COUNCIL, 2020, p.1208, tradução nossa)
Toda e qualquer técnica de persuasão e influência pode ser considerada engenharia social, independentemente de ser ligada à área de informática ou não. Por conta disso, a engenharia social pode ser classificada em dois tipos: baseadas em pessoas e baseadas em computador. (MORENO, 2015, p. 175)
2.2.1 Engenharia social baseada em pessoas
Para a EC-Council (2020, tradução nossa) a engenharia social baseada em pessoas envolve interação humana, onde o invasor age como se fosse uma pessoa legítima, geralmente se passando por alguém que a vítima confia.
Por exemplo, o invasor pode se passar por um funcionário de um banco e alegar que detectou uma compra suspeita no cartão da vítima para então pedir para que ela confirme alguns dados antes de continuar com o cancelamento da compra e o estorno do valor. Para ter mais credibilidade o invasor utiliza informações que um funcionário do banco teria acesso, essas informações podem ser coletadas de canais públicos como sites de rede social.
Ainda para o autor (2020, tradução nossa), os atacantes realizam os ataques de engenharia social utilizando as seguintes técnicas:
- Impersonation: O autor (2020) define impersonation ou roubo de identidade como sendo uma técnica comum de engenharia social baseada em pessoa, em que um atacante finge ser uma pessoa legítima ou autorizada. Os atacantes realizam os ataques de falsificação de identidade pessoalmente ou por telefone, ou utilizam um outro meio de comunicação para enganar seu alvo e induzi-lo a revelar informações. Geralmente o atacante finge ser uma pessoa legítima ou uma pessoa com autoridade, fazendo com que a vítima acredite e confie nele a ponto de passar informações confidenciais que de outro modo não seriam obtidas.
Ainda segundo o autor (2020), as técnicas mais comuns de impersonation usados pelo engenheiro social são:
- Se passar por um usuário legítimo – Um atacante pode se passar por um funcionário e, em seguida, recorrer a métodos escusos para obter acesso a dados privilegiados. Eles podem fornecer uma identidade falsa para obter informações confidenciais.
- Se passar por um usuário importante – Outro fator comportamental que ajuda um engenheiro social é o hábito das pessoas de não questionar a autoridade. Muitas vezes as pessoas se esforçam por aqueles que consideram ter autoridade.
- Se passar por uma agente de suporte técnico – Nessa técnica o atacante se passar por um agente de suporte técnico, especialmente quando a vítima não é proficiente em áreas técnicas. O atacante finge ser um fornecedor de hardware ou software ou um técnico de computador para enganar a vítima.
- Se passar por um funcionário interno, cliente ou fornecedor – O atacante geralmente se veste com roupas ou uniforme adequado ao contexto. Eles entram no prédio de uma organização fingindo ser um empreiteiro, cliente, pessoal de serviço gerais ou outra pessoa autorizada.
- Se passar por um funcionário da manutenção – Técnicos de informática, eletricistas e reparadores de telefones geralmente são pessoas que passam despercebidas e não levantam suspeitas. Os atacantes podem se passar por um técnico ou reparador e entrar na organização.
- Eavesdropping: Para a EC-Council (2020) Eavesdropping, na tradução livre escuta ou monitoramento, é a técnica onde o atacante ouve, monitora ou trava secretamente a conversa da vítima sem o seu conhecimento, seja por telefone ou em uma conversa presencial.
- Shouder Surfing: Conforme a EC-Council (2020) Shouder Surfing ou surfar no ombro é a técnica onde o atacante observa por de traz da vítima, enquanto ela digita informações em seu computador, laptop ou smartphone. O objetivo é conseguir obter informações confidenciais como senhas, códigos de acesso ou outras credenciais.
- Dumpster Diving: Ainda para o autor (2020) Dumpster Diving ou em tradução livre, mergulho em lixeira é o processo de recuperação de informações pessoais ou confidenciais de uma organização ou indivíduo por meio da busca em documentos ou materiais descartados no lixo físico ou eletrônico. Os invasores podem extrair dados confidenciais, como identificação de usuário, senhas ou códigos de acesso, diagramas de rede, informações bancárias, lista de salários, código-fonte de um software, previsões de vendas, listas de ramais telefônicos, números de cartão de crédito, calendários e organogramas em papel ou disco.
