© Alexandre Boero para The-HiTech.net
A engenharia social, trazida à tona com um hack maciço do Twitter, é definida como "a arte de usar engano e mentiras para atingir seus objetivos" por Kevin Mitnick em 2006, usa brechas humanas para atingir seus objetivos. roubo de dados ou golpes. Os computadores são o teatro perfeito para essa prática.
Por algumas horas na quarta-feira, 15 de julho, o Twitter teve que enfrentar uma crise como nunca experimentou. A rede social Little Blue Bird viu 45 de suas contas mais populares serem hackeadas, o que acabou levando a um golpe do Bitcoin. Os indivíduos que realizaram esse ataque tinham mais que ser criativos e pacientes do que chefes do crime cibernético.
Graças à engenharia social, ou engenharia social, e uma boa dose de spear phishing (uma variante do phishing que usa engenharia social), eles conseguiram obter as credenciais de vários funcionários ou subcontratados da plataforma, que permitiu-lhes, então, assumir o controle das autorizações a que outros funcionários tinham acesso, depois tomar posse das contas do Twitter de personalidades famosas e, portanto, arrecadar cerca de 120.000 dólares (mas não isso, vamos voltar a isso) graças a o golpe do Bitcoin.
Engenharia social, por trás do incidente que atingiu o Twitter
Trata-se, portanto, de engenharia social, uma espécie de manipulação psicológica destinada a obter informações, que oferecia a possibilidade a indivíduos mal-intencionados de reprimir e realizar o roubo do século nas redes sociais, no sentido simbólico do termo, ainda que ainda não conhece o alcance futuro das ações realizadas.
Mas o que é engenharia social? Podemos assimilá-lo ao hacking e, em caso afirmativo, a quais formas de hackear? Onde este fenômeno se origina? O que exatamente sabemos hoje sobre o incidente que atingiu o Twitter e seus usuários? E acima de tudo, como se proteger disso? São questões para as quais procuramos responder com, em particular, a expertise de Fred Raynal, chefe e fundador da Quarkslab, empresa francesa especializada no desenvolvimento de software de segurança da informação.
© Pixabay
O que é engenharia social? Suas origens e evoluções ao longo do tempo
Se a engenharia social no sentido moderno do termo foi popularizada pelo famoso Kevin Mitnick há cerca de quarenta anos, o fenômeno da manipulação psicológica com o objetivo de levar a uma fraude está longe de ser novo. , como explica Fred Raynal.
“Engenharia social é algo que existe há muito tempo, muito antes da informática, desde que o comércio existiu, desde que foi criada a espionagem, só que dependendo dos tempos e dos mundos, ela tem nomes diferentes”, explica o fundador da Quarkslab, antes de refrescar nossa memória sobre o nascimento do fenômeno no sentido computacional do termo.
“O indivíduo estabelecerá uma relação de confiança e estresse para tentar abusar da pessoa que tem do outro lado do telefone, para que possa acessar redes internas e dados privados”
“Na informática, foi popularizado no final dos anos 70 e início dos anos 80 em especial por Kevin Mitnick, um hacker que foi seguido pelo FBI durante vários anos e que foi vasculhar latas de lixo de órgãos públicos para recolher informações que lhe permitiram entrar na rede interna ”, explica.
Uma vez recolhidas as informações necessárias, o indivíduo ou grupo é responsável por criar uma relação de confiança e stress, para tentar abusar da pessoa que tem do outro lado da linha, para poder aceder para redes internas e, em seguida, para dados privados.
Kevin Mitnick, da prática à teoria
Kevin Mitnick (© Facebook)
Kevin Mitnick, também conhecido como The Condor, é simplesmente um dos hackers mais famosos da história. Ele foi o primeiro a ver seu nome na lista dos dez mais procurados do FBI no final dos anos 1980. Seu pedigree? Foram capazes de hackear bancos de dados de gigantes como Nokia, Motorola, Fujitsu, Pacific Bell ou Sun Microsystems. Ele também conseguiu invadir um computador do Pentágono, mas não alcançou um banco de dados.
O engenheiro de segurança de computadores americano de 56 anos demonstrou que é mais fácil manipular pessoas para obter informações do que invadir sistemas de computador.
A engenharia social não é realmente um ataque de computador no sentido adequado, mesmo hoje. Em vez disso, é um meio de obter informações, dados em um sistema com acesso restrito ou identificadores que permitem o acesso a ele.
