Your SlideShare is downloading. ×
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA  SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA  SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA  SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA  SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA  SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA  SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA  SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA  SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA  SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA  SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA  SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA  SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA  SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA  SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA  SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA  SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA  SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA  SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA  SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA  SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA  SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA  SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA  SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA  SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA  SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA  SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA  SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA  SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA  SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA  SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA  SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA  SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA  SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA  SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA  SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA  SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA  SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA  SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA  SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA  SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA  SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA  SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA  SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA  SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA  SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA  SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA  SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA  SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA  SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA  SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA  SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA  SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA  SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA  SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA  SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA  SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA  SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA  SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA  SEGURANÇA DA INFORMAÇÃO
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA SEGURANÇA DA INFORMAÇÃO

3,381

Published on

ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA …

ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA
SEGURANÇA DA INFORMAÇÃO

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
3,381
On Slideshare
0
From Embeds
0
Number of Embeds
6
Actions
Shares
0
Downloads
148
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. 0 UNIVERSIDADE ESTÁCIO DE SÁ RIO DE JANEIRO ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA SEGURANÇA DA INFORMAÇÃO DIEGO DOS SANTOS SOUZA RIO DE JANEIRO 2013
  • 2. 1 UNIVERSIDADE ESTÁCIO DE SÁ RIO DE JANEIRO ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA SEGURANÇA DA INFORMAÇÃO DIEGO DOS SANTOS SOUZA Trabalho de Conclusão de Curso apresentado à Universidade Estácio de Sá, como requisito final para obtenção do título de especialista em Segurança de Redes de Computadores. RIO DE JANEIRO 2013
  • 3. 2 AGRADECIMENTOS Agradeço primeiramente a Deus por me proporcionar a oportunidade da vida e me dá forças e saúde, sem isso não seria possível superar os obstáculos e prosseguir. Aos meus pais, por me ensinarem o valor da vida, do caráter e da dedicação. A minha esposa Ethiene Cristina que sempre me deu apoio e me ajudou em tudo que foi necessário, me incentivando a todo o tempo, para que eu pudesse dar o melhor de mim.
  • 4. 3 RESUMO A engenharia social consiste na arte de enganar seres humanos, com objetivo na obtenção de informações sigilosas. Onde os engenheiros sociais exploram falhas humanas. Utilizando diversos métodos ilusórios como: dinheiro fácil, amor, curiosidade (e-mail informando que o usuário ganhou um prêmio e outros assuntos atrativos). Essas pessoas dotadas de conhecimento amplo em técnicas e esperteza para analisar o perfil de sua vítima são conhecidas como Engenheiros Sociais, eles criam e traçam uma estratégia para conseguir seus objetivos através da ingenuidade das vítimas. Assistimos isso acontecendo a todo tempo principalmente através da internet. As vítimas normalmente são pessoas comuns que não compreendem ou não valorizam suas informações, a ponto de resguardá-las destes agentes mal intencionados. Caem em suas armadilhas. Palavras-chave: Engenharia Social; Falhas Humanas; Informações.
  • 5. 4 ABSTRACT Social engineering is the art of deception in human beings, in order to obtain sensitive information. Where the social engineers exploit human failures. Using various methods such as illusory: easy money, love, curiosity (email stating that the user has won na award and other attractive subjects). These people have broad knowledge and cunning techniques to analyze the profile of his victim are known as social engineers, they create and map a strategy to achieve their goals through the ingenuity of the victims. We see this happening all the time mainly via the internet. The victims are usually ordinary people who do not understand or do not value your information, safeguarding them from these malicious agents. Fall into their traps. Keywords: Social Engineering; Human Error; Information. Atualmente o m
  • 6. 5 LISTA DE TABELAS Tabela 1: Tipos de Pessoas.......................................................................................................16 Tabela 2: Tipos de Intrusos.......................................................................................................25 Tabela 3: Áreas de Risco, Táticas e Estratégias........................................................................46 LISTA DE ILUSTRAÇÕES Ilustração 1: Caixa de Entrada.................................................................................................31 Ilustração 2: Caixa de Entrada - Updates.................................................................................32 Ilustração 3: Bankline...............................................................................................................33 Ilustração 4: Phasma 3000.......................................................................................................38
  • 7. 6 SUMÁRIO 1.1 ENGENHARIA SOCIAL EM QUESTÃO ......................................................................9 1.2 FATOR HUMANO ..........................................................................................................10 1.2.1 Características de Vulnerabilidades Humanas...........................................................13 1.2.2 Engenharia Social + PNL..............................................................................................14 1.2.3 Princípios da PNL..........................................................................................................15 1.2.4 Tipos de Pessoas.............................................................................................................15 1.2.5 Alvos de um ataque........................................................................................................16 2 MÉTODO DE MANIPULAÇÃO.......................................................................................18 2.1 Manipulação de Sentimentos...........................................................................................18 2.2 Curiosidade .......................................................................................................................19 2.3 Confiança...........................................................................................................................20 2.4 Simpatia.............................................................................................................................21 2.5 Culpa..................................................................................................................................22 2.6 Medo ..................................................................................................................................23 2.7 Dicas para o Sucesso da Manipulação............................................................................24 3 FORMAS DE ATAQUES...................................................................................................25 3.1 Engenharia Social por Telefone ......................................................................................26 3.2 Através do Lixo ( Dumpster