Teste de invasão: Coleta de Informação – Parte 4

Nos posts anteriores, iniciamos a discussão sobre a etapa de Coleta de Informação, em que buscamos informações disponíveis na internet sobre o alvo. Neste post, vamos conhecer sobre a Engenharia Social, que também é muito utilizada nesta fase.



A Engenharia Social pode ser definida como a tentativa de obter informações ou influenciar alguém a realizar alguma ação, apoiando-se na confiança de outras pessoas. Com isso, podemos dizer que o elo fraco da segurança da informação somos todos nós — daí a importância de promover a cultura da segurança da informação nas organizações para todos os colaboradores estarem cientes do cuidado que devemos ter com as informações sensíveis ou não da empresa.

A Engenharia Social pode acontecer tanto pessoalmente quanto por telefone, em que o atacante se passa por outra pessoa para tentar conseguir informações necessárias para dar continuidade ao seu ataque. Mas pode acontecer também através do phishing, que é bem comum através de e-mails — é até mesmo por mensageiros como o WhatsApp — que são enviados para várias pessoas com o intuito de conseguir dados sensíveis, como números de contas, cartões de créditos e senhas.

Exemplos de ataques de Phishing

 

Outro tipo de ataque que está se tornando cada dia mais comum é o spear phishing, que seria o ataque direcionado. Neste caso, busca-se informações prévias sobre o alvo, como no exemplo abaixo, em que foi descoberto através do whois — ferramenta que discutimos anteriormente neste post —, e-mail e nome. Ao realizar uma busca rápida, é possível encontrar informações sobre o proprietário do e-mail encontrado e enviar um e-mail em seu nome, por exemplo. Dependendo do caso, esse e-mail poderá ser identificado como válido, e uma solicitação de um atacante poderá ser atendida.

Exemplo de spear phishing

 

Como podemos ver, a Engenharia Social tem diversas aplicações e formas de ser utilizada para permitir que atacantes tenham acesso a informações sensíveis. Portanto, é necessário que todos os colaboradores da organização desenvolvam a cultura de preocupação com a segurança da informação.

Com isso, finalizamos a etapa de Coleta de informação! No próximo post, vamos conhecer sobre a próxima etapa: Modelagem de Ameaças.

Até a próxima!

Referências: Testes de Invasão: Uma Introdução Prática ao Hacking – Georgia Weidman; Segredos do Hacker Ético – Marcos Flávio Assunção