"A engenharia social é favorecida pela presença de pessoas direcionadas nas redes sociais ou em sites da comunidade, o que facilita o phishing"
"Consiste principalmente em fingir ser alguém que você não é (geralmente um dos administradores do servidor que deseja hackear) e solicitar informações pessoais (login, senhas, acesso, números, dados …) inventando qualquer padrão (falha na rede, modificação dela …). É feito por meio de uma simples comunicação telefônica ou por e-mail ”, explicou em detalhes e desde 2003 Stéphane Gill, um professor experiente vinculado por mais de 20 anos ao departamento de informática do Ahuntsic College of Montreal.
Hoje, a engenharia social é favorecida, facilitada até pela presença de pessoas-alvo em redes sociais ou em sites da comunidade, o que facilita o phishing. Porque a engenharia social será uma ferramenta adicional para o phishing em um processo de hacking. Os dois devem ser dissociados. “A engenharia social não se baseia em técnicas de computador. Phishing é outra coisa: você cria algo que é uma isca, que é bem feito e que prende alguém que não tomará cuidado. A engenharia social é um pouco mais avançada ”, especifica Fred Raynal.
Engenharia social, os perigos do teletrabalho
O teletrabalho é bom e sua popularidade continua a crescer vários meses após o início do bloqueio em muitas partes do mundo. Mas apesar da prevenção, que tem sido feita em muitas empresas, grandes ou pequenas, trabalhar em casa é um risco real, uma brecha aberta quase entre alguns usuários.
Ainda não se sabe se o primeiro funcionário preso pelos invasores do escândalo do Twitter estava operando de casa ou de seu escritório. Mas a ação levou a uma desorganização das fileiras, sensíveis a esses ataques. "Todo mundo ficou vulnerável naquela época", testemunha nas colunas da CNN Business Anu Bourgeois, professor de informação da Georgia State University.
A casa, em período de confinamento ou no auge da crise de saúde (e aquela vivida nos Estados Unidos é particularmente violenta, como todos sabem) era frequentemente ocupada com a família, com crianças que podem, por exemplo, usar os mesmos equipamentos que o funcionário da rede social. E sem a devida sensibilização e protocolos, os riscos tornam-se rapidamente significativos no teletrabalho para as empresas, principalmente para aquelas que não dispõem de recursos humanos para gerir remotamente uma frota inteira de computadores, por menor que seja.
A engenharia social pode assumir muitas formas. Uma das mais conhecidas continua sendo a fraude contra o presidente, que afetou grande parte das empresas nos últimos dez anos e que continua muito relevante até hoje. Para o atacante, o golpe do presidente começa aprendendo sobre organizações, empresas, seus organogramas para saber quem está de férias onde, quem é casado com quem etc.
“Indivíduos coletam dados para venda na dark web ou em redes sociais. Uma vez de posse da informação, no dia em que o presidente está de férias, ou ausente, ou inacessível, ligam para um membro da empresa, um assistente, contador ou outro, fazendo-se passar pelo presidente, fazendo crer que é ele ao telefone e mandando fazer uma transferência para países ou contas de onde o dinheiro obviamente nunca volta ”, descreve Fred Raynal, que insiste em um grande número ataques deste tipo nos últimos cinco a seis anos.
“Engenharia social: barata, não requer grandes recursos materiais, é baseada na psicologia e nas fontes cognitivas”
Aqui, o aspecto psicológico é eminentemente importante, uma vez que os indivíduos mal-intencionados irão primeiro se passar pelo presidente duas, três ou quatro vezes, a fim de criar uma relação de confiança e de estar atento a todos os vieses cognitivos. “A percepção de risco atua sobre o comportamento e desempenha um papel preponderante no processo de tomada de decisão do indivíduo. Considerando que o risco é baixo, um indivíduo não processará as informações com o mesmo rigor como se considerasse o risco alto ”, explica David Castonguay, da Universidade de Montreal. “Não estamos em técnica no sentido do computador, mas em um campo da neurociência. O marketing e os supermercados também usam a neurociência. Não faltam aplicativos ”,detalha o presidente da Quarkslab.
