tophacker.org

<<< Leia isso com atenção >>>

Isso pode ser mais importante do que sua faculdade podre.

Temas abordados nesse texto: inteligência, oportunidade, negócios, dinheiro, sucesso, hacker, invasão com propósito de roubar dinheiro, comercio, informações em geral a respeito de ganhar dinheiro em cima das pessoas de menor poder intelectual.

Parte I

Engenharia Social é o termo utilizado para a obtenção de informações importantes de uma empresa, através de seus usuários e colaboradores. Essas informações podem ser obtidas pela ingenuidade ou confiança. Os ataques desta natureza podem ser realizados através de telefonemas, envio de mensagens por correio eletrônico, salas de bate-papo e pasmem, até mesmo pessoalmente.
Já foram identificados casos em que alguém, se passando por um funcionário do suporte técnico de um provedor de acesso Internet, telefonou para um usuário informando que a conexão estava com algum tipo de problema e que para consertar necessitava da sua senha.
O usuário, na sua ingenuidade, fornece a senha e depois vai ver no extrato mensal do provedor que utilizou muito mais recursos do que realmente o tinha feito.
Outra técnica muito utilizada na Internet são os sites anônimos que prometem horas grátis de acesso, bastando você fornecer a eles seu nome de usuário e senha. Na verdade, trata-se de um ataque de engenharia social, e eles utilizarão estas informações para conseguir horas extras sim, mas para eles!
Com o crescente avanço da tecnologia, as empresas estão dedicando uma boa parte do tempo para resolver os problemas técnicos de segurança. São investidos muitos recursos para garantir a segurança de servidores e aplicações, e devido a esta consciência que hoje está bem evoluída, as técnicas de ataques têm se aprimorado.
Tentar invadir um site ou uma empresa torna-se um desafio ainda maior, e nesta situação, a engenharia social vem tendo destaque e passa a ser a nova moda.
Recentemente, um amigo meu que trabalha em uma empresa de tecnologia foi vítima de uma tentativa desta natureza. Chegou em sua conta de correio eletrônico na empresa uma mensagem de uma universitária, na qual ela solicitava ajuda para a confecção de um trabalho acadêmico.
Mesmo sendo muito simpática, bastaram duas trocas de mensagens para que a universitária simplesmente desaparecesse. O meu amigo perguntou como ela havia obtido informações a respeito de seu nome e endereço eletrônico e ela forneceu uma resposta inconsistente.
Este exemplo aponta para um lado que deve ser muito bem observado por todos, que é o fator emocional. Os ataques de engenharia social por correio eletrônico têm sido realizados com maior freqüência através de mensagens de mulheres para homens e vice-versa.
Este ataque motivado pelo fator emocional é também muito utilizado nas salas de chat. Meninas que se dizem jovens, atraentes e de bom papo, podem ser na verdade um verdadeiro farsante, que manipula os sentimentos das pessoas para fisgar uma informação preciosa.
Há de se ter muito cuidado também com os documentos impressos dentro da empresa. Papéis amassados e jogados no lixo são um convite para fraudadores. Precisamos estar atentos também com as informações a respeito da empresa.
A divulgação de nomes, funções, ramais, endereço eletrônico e outros dados a respeito da estrutura organizacional da empresa podem ser utilizadas por pessoas maliciosas. Em muitas organizações é comum encontrarmos uma lista na entrada dos corredores de acesso, ou na mesa das secretárias, contendo o nome, identificação eletrônica do usuário e função exercida pelo mesmo na empresa.
Outro exemplo de ataque de engenharia social diz respeito às entrevistas para emprego, onde muitas vezes o candidato à vaga passa várias informações da empresa em que trabalha. Pode não haver vaga alguma para o cargo. Apenas a empresa, que supostamente abriu a vaga, está tentando levantar informações dos seus concorrentes.
São muitas as formas e mecanismos de ataque mediante a fragilidade e ingenuidade das pessoas, mas deixaremos abaixo, algumas dicas que podem ajudá-lo a minimizar este problema e garantir a sua privacidade e a da sua empresa:

