Artigos

Do Phishing à Engenharia Social

Até recentemente o Phishing (ataque informático em que é apresentada uma mensagem falsa, de aspecto similar a comunicações institucionais, que encaminha o utilizador-vítima para um site igualmente falso também ele similar ao verdadeiro) tinha como objectivo principal capturar credenciais de sistemas de negócio, tipicamente de sites de homebanking. Adicionalmente, e aproveitando a credulidade dos utilizadores menos informados, tal site falso é usado para induzi-los a fornecer informações complementares à credencial de acesso, tais como a totalidade do conteúdo de cartões-matriz, números e modelos de telemóveis ou dados pessoais, essenciais aos processos de verificação de identidade.

Na posse deste conjunto de elementos os atacantes conseguem efetivamente “roubar” a identidade das vítimas, tornando-se capazes de realizar no site real e em nome da vítima todas as operações disponíveis no sistema online.

 

Por razões que vão da eficiência financeira à melhoria dos níveis de segurança, muitas entidades financeiras têm substituido os cartões-matriz por mecanismos do tipo one-time-password síncrono como, por exemplo, os códigos enviados por SMS.

Tal minimiza de sobremaneira a possibilidade das vítimas serem efetivamente lesadas, dado que praticamente todas as operações financeiras que implicam o movimento de capital (transferências, e.g.) ou a tomada de risco (compra de acções, e.g.) exigem a apresentação deste código complementarmente à ordem de operação colocada no site. Como o código torna-se apenas disponível a quem estiver na posse do telemóvel, um ataque para ser bem sucedido implica não apenas o sucesso do phishing inicial como também a intrusão ou roubo de um telemóvel pessoal cuja ausência é certamente notada pela vítima.

Este estado de coisas tem obrigado os criminosos informáticos a repensarem o seu modus operandis dado que, por razões óbvias, a manutenção de uma distância higiénica entre o criminoso, a sua vítima e a entidade financeira é uma condição de que não abdicam.

De forma crescente e tranversal, tem-se observado uma migração de ataques de phishing (ao site de homebanking) para ataques de engenharia social por via do comprometimento da conta de correio-electrónico (webmail) da potencial vítima.

 

Os atacantes, ao conseguirem aceder a sistemas como os Gmail, Microsoft Live e inclusivamente sistemas corporativos, em nome de terceiros, conseguem também aceder ao histórico das mensagens enviadas onde poderão estar as mensagens anteriormente dirigidas a gestores de contas bancárias.

A análise destas mensagens torna fácil o profiling da vítima e da sua relação com a entidade bancária (perceber se a vítima tem por hábito transmitir ordens bancárias por esta via; caso tenha tal hábito, que tipo de linguagem e familiaridade tem com o gestor de conta; o tipo de movimentos e intervalos de valores que seriam percepcionados como normais, etc.). Com tal informação apurada, o passo lógico seguinte é o envio de uma simples mensagem de correio-electrónico para o contacto na entidade bancária com uma ordem de transferência.

O gestor de conta e/ou balcão torna-se ele uma vítima de “engenharia social”, passando assim a existirem duas vítimas em vez de apenas uma. Este funcionário torna-se um ponto de falha na segurança de um sistema que anteriormente dependia, de forma praticamente exclusiva, de controlos técnicos.

 

Torna-se assim imprescindível o aumento da sensibilização à segurança da informação de todos estes quadros bancários bem como os exercícios de avaliação dessa sensibilização.

Por outro lado, as entidades financeiras, numa tentativa de redução do seu risco, vão tentar passar para o cliente a responsabilidade de todas as ordens enviadas por correio-electrónico, legítimas ou ilegítimas.

Paralelamente num espírito de responsabilidade social e due care relacional, vão promover acções de sensibilização dos próprios clientes para os vários cuidados a ter na utilização de sistemas extra-bancários como os sistemas de correio-electrónico.

 

Finalmente, assistir-se-á à revisão de procedimentos de interacção com os clientes em todos os canais electrónicos e a harmonização do rigor colocado nestas.

 

 

Autor: João Barreto @ SysValue