<<< Leia isso com atenção >>> Isso pode ser mais importante do que sua faculdade podre. Temas abordados nesse texto: inteligência, oportunidade, negócios, dinheiro, sucesso, hacker, invasão com propósito de roubar dinheiro, comercio, informações em geral a respeito de ganhar dinheiro em cima das pessoas de menor poder intelectual.
Engenharia Social é o termo utilizado para a obtenção de
informações importantes de uma empresa, através de seus usuários e
colaboradores. Essas informações podem ser obtidas pela ingenuidade ou confiança.
Os ataques desta natureza podem ser realizados através de telefonemas, envio de
mensagens por correio eletrônico, salas de bate-papo e pasmem, até mesmo
pessoalmente.
Parte II ENGENHARIA SOCIAL O termo é intrigante e até pomposo não é mesmo? Engana-se quem pensa que tem a ver com ciências exatas ou sociologia, Engenharia Social é o método de se obter dados importantes de pessoas incautas através da velha e conhecida lábia... No popular é um tipo de vigarice mesmo pois é assim que muitos habitantes do underground da Internet operam para conseguir senhas de acesso, números de telefones, nomes e outros dados que deveriam ser sigilosos; tapeando os outros... Como fazem isso? Simplesmente perguntam... É claro que para se obter êxito é preciso um certo talento para enganar os outros. Até fora da Internet é comum o uso desse artifício, por exemplo: alguém liga para sua casa fazendo-se passar por um funcionário de sua agência bancária ou da administradora de seu cartão de crédito, confirma alguns de seus dados pessoais como nome, telefone e endereço e pede sua ajuda pois as senhas estão sendo trocadas por segurança e é preciso que você diga sua senha para que as providências sejam tomadas... Esse seria um dos casos mais básicos de Engenharia Social mas a sofisticação desse tipo de golpe pode ir muito mais longe dependendo do artista que o aplica e também do nível técnico e treinamentos da vítima. A tecnologia avança a passos largos mas a condição humana continua na mesma em relação a critérios éticos e morais... Enganar os outros deve ter sua origem na pré-história portanto o que mudou foram apenas os meios para isso. Em redes corporativas que são alvos mais apetitosos para invasores e abelhudos o perigo é ainda maior e pode estar até sentado ao seu lado. Um colega poderia muito bem tentar obter a sua senha de acesso mesmo tendo uma própria pois sabe-se que muitos dos ataques sofridos em redes partem de funcionários ou ex-funcionários insatisfeitos... Uma sabotagem feita sob a sua senha parece bem mais interessante do que com a senha do autor não é mesmo? Revirar lixo também é uma prática comum nesse campo pois muitos documentos importantes com dados sigilosos podem ser obtidos dessa maneira. Uma relação de nomes com telefones, endereços e outros que tais; uma lista de passwords e até mesmo um simples organograma pode servir para alguém passar-se por outro que seja seu superior na escala hierárquica. Convém atentar para o fato de que além da abordagem simpática e confiável ou mesmo autoritária e imperativa o engenheiro poderá estar munido de outros recursos conseguidos em abordagens preparatórias: nomes de funcionários reais, códigos ou jargões conhecidos do pessoal da comunidade, alegação de urgência e etc... Kevin Mitnick que é ou foi um dos hackers mais conhecidos do mundo, esteve preso nos EUA até o começo deste ano é ou era um verdadeiro expoente entre os engenheiros sociais. Diz-se que suas habilidades nesse campo são muito mais avançadas do que em conhecimentos técnicos de informática propriamente dita. Leiam alguns trechos do livro O Jogo do Fugitivo de Jonathan Littman – Ed. Rocco que descrevem como Kevin agiu em alguns casos e o que pensava a respeito: “Aos 13 anos já revirava lixeiras perto de companhias telefônicas para encontrar manuais técnicos jogados fora.” “Mitnick telefona para os escritórios dos Oakwood Apartments. Sabe que os Oakwoods fazem parte de uma enorme cadeia nacional. Ele gosta do jogo, da farsa que está prestes a representar. Ele já sabe qual é a estrutura de pessoal da companhia, mas, quando liga, pede desculpas, explicando ser um funcionário novo. É amistoso e confiável , e as pessoas parecem gostar dele naturalmente. A mulher que o atende pega o cadastro do atual ocupante do 107b. Absolutamente nenhum problema.” “Ele faz seu trabalho de detetive basicamente com telefones. Imita o alvo, envia por fax autorizações com assinaturas autenticas, diz que um incêndio queimou os arquivos. Qualquer tipo de estratagema que seja capaz de imaginar.” “No Wells Fargo só é preciso o código diário e o número da previdência social para ter acesso às informações privadas do cliente. Mitnick liga para uma filial cujo número encontra num catálogo, finge ser um gerente e consegue obter