Estabeleça uma política de controle de acesso físico na empresa;
Classifique as informações de sua empresa, onde cada colaborador saiba o que pode ser divulgado e o que não pode;
Desconfie das ofertas mirabolantes que circulam pela Internet;
Ao receber um telefonema de uma pessoa estranha, que conhece todos os seus dados e lhe transmite confiança, retenha desta pessoa o máximo de informações possíveis. Não divulgue nada e peça o número de retorno dela para garantir que a ligação é procedente;
Estabeleça uma política de segurança na sua empresa onde a informação, que é o seu principal patrimônio, receba o tratamento correto com relação à segurança;
Evite compartilhar sua senha de acesso, pois ela pode ser divulgada sem que você tenha sido a vítima do ataque de engenharia social;
Conscientize seus funcionários a respeito do tema, realizando palestras e treinamentos onde o assunto seja abordado;
Desconfie das mensagens de correio eletrônico onde você não conhece o remetente. Convites para entrevistas, seminários, informações para pesquisa e etc. são formas de atrair a atenção para obter informações da empresa;
"Falsos" fabricantes e fornecedores de tecnologia costumam tentar descobrir a topologia e configuração da rede da empresa através de contatos com o pessoal que administra estes equipamentos. Oriente esses funcionários a buscar a autenticidade dos técnicos e soluções por eles apresentadas;
E para finalizarmos, deixamos uma comparação interessante: "Em uma partida de futebol, o assistente do juiz é orientado a deixar o lance seguir e não marcar impedimento do atacante caso ele fique em dúvida, mas quando falamos em segurança da informação a regra é: na dúvida, desconfie!

Parte II

ENGENHARIA SOCIAL

O termo é intrigante e até pomposo não é mesmo? Engana-se quem pensa que tem a ver com ciências exatas ou sociologia, Engenharia Social é o método de se obter dados importantes de pessoas incautas através da velha e conhecida lábia... No popular é um tipo de vigarice mesmo pois é assim que muitos habitantes do underground da Internet operam para conseguir senhas de acesso, números de telefones, nomes e outros dados que deveriam ser sigilosos; tapeando os outros...

Como fazem isso? Simplesmente perguntam... É claro que para se obter êxito é preciso um certo talento para enganar os outros. Até fora da Internet é comum o uso desse artifício, por exemplo: alguém liga para sua casa fazendo-se passar por um funcionário de sua agência bancária ou da administradora de seu cartão de crédito, confirma alguns de seus dados pessoais como nome, telefone e endereço e pede sua ajuda pois as senhas estão sendo trocadas por segurança e é preciso que você diga sua senha para que as providências sejam tomadas... Esse seria um dos casos mais básicos de Engenharia Social mas a sofisticação desse tipo de golpe pode ir muito mais longe dependendo do artista que o aplica e também do nível técnico e treinamentos da vítima.

A tecnologia avança a passos largos mas a condição humana continua na mesma em relação a critérios éticos e morais... Enganar os outros deve ter sua origem na pré-história portanto o que mudou foram apenas os meios para isso.

Em redes corporativas que são alvos mais apetitosos para invasores e abelhudos o perigo é ainda maior e pode estar até sentado ao seu lado. Um colega poderia muito bem tentar obter a sua senha de acesso mesmo tendo uma própria pois sabe-se que muitos dos ataques sofridos em redes partem de funcionários ou ex-funcionários insatisfeitos... Uma sabotagem feita sob a sua senha parece bem mais interessante do que com a senha do autor não é mesmo?

Revirar lixo também é uma prática comum nesse campo pois muitos documentos importantes com dados sigilosos podem ser obtidos dessa maneira. Uma relação de nomes com telefones, endereços e outros que tais; uma lista de passwords e até mesmo um simples organograma pode servir para alguém passar-se por outro que seja seu superior na escala hierárquica.

Convém atentar para o fato de que além da abordagem simpática e confiável ou mesmo autoritária e imperativa o engenheiro poderá estar munido de outros recursos conseguidos em abordagens preparatórias: nomes de funcionários reais, códigos ou jargões conhecidos do pessoal da comunidade, alegação de urgência e etc...

Kevin Mitnick que é ou foi um dos hackers mais conhecidos do mundo, esteve preso nos EUA até o começo deste ano é ou era um verdadeiro expoente entre os engenheiros sociais. Diz-se que suas habilidades nesse campo são muito mais avançadas do que em conhecimentos técnicos de informática propriamente dita. Leiam alguns trechos do livro O Jogo do Fugitivo de Jonathan Littman – Ed. Rocco que descrevem como Kevin agiu em alguns casos e o que pensava a respeito:

“Aos 13 anos já revirava lixeiras perto de companhias telefônicas para encontrar manuais técnicos jogados fora.”

“Mitnick telefona para os escritórios dos Oakwood Apartments. Sabe que os Oakwoods fazem parte de uma enorme cadeia nacional. Ele gosta do jogo, da farsa que está prestes a representar. Ele já sabe qual é a estrutura de pessoal da companhia, mas, quando liga, pede desculpas, explicando ser um funcionário novo. É amistoso e confiável , e as pessoas parecem gostar dele naturalmente. A mulher que o atende pega o cadastro do atual ocupante do 107b. Absolutamente nenhum problema.”

