Conheça as ferramentas de OSINT utilizadas pelos hackers para fazer Engenharia Social
Você sabe o que é a Open Source Intelligence? A técnica da Inteligência de Fontes Abertas, em bom português, é usada pelos criminosos virtuais para encontrar vulnerabilidades humanas e fazer ataques cibernéticos através da Engenharia Social.
Ao contrário do que pode parecer, entender essa tática não é complicado, e tem tudo a ver com a cultura de segurança cibernética da sua empresa. Ou seja, é importante que todos os colaboradores de sua empresa recebam os treinamentos de Conscientização em Segurança da Informação e os times técnicos recebam treinamentos que permitam identificar esses tipos de ataques, especialmente aqueles que utilizam ferramentas de OSINT mais tecnológicas e sofisticadas.
Mas, antes de conhecer essas ferramentas, é importante entender o conceito de Engenharia Social e como ela pode ser usada para causar danos à sua empresa.
Entendendo a Engenharia Social
Primeiramente, é importante entender que a Engenharia Social, em si, não é uma coisa ruim. Basicamente ela é a forma como nossas interações sociais são conduzidas no dia a dia. Então, cada vez que você procura informações sobre uma pessoa ou um grupo na Internet, pensando em criar afinidades e/ou ser aceito no círculo, está praticando Engenharia Social.
O problema ocorre quando ela é utilizada para prejudicar empresas ou pessoas, aplicando golpes que visam roubar dados valiosos ou trazer prejuízos financeiros ou reputacionais. Estes tipos de hackers são chamados de engenheiros sociais e usam essas informações para criar truques que enganam o usuário para que ele revele informações confidenciais.
A psicologia por trás dessa ação criminosa
Como os engenheiros sociais conseguem isso? Bem, antes de mais nada é preciso pensar nas vulnerabilidades de software, um assunto bastante em evidência para quem se preocupa com cibersegurança.
Podemos dizer que as vulnerabilidades são os pontos fracos dos softwares, seja por falta de atualização, erros do sistema ou ainda falhas no projeto, na implantação ou na configuração dos programas.
Assim, a vulnerabilidade de software é uma condição que pode resultar em falha na segurança se for explorada em um ataque cibernético.
Mas existem também os erros humanos. Afinal, nós também temos nossas vulnerabilidades: são as emoções, a falta de conhecimento, de importância ao assunto, de atenção ou de treinamento.
Os hackers, então, usam a psicologia para explorar emoções, como o medo e a curiosidade, para manipular suas vítimas para que divulguem senhas e outros dados.
E nenhuma informação é desprezada. Quanto mais forem coletadas, mais subsídios os criminosos terão para criar armadilhas inteligentes e criativas.
Como a Internet e as redes sociais facilitam muito a coleta de dados, os engenheiros sociais têm um vasto material com o que trabalhar. Também estão sempre se reinventando e criando novas formas de usar a psicologia para conseguir seus objetivos.
Conheça alguns casos recentes
Em 2020 uma juíza de um famoso programa de TV perdeu quase US$400 mil (o equivalente a quase R$2 milhões) em um golpe de phishing e engenharia social.
Um cibercriminoso se passou por uma de suas assistentes e enviou um e-mail, similar ao legítimo, para o contador solicitando o pagamento de uma renovação relacionada a investimentos em imóveis.
A fraude só foi descoberta porque, desconfiado, o contador enviou um e-mail para o endereço correto da assistente, perguntando sobre a transação.
Um ano antes, um grupo de atacantes persuadiu um executivo do departamento financeiro da Toyota Boshoku Corporation, no Japão, a alterar as informações da conta bancária em uma transferência eletrônica de fundos. A quantia perdida chegou a US$37 milhões (cerca de R$183 milhões).
Por isso, é muito importante ter uma equipe treinada e constantemente atualizada para reconhecer e evitar as ferramentas OSINT usadas pelos hackers para fazer Engenharia Social, mantendo suas informações sigilosas e sua empresa muito mais segura.