- Tailgating: O autor (2020) define essa técnica como a ação de pegar carona com uma pessoa autorizada para acessar instalações ou áreas seguras. O atacante segue de perto uma pessoa que tenha acesso a uma área restrita da empresa, se aproveitando do momento quando a pessoa autorizada abre a porta com seu cartão de acesso, o atacante se esgueira para dentro antes que a porta se feche.
- Piggybacking: O autor (2020) descreve essa técnica como sendo o ato de enganar a vítima para que ela libere o acesso do atacante a uma instalação ou área restrita. Geralmente o atacante solicita a uma pessoa autorizada a destrancar uma porta ou liberar o acesso em uma catraca, dizendo que esqueceu o crachá de identificação em casa.
- Baiting: Para a EC-Council (2020) Baiting tradução livre para Isca, nessa técnica o atacante se vale da curiosidade ou ganância da vítima. Geralmente o atacante executa essa técnica plantando um ou vários dispostos de armazenamento, como pen drives ou outras mídias, em locais estratégicos como em um estacionamento, elevadores ou banheiros. O conteúdo desses dispositivos geralmente contém um arquivo com no atrativo como “Lista de promoções para 2022”, “Planilha de salários 2022” ou “Planilha de pagamento de fornecedores”, para despertar a curiosidade da vítima em abrir esses arquivos que executa um malware que infectará o computador da vítima.
- Honey Trap: Para a EC-Council (2020) é a técnica onde o atacante cria um perfil falso em um site de relacionamento ou em um site de rede social fingindo ser uma pessoa atraente e inicia um relacionamento online falso com a vítima para obter informações confidenciais sobre a empresa alvo.
- Elicitation: Conforme definição da EC-Council (2020), elicitação é a técnica de extrair informações específicas da vítima envolvendo-a em uma conversa, onde o atacante utilizando-se de habilidades sociais, se aproveita da distração da vítima para extrair informações confidenciais sem que a vítima perceba que está revelando tais informações.
2.2.2. Técnicas de engenharia social baseadas no computador
Os atacantes executam engenharia social baseada em computador usando vários programas maliciosos, como vírus, trojans e spyware, e aplicativos de software como e-mail e mensagens instantâneas. (EC-Council, 2020, p.1220, tradução nossa)
Para a EC-Council (2020, tradução nossa) os atacantes utilizam engenharia social baseada em computador usando vários programas maliciosos, como vírus, trojans e spyware e envio de e-mails.
Os tipos mais comuns de ataques de engenharia social baseados em computador são:
- Pop-Ups: Segundo o autor (2020) o atacante utiliza uma técnica que exibe uma tela suspensa, conhecida como Pop-Up muitopopular em sites da web. Essa tela induz a vítima a clicar em um botão ou link que redirecionar a vítima para uma página falsa onde são solicitadas informações pessoas ou será iniciado o download de algum software malicioso como keyloggers, trojans ou spywares. Geralmente o atacante induz a vítima exibindo uma tela muito parecida como a do sistema operacional solicitando que o usuário clique no botão para restaurar alguma funcionalidade, ou pode exibir uma tela de autenticação de um site web solicitando que a vítima entre com o login e senha para revalidar a conexão com o serviço.
Os pop-ups enganam ou obrigam os usuários a clicar em um link que os redireciona para páginas falsas da Web que solicitam informações pessoais ou baixam programas maliciosos, como keyloggers, trojans ou spyware. (EC-Council, 2020, p.1220, tradução nossa)
- Hoax Letters: Conforme a EC-Council (2020) o invasor envia uma mensagem que alerta seus destinatários sobre uma ameaça inexistente de vírus no computador. Geralmente os hoaxes, nome dado aos indivíduos que executam esse tipo de ataque, não causam nenhum dano físico ou perda de informações, mas podem causar perda de produtividade e podem utilizar recursos valiosos de rede de uma organização.
