Se lhe servir o Chapéu!

Começamos nossa evolução nas cavernas, com pinturas rupestres e pedras lascadas. Fomos evoluindo, inventamos a roda e assim tivemos a vida amplamente facilitada, com o tempo ocioso desenvolvemos as artes e a ciência. Atravessamos as incertezas dos anos 2000; pois haviam fortes rumores do fim dos tempos e podemos dizer que existia algo de verdadeiro na profecia de Nostradamus, foi sim o fim de um ciclo. Aprendemos a navegar sem rio nem canoa e a fazer a volta no mundo sem sair da cadeira que estamos sentados, raiou o sol da era cibernética e nos fez assim ciborgues; pois temos sempre um elemento anexo ao corpo: seja celular ou relógios inteligentes.

Mesmo com todos estes avanços a base de tudo sempre será as pessoas e as relações entre elas, não existe Firewire contra um Malware com duas pernas, carne e ossos. E muitas vezes o indivíduo nem sabe que esta prestando este serviço, pois a Engenharia Social está ai para dar conta deste ramo da tecnologia. A Engenharia Social se dedica a ludibriar pessoas desavisadas e desprotegidas em busca do vazamento de informações, transforma estes usuários e muitas vezes até programadores em ferramentas de invasão a servidores, banco de dados e etc.

Quem são os chapéis preto?

Na atualidade o dinheiro não é o único capital que possuímos, existem outros e dentre elas a informação. Quase tão valiosa como ouro principalmente num ambiente competitivo porém muitas vezes sem um propósito ou sem estar atrelada ao conhecimento, a informação se perde nas pilhas de arquivos. Exatamente esse desinteresse e descuido com os dados que interessa ao engenheiro social que pretende roubar dados e acessar lugares cibernéticos restritos. Os adeptos a essas práticas são conhecidos como os chapéis preto, são eles que enviam aqueles e-mails despretensiosos porém muito danosos a sistemas e banco de dados, estes que criam aqueles aplicativos suspeitos.

O outro tipo de ataque é quando a pessoa certa passa sem querer pra pessoa"errada" informações privilegiadas, como procedimentos internos; rotinas de trabalho tornando este tipo de ataque quase impossível de antecipar pois ele é baseado na natureza humana. Geralmente a porta de entrada é por uma vítima bem vulnerável, com hábitos que facilitem o ataque um exemplo o funcionário que fuma todo o dia as 10:00 da manhã no mesmo banquinho no pátio da empresa, uma cena aparentemente corriqueira e despretensiosa.

Os chapéis pretos tem intenções maliciosas e geralmente além de extraírem as informações para ganho financeiro, fazem um estrago nos servidores e deixam tudo uma bagunça até como forma de despistar ou encobrir a origem do ataque.

A chegada do chapéu branco!

Como na vida, a tecnologia também tem dois lados e pra garantir o equilíbrio do ecossistema binário existem os hackers éticos, também conhecidos como chapéis brancos! Estes invadem o sistema de forma a identificar as fragilidades e possíveis portas de entrada dos chapéis pretos, estes são diferenciados pela linha tênue da intencionalidade: um faz de forma legal e preventiva o outro de forma a causar danos e fora da legalidade!

Esses engenheiros sociais já foram tema nos cinemas, mostrando os perigos e as ostentações dessa vida luxuosa proporcionada por seus delitos digitais.

Técnicas de ataque: os modelos de chapéu!

Existem vários modelos de ataque, todos muito charmosos e sedutores: como um chapéu de grife. Vou ilustrar as 6 mais usadas para atrair a vítima:

• Vishing: que acontece através da fala ou de e-mails;
• Spear Phishing: são e-mails e mensagens que levam a páginas falsas geralmente bem parecidas com as originais;
• Pretexting: criação de falsos pretextos, aparentenmente positivos, para fazer a vítima confie e passe informações confidênciais;
• Sextorsio: extorção baseada no vazamento de imagens;
• Quid pro quo: fingenge oferecer algo pra vítima, em troca de algo importante, algum dado sensível;
• Taigating: aproveitar a proximidade para acessar ambientes e portas que a vítima deixa aberta;

Um chapéu será sempre um chapéu!

Existe uma categoria intermediária, chamado chapéu cinza que se dedica muitas vezes até sem remuneração a encontrar bug's nos sistemas. Como aconteceu com o Facebook a um tempo atrás, onde o engenheiro tinha avisado a página do bug encontrado, porém sem retorno do mesmo! Para chamar a atenção causou uma pane mundial no Facebook e no mercado financeiro em geral. Muitos casos de chapéus pretos após serem pegos se tornaram chapéis brancos e assim contribuíram pra tornar o mundo digital mais seguro! Provavelmente o contrário também tenha acontecido, pois no fim das contas: uma vez chapéu, sempre chapéu!

Serviu, use!

Muitas vezes nós temos o pensamento mais binário do que todos os algorítimos que compõem uma máquina. Digo isso de forma taxativa, pois muitas vezes nos vemos aqui e a tecnologia lá do outro lado, como se falar de tecnologia fosse falar de coisas. Precisamos fazer um adendo nessa premissa, estamos falando apenas de pessoas, a tecnologia é social e socializável, como diz André Lemos: "A tecnologia não é social porque é usada ou afeta o humano, mas porque o constitui."

Quando pensamos o motivo da escolha do objeto chapéu para classificar os engenheiros sociais, podemos fazer uma analogia a técnica dos chapéis do pensamento. É como se este chapéu desse super poderes, poderes de fazer o rapport que é a capacidade de entrar no mundo de alguém, fazê-lo sentir que você o entende essa é a essência da comunicação bem sucedida.

Sendo assim, um engenheiro social dociliza a vítima, a estuda, entende seus anseios e se utiliza de suas emoções e fragilidades para conseguir seus objetivos, ele faz com que ela queira colocar o chapéu e ainda fique grata por tanta compaixão. Tudo baseado na falha humana, mas afinal somos todos falhos, com ou sem chapéu!

Referencias

CÔRTE, K. SEGURANÇA DA INFORMAÇÃO BASEADA NO VALOR DA INFORMAÇÃO E NOS PILARES TECNOLOGIA, PESSOAS E PROCESSOS, DF, 2014.