E o último está certo. Se a engenharia social pode obviamente ser a ferramenta de um ciberataque, o famoso sociólogo Pierre Bourdieu estimou em seu Questions de Sociologie em 1981 (Editions de Minuit, 1984, página 27) que “os governos de hoje precisam de um uma ciência capaz de racionalizar a dominação, no duplo sentido, capaz de fortalecer os mecanismos que a asseguram e de legitimá-la. Nem é preciso dizer que essa ciência encontra seus limites em suas funções práticas, tanto entre os engenheiros sociais quanto entre os líderes econômicos. Ela nunca pode fazer um questionamento radical. "
A engenharia social agora se tornou, para os hackers, uma forma de obter informações de funcionários ou ex-funcionários de uma empresa que permite contornar os sistemas de segurança e bots. Barata, não requer grandes recursos materiais e contando com psicologia e fontes cognitivas, aproveitando os erros do cérebro humano no seu processamento de informações (pois o ser humano pode ser manipulado e influenciado), esta técnica , portanto, com base nesta influência de humano para humano, pode causar grandes danos. Foi o que aconteceu recentemente, na rede Twitter.
Engenharia social, atualizada com o "caso Twitter"
Desde a invasão das contas em meados de julho, o Twitter se comunicou oficialmente em várias ocasiões com mais ou menos detalhes para informar seus clientes e usuários sobre o incidente de segurança de 15 de julho de 2020. Em 18 de julho, por exemplo, a rede A social afirmou que vários funcionários foram vítimas de um programa de engenharia social e manipulados para acessar os sistemas internos do Twitter, que incluem a identificação de dois fatores. Não entraremos em maiores detalhes, pois o Twitter trouxe novas informações, mais precisas desta vez, na quinta-feira, dia 30 de julho. E são eles que nos ajudam a entender como os hackers acertaram.
"O caso do Twitter? Spear phishing, uma técnica de phishing que envolve engenharia social"
No final de julho, o Twitter confirmou que um "pequeno número" de funcionários foi alvo de um ataque de phishing por telefone, conhecido como phishing por telefone. Mais exatamente, é um spear phishing, uma técnica de phishing que usa engenharia social. Os hackers alvejaram vários funcionários da rede social, e conseguiram roubá-los, chegando-lhes várias vezes por telefone e se passando por departamento de TI da empresa, as informações necessárias (para entender suas credenciais) para poder entrar na rede e, assim, acessar as ferramentas de suporte interno.
Exceto que havia um problema, porque os funcionários visados por esse arpoamento não tinham as permissões que permitiriam que indivíduos mal-intencionados atingissem seu objetivo. Eles tinham que ser mais inteligentes do que a segurança do Twitter. Foi assim que os indivíduos usaram identificadores roubados por meio da engenharia social para atingir outros funcionários que tinham acesso a ferramentas de controle.
Com acesso a ferramentas de moderação, os invasores conseguiram atingir 130 contas do Twitter, várias das quais têm milhões de seguidores, o que poderia garantir o alcance do golpe. Os hackers conseguiram tweetar de 45 contas e acessar as mensagens privadas de 36 delas. Ainda mais problemático, 7 contas tiveram seu histórico de dados baixado, uma opção que fornece um resumo dos detalhes da atividade de sua conta no Twitter. Entre as principais personalidades ou empresas visadas estão Apple, Uber, Barak Obama, Bill Gates, Jeff Bezos, Elon Musk, Joe Biden, Mike Bloomberg, Warren Buffett, Kim Kardashian, Kaney West etc.
Os indivíduos mal-intencionados assumiram temporariamente o controle das contas, graças à ferramenta de moderação. Em detalhes, isso oferecia a possibilidade de modificar o endereço de e-mail associado à conta. Graças a isso, os hackers foram capazes de modificar o e-mail vinculado e, em seguida, reiniciar a senha para tomar posse permanentemente da conta do Twitter de destino.
Assim que foi possível reprimir a rede social, os hackers escreveram uma mensagem para cada conta prometendo, em troca de $ 1.000 em Bitcoin enviados, retorno em dobro, ou o equivalente a $ 2.000. de criptomoeda. Tudo acompanhado por uma série de personagens que correspondiam ao endereço de uma carteira Bitcoin. Tuítes proeminentes foram rapidamente curtidos e retuitados por centenas, senão milhares de pessoas. Mais de cem podem ter caído na armadilha, com os hackers recuperando cerca de US $ 120.000 em cerca de duas horas.
"O hack do Twitter revela outro problema e, de modo geral, é quem tem acesso aos nossos dados? Não temos como saber."