Um hoax é uma mensagem que alerta seus destinatários sobre uma ameaça inexistente de vírus de computador. Ele conta com a engenharia social para expandir seu alcance. (EC-Council, 2020, p.1221, tradução nossa)
- Scareware: Para o autor (2020) os scareware são um tipo de malware que engana as vítimas fazendo com que elas visitem um site infestados com malware ou baixem ou comprem um software potencialmente malicioso.
Geralmente é visto em pop-ups que informam as vítimas que a sua máquina foi infectada por um malware. Esses pop-ups parecem convincentes como se estivessem vindo de uma fonte confiável, como uma empresa de antivírus. Além disso, esses anúncios sempre têm um senso de urgência e dizem que a vítima deve baixar rapidamente o software para se livrar do suposto vírus.
Scareware é um tipo de programa malicioso que engana os usuários de computador para que visitem sites infestados de malware ou baixem ou comprem software potencialmente malicioso. (EC-Council, 2020, p.1221, tradução nossa).
- Chain Letters: Conforme o autor (2020) Chain Letter uma é uma mensagem, conhecida como “corrente do bem” que oferece brindes, dinheiro, sorte ou prosperidade com a condição de que o a vítima encaminhe a mensagem para um número predeterminado de destinatários. As correntes contam com a engenharia social para se espalhar e geralmente utilizam esquemas de pirâmide para o enriquecimento rápido ou utiliza crenças e espiritualidade ou ameaças supersticiosas de má sorte para as vítimas que “quebrarem a corrente” e deixar de transmitir a mensagem.
Abordagens comuns usadas em correntes de cartas são histórias emocionalmente convincentes, esquemas de pirâmide de “enriquecimento rápido”, crenças espirituais e ameaças supersticiosas de má sorte para o destinatário se ele “quebrar a corrente” e não transmitir a mensagem ou simplesmente recusar para ler seu conteúdo. (EC-Council, 2020, p.1221, tradução nossa)
- Spam E-mail: Segundo o autor (2020, tradução nossa), Spam são mensagens de correio eletrônico irrelevantes, indesejadas e não solicitadas, projetadas para coletar informações pessoais, tais como dados financeiros, números de identidade e informações de rede. Os atacantes enviam mensagens de spam ao alvo para coletar informações confidenciais como dados bancários ou informações pessoais para uma vaga de emprego. Também podem ser enviados e-mail algum malware anexado se passando por um documento ou imagem, onde tentam ocultar a extensão do arquivo atribuindo ao anexo um nome de arquivo longo com sua extensão camuflada.
Spam são e-mails irrelevantes, indesejados e não solicitados, projetados para coletar informações financeiras, como números de previdência social e informações de rede. Os invasores enviam mensagens de spam ao alvo para coletar informações confidenciais, como dados bancários. (EC-Council, 2020, p.1221, tradução nossa)
- Phishing: Para Outmarketing Inbound (2018) o termo Phishing no idioma inglês significa pescaria, essa ameaça consiste em enviar e-mails falsos se passando por empresas ou pessoas confiáveis para o maior número de pessoas aleatórias. Semelhante à uma pescaria onde o pescador lança sua isca e espera que algum peixe morda o anzol, nessa técnica o atacante lança a “isca” e, frequentemente, as vítimas são “fisgadas”.
Phishing é uma técnica na qual um invasor envia um e-mail ou fornece um link falsamente alegando ser de um site legítimo para obter as informações pessoais ou da conta de um usuário. (EC-Council, 2020, p.1223, tradução nossa)
- Spear Phishing: Para Gatefy (2021), ao contrário phishing o spear phishing é altamente segmentado. Os cibercriminosos estudam e aprendem sobre as suas vítimas e utilizam técnicas de engenharia social para dar mais credibilidade às mensagens. Em vez de tentar se passar por empresas e marcas conhecidas, eles vão para um nível mais pessoal, tentando se passar por alguém que a vítima conhece. Eles geralmente se apresentam como o CEO da empresa, um colega de trabalho ou um parceiro de negócios.
- Smishing: Para AllEasy (2018) smishing é um tipo de phishing realizado por mensagens de texto enviadas para o celular conhecidas como SMS. Geralmente, essas mensagens solicitam para que a vítima clique em um link e preencha um formulário ou responda a mensagem. O texto varia de acordo com o golpe, mas, as vezes trata sobre uma necessidade de atualização de cadastro ou a oportunidade de resgatar um prêmio imperdível.