divining)............................................................................26 3.3 Senhas ................................................................................................................................26 3.4 Engenharia Social via Web..............................................................................................27 3.5 Engenharia Social Inversa...............................................................................................27 3.6 Utilizando Footprint.........................................................................................................29 3.7 Mesa Limpa.......................................................................................................................29 3.8 TRUQUES APLICADOS ................................................................................................30 3.9 E-mail Phishing.................................................................................................................30 3.10 Spear Phishing ................................................................................................................34 3.11 Whaling ...........................................................................................................................35 3.12 Vishing.............................................................................................................................35 3.13 E-mail Falso (Fake) ........................................................................................................37 3.14 Messengers Instantâneos................................................................................................40 4 FORMAS DE PREVENÇÃO.............................................................................................41 4.1 Dicas para não ser vítima da Engenharia Social ...........................................................42
  • 8. 7 4.2 Como se Proteger..............................................................................................................42 4.2.1 Política de Segurança (PSI) ..........................................................................................48 4.2.2 Plano de Treinamento e Conscientização....................................................................51 4.2.3 Plano de Resposta a Incidentes ....................................................................................54 CONCLUSÃO.........................................................................................................................56 REFERÊNCIAS LIVROS E ARTIGOS..............................................................................57 REFERÊNCIAS SITES .........................................................................................................58
  • 9. 8 INTRODUÇÃO A cada dia que passa surge novas tecnologias no mundo, todo esse processo acontece muito rápido. Por conta desse avanço tecnológico os fabricantes estão sempre criando métodos para a proteção das tecnologias pois da mesma maneira que ocorre o crescimento tecnológico, também ocorre o aumento das explorações de vulnerabilidades. Tentando evitar as barreiras de proteções existentes em programas, hardwares ou em algum outro equipamento tecnológico, a Engenharia Social caminha em passos largos com o objetivo de conseguir obter informações através do elo mais fraco, o ser humano. Que por sua vez não costuma estar conscientizado sobre o manuseio da informação, desconhece o perigo da divulgação das informações é composto de sentimentos e emoções, tornando-se uma ótima vulnerabilidade para um atacante. Engenharia Social é uma prática, geralmente usada por pessoas mal intencionadas para conseguir informações privilegiadas ou sensíveis, através de habilidades de persuasão, enganação ou exploração da confiança das pessoas. Alguns consideram essa prática uma arte, geralmente quem faz o ataque se aproveita de dados ou informações cujo quem está sendo atacada acha desnecessária e sem perceber acaba passando elas de "bandeja" para um atacante. O ser humano sempre vai tentar ser útil, de alguma forma tentar ajudar e com essa "fraqueza" é possível obter todas as informações necessárias. Este trabalho consiste em avaliar os perigos da utilização da técnica de engenharia social como forma de ataque, analisando os principais métodos e ferramentas, visando um esclarecimento simples através de exemplos de ataque, objetiva-se uma abordagem introdutória sobre a engenharia social visando simplificar a teoria para melhor entendimento do leitor. No trabalho proposto iremos utilizar a pesquisa bibliográfica, em uma abordagem qualitativa, comparando algumas fontes para alcançar os objetivos traçados, desse modo pretendemos analisar no que consiste a Engenharia Social suas ferramentas e técnicas.
  • 10. 9 1.1 ENGENHARIA SOCIAL EM QUESTÃO Neste capítulo pretendemos analisar a o termo Engenharia Social, como surgiu e o que significa. Mostraremos algumas características humanas que ajudam os Engenheiros Sociais em seus ataques. O termo engenharia social ficou conhecido no ano de 1990, através do famoso hacker Kevin Mitnick. Engenharia Social é uma prática, geralmente usada por hackers para conseguir informações privilegiadas ou sensíveis, através de habilidades de persuasão, enganação ou exploração da confiança das pessoas. Alguns consideram essa prática uma arte, geralmente quem faz o ataque se aproveita de dados ou informações cujo quem está sendo atacada acha desnecessária e sem perceber acaba passando elas de "bandeja" para um atacante. O ser humano sempre vai tentar ser útil, de alguma forma tentar ajudar e com essa "fraqueza" é possível obter todas as informações necessárias. "O Sistema pode ser impenetrável, 100% seguro, porém existem pessoas por trás desses sistema, e o fator humano é o elo mais fraco da segurança." (MITNICK, Kevin 15.09.2003) Muitos são os significados e interpretações dadas ao termo “Engenharia Social”. Uma das melhores encontradas é a seguinte: Engenharia Social é a ciência que estuda como o conhecimento do comportamento humano pode ser utilizado para induzir uma pessoa a atuar segundo seu desejo. Não se trata de hipnose ou controle da mente, as técnicas de Engenharia Social são amplamente utilizadas por detetives (para obter informação) e magistrados (para comprovar se um declarante fala a verdade). Também é utilizada para lograr todo tipo de fraudes, inclusive invasão de sistemas eletrônicos. (KONSULTEX, 2004 apud PEIXOTO, 2006, p. 4). As empresas hoje em dia dificilmente investem em treinamentos de conscientização para seus colaboradores, com isso as chances de um ataque de engenharia social dar certo é muito grande. A falta de segurança é um problema sério e, infelizmente, muitas universidades, empresas e muitos órgãos do governo não se exercitam, não se atualizam. Eles deixam seus sistemas vulneráveis a ataques e não têm o mínimo de perspicácia para perceber falhas humanas, cada vez mais exploradas por hackers. (MITNICK, Kevin 15.09.2003)
  • 11. 10 1.2 FATOR HUMANO Uma empresa pode ter adquirido as melhores tecnologias de segurança que o dinheiro pode comprar, pode ter treinado seu pessoal tão bem que eles trancam todos os segredos antes de ir embora e pode ter contratado guardas para o prédio na melhor empresa de segurança que existe. Mesmo assim essa empresa ainda estará vulnerável. Os indivíduos podem seguir cada uma das melhores práticas de segurança recomendadas pelos especialistas, podem instalar cada produto de segurança recomendado e vigiar muito bem a configuração adequada do sistema e a aplicação das correções de segurança. Esses indivíduos ainda estarão completamente vulneráveis. (MITNICK; SIMON, 2003, p. 3). Temos que tomar muito cuidado quanto às técnicas maliciosas que enganam até mesmos os especialistas no assunto. O próprio Mitnick considerado o maior especialista em engenharia social do qual se tem notícias, em uma das suas raras vindas ao Brasil no final do ano de 2003, concedeu uma entrevista para a Information Week Brasil, onde declarou que foi vítima de engenharia social ao receber uma ligação de um jornalista dizendo que havia conversado com seu editor. Desatento, Mitnick confiou na palavra do jornalista e deu uma entrevista sobre o livro. Depois, quando a reportagem foi publicada o editor de Mitnick ligou para ele furioso, pois toda a estratégia para o lançamento do livro The Art of Deception (A arte de enganar) havia sido prejudicada por causa da entrevista, que o editor não havia autorizado. (PEIXOTO, 2006). Existem várias maneiras de se realizar um ataque do tipo engenharia social um dos ataques mais utilizados é o da ligação telefônica, onde o atacante se passa por alguém importante da empresa e consegue informações privilegiadas. O velho e bom amigo telefone. Alguém liga para você dizendo que trabalha no departamento de tecnologia e que está verificando um problema na rede. Faz uma série de perguntas, pede para você digitar alguns comandos e cria um buraco na segurança. Parece tolice, mas 50% das invasões não se valem apenas da tecnologia, mas principalmente da fragilidade humana. A dica para os funcionários é checar a identidade de quem ligou e, para as empresas, adotar políticas de segurança e treinamento intensivo. O mais importante é demonstrar que todo mundo é vulnerável e pode ser manipulado, principalmente os que se julgam mais inteligentes. Eu já fui 'hackeado', achei engraçado na hora, mas depois parei para pensar e vi que tinha algo errado. Em meu livro, A Arte de Enganar, citei alguns exemplos, mas há sempre novas técnicas de persuasão.” (MITNICK, Kevin 2003 ) Normalmente não é necessário muito esforço para realizar grandes ataques, basta mexer com a curiosidade humana.
