Engenharia Social: o malware mais antigo do mundo

Olá Pessoal!

Uma das práticas hackers mais antigas não diz respeito à exploração de falhas em  computadores, mas sim no comportamento humano.

Empresas e órgãos governamentais investem muito dinheiro em segurança por  meio de inovações tecnológicas: antivírus, firewall, proxy, sistemas para  detectar invasões, autenticação por biometria. Tudo isso custa caro e, por  incrível que pareça, pode ser completamente inútil se os funcionários que  trabalham com essas tecnologias não tiverem o treinamento adequado.

E não estamos falando aqui de um treinamento sobre como trabalhar com o  equipamento recém-comprado, mas sim de como se comportar dentro do ambiente de  trabalho. O sistema de autenticação por digitais não servirá para nada se o  segurança, por simpatia ou educação, abrir a porta para funcionários ou  desconhecidos.

São situações como essas que podem levar hackers a romperem barreiras de  segurança aparentemente impenetráveis. E essas situações também compõem o campo  de batalha em que atuam muitos hackers.

Frank Abagnale Jr.

Fonte da imagem: Wikipedia

Quem assistiu ao filme “Prenda-me se for capaz” já sabe do que a se trata a  Engenharia Social. No filme podemos conferir Leonardo DiCaprio aplicando golpes  no papel de Frank Abagnale Jr., um falsário que abusou das técnicas de  Engenharia Social para conseguir o que queria: dinheiro e aventura.

A Engenharia Social é uma técnica antiga e muito popular, que poderia ser  traduzida, grosso modo, como “enganar pessoas”. A ideia é que o engenheiro  social, como são conhecidos aqueles que praticam essa arte, possa manipular  pessoas para que elas revelem informações importantes ou, então, para que elas  façam algo que facilite o trabalho dele.

Além disso, a Engenharia Social também pode ser encarada como uma maneira de  tirar proveito em benefício próprio, por meio de truques psicológicos, ao  manipular a tendência que as pessoas possuem de confiar umas nas outras.

Existem diversos motivos para alguém estudar e usar esses truques: espionagem  industrial, obter informações confidenciais para cometer alguma fraude, roubo de  identidade, interromper redes e serviços ou, simplesmente, por pura diversão,  apenas para provar que nenhum sistema é seguro o suficiente.

O famoso hacker Kevin Mitcnick foi um dos responsáveis pela  popularização do  termo Engenharia Social. Em seu livro “A arte de  enganar”, Mitnick conta que  teve o primeiro contato com a técnica aos 12  anos, quando percebeu que os  bilhetes usados para as baldeações de  ônibus usavam um esquema peculiar de  furos em papel, utilizados pelos  motoristas para marcar o dia, a hora e o  itinerário das viagens.

Kevin Mitnick

Fonte da imagem: Mitnick Security Consulting

Kevin se demonstrou interessado por aprender mais sobre os furos nos bilhetes  e conseguiu uma bela explicação com um motorista que acabara se tornando amigo  do rapaz que viria a se tornar um dos hackers mais conhecidos do mundo. Depois  disso, com um furador e bilhetes sem uso que ele encontrava nas lixeiras dos  terminais de ônibus, Kevin passou a viajar de graça pela Grande Los Angeles.

Muitas vezes o engenheiro social nem precisa encontrar pessoalmente a vítima  para conseguir o que deseja. Boa parte dos ataques é feita por meio de um  simples telefonema, sem nem mesmo ter ideia de como a vítima se parece. Kevin  Mitnick também aprendeu a usar a Engenharia Social para burlar a segurança das  redes de telefonia.

Uma das diversões do jovem phreaker era conversar com atendentes que  pudessem alterar a classe de serviço dos amigos. Assim, quando um deles pegava o  telefone de casa para fazer uma ligação, uma mensagem eletrônica pedia para que  eles depositassem 25 centavos para poder concluí-la, como se eles estivessem  discando a partir de um telefone público.

É claro que nem sempre os hackers usam esses truques para pregar peças nos  amigos. Prejuízos grandes já foram causados a empresas por causa do senso de  confiança de pessoas e empresas. Uma dessas ações foi parar até mesmo no “Guinness, o Livro dos Recordes”. O responsável pela façanha foi Stanley Mark  Rifkin, um consultor de banco que conseguiu roubar US$ 10,2 milhões por meio de  uma transferência bancária feita com telefonemas, em 1978.

Mas como agem os engenheiros sociais? Quais descuidos eles esperam que você  tenha, para que possam atacar? Vejamos alguns truques que os agressores costumam  aplicar e, consequentemente, o que podemos fazer para não nos tornarmos uma  vítima.