- Ativação de Macros: Para Geer (2017), os cibercriminosos estão usando a engenharia social para enganar os usuários das organizações e permitir a execução de macros que ativam a instalação de malwares no sistema. Macros são um recurso presente em documentos do Microsoft Office que podem executar um script contido dentro do documento. Um exemplo são as caixas de diálogo que apareceram em documentos do Microsoft
Word solicitando a permissão do usuário para que a macro seja executada; se o usuário aceitar que a macro seja ativada, um script contendo instruções irá fazer o download e a instalação de um malware que infectará o computador da vítima. - Sextorção: Ainda para Geer (2017), nesse tipo de técnica os cibercriminosos posam como amantes em potencial para atrair as vítimas para compartilhar vídeos e fotos comprometedoras e depois iniciar uma sucessão de chantagens contra a vítima. Esse ataque evoluiu e atinge funcionários de grandes empresas, que são chantageados a entregar informações confidenciais para os cibercriminosos.
3. MÉTODO DE PESQUISA
O artigo é um estudo de caráter qualitativo, e tem como metodologia uma pesquisa exploratória, descritiva de natureza pura do tema Engenharia Social, dentro do contexto socioeconômico brasileiro, através de um levantamento bibliográfico.
A pesquisa bibliográfica é um dos principais recursos utilizados para o desenvolvimento deste trabalho, que, de acordo com Lakatos e Marconi (1991), procura explicar um problema a partir de referências teóricas publicadas em documentos. Ainda, de acordo com estas autoras, a pesquisa bibliográfica busca conhecer e analisar as contribuições culturais ou científicas existentes sobre um determinado assunto, tema ou problema. Abrange toda a bibliografia já tornada pública em relação ao tema de estudo, desde publicações avulsas, boletins, jornais, revistas, livros, pesquisas, monografias, teses, material cartográfico e meios de comunicação como rádio, gravações em fita magnética e audiovisual (filmes e televisão).
Assim sendo, este trabalho baseou-se no levantamento das ideias defendidas por autores que escrevem sobre a engenharia social. É feita uma abordagem das principais técnicas de ataques da engenharia social, relacionando com casos emblemáticos ocorridos no Brasil e no mundo.
O artigo buscou problematizar a questão no contexto socioeconômico brasileiro, que tem em sua grande maioria, uma população vulnerável a esse tipo de ataque por falta de conhecimento sobre o assunto.
Assim, o artigo identifica as técnicas utilizadas pelos atacantes, de maneira a demonstrar uma das formas mais comuns de fraudes, a Engenharia Social, que afeta o componente mais frágil do sistema, o usuário.
Utilizou-se um relato de caso da empresa Sony Pictures Entertainment Inc. como demonstração de um caso prático de Engenharia Social.
4. RELATO DE CASO: SONY ENTERTAINMENT INC.
Sony Pictures Entertainment Inc. é uma empresa norte-americana de entretenimento com sede em Culver City, Califórnia, Estados Unidos também conhecida com o acrônimo SPE é um conglomerado de mídia e entretenimento com sede em Nova York e que pertence a multinacional japonesa Sony Corporation. Foi fundada em 1989, após a aquisição do estúdio de cinema tradicional Columbia Pictures da The Coca-Cola Company e renomeado para Sony Pictures Entertainment Inc. em 1991.
Segundo o jornal português Sapo, em sua coluna PPLWARE foi relatado pelo jornalista Hugo Cura no ano 2014 que a SPE sofreu uma invasão que foi iniciada através de técnicas de engenharia social, onde o criminoso roubou a senha de administrador do sistema através da técnica de phishing, onde foi enviado um malware por e-mail. Malware trata-se de um termo genérico para qualquer tipo de software malicioso projetado para se infiltrar no dispositivo do usuário sem o seu conhecimento.
Milhares de arquivos, incluindo acordos comerciais, documentos financeiros e informações de funcionários, foram roubados. A SPE foi alvo de ataques de phishing. Os funcionários foram atraídos por e-mails falsos da Apple.