  • 12. 11 Em vez de ficar se descabelando para encontrar uma falha no sistema, o hacker pode largar no banheiro um disquete infectado, com o logotipo da empresa e uma etiqueta bem sugestiva: 'Informações Confidenciais. Histórico Salarial 2003'. É provável que alguém o encontre e insira na máquina”. (MITNICK, Kevin 2003) No trabalho, as pessoas nos solicitam coisas o tempo todo. Você tem o endereço de e- mail desta pessoa? Onde está a lista de clientes? Quem é o responsável desta parte do projeto? E adivinhe o que acontece? Às vezes as pessoas que fazem essas solicitações são aqueles que você não conhece pessoalmente, gente que trabalha em outro setor da empresa ou que alega trabalhar. Mas se as informações que dão coincidem e parecem ter o conhecimento. Alguém diz "Isso está no servidor XYZ…"; "...os planos do novo produto"), estendemos o nosso círculo de confiança para incluí-los e normalmente fornecemos aquilo que estão pedindo. Devemos parar um pouco e nos perguntar. "Por que alguém na organização precisa ver os planos do produto novo?" ou "Será que você podia me dar o nome do servidor no qual ele está?". Assim, fazemos outras perguntas. Se as respostas forem razoáveis e a maneira como a pessoa responde é segura, baixamos a guarda voltamos a nossa inclinação natural de confiar no nosso colega e fazemos (com toda a razão) tudo que ele quer que façamos. É da natureza humana achar que é improvável que você seja enganado em determinada transação, pelo menos até que tenha algum motivo para acreditar no contrário, nós ponderamos o risco e, em seguida, na maior parte das vezes, damos às pessoas o benefício da dúvida. Esse é o comportamento natural das pessoas civilizadas... pelo menos as pessoas civilizadas que nunca foram enganadas, manipuladas ou trapaceada sem uma soma grande em dinheiro. Quando éramos crianças, nossos pais nos ensinavam a não confiar em estranhos. Talvez todos devêssemos adotar esse antigo princípio no ambiente de trabalho de hoje. (MITNICK, Kevin 2003 – A Arte de Enganar). Um engenheiro social com grande experiência dificilmente pararia para pensar nas maneiras de invadir o banco de dados de uma delegacia ou departamento militar. Por que ele faria isso, quando com uma simples ligação para o departamento de polícia e um pouco de conversa para mostrar que ele está por dentro, ele conseguiria o que quer, da próxima vez ele apenas liga para um departamento diferente da polícia e usa o mesmo pretexto. Podemos nos perguntar não é arriscado ligar para uma delegacia ou departamento militar? O atacante não corre um risco imenso? A resposta é não... e por um motivo específico. As pessoas do departamento de polícia, assim como os militares, têm incutido nelas desde o seu primeiro dia na academia de polícia o respeito pela hierarquia, Se o engenheiro social esteja se fazendo passar por um sargento, tenente ou major, uma hierarquia mais alta do que aquela da pessoa com quem ele fala, a vítima será governada
  • 13. 12 pela lição bem aprendida que diz que você não questiona as pessoas com uma patente mais alta do que a sua. Todos devem ter conhecimento do modus operandi do engenheiro social, Ele coleta o máximo possível de informações sobre o alvo e usa essas informações para ganhar a confiança de alguém que trabalha dentro da empresa do alvo. Em seguida, ele ataca a jugular! (MITNICK, Kevin 2003 – A Arte de Enganar). O atacante cria uma forma para convencer o alvo de que ele tem um problema que na verdade não existe, ou, como neste caso, de um problema que ainda não aconteceu, mas que o atacante sabe que vai correr porque ele mesmo vai causar. Em seguida, ele se apresenta como a pessoa que pode fornecer a solução para o determinado problema causado. Devido à semente plantada com antecedência, quando o alvo descobre que tem um problema, ele mesmo faz a ligação telefônica para implorar ajuda. O atacante só tem de se sentar e esperar que o telefone toque, uma tática conhecida na área como engenharia social inversa. Um atacante que consegue fazer o alvo ligar para ele ganha credibilidade constante. “Se um estranho lhe fizer um favor e depois pedir outro em troca, não faça nada sem antes pensar cuidadosamente naquilo que ele está pedindo.” (MITNICK, Kevin 2003 – A Arte de Enganar). Se eu fizer uma ligação para alguém que acho que trabalha no help desk, não vou começar a pedir que ele prove a sua identidade. É nesse ponto que o atacante sabe que conseguiu. A maioria das informações comuns que um engenheiro social quer de um funcionário, independente do seu objetivo final, são as credenciais de autenticação do alvo. Com um nome de conta e uma senha em mãos de um único empregado na área certa da organização, o atacante tem o que ele precisa para entrar e localizar as informações que está procurando. Ter essas informações é como encontrar as chaves de um cofre; com elas em mãos é possível mover-se livremente pelo espaço corporativo e encontrar o tesouro que se busca. Antes que os empregados novos tenham acesso a qualquer sistema de computador da empresa, eles devem ser treinados para seguir as boas práticas de segurança, particularmente as políticas sobre nunca divulgar suas senhas. (MITNICK, Kevin 2003 – A Arte de Enganar). Atualmente as empresas se preparam com diversos equipamentos super avançados para proteger sua rede e sistemas, isso não é um bastante olhando para o lado da engenharia social, as empresas precisam se preocupar mais com a conscientização dos funcionários em questão da manipulação das informações sensíveis. “Não dependa das salvaguardas e firewalls de rede para proteger as suas informações. Olhe o seu ponto mais vulnerável.