Tática nº 1: ambiente de trabalho

 

Pequenos descuidos no ambiente de trabalho podem levar a prejuízos enormes!

Talvez você não perceba, mas deve ter dados confidenciais ou importantes  totalmente desprotegidos dentro do escritório ou do setor para o qual você  trabalha. Eles estão em diversos locais e só precisam de um pouco de falta de  atenção para que caiam nas mãos de alguém mal-intencionado.

Quer um exemplo? A maior parte das empresas reaproveita folhas de sulfite  para impressões de documentos que circularão apenas internamente. Essa é uma  prática que traz economia e, ao mesmo tempo, demonstra uma preocupação  ambiental. Porém, não é raro encontrar na pilha de papéis reaproveitáveis alguns  demonstrativos ou relatórios internos que possam ter informações secretas. Ainda  pior, pode ser que você encontre até folhas com a palavra “CONFIDENCIAL” estampada no cabeçalho.

Existe outro destino comum para essas folhas: a lixeira. Se a sua empresa não  tem um triturador de papel para uso dos funcionários, pode ser que seja hora de  comprar um. Muitos documentos que estão sendo descartados no lixo podem estar  parcialmente ou totalmente legíveis.

Muitas vezes esses papéis contêm informações aparentemente simples, como o  nome ou o telefone de pessoas e departamentos, mas que podem ser usadas em  conjunto com outras táticas. Até mesmo um calendário ou uma agenda jogada no  lixo pode revelar detalhes da presença ou não de pessoas na empresa.

Tática nº 2: portas e catracas

 

Biometria pode ajudar, mas outras práticas devem ser consideradas.

Ter acesso aos departamentos onde se encontram esses tesouros também não  costuma ser um problema para os engenheiros sociais. Para isso, muitas  estratégias podem ser aplicadas e algumas até chegam a parecer ideia de filmes  de Hollywood.

Uma prática comum para entrar em setores protegidos é aproveitar a entrada de  alguém. Quando o engenheiro social vê que a porta para o local foi desbloqueada  por alguém, ele chega de surpresa, sorridente, dizendo que vai aproveitar a “carona”. Isso provavelmente não funcionaria em uma empresa com poucos  funcionários, mas em grandes corporações, que ocupam diversos andares, é muito  provável que confundam o engenheiro com um funcionário novo ou ainda  desconhecido.

Essa prática também exige uma pesquisa prévia do invasor. Quanto mais ele  souber sobre o local e as pessoas que trabalham por lá, melhor. Basta usar a  roupa e as palavras certas para se disfarçar de empregado ou de alguém com  permissão para estar ali.

E por falar em roupas, elas podem abrir muitas portas. Um sujeito  uniformizado, que diz estar ali para trocar lâmpadas queimadas ou consertar o  ar-condicionado pode receber a permissão de um recepcionista despreparado e  caminhar livremente pelos setores.

Algo ainda mais simples pode funcionar. Alegando que esqueceu o cartão de  funcionário em casa, um invasor pode acabar descobrindo falhas no sistema de  catracas da entrada do edifício comercial. Muitos desses sistemas não funcionam  bem ou são simplesmente ignorados por quem devia ler os relatórios de entrada e  saída dos funcionários.

Um recepcionista, ao querer ajudar o “funcionário” que chegou atrasado e sem  crachá, poderia revelar, sem querer, uma falha de segurança para o invasor, que  voltaria a explorá-la quando fosse conveniente. São pequenos descuidos como esse  que podem colocar a segurança de uma organização em risco.

Tática n° 3: telefone

 

Cuidado com os dados que você passa pelo telefone!

O telefone é a ferramenta preferida dos engenheiros sociais. E não é à toa:  com uma simples ligação é possível conseguir informações confidenciais e acesso  a pessoas importantes da organização.

A estratégia é a mesma que você deve estar imaginando no momento: ao ligar  para a vítima, o engenheiro social imita a voz de uma pessoa conhecida e se  passa por ela. Assim como outras estratégias de ataque, essa também exige  pesquisa e preparo para ser realizada, e com informações obtidas no lixo das  empresas fica ainda mais fácil enganar a vítima.

O Help Desk é um setor muito visado por quem pratica esse tipo de ataque.  Como os atendentes estão ali para ajudar e prestar suporte para quem ligar, eles  já estão predispostos a entregar informações cruciais, involuntariamente.