Segundo a NBC no ano de 2014, o ataque foi iniciado dentro da Coreia do Norte, tendo sido disfarçado para parecer que foi originado em Taiwan.
Ao observar esse ataque hacker a SPE pode-se perceber que através de uma técnica de engenharia social de phishing, podemos concluir que o ser humano continua sendo o elo mais frágil quando o tema é segurança da informação, o que levou a SPE a uma exposição pública de 100 Terabytes de dados e vazamentos de informações extremamente sigilosas, como conteúdo de e-mails, filmes, roteiros, além do prejuízo financeiro de US$ 200 milhões e impacto na imagem e marca da empresa.
Um modelo robusto de segurança da informação com pessoas qualificadas e investimento devem estar presente nas empresas e principalmente nas reuniões da alta direção, mas além disso é importante que todos os funcionários sejam treinados constantemente no tema de segurança das informações, com foco na engenharia social, estimulando os colaboradores para se envolverem com o tema e sempre estarem alertas a qualquer tipo de técnica de engenharia social. Sabemos que nunca estaremos cem por cento seguros, mas as empresas e seus colaboradores juntos podem reduzir muito os riscos vindos das técnicas da engenharia social.
O elo mais fraco num sistema que queremos manter seguro é o ser humano, e os malwares podem ser instalados voluntariamente ou involuntariamente. Pode ser o caso de haver um colaborador mal-intencionado, um colaborador que não segue as regras internas da empresa, e colaboradores que são enganados através das técnicas de engenharia social.
A consciencialização da segurança digital é responsabilidade de todos e deve ser praticada todos os dias, por todos os colaboradores da empresa.
Esse ataque trouxe vários problemas a SPE, de acordo com analistas consultados pelo The Hollywood Reporter, a SPE teve um prejuízo de cerca de US$ 200 milhões de dólares em decorrência dos ataques que comprometeram toda a rede da empresa e causou inclusive uma crise internacional entre EUA e Coreia do Norte.
A SPE ficou muito fragilizada no mercado audiovisual de Hollywood, o que refletiu nas ações que a companhia negocia na bolsa. E apenas um dia (19/12/2014), a queda acumulada foi de 4,9% pontos. Além do prejuízo financeiro a empresa sofreu outros impactos:
- Divulgação de e-mails com informações confidenciais, que, não estão cifrados, permitiram divulgar contratos, comentários privados entre colaboradores sobre atores e atrizes e valores monetários pagos aos mesmos.
- Necessidade de alteração de todas as credenciais usadas e validação de segurança pelas equipas de TI. Considerando o tamanho da infraestrutura da SPE, este trabalho levou meses para ser concluído.
- Revogação imediata dos certificados divulgados, para evitar que os mesmos não possam ser usados em ataques futuros.
A falta de segurança da informação exigiu que internamente os colaboradores da SPE deixassem de usar e-mails, telefones e computadores, passando a usar sistemas mais antigos realizar seu trabalho, como por exemplo, quadros de giz, papel e caneta.
4.1 – Análise do relato de caso
O caso analisado nos mostra que mesmo empresas de grande porte como a SPE, podem ser vítimas de um ataque de engenharia social.
O ataque de engenharia social explora as vulnerabilidades comportamentais das pessoas que são consideradas o elo mais fraco da corrente.
As vulnerabilidades comportamentais podem ser:
- Autoridade – A autoridade implica o direito de exercer poder em uma organização. Os atacantes se aproveitam disso apresentando-se como uma pessoa de autoridade. Por exemplo, o atacante informa à vítima sobre um incidente de segurança na rede local de computadores e solicita que ela forneça as credenciais da sua conta para proteger seus dados contra roubo.
- Intimidação – A intimidação refere-se a uma tentativa de intimidar uma vítima a realizar várias ações usando táticas de bullying. Geralmente é realizado personificando outra pessoa e manipulando os usuários para divulgar informações confidenciais. Por exemplo, um atacante pode ligar para a recepcionista do executivo com esta solicitação: “O Sr. Paulo está prestes a fazer uma grande apresentação aos clientes, mas não consegue abrir seus arquivos; parece que estão corrompidos. Ele me disse para ligar e pedir que você me enviasse os arquivos imediatamente para que ele pudesse começar a apresentar.”