  • 14. 13 Geralmente você descobre que aquela vulnerabilidade está no seu pessoal.” (MITNICK, Kevin 2003 – A Arte de Enganar). Normalmente as empresas utilizam a segurança da obscuridade para bloquear ataques em sua rede ou sistema é algo importante, mais não é o suficiente para estar totalmente segura. A segurança através da obscuridade não tem nenhum efeito para bloquear os ataques da engenharia social. Todo sistema de computadores do mundo tem pelo menos um ser humano que o usa. Assim sendo, se o atacante puder manipular as pessoas que usam os sistemas, a obscuridade do sistema é irrelevante. (MITNICK, Kevin 2003 – A Arte de Enganar). 1.2.1 Características de Vulnerabilidades Humanas É importante salientar que a engenharia social independente de sistemas computacionais, software e ou plataforma utilizada, o elemento mais vulnerável de qualquer sistema de segurança da informação é o ser humano, o qual possui traços comportamentais e psicológicos que o torna suscetível a ataques de engenharia social. Dentre essas características, pode-se destacar: Autoconfiança: As pessoas buscam transmitir em diálogos o ato de fazer algo bom, transmitir segurança, conhecimento, buscando sempre criar uma base para o início de uma comunicação ou ação favorável a uma organização ou indivíduo. Ser útil: É comum as pessoas agirem de forma cortes, bem como ajudar outros quando necessário. Fazer novas amizades: Muitas pessoas facilmente fazem amizades e contam tudo sobre suas vidas, ficando mais vulnerável e aberto a dar informações. Vaidade: Normalmente o ser humano costuma ser mais receptivo com aqueles que concordam com suas opiniões e ações. Persuasão: Capacidade de persuadir pessoas onde se busca obter respostas específicas. Isto é possível porque as pessoas possuem características comportamentais que as tornam vulneráveis a manipulação. Outra grande vulnerabilidade dentro da empresa é o próprio funcionário insatisfeito, desmotivado e desvalorizado. Todo o investimento em tecnologia, treinamentos e conscientização, pode ser jogado fora se a companhia não cuidar e valorizar seus funcionários. (PRESCOTT, 2007).
  • 15. 14 As pessoas cometem erros e normalmente sempre os mesmos. “Eu não sou criptoanalista, nem matemático. Apenas sei como as pessoas cometem erros e elas cometem sempre os mesmos erros.” (MITNICK; SIMON, 2005, p. 247). “Os seres humanos são seres imperfeitos e multifacetados. Além disso, situações de risco modificam seus comportamentos, e, decisões serão fortemente baseadas em confiança e grau de criticidade da situação.” (VARGAS, 2002 citado por POPPER; BRIGNOLI, 2003, p. 7). Em razão de todos esses fatores, sempre haverá brechas de segurança devido ao comportamento humano e sua falta de consciência com relação à segurança da informação, onde a engenharia social poderá produzir bons resultados. As características acima apresentadas fazem parte de um sistema em que possuem características comportamentais e psicológicas na qual a engenharia social passa a ser auxiliada por outras técnicas como: leitura fria1 , linguagem corporal, termos usados no auxílio da engenharia social para obter informações que não são físicas ou virtuais mas sim comportamentais e psicológicas. A engenharia social é praticada em diversos ramos, visando normalmente atacar um sistema de segurança informatizado ou não. Um engenheiro social não é, necessariamente um profissional da área de tecnologia, a engenharia social é uma técnica, portanto não precisa ser necessário um engenheiro social ser alguém que tenha cursado faculdade, mas trata-se de uma pessoa que possui conhecimentos em diversas áreas com o objetivo de encontrar falhas para a exploração. 1.2.2 Engenharia Social + PNL A Programação Neurolinguística2 é um conjunto de modelos, estratégias e crenças que seus praticantes utilizam visando principalmente ao desenvolvimento pessoal e profissional. Baseada na ideia de que a mente, o corpo e a linguagem interagem para criar a percepção que cada indivíduo tem das coisas e do mundo, e tal percepção pode ser alterada pela aplicação de diversas técnicas. A fonte que embasa tais técnicas, chamada de "modelagem", envolve a reprodução cuidadosa dos comportamentos e crenças daqueles que atingiram o "sucesso". 1 Leitura fria: É um conjunto de técnicas que buscam avaliar, de forma aprofundada ou superficial, uma pessoa ou um ambiente físico; principal ferramenta ao auxílio de diversas profissões ligadas as características comportamentais e psicológicas do ser humano. 2 Neurolinguística é a ciência que estuda a elaboração cerebral da linguagem. Ocupa-se com o estudo dos mecanismos do cérebro humano que suportam a compreensão, produção e conhecimento abstrato da língua, seja ela falada, escrita, ou assinalada
  • 16. 15 1.2.3 Princípios da PNL a) As pessoas respondem a sua experiência, não à realidade em si. b) Ter uma escolha ou opção é melhor do que não ter uma escolha ou opção. c) As pessoas fazem a melhor escolha que podem no momento. d) As pessoas funcionam perfeitamente. e) Todas as ações têm um propósito. f) Todo comportamento possui intenção positiva. g) A mente inconsciente contrabalança a consciente; ela não é maliciosa. h) O significado da comunicação não é simplesmente aquilo que você pretende, mas também a resposta que obtém. i) Já temos todos os recursos de que necessitamos ou então podemos criá-los. j) Mente e corpo formam um sistema. São expressões diferentes da mesma pessoa. k) Processamos todas as informações através de nossos sentidos. l) Modelar desempenho bem-sucedido leva à excelência. m) Se quiser compreender, aja. 1.2.4 Tipos de Pessoas A maioria dos problemas do engenheiro social é de como ele deve saber lhe dar com determinado tipo de pessoa. Pois as pessoas podem mudar seu temperamento. Devemos aprender como reconhecer e lidar com diferentes tipos de pessoas. Isso é importante se você está querendo realizar um teste humano no seu Penetration Test3 e realizar Engenharia Social nos diferentes colaboradores de sua empresa para ver como eles reagiriam a uma situação real. 3 Penetration Teste: Teste de penetração é um método que avalia a segurança de um sistema de computador ou de uma rede, simulando um ataque de uma fonte maliciosa. O processo envolve uma análise nas atividades do sistema, que envolvem a busca de alguma vulnerabilidade em potencial que possa ser resultado de uma má configuração do sistema, falhas em hardwares/softwares desconhecidas etc.