Principais tipos de ataque
Mas vale lembrar que a Inteligência de Fontes Abertas, ou OSINT, não se refere apenas à coleta de informações pela Internet. Além do mundo virtual, os criminosos também se valem do mundo físico das formas mais variadas possíveis. Por isso, para reconhecer esses ataques, é preciso treinamento.
Baiting
O Baiting usa a curiosidade para “pescar” vítimas. Nesse caso, que também é conhecido como “isca”, o bandido deixa um dispositivo qualquer “esquecido” em um local público. Quando alguém acha e abre para ver o conteúdo, o malware invade o computador e pode até “sequestrar” o sistema, exigindo um resgate para devolver a posse para o legítimo dono.
Pretextos
Aqui, a psicologia procura usar a empatia da vítima para uma história que geralmente é triste. A ideia é despertar o sentimento de ajuda a alguém que precisa: doações para um tratamento caro, dinheiro para retornar ao país porque foi assaltado no exterior, ajuda para enterrar um familiar, etc. E não é incomum as histórias surgirem acompanhadas por outros métodos que a reforcem, como chamadas telefônicas, imagens, comprovantes, etc.
Quid Pro Quo
Nesse caso, a ideia de “tomar uma coisa por outra” é baseada no sentimento de vantagem. O usuário é levado a crer que receberá algum tipo de recompensa após o preenchimento de um formulário suas informações pessoais. A oferta pode incluir prêmios, viagens, kits, etc. Os dados fornecidos são então usados para o roubo de identidade.
Vishing
É o método que mais envolve interações humanas. O funcionário recebe uma ligação de alguém que finge ser alguém confiável: funcionário do seu banco, de um parceiro da empresa, etc. E começa a obter informações da vítima durante a conversa.
Em outra ligação subsequente, ele faz uma série de perguntas para verificar a sua identidade ou finge ser um colega de trabalho pedindo a sua senha.
Nesse caso, a Engenharia Social pode ser executada em um único ataque, conhecido como hunting (caça) ou em ataques sucessivos, que é o farming (cultivo).
Ferramentas de OSINT na Engenharia Social
Mas como será que os engenheiros sociais coletam informações para manipular os usuários? É aí que entram as ferramentas OSINT, que precisam ser conhecidas e identificadas dentro de uma cultura de segurança cibernética.
Veja como funciona a estratégia de Engenha Social:
Reconhecimento dos alvos
Este é o primeiro passo da estratégia dos engenheiros sociais: reconhecer quais são os principais alvos. Há duas formas básicas de fazer isso.
Redes Sociais
O uso das redes sociais é uma das principais ferramentas de OSINT, porque elas aumentam a exposição de dados pessoais na Internet.
O reconhecimento dos alvos pode ser feito através do perfil de cada empresa, funcionário ou pessoa particular. São analisadas as horas de maior interação, o tipo de assunto curtido, comentários, etc.
Depois de traçar o perfil detalhado da vítima, o hacker pode criar um perfil falso, de uma pessoa ou empresa, de forma a envolver aquele usuário com assuntos que despertam sua empatia, necessidade, desejo, etc, e manipulando-o até conseguir seu objetivo.
Motores de busca avançados
É o chamado Google Dorking ou Dorks do Google: uma técnica de hacking que usa comandos de pesquisa específicos (como parâmetros especiais e operadores de pesquisa) para revelar dados ocultos de sites. Geralmente são informações que empresas, donos de sites e organizações em geral não querem que o público veja.
O uso de aspas na pesquisa, por exemplo, revela resultados que incluem páginas Web em que a frase completa é usada, e não apenas algumas combinações das palavras digitadas no campo de pesquisa.
Assim, o dorking do Google é usado para encontrar informações ocultas que normalmente são inacessíveis em uma pesquisa normal. Entre elas podem estar dados confidenciais e até determinadas falhas e vulnerabilidades em sites.