- Consenso ou Prova Social – O consenso ou prova social refere-se ao fato de que as pessoas geralmente estão dispostas a gostar de coisas ou fazer coisas que outras pessoas gostam ou fazem. Por exemplo, o atacante descobre que a vítima tem uma grande afinidade com cães e usa esse fato para se aproximar e iniciar uma conversa e tentar extrair informações pessoais.
- Escassez – A escassez implica o estado de ser escasso. No contexto da engenharia social, a escassez muitas vezes implica criar um sentimento de urgência em um processo de tomada de decisão. Por exemplo, quando a Apple lança um novo produto iPhone que se esgota e fica sem estoque, os atacantes podem tirar proveito dessa situação enviando um e-mail de phishing para os usuários-alvo, incentivando-os a clicar em um link fornecido no e-mail para comprar o produto. Se os usuários clicarem neste link, eles serão redirecionados para algum site malicioso controlado pelo atacante.
- Urgência – A urgência implica encorajar as pessoas a tomarem medidas imediatas. Os atacantes podem tirar proveito disso enganando as vítimas para que executem tarefas não intencionais. Por exemplo, o ransomware geralmente usa o princípio da urgência, que faz com que a vítima tome medidas urgentes dentro de um limite de tempo. As vítimas veem o cronômetro de contagem regressiva informando que o prazo para o pagamento do resgate está se encerrando e que todos os dados serão perdidos caso o resgate não seja pago
- Familiaridade ou Gosto – A familiaridade ou gosto implica que as pessoas são mais propensas a serem persuadidas a fazer algo quando são solicitadas por pessoas com quem tem afinidade. Por exemplo, as pessoas são mais propensas a permitir que alguém olhe por cima do ombro se gostarem dessa pessoa ou se estiverem familiarizados com ela. Em alguns casos, os engenheiros sociais usam um sorriso encantador e uma conversa doce para enganar a outra pessoa a gostar deles.
Utilizando-se de uma técnica de phishing, o atacante enviou um e-mail para os funcionários da SPE, que ao clicar num link no conteúdo do e-mail que permitiu que um malware fosse implantado na rede da empresa, com isso, os atacantes passaram a ter acesso remoto ao ambiente da SPE por um longo período sem serem detectados. Independente de possuir um sistema de detecção e prevenção de intrusão, as defesas da empresa não foram eficazes para impedir o ataque.
Esse tipo de ataque segue um padrão de execução, onde o atacante utiliza alguns passos na execução do seu ataque.
A metodologia Cyber Kill Chain descreve sete fases para um ataque. Não necessariamente todos os ataques terão que passar pelas sete fases.
Figura 1 – The 7 steps of Cyber Kill Chain

Fonte: ondeso (2022)
- Reconhecimento – Pesquisa sobre o alvo, incluindo a identificação e escolha de quais serão os alvos. Por exemplo: busca em sites web e redes sociais, busca em listas de e-mail, investigação sobre quais são as tecnologias utilizadas e fornecedores da empresa, dumpster diving, etc;
- Preparação das armas (Weaponization) – Escolher as ferramentas que vão permitir o ataque, exemplo criar um malware que irá infectar o computador da vítima.
- Entrega – Execução do ataque, que pode ser feito através de um envio de um de um e-mail (phishing ou spear phishing) com o artefato malicioso, ou realizando um ataque contra a infraestrutura do alvo, exemplo deixando um pen drive malicioso no escritório da vítima;
- Exploração – Após enviar o malware, a exploração acontece quando o código malicioso é acionado ou é executado pelo usuário;
- Instalação – Uma vez explorado a vulnerabilidade, o malware instala algum mecanismo que garanta a persistência, como um Trojan de acesso remoto ou um backdoor que permite ao atacante se conectar quando quiser;
- Comando e Controle – Estabelece a comunicação entre o atacante e o ambiente atacado. Normalmente um malware vai entrar em contato com sua central de controle, a partir da qual o atacante passa a enviar os comandos quer serão executados pelo ambiente invadido;
- Objetivos Pretendidos (Actions on Objectives) – Uma vez dentro do sistema invadido, o atacante começa a executar as ações desejadas, como movimentar-se lateralmente para outros computadores da rede local em busca de informações valiosas e extraí-las.