  • 17. 16 Tipos de pessoas Como reconhecer Como lidar Nervosos Parecem cansados e com raiva. Inquietos, impacientes. Pisando duro. Falam muito e alto e reclamam demais Paciência, tranquilidade, consideração, educação, calma, presteza, agilidade e sangue frio. Empatia, atenção redobrada e bom humor. Use o medo se necessário. Indecisos Apreensivos. Querem conversar mais sobre o assunto. Receosos de cometer erros. Falta-lhes segurança Moderação, calma, cortesia, confirme a opinião dele próprio. Demostre conhecimento e paciência. Use a simpatia. Desagradáveis Céticos(descrentes), perguntadores, conversadores, insultantes Franqueza, conhecimento, agilidade, cortesia, calma. Controle próprio. Também use o temor e medo Duvidosos Críticos, indiferentes, silenciosos, perguntam demais. Conhecimento da empresa, tato, perseverança. Ser convincente. Citar seus conhecimento de normas e seus limites. Silenciosos Não tem conhecimento. Podem ser pensadores. Podem estar fingindo saber. Podem estar infelizes Faça-lhes uma pergunta que os leve a responder algo que gere mais confiança. Espere pela resposta. Esteja atento as deixas. Tenha consideração e cortesia Dependentes Tímidos e sensitivos(sensíveis). Indecisos. Velhos, surdos e mudos. Infantis. Fáceis de convencer. Gentiliza, decisão. User a simpatia, pense por eles, ajude-os seja claro. De bom senso Agradáveis e Inteligentes Faça o que eles esperam. Seja eficiente e eficaz. Cortesia e consideração conquiste-os rapidamente e use a curiosidade TABELA 1 Fonte: (FLÁVIO, Araújo, 2010, p. 134) 1.2.5 Alvos de um ataque Se fizermos uma análise minuciosa, dificilmente não encontremos alguém ou alguma instituição que não tenha sido algo de um ataque de engenharia social. Geralmente somos questionados por um determinado assunto e logo percebemos que falamos até demais para a pessoa e que isso poderia ser algo perigoso se contado a outras. Isso quando a pessoa se dá conta; muitas vezes ela fala e nem percebe o conteúdo do que foi dito.
  • 18. 17 Nós Podemos mostrar vários exemplos; entre eles, uma proposta de emprego que nos interessa e, quando chegamos lá, nosso conhecido já ocupou a vaga, ou quando temos uma venda praticamente concretizada ou uma boa oferta de compra e novamente nosso amigo chegou na frente. Então nos questionamos: Mas como ele sabia? Só que nos esquecemos da conversa que tivemos na praça na noite de sexta quando estávamos reunidos “trocando uma ideia” e sem ao menos perceber o assunto foi comentado. Em grandes empresas, instituições financeiras, militares, órgãos do governo e até mesmo hospitais, a situação é semelhante. Só que, nesse caso, envolvem pessoas preparadas, os chamados hackers4 , e as formas de ataque utilizadas são mais audaciosas. A meta desses hackers é obter acesso não autorizado a sistemas, sabotar informações, espionagem industrial, roubo de identidade ou simplesmente sobrecarregar os sistemas a ponto de tirá-los de operação. (Saldanha,2002). Normalmente esses ataques são de baixo custo para o atacante e os prejuízos das empresas podem ser enormes também, normalmente o maior prejuízo sempre afeta o lado financeiro, pois os roubos da informações podem ciar um grande problema para a empresa atacada quando se trata de espionagem industrial. A maioria das vezes o atacado nem sabe que foi invadido e quando descobrem dificilmente conseguem rastrear de onde veio determinado ataque. Mesmo aquelas que descobrem que foram atacadas, dificilmente admitem o fato, com receio de prejudicarem sua reputação. Na Inglaterra, por exemplo, as empresas já podem ostentar um certificado de que exercitam boas práticas de mercado no que diz respeito à segurança da informação, que rapidamente está se tornando um diferencial competitivo para as empresas que souberem administrá-lo (Saldanha,2002). 4 - Hackers são conhecidos também como piratas da Internet, que tem como objetivo invadir os computadores desprotegidos utilizando as mais variadas técnicas para roubar informações (Módulo,2002).