o código do dia. A seguir, telefona para a filial onde seu alvo tem conta e convence o caixa a ler tudo o que consta no cartão de assinaturas dele: números da conta e da previdência social, nome de solteira da mãe e endereço comercial. Ele digita o número da conta acrescida dos últimos quatro dígitos do seu número de previdência no telefone. Ouve a voz sintetizada do computador recitar um resumo do extrato bancário.” “Às vezes faço engenharia social, diz Mitnick . Estou dirigindo e penso: e se ela cair nesse papo? Aí pego o telefone e mando brasa. Quer dizer, não se precisa de grandes estudos ou planejamentos. Alguns dos lugares mais interessantes foram investigados assim. É como se eu telefonasse para essa ou aquela divisão, visse que havia algum idiota lá e metesse um blablablá.” Pois bem, agora que já sabem o que é a Engenharia Social e que funciona na base da manipulação psicológica, o que fazer para se precaver? Em empresas é recomendável que exista uma política de segurança centralizada e bem divulgada para que todos saibam a quem recorrer em casos de dúvidas além de orientação e esclarecimentos aos usuários. No caso particular eu sugiro um upgrade no desconfiômetro mas não a ponto de se tornar uma pessoa desconfiada de todos, paranóica... Basta estar sempre alerta para pedidos de dados sigilosos, nunca divulgar senha nenhuma em qualquer circunstância pois a mesma perde o sentido se não se mantiver secreta. Parte III Engenharia Social Senhores
leitores, transcrevo abaixo alguns e-mails encontradas no "Grupo de discussões"
do Scua sobre "Engenharia Social". Aproveito também a oportunidade
para convidas a todos interessados em segurança e vírus para fazer parte do
grupo, basta entrar na página da Seil (fabricante do Scua). www.scua.net
Parte IV Por mais extraordinário que possa parecer, o método mais simples, mais usado e, infelizmente, mais eficiente de se descobrir uma senha é... adivinha? Perguntando!!É sério... Basta alguém de boa lábia perguntar a um funcionário despreparado que ele solta a língua. Pode não ser a senha, mas ele vai contar o tipo de sistema, o tipo de computador, e o que mais ele ver pela frente. Tudo vai depender de quão bom é o "Engenheiro Social", e quantos conhecimentos sobre a empresa ele possui. Se você já ligou para uma central de atendimento de cartão de crédito, já deve ter percebido que o método usado para se certificar de que é você mesmo quem está do outro lado do telefone, e não outra pessoa, é extremamente falho. Uma certa vez conseguimos uma senha para saques em bancos 24 horas sem precisar dar nenhuma prova concreta de que era realmente nós que estávamos recebendo esta informação fundamentalmente sigilosa... Preste atenção no tipo de informação que sai da empresa, nos papéis jogados no lixo e na entrada da pessoas estranhas. Um prato cheio para se praticar a engenharia social é encontrar um organograma da empresa. A partir daí, o intruso vai saber exatamente com quem está falando, podendo se fazer passar, inclusive, por um chefe seu. O legendário hacker Kevin Mitnick aprontava muito das suas desta maneira. Um dos casos mais interessantes foi quando ele e seus amigos resolveram aprontar com uma certa empresa (que não importa o nome). Primeiro eles fizeram um "Cavalo de Tróia" que permitiria entrar do sistema da empresa, o embalaram de forma idêntica aos produtos originais como se fosse um up-grade de software, e entregaram na própria empresa (estavam disfarçados de carteiros, pois se mandassem pelo correio configuraria fraude postal). Só que o pessoal da empresa sequer se preocupou em efetuar o tal "up-grade". O jeito foi voltar à empresa à noite, e após convencer o segurança de que tinham um relatório importantíssimo para terminar, conseguiram entrar e puderam vasculhar tudo, recolher cópias de programas, informações sobre a empresa, e entre outras coisas, implantar algumas informações em cadernos telefônicos de secretárias. Depois disso, era muito fácil, por exemplo, dizer o que estava escrito em certo caderno e pedir para que lessem o resto. Também teve a vez em que Kevin queria saber se sua linha telefônica estava grampeada, e simplesmente ligou para central fingindo ser um técnico de lá (ele sabia os jargões usados na área), perguntou pelo próprio número e foi tiro e queda: a pessoa abriu o jogo para ele... Este realmente é um Mestre na Engenharia Social, mas existem muitos outros espalhados por aí. É melhor você ter cuidado com o tipo de pergunta que te fazem e, principalmente, o tipo de resposta que você vai dar. Parte V Mitnick: ameaça é a engenharia
social. Kevin Mitnick, o mais famoso hacker do mundo, deu o alerta esta semana de que não adianta nada as empresas se preocuparem com seus sistemas de segurança e deixarem de lado o principal perigo: a engenharia social.
|