Sendo assim, vale a pena ficar atento e lembrar-se de não revelar informações  importantes ou pessoais sem ter certeza da identidade da pessoa com a qual você  está falando.

Tática nº 4: espiar o teclado

 

Digite rápido para evitar o olhar dos espertinhos!

Não é à toa que os avisos em caixas eletrônicos pedem para que as pessoas da  fila respeitem um limite de distância enquanto outro cliente estiver usando o  equipamento. Espiar alguém digitando uma senha é muito fácil e pode causar  grandes dores de cabeça para a vítima.

Em inglês essa técnica tem até um nome divertido: shoulder surf, ou  seja, obter informações aos “surfar” por cima dos ombros de alguém. O engenheiro  social pode combinar essa técnica com outras, como ao entrar ilegalmente em uma  área restrita.

Portanto, quando tiver desconhecidos por perto e você precisar informar uma  senha, tente digitá-la rapidamente, para dificultar a ação do “surfista de  ombros”.

Tática nº 5: internet

 

A internet pode ser uma ferramenta dos engenheiros sociais.

Com a popularidade de spammers, golpistas virtuais, vírus e outros malwares,  está cada vez mais difícil ser enganado por email ou chat. Porém, é sempre bom  lembrar que engenheiros sociais também podem usar esses meios de comunicação  para arrancarem dados ou manipularem alguém.

Um truque comum é o engenheiro social tentar se passar por administrador da  rede ou técnico de um serviço que possa estar apresentando “problemas”. Com essa  abordagem, pode ser que ele consiga o usuário e a senha da vítima. E já que  muitas pessoas costumam usar a mesma senha para diversos perfis online, o  agressor acaba tendo acesso a uma grande quantidade de informações pessoais da  vítima.

Tática nº 6: amizade

 

Fingir ser amigável é uma ótima estratégia!

Nenhuma das táticas mencionadas acimas funcionam muito bem se o engenheiro  social não explorar as fraquezas psicológicas do ser humano. Para isso ele  costuma usar muitos truques.

Um desses truques, por exemplo, é fazer com que a vítima se sinta submissa a  um procedimento, usando falhas do comportamento ou convívio em grupo. Um exemplo  seria abordar o funcionário de uma empresa alegando que todos do setor já  responderam uma pesquisa e que só falta ele. Dessa forma, dificilmente o  funcionário se recusaria a “colaborar” com o malfeitor.

A personificação também é muito aplicada, como já exemplificamos  anteriormente. O engenheiro social finge ser outra pessoa para ter acesso a  informações e locais protegidos: zelador, técnico de informática, gerente,  parceiro comercial da empresa, ou simplesmente um empregado novo são algumas das  possibilidades.

Mas nenhuma das técnicas desse item funciona bem sem a amizade. Fingir ser  simpático e amigo da vítima é essencial para que o ataque seja bem-sucedido.  Além disso, o engenheiro social terá a preocupação de não tentar arrancar todas  as respostas em um período muito curto de tempo. Por isso a amizade se torna tão  importante.

É claro que este não é um guia que acaba com o assunto. Essas são apenas as  técnicas mais comuns e amplamente divulgadas em sites, livros e filmes. Para  mais informações, recomendamos a leitura do já citado “A arte de enganar”, de  Kevin Mitnick.

Além disso, há um filme baseado na história de Mitnick e que conta como  Tsutomu Shimomura conseguiu rastrear e prender Mitnick. O nome do filme é “Caçada Virtual” (Takedown) e nele podemos assistir a algumas técnicas de  Engenharia Social usadas pelo hacker.

 

Também citado anteriormente, Frank Abagnale Jr. é mais um caso de engenheiro  social que, depois de preso, também foi parar nas telonas, interpretado no  cinema por Leonardo DiCaprio em “Prenda-me se for capaz”. O filme é inspirado na  autobiografia de Abagnale, que também merece ser lida. O criminoso se passou por  piloto de avião, professor assistente, médico e procurador, além de ter causado  fraudes bancárias.

Hoje tanto Abagnale quanto Mitnick colaboram com órgãos governamentais,  bancos e outras instituições para ajudarem a aumentar a segurança dessas  instituições. Mas antes disso, vale a pena lembrar que eles viram o sol nascer  quadrado por alguns anos.

Fonte:  http://www.tecmundo.com.br/8445-engenharia-social-o-malware-mais-antigo-do-mundo.htm

Bem pessoal é isso aí! Um pouco mais de conhecimento compartilhado sobre segurança da informação.

Alex Feleol

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google

Você está comentando utilizando sua conta Google. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s