  • 19. 18 2 MÉTODO DE MANIPULAÇÃO Esta parte do trabalho tem como objetivo apresentar os métodos de manipulação usados pelos Engenheiros Sociais. A partir disso, para que este texto tenha um entendimento fácil, foi necessário que a pesquisador aprofundasse seus estudos diretamente relacionados com livros correspondentes à área de Segurança da Informação. a) Por e-mail: O engenheiro social envia um e-mail para o alvo contendo informações que ele quer. Pode ser um pedido de documento importante ou fingindo ser alguém do suporte de TI e requerendo uma mudança de senha. De qualquer forma, seja a correspondência eletrônica ou real, quase sempre ela fica perfeita. Com o logotipo da empresa, o e-mail de origem parece mesmo que vem da empresa, tudo para não gera desconfiança. b) Agindo Pessoalmente: É o método mais arriscado, porém um dos mais eficientes. O engenheiro coloca uma boa vestimenta, um relógio com aparência de caro e uma maleta com um laptop. Passando-se por um cliente, por um colaborador da empresa ou até mesmo parceiro de negócios. As possibilidades são infinitas, já que as pessoas tendem a confiar mais em alguém muito bem vestido. Outra coisa que eles tendem a fazer pessoalmente: revirar o lixo de uma empresa em busca de informações importantes, como listas de empregados ou qualquer outra coisa que beneficie a Engenharia Social. c) Pelo telefone: O engenheiro se passa por alguém importante, finge precisar de ajuda ou mesmo se oferece para ajudar. O interesse dele é mexer com o sentimento das pessoas, fazendo com que elas acabem entregando o que ele deseja sem, muitas vezes, nem saberem disso. 2.1 Manipulação de Sentimentos O Engenheiro Social tem como experiência forte manipular os sentimentos das pessoas, levando-as a fazerem o que ele quer. Abaixo veremos os casos mais comuns de manipulação, que são: Curiosidade, Confiança, Simpatia, Culpa e Medo.
  • 20. 19 2.2 Curiosidade A curiosidade faz parte do instinto humano, pois faz com que um ser explore o universo ao seu redor compilando novas informações às que já possui. Sabendo disso, o engenheiro social vai tentar aflorar de todas as maneiras a curiosidade dos empregados da empresa-alvo. Existem diversas técnicas para se fazer isso, desde o envio de um falso cartão por e-mail (o que é geralmente barrado antes de chegar nos funcionários) até técnicas que parecem absurdas à primeira vista, mas que funcionam. Veja o exemplo a seguir: Daniel Lopes é um mentiroso nato. Mestre na arte de enganar, ganha a vida como espião industrial e comercial. A pessoa que o contratou lhe forneceu mais um serviço importante: ele teria que conseguir roubar o banco de dados com informações de clientes de uma grande empresa alimentícia. Infelizmente nessa empresa ele não conhecia ninguém que facilitasse o acesso e tentou fazer uma ligação para a atendente, mas não conseguiu fornecer bons argumentos para que ela digitasse alguns comandos no seu computador. Com medo de que ela desconfiasse, Daniel agradeceu e desligou. Como ele faria então? Teve uma idéia. Vestiu-se com um belo terno e se apresentou à segurança como um investidor internacional da empresa, citando nomes de várias pessoas que trabalhavam lá dentro. Claro, ele pesquisou as pessoas que estariam de férias na ocasião e as citou. Após ter a entrada liberada, ele dirigiu-se para o elevador mais movimentado da empresa. Subiu com ele para o último andar. Depois de todos deixarem o elevador, Daniel tirou cuidadosamente um CD de seu bolso e colocou no piso do elevador. Na capa do CD estava escrito “Fotos Comprometedoras – Não abrir”. Despistadamente, então, ele deixou o prédio e foi checar o seu notebook com conexão à rádio. Meia hora depois, ele conseguiu um acesso para dentro da empresa. Isso porque alguém não aguentou de curiosidade e abriu o conteúdo do CD no seu computador da empresa. Em outro trabalho parecido, a segurança não deixou Daniel passar. Ele pensou, então, em outro método. Ouviu pessoas da empresa comentando que todas as sextas-feiras o seu computador reiniciava sozinho. Daniel deduziu que isso se dava devido à instalação de patchs de segurança naquelas máquinas e bolou um plano. Como a atualização era feita só uma vez por semana, ele aguardou uma falha grave no navegador Internet Explorer ser divulgada em um sábado ou domingo. Não deu outra, leu sobre uma falha que havia acabado de sair, permitindo que se executasse softwares locais na máquina através do navegador sem que o usuário percebesse. Daniel, então, fez algo inédito. Pagou 800 reais para colocar um outdoor, bem em frente à empresa, com as palavras: “Compre seu celular de última geração de modo fácil: entregue seu aparelho antigo e, com mais um real, escolha aquele que você quiser ter www.celular1real.com.br”. Esse site, claro, estava preparado com a falha descoberta. O outdoor foi colocado na terça-feira à tarde. Até sexta-feira, Daniel já havia tido acesso a vinte computadores. (FLÁVIO, Marcos – Segredos do Hacker Ético).
  • 21. 20 2.3 Confiança Os Engenheiros Sociais usam muito a confiança também como meio de manipular as pessoas. Ela pode ser estabelecida de diversas formas: você pode se passar por um funcionário de outra filial, citar procedimentos técnicos do manual da empresa ou, simplesmente, oferecer-se para ajudar com algum problema. Outra coisa comum é você receber um e-mail com o endereço de origem de um amigo ou colega de trabalho e esse e- mail vir com um anexo. Sempre passe o antivírus antes. Isso porque e-mails podem facilmente ser forjados, tome muito cuidado, pois é uma das maiores formas de Engenharia Social. No geral, todos esses fatores fazem com que a sua “resistência” a entregar informações fique mais fraca. Um exemplo a seguir: Riiiing Riiing (Telefone tocando) Paulo – Alô? Melissa – Senhor Paulo? Aqui quem fala é a Melissa, operadora da VisaNet. Gostaria de avisar que a sua mudança de endereço já foi efetuada. Mais alguma coisa que o senhor deseja conosco? Paulo – Mudança de endereço? Eu não requisitei nenhuma mudança... Melissa – Senhor, nos nossos registros, consta um pedido feito anteontem à tarde, logo depois de efetuar a compra das passagens de avião da empresa Varig. Paulo – Hei, garota, eu não comprei passagem nenhuma... tem alguém usando meu número indevidamente! (Gritando ao telefone) Melissa – Vou olhar isso agora para o Senhor. Posso cancelar esses pedidos daqui, só preciso confirmar alguns dados. O número do cartão mais o dígito identificador. Paulo disse o número do cartão. Melissa pediu mais informações. Melissa – Qual é a data de vencimento? E o seu nome completo, como está escrito no cartão? Por um momento, Paulo desconfiou. Melissa percebeu e imediatamente disse: Melissa – Senhor, esse é um procedimento padrão. Eu possuo todos os seus dados aqui, a checagem é apenas para lhe fornecer uma segurança. Afinal, qualquer pessoa poderia tentar se passar por você. Para lhe comprovar, seu nome completo é Paulo Azevedo Braga. Paulo – Tudo bem (respirando aliviado). A minha data de vencimento é 08/2007. Melissa – Ok. Tudo verificado. Estarei entrando em contato com o senhor logo que cancelar o pedido das passagens e a mudança de endereço. Paulo ficou muito satisfeito pelo atendimento rápido e dedicado daquela pessoa. Só percebeu que havia caído em um golpe quando viu o seu extrato do cartão de crédito. Havia contas absurdas.