Coleta e análise de dados
Também há duas formas básicas de coletar e analisar os dados com a ferramentas de OSINT:
Footprinting e fingerprinting
Ambos são técnicas de rastreamento. O Footprinting (pegada, em inglês), é como seguir as pegadas do usuário para descobrir sistemas, IP, servidores e domínios, etc.
Assim, o hacker passa um bom tempo seguindo pequenas pistas e traçando o perfil da organização, coletando dados sobre funcionários, hosts, parceiros, fornecedores, a rede, hosts, etc.
E também pode rastrear Skype, aplicativos, registros de e-mail e muitas outras informações que vão traçar o perfil do dia a dia de um alvo.
Já o Fingerprinting é um tipo de rastreamento bem mais invasivo do que o comum, baseado em cookies. É possível criar uma identidade digital única com base no hardware do seu computador, programas e extensões instalados e até configurações de monitor e de fontes e o navegador escolhido.
Busca de informações publicamente disponíveis
Os hackers usam tudo o que pode ser acessado para obter informações sigilosas: bancos de dados públicos, registros de empresas, informações de WHOIS (armazenamento sobre proprietários ou registrantes de um domínio) e quaisquer outras fontes disponíveis.
Spear phishing e phishing
Apesar de parecidos, há diferenças:
Spear phishing
É direcionado a um funcionário da empresa alvo. O cracker coleta informações pessoais e interesses com base em suas pesquisas na Internet e perfis de mídias sociais. Depois passa a enviar e-mails que parecerão relevantes para que ele se convença a clicar em um link malicioso ou a fazer o download de um arquivo malicioso. Assim, o malware é instalado no computador ligado à rede da empresa, o que o ajudará a se propagar facilmente a outros computadores da rede.
Phishing
Antigo, mas eficiente, o phishing geralmente são e-mails que tentam provocar a sensação de urgência no usuário. Os assuntos podem ser relacionados à conta bancária, descontos com altos valores, uma autoridade pedindo nome de usuário e senha para que ele possa acessar um sistema ou descontos excelentes e muito limitados. A ideia é fazer com que você clique em um link ou baixe um arquivo malicioso.
Estratégias de defesa
Da mesma forma que os hackers buscam novas formas de ataques, a segurança também está continuamente desenvolvendo estratégias e ferramentas contra a OSINT e a Engenharia Social. Veja o que fazer para proteger sua empresa:
Conscientização e treinamento
Uma das principais armas contra os hackers são os treinamentos de conscientização sobre Engenharia Social. Assim, todas as equipes entendem os riscos e ficam aptas a desenvolver as melhores práticas de segurança. A formação de uma cultura da segurança cibernética é essencial para a proteção dos dados.
Políticas de segurança
É fundamental implementar políticas de segurança robustas que abordem a Engenharia Social e promovam a proteção dos dados sensíveis. As soluções podem ser personalizadas de acordo com as necessidades específicas de cada empresa e as equipes devem receber treinamento e atualizações constantes.
Monitoramento e detecção
Além disso, uma parte importante da estratégia é o monitoramento do tráfego de rede para que qualquer atividade suspeita e tentativas de phishing sejam detectadas e contra atacadas de forma eficiente, criando uma barreira contra hackers.
Tenha na CECyber sua melhor proteção
Ao entender as ferramentas de OSINT utilizadas pelos hackers na Engenharia Social, empresas e indivíduos podem tomar medidas proativas para fortalecer suas defesas. A conscientização, o treinamento, a implementação de políticas de segurança e a utilização de soluções eficientes evitam prejuízos em todos os níveis da sua corporação.
Na CECyber você encontra os melhores cursos para capacitar sua equipe em uma plataforma com as ferramentas mais modernas no combate aos cibercriminosos. Venha conhecer e mantenha seu negócio protegido!
Comments are closed.