fbpx

O impacto e as técnicas da engenharia social na segurança digital

Um dos maiores desafios do digital é conciliar comodidade com segurança. Sistemas seguros tendem a ser mais complexos e o contrário também vale, ou seja, aplicações simples e fáceis podem sofrer mais com a falta de segurança. Embora difícil, a indústria tem obtido êxito nessa busca incessante pelo ponto de equilíbrio. Só que isso depende, também, de nós: de estarmos atentos a essas inovações e fazer uso delas.

Você se protege no universo digital? Está atento às técnicas de engenharia social, que escapam à tecnologia e exploram o nosso lado humano? Tem consciência de que eventuais descuidos com a segurança podem impactar terceiros, de gente próxima a você a desconhecidos do outro lado do planeta?

Se disse “não” a qualquer dessas perguntas, prepare-se para descobrir um lado pouco comentado, mas cada vez mais relevante na segurança digital.

Uma vida (digital) arruinada

Em 2012, Mat Honan, na época editor da revista de tecnologia norte-americana Wired, teve a sua vida digital destruída.

Alguém fascinado com o seu nome de usuário no Twitter, @mat, decidiu tomar o controle dela. Utilizou-se de engenharia social para conseguir, através do suporte da Amazon, alguns dados-chave para ganhar acesso às contas online de Honan. Como todas elas estavam, de alguma forma, ligadas, bastou essa brecha para que tudo fosse acessado.

No relato que escreveu após os eventos, Honan lamentou-se:

“Esses lapsos de segurança são culpa minha e eu me arrependo deles profundamente.”

Os lapsos de segurança a que ele se refere são dois: não ter ativado a autenticação em dois passos da sua conta Google (Gmail), o atalho para as outras contas, e não ter um backup.

Com acesso ao e-mail, alguém consegue redefinir as senhas de outras contas que usem esse e-mail como autenticador. A autenticação em dois passos mitiga esse risco porque passa a exigir outra senha além da que você sabe. É uma temporária e funciona com base em algo que você tem, geralmente um celular. Ao acessar o serviço de um dispositivo novo, após inserir a senha (que você sabe), o serviço pede essa outra senha (de algo que você tem) para liberar o acesso. É como precisar de um token de banco para acessar o Facebook.

credit card phishing attack / credit card data theft concept

Já o backup é básico, é o “plano B” para o caso de dar tudo errado. Honan conta que perdeu documentos, e-mails e fotos, incluindo todas as da sua filha pequena, salvas em seus computadores e sem qualquer tipo de backup. A pessoa que invadiu suas contas teve acesso, também, à sua conta Apple e, remotamente, apagou completamente o computador e o smartphone dele. Trata-se de um recurso de segurança, a ser usado quando se tem o dispositivo furtado, roubado ou perdido, nesse caso usado de forma destrutiva.

A história de Mat Honan tem um elemento extra, imprescindível, e que serve de alerta. O vetor que a desencadeou não foi uma senha fraca ou uma falha de software, mas um atendente da Amazon que foi contatado por alguém mal-intencionado e passou alguns dados básicos que permitiram explorar outras falhas simples do tipo no Google.

É a famosa engenharia social. Estamos totalmente alheios, por isso os “lapsos de segurança” são tão importantes. Eles atenuam problemas que decorram de forças que estão além do nosso controle.

Desafio-te a me hackear

Kevin Roose, jornalista do Fusion, foi incumbido de cobrir a Defcon, maior encontro de hackers do planeta, em Las Vegas. Ele desafiou alguns atendentes do evento a hackearem a sua vida.

Roose pediu a Dan Tentler, fundador e pesquisador de segurança do Phobos Group, que tentasse hackeá-lo. Quando os dois se encontraram na Defcon, Tentler disse a Roose:

“Eu sou você [na Internet]. (…) Eu poderia deixá-lo sem um teto e sem um centavo no bolso.”

E poderia mesmo. Tentler desenvolveu um script e enviou uma isca para que Roose o instalasse em seu computador. Era um e-mail, bastante convincente, de um sistema de blogs que ele de fato usava. Roose, jornalista que cobre tecnologia, já lidou com diversas tentativas do tipo, conhecidas como “phishing scam”. Nunca havia caído em nenhuma. Mas essa era tão convincente que ele clicou e, sem saber, abriu as portas da sua vida para um completo estranho. Engenharia social em um novo nível.

Flat 3d isometric data protection infographic concept vector

Com esse script rodando, Tentler teve acesso a todas as credenciais de todos os serviços online de Roose. Ele sabia tudo sobre a vida profissional, as informações financeiras, as fotos, documentos, e-mails… tudo. Um outro script tirava fotos a partir da webcam de Roose a cada dois minutos. Fosse uma situação real e Tentler, alguém mal intencionado, ele poderia arruinar a vida de Kevin Roose de maneira irreversível.

Este caso mostra outro vetor, mais convencional, mas ainda baseado em engenharia social. Roose também foi “vítima” da engenheira Jessica Clark, outra pesquisadora contratada para hackeá-lo. Em vez de um script, ela usou o bom e velho telefone para se passar por esposa de Roose e, assim, conseguir acesso irrestrito à sua conta de telefone. A fim de tornar o golpe mais convincente, Jessica abre o vídeo de um bebê chorando no YouTube, simulando um cenário estressante e levando a atendente a querer se livrar o mais rápido possível da chamada.

É como o conto do bilhete e outros golpes velhos que abusam da boa-fé (ou ingenuidade) de um terceiro, mas com consequências potencialmente mais destrutivas.

Responsabilidade compartilhada

As orientações clássicas de segurança digital não ganharam esse status à toa. É preciso ter atenção sempre, desconfiar de tudo e ter camadas de defesa para o caso de uma falhar.

Online Backup Cloud Storage Data Concept

Não usar senhas fracas, não repeti-las em dois ou mais serviços, não se expor muito na Internet, ativar a autenticação em dois passos onde for possível formam um bom ponto de partida. Backup é o básico e de preferência, tenha um backup redundante, ou seja, em dois ou mais lugares, fisicamente distintos (por exemplo, um na nuvem e outro em casa, num HD externo).

Quem oferece apps e serviços também pode contribuir. Parte desse arsenal a que o usuário pode recorrer depende da disponibilidade dos serviços que ele usa. Boas práticas de segurança e o uso de técnicas nem sempre baratas ou simples, mas altamente eficientes, como a criptografia de ponta-a-ponta que alguns apps de comunicação (Signal, WhatsApp) usam, demonstram respeito e interesse na segurança dos dados dos clientes.

Tudo isso contribui para diminuir os estragos que um elo fraco, passível de ser hackeado por engenharia social, pode causar. Às vezes esse elo fraco somos nós mesmos. Medidas preventivas de segurança são, também, medidas contra o nosso eu futuro que, a exemplo de Mat Honan, podem ter um “lapso de segurança” que custe muito caro.

Independentemente do seu app lidar com dados sensíveis, mas especialmente se sim, atente-se a isso. Nós, da One Day Testing, auxiliamos você também nesse sentido, detectando problemas de interface, usabilidade e a ausência de boas práticas que podem, de alguma forma, interferir na segurança dos usuários.