![\"\"](\"https:\/\/www.ufsm.br\/app\/uploads\/sites\/791\/2022\/11\/46wLYzA.jpg\")
<\/p>\n<\/p>\n
Opa, como voc\u00eas est\u00e3o??? Espero que estejam bem. NOS TEMPOS MODERNOS<\/strong><\/p>\n Atualmente, quando falamos em seguran\u00e7a de informa\u00e7\u00e3o, o termo liga-se bastante \u00e0s pr\u00e1ticas ilegais \u2013 como ataques por Spam, Phishing, Spear Phishing, telefonemas, aplicativos de mensagens instant\u00e2neas e at\u00e9 presencialmente – que devido ao crescente avan\u00e7o tecnol\u00f3gico e a possibilidade de ser feito sem um conhecimento t\u00e9cnico sobre tecnologia da informa\u00e7\u00e3o acabou se tornando comum. \u00a0<\/p>\n A ANATOMIA DOS ATAQUES POR ENGENHARIA SOCIAL<\/strong><\/p>\n Por ser uma t\u00e9cnica que est\u00e1 sempre em constante evolu\u00e7\u00e3o, e que atinge o elo mais fraco da seguran\u00e7a (que s\u00e3o as pessoas), fica dif\u00edcil descrever um modelo de fases que sirva para todos os casos. Acredita-se, por\u00e9m, que o mais comum seja o do pr\u00f3prio Mitnick, exposto no livro como um ciclo de ataque que possui 4 fases na seguinte ordem: pesquisar, desenvolver uma rela\u00e7\u00e3o de confian\u00e7a com a v\u00edtima, explorar essa confian\u00e7a e utilizar a informa\u00e7\u00e3o.<\/p>\n Vale ressaltar que, dentro do modelo citado acima ainda existem diversas vari\u00e1veis que configuram e constituem um ataque. Alguns exemplos s\u00e3o: \u00a0<\/p>\n\n\n\n O PERIGO DE UM ATAQUE CERTEIRO POR ENGENHARIA SOCIAL<\/strong><\/p>\n Agora que j\u00e1 foi apresentado a origem e o funcionamento da Engenharia Social, podemos partir para o caso da Rockstar, que evidencia os perigos do uso deturpado dessa ferramenta. Por fim, espero ter demonstrado um pouco sobre a origem, anatomia e os perigos dos ataques por Engenharia Social e as dificuldades em se prevenir de amea\u00e7as cada vez mais modernas. E ainda, alertar sobre a import\u00e2ncia do investimento no estudo de algumas t\u00e1ticas usadas por esses criminosos, pois a melhor defesa, nesses casos, \u00e9 poder reconhecer poss\u00edveis amea\u00e7as. \u00a0<\/p>\n\n\n\n Refer\u00eancias e links \u00fateis:<\/strong><\/p>\n \u201cThe Art of Deception: Controlling the Human Element of Security\u201d – Kevin D. Mitnick.<\/p>\n https:\/\/thehackernews.com\/2022\/09\/london-police-arrested-17-year-old.html<\/a><\/p>\n https:\/\/www.forbes.com\/sites\/siladityaray\/2022\/09\/20\/social-engineering-how-a-teen-hacker-allegedly-managed-to-breach-both-uber-and-rockstar-games\/?sh=15d283e7451c<\/a><\/p>\n https:\/\/g1.globo.com\/tecnologia\/noticia\/2022\/09\/19\/uber-diz-que-hacker-nao-acessou-dados-de-usuarios-mas-baixou-mensagens-de-funcionarios.ghtml<\/a><\/p>\n https:\/\/www.theverge.com\/2022\/9\/19\/23361511\/uber-hack-blame-lapsus-gta-vi-rockstar<\/a><\/p>\n https:\/\/en.wikipedia.org\/wiki\/Social_engineering_(political_science)<\/a><\/p>\n
Nesta edi\u00e7\u00e3o do PET Reda\u00e7\u00e3o, trago a voc\u00eas um assunto importante que s\u00e3o os perigos dos ataques cibern\u00e9ticos que utilizam Engenharia Social.
Recentemente, o mundo tecnol\u00f3gico, mais voltado aos Games, teve uma triste not\u00edcia que foi considerada por muitos analistas como \u201co pior vazamento da hist\u00f3ria dos jogos eletr\u00f4nicos\u201d. No qual um cibercriminoso denominado TeaPot, talvez associado ao grupo denominado \u201cLapsus$\u201d reivindicou a autoria do ataque que teria acesso a dados confidenciais do desenvolvimento do novo Grand Theft Auto 6 e realizado a postagem de v\u00eddeos como forma de comprovar o feito. Vale lembrar que, cerca de 3 dias antes, dia 15 de setembro de 2022, o mesmo hacker (que atualmente se encontra preso) teria vazado da mesma forma informa\u00e7\u00f5es da Uber.
Mas e a\u00ed, o que esses ataques t\u00eam em comum? A resposta \u00e9: Engenharia Social.
Voc\u00eas j\u00e1 ouviram falar nesse tipo de amea\u00e7a e em como ela pode afetar a n\u00f3s, meros mortais, e at\u00e9 grandes empresas??? Ou grandes muralhas… como conta a hist\u00f3ria do cavalo de Troia, que foi a forma encontrada pelos gregos para transpor a barreira e vencer a batalha.