  • 22. 21 2.4 Simpatia Um dos melhores exemplos de simpatia é relacionada a sedução feminina. É bem mais fácil uma mulher bonita ser bem sucedida no ataque de Engenharia Social com os seguranças de uma empresa do que um homem. Esse método vale tanto para contato pessoal quanto para contato via telefone, pois se a pessoal mal intencionada que fala com o alvo tem uma voz doce e meiga, inconscientemente você acaba descartando a possibilidade daquela pessoa tentar “lhe dar um golpe”. Exemplo: Jane Soares é uma detetive particular, especializada em descobrir “puladas extraconjugais”. Uma de suas clientes tinha certeza de que o marido a estava traindo e pediu à Jane que investigasse. A única dica que ela tinha era um telefone estranho que sua cliente havia visto no celular do esposo enquanto este tomava banho. Jane acreditava que esse telefone, que era um número fixo, poderia ser da residência da “outra”. Ela teria então que conseguir um método de descobrir o endereço por trás do número. Após pensar um pouco, ela ligou para a companhia telefônica: - TeleRio, em que posso ajudar? – perguntou um atendente que, pela voz, parecia ser um homem com seus vinte e poucos anos. - Oi, aqui é do suporte técnico AX44, estamos com um problema grave. A chuva derrubou um poste e comprometeu grande parte da fiação da região na qual estou. Já tentei ligar para o Centro de Ajuda aos Técnicos, mas parece que está superlotado. Parece que não foi só aqui que andou caindo a energia. Você poderia me ajudar, por favor? – Jane reforçou a última frase com um tom bem sensual na voz. - O que gostaria que eu fizesse? - Bom, estou com uma lista de telefones aqui para serem religados após eu arrumar a fiação. Mas, nessa chuva toda, eu acabei perdendo o endereço de um dos números. A droga do papel molhou e eu não consigo ler nada. Mas que droga! Bem que eu queria estar em casa debaixo das cobertas agora. O operador riu. Respondeu que também já teve dias difíceis no trabalho, e disse ainda: - Acho que não tem problema em ajudar uma colega em apuros. Qual o número? - 38271998. - Só um minuto. Sim, aqui está: Rua Hugo Santos, 90, apartamento 205, Santa Mônica. - Oh! Que ótimo! Estou aqui perto já. Muito obrigada, amorzinho, você foi muito prestativo. Precisando de algo, é só falar comigo... – completou Jane. - Sem problemas... – respondeu o operador sem perceber a trapaça e achando muito bom ter ajudado uma colega com problemas, especialmente uma com a voz tão bonita. (FLÁVIO, Marcos – Segredos do Hacker Ético)
  • 23. 22 2.5 Culpa As pessoas quando sentem algum tipo de culpa normalmente são mais propensas a ajudar. Isso também ocorre no meio da Engenharia Social. Culpe alguém e faça essa pessoa lhe ajudar no que você quiser. Dentro de uma instituição, os colaboradores mais vulneráveis a essa emoção são os que normalmente acabaram de entrar na empresa, estão querendo mostrar serviço. A história a seguir demonstra um exemplo. Rodolfo já estava atuando há quase duas semanas como estagiário naquela grande instituição. Apesar de sua especialidade ser administração pura, colocaram-no a maior parte do tempo para fazer digitação, planilhas e consultas no banco de dados da rede. Ele teve certa dificuldade, afinal, é péssimo em lidar com computadores. Mas as pessoas foram legais e acabaram ajudando-o. Um dia ele recebeu um telefonema estranho. A pessoa identificou-se como sendo do Help Desk da empresa, que ficava em um prédio diferente do de Rodolfo. - Alô, quem fala? - É Rodolfo Rosa, quem fala? - Aqui é o Hugo do CPD da YSxL (nome da empresa). Rapaz, o que você andou aprontando por aí? O estagiário novato começou a suar frio com aquele tom de voz. - Como assim? - Ora, um vírus que está partindo do seu computador infectou grande parte dos nossos sistemas aqui. Isso pode ser um grande problema para você... *Glup* Rodolfo engoliu seco. Mesmo não sabendo como aquele vírus foi sair do sistema dele, sentiu-se culpado por criar problemas. - O que eu posso fazer para arrumar? – perguntou. - Daí não pode fazer nada, seu acesso é restrito. Vou quebrar o seu galho. Faz o seguinte: como não posso ir aí, pois nossos prédios são bem distantes, posso arrumar o seu computador através da rede. Para isso, preciso do seu usuário e senha de acesso. *Ooops... * – pensou Rodolfo. Por que justamente o administrador precisaria da minha senha? Mas, antes que ele dissesse alguma coisa, a pessoa no telefone continuou: - Claro que eu poderia procurar a sua senha aqui no sistema, mas isso vai demorar um pouco e o vírus pode causar ainda mais estragos nesse tempo. O que você prefere? - Tudo bem, então – respondeu Rodolfo. Meu nome de usuário é rodorosa e minha senha é bsb2281. (FLÁVIO, Marcos – Segredos do Hacker Ético)