O ataque à SPE seguiu por algumas das fases descritas no Cyber Kill Chain.
Seguindo o fluxo das fases, os atacantes fizeram o reconhecimento dos e-mails dos colaboradores da empresa; prepararam o malware adequado para o ataque em seguida, dispararam uma campanha de phishing para os funcionários da SPE que acessaram o malware; uma vez que o malware foi executado nos computadores dos funcionários da SPE, o malware instalou um backdoor que permitiu aos atacantes acessarem a rede da SPE remotamente. Os atacantes conseguiram ficar desapercebidos por um longo período, o que permitiu a eles explorar outros computadores da rede da empresa e extrair diversos arquivos e informações valiosas.
As empresas podem reduzir os riscos de ataques, como no caso SPE, implementando programas de conscientização sobre as ameaças da engenharia social para todos seus colaboradores internos e externos, parceiros e fornecedores, alertando-os sobre as técnicas utilizadas pelos atacantes na engenharia social. Por exemplo as campanhas conscientização sobre o phishing, por exemplo, a empresa envia um e-mail para os seus colaboradores, com um conteúdo falso, porém muito atrativo, onde o objetivo é avaliar a quantidade de colaboradores que inadvertidamente clicaram no link.
Esse exercício demonstra a maturidade dos colaboradores em relação as melhores práticas de segurança da informação e qual o nível de conscientização sobre ataques de engenharia social os colaboradores possuem.
Além disso, as empresas precisam avaliar sua estratégia em segurança da informação. É comum que as empresas invistam grande parte do seu orçamento em segurança da informação na proteção de perímetro de suas redes, em detrimento a proteção da sua rede interna, pois, geralmente acreditam que o ataque virá da rede pública (Internet). Isso é um engando muito comum, pois deixam de observar que a segurança da informação deve ser planejada em defesa em camadas, onde as camadas mais internas precisam ser observadas tanto quando as camadas mais externas.
Porque, uma vez que o atacante ganhe o acesso na rede interna, se valendo de um ataque de engenharia social onde o vetor de ataque foi o comprometimento do computador de um colaborador; o atacante pode iniciar a exploração das vulnerabilidades dos sistemas internos, realizando ataques de escalação de privilégio e movimentação lateral, busca ganha o acesso a outros computadores na rede interna.
Para reduzir o risco desse tipo de ataque é necessário que a empresa implemente uma estratégia de defesa em profundidade para proteger os ativos e dados da empresa; A defesa em profundidade é dividida em sete camadas: segurança física, identidade e acesso, perímetro ou borda, rede, computadores, aplicações e dados.
Para a camada de rede e computador a empresa devem instalar ferramentas para detecção e bloqueio de atividades maliciosas e prejudicais aos sistemas corporativos como exemplo, a instalação de sistemas de detecção de intrusão (IDS), sistemas de prevenção a intrusão (IPS), firewall de borda e de host nos computadores dos colaboradores, zona desmilitarizadas (DMZ), controle de acesso com rede virtual privada (VPN), e aplicativos de antivírus.
Essas recomendações devem ser aplicadas em conjunto com outras proteções de segurança conforme as necessidades da empresa.
5. CONSIDERAÇÕES FINAIS
Em decorrência das pesquisas realizadas através deste trabalho, desenvolvemos uma série de sugestões, expostas a seguir, a respeito de como se prevenir dos ataques de engenharia social:
- Conscientizar o leitor sobre o perigo dos ataques de engenharia social, apresentando as técnicas mais utilizadas pelos atacantes e as suas consequências para as vítimas.
- É vital para as organizações criarem programas de conscientização em segurança da informação para seus colaboradores, clientes e parceiros, para alertá-los dos riscos dos ataques de engenharia social.
- As empresas precisam desenvolver políticas de segurança da informação que permitam a implementação de proteções técnicas e administrativas, além de uma estratégia de defesa em profundidade para evitar que atacantes explorem falhas sistêmicas ou falhas humanas.