Agora sabemos que entre 1.000 e 1.500 funcionários e subcontratados (vinculados à empresa Cognizant) podem potencialmente ter o acesso necessário, permitindo que os cibercriminosos confiscem contas do Twitter. “Ainda é muito”, disse Fred Raynal. O líder deve ver além dessa deficiência única. “Também revela outro problema e, de modo geral, quem tem acesso aos nossos dados? Nós não temos como saber. Há outro problema: tecnologicamente hoje, sabemos como armazenar dados criptografados. Você pode fazer isso sem se preocupar na nuvem. Mas, enquanto eles estiverem criptografados, não podemos decifrá-los. Então, em algum ponto, esses dados precisam ser decifrados, e a questão é quem os decifra,e onde os lemos? É no Twitter, Salesforce ou servidores Doctolib, por exemplo? "
Em relação às mulheres e / ou homens que estão por trás desse ataque, algumas informações começam a surgir. As autoridades americanas suspeitam, em particular, que Graham Clark, originalmente de Tampa, na Flórida, com apenas 17 anos, seja o autor intelectual da violação. Várias outras pessoas, com cerca de 20 anos, teriam ajudado o jovem convencendo um funcionário do Twitter de que ele trabalhava no departamento de TI da empresa. Seja como for, o ataque "é obra de indivíduos espertos, que não respondiam apenas a considerações técnicas. Eles devem ter se perguntado qual seria a melhor maneira de enganar o Bitcoin, e então pensaram que era pegando contas grandes. Eles eram simplesmente pragmáticos ”, para Fred Raynal.
O perfil dos atacantes ainda precisa ser determinado. Não há evidências de que esse era um indivíduo solitário, como um governo, estado ou sociedade. “Pode ser apenas um grupo de golpes de Bitcoin querendo revender os dados de Elon Musk a terceiros, ou governos que querem ter acesso aos dados de personalidades porque acham adequado e querem segui-los. um pouco mais perto porque, quanto mais informações tivermos sobre uma pessoa, mais fácil será atacá-la ”, questiona o fundador da Quarkslab.
“Se foi um governo que fez isso, colocar Bitcoin pode ter servido como uma isca para esconder de onde ele veio. Também podemos imaginar uma empresa ou um conjunto de empresas privadas que desejam acessar as coisas e ocultar o propósito de sua operação ”, acrescenta. E por um bom motivo. Afinal, engajar-se em uma prática que nunca se suspeitaria para um determinado ator seria aliviar a suspeita do perpetrador em potencial. E isso se encaixa bem com o espírito de quem se dedica à engenharia social: engano. Podemos, portanto, imaginar tudo, até que essa pirataria esteja ligada à futura eleição presidencial americana.
Como se proteger da engenharia social? Conselho útil
Vários bons hábitos podem limitar o risco de fraude de engenharia social. Antes mesmo de qualquer tentativa de fraude, é melhor certificar-se de limitar as informações que podem ser disseminadas por meio de redes sociais ou outros sites de comunidade que podem fornecer informações valiosas gratuitamente a indivíduos mal-intencionados. Dentro de uma empresa, é bom estabelecer alguns procedimentos, como dupla verificação, limitar o acesso a dados sensíveis e sensibilizar os funcionários, especialmente os dos departamentos mais sensíveis, como a contabilidade.
"Para se proteger, é preciso ter uma mistura de intuição e paranóia. Você tem que ouvir a si mesmo quando sente que uma coisinha é estranha …"
Qualquer pedido urgente ou incomum, por exemplo uma transferência, deve ser encarado com cautela e deve exigir uma confirmação adicional. Um interlocutor urgente demais deve colocar o chip no ouvido do funcionário. “De um modo geral, vai ser o mesmo com o que pode nos proteger de golpistas ou ladrões. A primeira impressão que você deixa é muito importante ”, explica Fred Raynal. “Quando você quer negociar algo, é melhor ser o primeiro a dar um preço, porque é isso que vai moldar a negociação. Existe uma mistura entre intuição e paranóia. Você tem que ouvir a si mesmo quando sentir que algo está estranho, tentando olhar para a situação o mais objetivamente possível. Está levando tempo para lutar contra seus próprios preconceitos em algum lugar. "
O Twitter, por sua vez, nos informa que antes mesmo do ataque, a empresa preconizava tolerância zero em caso de uso indevido de informações: monitoramento de abusos, verificações regulares de autorizações, sanção imediata ao menor escorregamento, etc. E, no entanto, isso não impediu o pequeno pássaro azul de ficar preso em seu próprio ninho. Sobre engenharia social, a empresa californiana evoca “um lembrete marcante da importância de cada membro de nossa equipe na proteção de nosso serviço. "
Desde o ataque, o Twitter limitou o acesso às suas ferramentas e sistemas internos, ao mesmo tempo que aprimorou seus métodos de detecção para evitar o acesso inadequado ao sistema.
Tweet do Twitter