“Ele faz seu trabalho de detetive basicamente com telefones. Imita o alvo, envia por fax autorizações com assinaturas autenticas, diz que um incêndio queimou os arquivos. Qualquer tipo de estratagema que seja capaz de imaginar.”

“No Wells Fargo só é preciso o código diário e o número da previdência social para ter acesso às informações privadas do cliente. Mitnick liga para uma filial cujo número encontra num catálogo, finge ser um gerente e consegue obter o código do dia. A seguir, telefona para a filial onde seu alvo tem conta e convence o caixa a ler tudo o que consta no cartão de assinaturas dele: números da conta e da previdência social, nome de solteira da mãe e endereço comercial. Ele digita o número da conta acrescida dos últimos quatro dígitos do seu número de previdência no telefone. Ouve a voz sintetizada do computador recitar um resumo do extrato bancário.”

“Às vezes faço engenharia social, diz Mitnick . Estou dirigindo e penso: e se ela cair nesse papo? Aí pego o telefone e mando brasa. Quer dizer, não se precisa de grandes estudos ou planejamentos. Alguns dos lugares mais interessantes foram investigados assim. É como se eu telefonasse para essa ou aquela divisão, visse que havia algum idiota lá e metesse um blablablá.”

Pois bem, agora que já sabem o que é a Engenharia Social e que funciona na base da manipulação psicológica, o que fazer para se precaver?

Em empresas é recomendável que exista uma política de segurança centralizada e bem divulgada para que todos saibam a quem recorrer em casos de dúvidas além de orientação e esclarecimentos aos usuários. No caso particular eu sugiro um upgrade no desconfiômetro mas não a ponto de se tornar uma pessoa desconfiada de todos, paranóica... Basta estar sempre alerta para pedidos de dados sigilosos, nunca divulgar senha nenhuma em qualquer circunstância pois a mesma perde o sentido se não se mantiver secreta.

Parte III

Engenharia Social

Senhores leitores, transcrevo abaixo alguns e-mails encontradas no "Grupo de discussões" do Scua sobre "Engenharia Social". Aproveito também a oportunidade para convidas a todos interessados em segurança e vírus para fazer parte do grupo, basta entrar na página da Seil (fabricante do Scua). www.scua.net

Resposta de Anderson dos Santos Silva para Paulo
Engenharia Social é uma das técnicas utilizadas por hackers para obter informações, acredito ser a técnica mais simples, pois basta ter uma boa conversa para conseguir enganar a pessoa que possui a informação que você precisa.
Alguns casos famosos de engenharia social estão ligados ao hacker americano Kevin Mitnick. Um caso muito interessante foi quando Mitnick precisa de informações de uma certa empresa para depois poder invadi-la, bem Mitnick elaborou um CD com um versão do software que era utilizado naquela empresa contendo no mesmo um cavalo-de-tróia, vestiu uma roupa de carteiro e levou o CD até a empresa como se fosse uma atualização do software. Porém não deu muito certo, pois a empresa nem chegou a abrir o pacote.
Lembrando que alguns hackers vasculham até os lixos das empresas atrás de informações para iniciar seus ataques.

Resposta de Euclides Miguel para Paulo
Não são incomuns casos onde o atacante se passa por alguém da empresa, normalmente do departamento de informática, para obter informações do usuário.
Como numa ligação telefônica pergunta-se se o usuário está com algum problema na senha. O usuário normalmente diz que não e o hacker pede que ele confirme o nome de usuário e senha. Mamão com açúcar, como se diz por aqui.
Outra situação interessante é quanto alguém liga para uma empresa e diz estar procedendo uma pesquisa e gostaria de levantar algumas informações... Blá blá blá, blá blá blá, o técnico diz qual é o sistema operacional que usa, versão de service pack, sistema de correio ect e tal.
Para você, Paulo, e para quem desejar saber um pouco mais sobre técnicas de ataque, recomendo o best seller "Exposing Hackers" ou "Hackers
Expostos", na versão em português. O livro, apesar de um pouco batido, dá boas dicas de segurança e é um bom começo. Em algumas partes ele dá bons exemplos de engenharia social.

Parte IV

Por mais extraordinário que possa parecer, o método mais simples, mais usado e, infelizmente, mais eficiente de se descobrir uma senha é... adivinha? Perguntando!!É sério... Basta alguém de boa lábia perguntar a um funcionário despreparado que ele solta a língua. Pode não ser a senha, mas ele vai contar o tipo de sistema, o tipo de computador, e o que mais ele ver pela frente. Tudo vai depender de quão bom é o "Engenheiro Social", e quantos conhecimentos sobre a empresa ele possui.