É necessário entender que a engenharia social é o tipo de ataque que explora as vulnerabilidades humanas e não sistémicas. Por esse motivo é desafiador para os profissionais de segurança da informação implementarem estratégias para proteger suas organizações, uma vez que não importa o quanto invistam em sistemas modernos de proteção, sempre existirá um elo fraco que abre uma brecha para o atacante, este elo é o ser humano.
Ao pesquisar a evolução do que hoje chamamos de engenharia social, identificamos que as técnicas utilizadas a 30 anos atrás ainda são plenamente aplicadas nos dias de hoje. Isso mostra que apesar de todo o avanço tecnológico que aconteceu nas últimas décadas, poucos evoluímos na conscientização das pessoas em se protegerem dessa espécie de ataque que é a engenharia social.
O objetivo inicial deste trabalho que foi: identificar as técnicas mais utilizadas na engenharia social, e os riscos que esse tipo de ataque pode causar as empresas e a sociedade de um modo geralfoi alcançado porque, as técnicas foram apresentadas e discutidas, possibilitando assim que as pessoas possam tomar ciência dos riscos da engenharia social e das suas consequências como a exposição de dados pessoas, perdas financeiras, impacto na imagem e marca das empresas.
O problema de pesquisa tratado: Quais as técnicas mais utilizadas pelos engenheiros sociais? Foi respondido, pois as técnicas mais utilizadas foram apresentadas através do referencial teórico, onde essas técnicas de engenharia social foram abordadas em detalhes e analisadas no estudo de caso da SPE.
Espera-se que este trabalho possa ajudar a conscientizar o leitor sobre os riscos e prejuízos que os ataques de engenharia social representam para a vida das pessoas e para os ambientes corporativos.
6. REFERÊNCIAS
ALLEASY. O que é Phishing, Smishing e Vishing? Conheça as diferenças!. Disponível em: https://www.alleasy.com.br/2018/03/14/o-que-e-phishing/. Acessado em: 23/12/2021.
COMPUGRAF. Qual a origem da Engenharia Social?. Disponível em: https://www.compugraf.com.br/origem-da-engenharia-social/. Acessado em: 23/12/2021.
EC-COUNCIL. Certified Ethical Hacker (CEH) Version 11. Novo Mexico: Ed. EC-Council, 2020.
GATEFY. Qual é a diferença entre phishing e spear phishing?. Disponível em: https://gatefy.com/pt-br/blog/qual-e-diferenca-entre-phishing-e-spear-phishing/. Acessado em: 23/12/2021.
GEER, David. Conheça seis das técnicas de engenharia social muito eficazes. Disponível em: https://itforum.com.br/noticias/conheca-seis-das-tecnicas-de-engenharia-social-muito-eficazes/. Acessado em: 23/12/2021.
HADNAGY, Christopher. Engenharia Social: The Science of Human Hacking. 2ª ed. Hoboken, NJ: Wiley Publishing, 2018.
MITNICK, Kevin. The History of Social Engineering. MitnickSecurity. Disponível em: https://www.mitnicksecurity.com/the-history-of-social-engineering. Acessado em: 23/12/2021.
MITNICK, Kevin; SIMON, William L. A Arte de Enganar. São Paulo, SP: Ed. Person Education do Brasil Ltda, 2003.
MORENO, Daniel. Introdução ao Pentest. 1ª Edição. São Paulo, SP: Ed. Novatec, 2015.
PPLWARE. Ataque à Sony Pictures Entertainment: Toda a História. Disponível em: https://pplware.sapo.pt/informacao/ataque-a-sony-pictures-entertainment-toda-a-historia/. Acessado em: 20/12/2021.
ROSENCRANCE, Linda; BACON, Medalyn. Engenharia social. Disponível em: https://www.techtarget.com/searchsecurity/definition/social-engineering. Acessado em 23/12/2021.
SECURITY THROUGH EDUCATION, What is Social Engineering? Disponível em: https://www.social-engineer.org. Acesso em 23/12/2021.
WEIDMAN, Georgia. Teste de Invasão Uma introdução prática ao hacking. 1ª Edição. São Paulo, SP: Ed. Novatec, 2014.