Ent\u00e3o chega de papo e bora conhecer um pouco mais sobre a origem da t\u00e9cnica, sua anatomia e seus perigos!!!
COMO SURGIU?
<\/strong>Desde os prim\u00f3rdios da humanidade a Engenharia Social \u00e9 utilizada como meio para a obten\u00e7\u00e3o de informa\u00e7\u00f5es cobi\u00e7adas por outras pessoas. No entanto, o estudo mais aprofundado sobre o assunto e o termo surgiram em 1894, pelo industrial holand\u00eas JC Van Marken. A ideia de Van Marken se deu como forma de alavancar e resolver problemas sociais dentro das ind\u00fastrias europeias da \u00e9poca, visto que, se existia o estudo das engenharias tradicionais para criar e resolver os problemas das maquinas, tamb\u00e9m era poss\u00edvel desenvolver estudos relacionados \u00e0 for\u00e7a de trabalho. Em seguida, em 1911, Edward L. Earp trouxe em seu livro \u201cSocial Engineer\u201d uma vis\u00e3o de que, na Engenharia Social, as pessoas deveriam lidar com as rela\u00e7\u00f5es sociais de forma semelhante \u00e0 forma como abordam as m\u00e1quinas, marcando o fim da terminologia de Van Marken.
<\/strong><\/p>\n
Acredita-se que os ataques por Engenharia Social tenham se popularizado com os feitos do americano Kevin Mitnick, um especialista em ciberseguran\u00e7a que possui uma extensa lista de crimes de roubo de informa\u00e7\u00f5es e acessos n\u00e3o autorizados a grandes empresas. Em 2013, Mitnick publicou o seu livro denominado \u201cThe Art of Deception: Controlling the Human Element of Security\u201d, no qual ele conta como conheceu a t\u00e9cnica na d\u00e9cada de 70 e a utilizava associada ao hacking para fazer seus estragos.<\/p>\n![\"\"](\"https:\/\/www.ufsm.br\/app\/uploads\/sites\/791\/2022\/11\/4M49cej-1024x276.png\")
<\/p>\nImagem contendo 4 caixas interligadas por setas formando o ciclo de ataque de engenharia social de Kevin Mitnick<\/h6>\n
Modelo de ataque:<\/strong> Comunica\u00e7\u00e3o direta ou indireta.
Atacante:<\/strong> Sozinho ou com a ajuda de outras pessoas.
Alvo:<\/strong> Individual ou uma organiza\u00e7\u00e3o.
Objetivo:<\/strong> Ganho financeiro, sabotagem ou acesso n\u00e3o autorizado.
Meio:<\/strong> Presencial, Pagina da Web, E-mail, mensagem por WhatsApp\/SMS ou telefonema.
T\u00e9cnicas:<\/strong> Pretexto, Phishing, com isca ou dar algo em troca de outra coisa (Quid Pro Quo).
Princ\u00edpios de Conformidade:<\/strong> Autoridade, amizade ou liga\u00e7\u00e3o, reciprocidade, escassez, compromisso ou consist\u00eancia.
O atacante pode n\u00e3o somente associar o ataque a uma dessas vari\u00e1veis, mas sim a diversas outras combina\u00e7\u00f5es. Tudo dependendo do estudo realizado do que ele julga ser o ideal para explorar uma vulnerabilidade, seja ela social ou tecnol\u00f3gica.<\/p>\n
Retomando o que introduzimos inicialmente, ainda sobre o caso da Rockstar, embora n\u00e3o tenha sido mencionado pelo hacker a forma como se deu o acesso n\u00e3o autorizado na plataforma Slack (aplicativo de mensagens instant\u00e2neas desenvolvido para comunica\u00e7\u00f5es profissionais e organizacionais) da empresa, acredita-se que tenha sido utilizada da mesma forma com que foi a viola\u00e7\u00e3o da Uber, na qual o pr\u00f3prio hacker comentou ter conseguido acesso \u00e0s credenciais de login utilizando Engenharia Social e se passando por um funcion\u00e1rio de T.I, para ter acesso \u00e0 rede interna e escalonar ainda mais suas chances de ataque. O que, sem sombra de d\u00favidas, gerou preju\u00edzos alt\u00edssimos para as duas empresas, pois qualquer informa\u00e7\u00e3o acerca do desenvolvimento de um jogo \u00e9 extremamente controlada e mesmo qualquer indicio de invas\u00e3o a plataformas internas j\u00e1 \u00e9 o suficiente para gerar perda de credibilidade no mercado – que induzem a queda nas a\u00e7\u00f5es, al\u00e9m de aumentar ainda mais a chance de novos golpes atrelados aos dados acessados e que possivelmente foram expostos.
Assim, fica o exemplo do qu\u00e3o fr\u00e1gil pode ser uma seguran\u00e7a que n\u00e3o prioriza o fator humano, uma vez que n\u00e3o basta proteger somente o seu sistema, h\u00e1 ainda a necessidade de realizar treinamentos direcionados aos seus funcion\u00e1rios, pois uma simples senha anotada em um quadro ou fixada como lembrete no monitor j\u00e1 \u00e9 o suficiente para expor uma organiza\u00e7\u00e3o e potencializar um poss\u00edvel golpe.<\/p>\n
Sintam-se livres para compartilhar em nosso Discord<\/a> quaisquer ideias sobre o tema. Bons estudos e at\u00e9 mais!!!<\/p>\n