Se você já ligou para uma central de atendimento de cartão de crédito, já deve ter percebido que o método usado para se certificar de que é você mesmo quem está do outro lado do telefone, e não outra pessoa, é extremamente falho. Uma certa vez conseguimos uma senha para saques em bancos 24 horas sem precisar dar nenhuma prova concreta de que era realmente nós que estávamos recebendo esta informação fundamentalmente sigilosa...

Preste atenção no tipo de informação que sai da empresa, nos papéis jogados no lixo e na entrada da pessoas estranhas. Um prato cheio para se praticar a engenharia social é encontrar um organograma da empresa. A partir daí, o intruso vai saber exatamente com quem está falando, podendo se fazer passar, inclusive, por um chefe seu.

O legendário hacker Kevin Mitnick aprontava muito das suas desta maneira. Um dos casos mais interessantes foi quando ele e seus amigos resolveram aprontar com uma certa empresa (que não importa o nome). Primeiro eles fizeram um "Cavalo de Tróia" que permitiria entrar do sistema da empresa, o embalaram de forma idêntica aos produtos originais como se fosse um up-grade de software, e entregaram na própria empresa (estavam disfarçados de carteiros, pois se mandassem pelo correio configuraria fraude postal).

Só que o pessoal da empresa sequer se preocupou em efetuar o tal "up-grade". O jeito foi voltar à empresa à noite, e após convencer o segurança de que tinham um relatório importantíssimo para terminar, conseguiram entrar e puderam vasculhar tudo, recolher cópias de programas, informações sobre a empresa, e entre outras coisas, implantar algumas informações em cadernos telefônicos de secretárias. Depois disso, era muito fácil, por exemplo, dizer o que estava escrito em certo caderno e pedir para que lessem o resto.

Também teve a vez em que Kevin queria saber se sua linha telefônica estava grampeada, e simplesmente ligou para central fingindo ser um técnico de lá (ele sabia os jargões usados na área), perguntou pelo próprio número e foi tiro e queda: a pessoa abriu o jogo para ele...

Este realmente é um Mestre na Engenharia Social, mas existem muitos outros espalhados por aí. É melhor você ter cuidado com o tipo de pergunta que te fazem e, principalmente, o tipo de resposta que você vai dar.

Parte V

Mitnick: ameaça é a engenharia social. Kevin Mitnick, o mais famoso hacker do mundo, deu o alerta esta semana de que não adianta nada as empresas se preocuparem com seus sistemas de segurança e deixarem de lado o principal perigo: a engenharia social.

Em uma entrevista ao site Infoconomy, Mitnick declarou que as empresas ficam expostas aos hackers porque não têm consciência das técnicas de engenharia social usadas pelos atacantes mais perigosos: a manipulação. ":A maioria das pessoas acha que, por não se considerarem ingênuas, não podem ser manipuladas.

Mas nada está mais longe da verdade do que isto", disse. O hacker admitiu que muitas vezes se valeu de truques de manipulação que, aliados ao seu know-how em em tecnologia, o levaram a quebrar diversos sistemas nos quinze anos em que se manteve nesta atividade.

Na opinião de Mitnick, bastava só persuadir funcionários mais desavisados a compartilharem informações vitais, como nomes de lajem e senhas - foi assim que ele afirma ter invadido a rede da Sprint, se passando por um engenheiro da Nortel Networks para o qual os funcionários passaram dezenas de logins e senhas para o acesso aos switches. "A ameaça da engenharia social é substancial", declarou o hacker ao site. "As pessoas deveriam saber que você pode comprar a melhor tecnologia do mundo, mas isto não protegerá sua empresa contra estas técnicas".

O especialista também considera um grave erro não treinar o pessoal da empresa para este tipo de procedimento, porque o funcionário não pode adivinhar o quão perigoso é passar informações por telefone a estranhos que se passam por profissionais de outras companhias ou da própria empresa.

Um dos complicadores, adiciona, é a postura dos próprios superiores, que ignoram procedimentos de segurança quando querem que um de seus funcionários execute uma tarefa imediatamente. "O funcionário nem vai questionar se a pessoa que ligou disser que quer algo a pedido do CEO da empresa", acredita. Mitnick ressalta que a técnica da manipulação não é apenas uma questão de sorte: geralmente os "engenheiros sociais" pesquisam profundamente seu alvo antes de atacar, para descobrir as culturas da empresa, sua estrutura coporativa e quem tem acesso a que tipo de informação.

Isto sem contar com tudo o que pode ser descoberto sobre uma empresa apenas ao se examinar sua lata de lixo. Resumindo, a recomendação do famoso hacker é a seguinte: "Treinem mais rigorosamente seus funcionários para que eles estejam alertas sobre o perigo da manipulação".

por JOINNOTFREE atualizado em 15/01/2003