  • 24. 23 2.6 Medo A utilização do medo para manipulação é uma das armas das mais poderosas, pois tende a obter resultados muito rápidos. Isso porque ninguém consegue aguentar a pressão por muito tempo e acaba entregando as informações rapidamente. Geralmente, as “ameaças” parecem vir de pessoas com uma hierarquia bem maior que a do alvo dentro da empresa. Afinal, se um colega lhe ordenasse alguma coisa, você riria dele. Mas, e o vice-presidente da empresa? Então se passando por alguém de alto grau da empresa tudo fica mais fácil para chegar ao objetivo. Exemplo a seguir: A ReRodrigues é uma empresa especializada em gerar relatórios para os executivos de empresas maiores, fundada por Rodrigo da Costa. Muitas empresas grandes terceirizam esse serviço com eles, o que acaba fazendo com que muitas informações preciosas dessas empresas passem pela ReRodrigues. Claro, eles possuem um contrato de confidencialidade entre si. Em um sábado pela manhã, Rodrigo recebeu uma ligação do seu maior cliente, um grande laboratório farmacêutico. Era uma mulher, com uma voz um pouco rouca. - ReRodrigues, no que posso ajudar? - Olá, aqui é do gabinete do vice-presidente da Duveh, sou Talita, sua secretária. Era a primeira vez que Rodrigo recebia uma ligação do alto-escalão da empresa. Continuou: - Sim, do que você precisa? A mulher mudou o tom de voz para um mais cínico. - Bom, sabe o que é? O relatório de hoje de vocês simplesmente não chegou. - Relatório? Mas não foi requerido nenhum para hoje. - Como não? Eu mesma havia feito o pedido do relatório via e-mail. Era para ser entregue hoje. - Não recebi nenhum e-mail. - Olha – suspirou a secretária – se vocês estão com problemas aí e não receberam meu e-mail não é da minha conta. Só sei que preciso desse relatório aqui o mais rápido possível ou cabeças irão rolar, inclusive as nossas. - Não dá pra fazer isso rápido assim, temos um protocolo e... - Faz o seguinte, vou te passar para o vice-presidente. Ele não é tão tolerante quanto eu. Rodrigo sentiu um frio na espinha. - Olha, moça, me manda o tipo de relatório que te passo. - Para adiantar, me manda por e-mail o relatório. Eu imprimo aqui. Coloque todas as transações comerciais realizadas no último mês, com os nomes e contatos dos clientes. Meu e-mail é vicepresidente@duveh.cjb.net. Mande o mais rápido possível. - Pode deixar, estarei enviando daqui a uma hora no máximo – respondeu
  • 25. 24 Rodrigo. Ok, está anotado. Escuta, preciso que você faça o logoff da sua máquina por uns dez minutos. Logo que eu acabar de remover o vírus, eu te ligo para você entrar de novo. - Estarei aguardando. Até hoje ele aguarda pela ligação. Foi mandado embora pouco tempo depois. (FLÁVIO, Marcos – Segredos do Hacker Ético) 2.7 Dicas para o Sucesso da Manipulação a) Profissional: Você não quer que a pessoa desconfie, já que está criando uma ilusão. Tente transparecer confiança. b) Fique calmo: Dê a impressão que você pertence àquele local. c) Conheça sua marca: Conheça seu inimigo. Saiba exatamente como ele irá reagir antes que o faça. d) Não tente enganar alguém esperto: Isso resultará em desastre. Sempre existem pessoas mais ingênuas. e) Planeje sua fuga: Se alguém suspeitou, não entre em pânico e corra. Salve a fonte. f) Tente parecer uma mulher: Está provado que as mulheres dão mais confiança ao telefone. Use isso como vantagem. Use a ajuda de uma mulher se necessário. g) Marcas d’água: Aprenda a fazê-las. São importantes em e-mails e correios falsos. h) Cartões de apresentação e nomes falsos: Use-os para impressionar e parecer profissional. i) Use um time se for necessário: Não seja arrogante e autoconfiante. Se precisar de ajuda, consiga.
  • 26. 25 3 FORMAS DE ATAQUES As formas de ataque são as mais variadas sempre explorando a fragilidade e ingenuidade das pessoas. Nenhum artigo sobre ataques de engenharia social estaria completo sem citar Kevin Mitnick (Goodell,1996), que, até ser capturado, era considerado o maior hacker de todos os tempos. Iguais a ele, atualmente existem muitos, e as táticas utilizadas são basicamente as mesmas. Antes de apresentar algumas formas de ataque, o ideal é citar quem são os atacantes. Está enganado quem pensa que os ataques sempre são executados pelos hackers. A tabela a seguir mostra alguns tipos de intrusos e seus principais objetivos – Tipos de Intrusos Intrusos Objetivos Estudantes Bisbilhotam mensagens de correio eletrônico de outras pessoas por diversão; Hackers/Crackers Testar sistemas de segurança, ou roubar informações; Representantes Comercias Descobrir planilhas de preços e cadastros de clientes; Executivos Descobrir plano estratégico dos concorrentes; Ex- Funcionários Sabotagem por vingança; Contadores Desfalques financeiros; Corretores de valores Distorcer informações para lucrar com valor das ações Vigaristas Roubar informações, como senhas e números de cartões de crédito; Espiões Descobrir planos militares; Terroristas Espalhar pânico pela rede e roubar informações estratégicas TABELA 2 Fonte: (FLÁVIO, Araújo, 2010, p. 134) Os ataques de Engenharia Social podem ter dois aspectos diferentes: o físico, como local de trabalho, por telefone, no lixo ou mesmo on-line, e o psicológico, que se refere à maneira como o ataque é executado, tal como persuasão. (Maia,2002).
  • 27. 26 3.1 Engenharia Social por Telefone Com esse tipo de ataque consiste em desde roubar dados, informações de colaboradores sem conscientização ou até utilização de grampo telefônico. Uma pessoal mal intencionada chega na empresa passando-se por um analista técnico que fará manutenção da central telefônica e, em seguida, desvia uma linha de onde pode efetuar ligações para qualquer parte do mundo, ou então pode grampear os telefones de algum diretor executivo. Outro alvo importante, também são os call centers. Os atendentes têm por obrigação atender a todos da melhor maneira possível, solucionando todas as dúvidas possíveis. Então entra em cena o talento do hacker que poderá, com isso, conseguir dicas de utilização dos sistemas e até senhas de acesso (Granger,2001). 3.2 Através do Lixo ( Dumpster divining) Normalmente as empresa não tratam o lixo de forma adequada tal lixo pode ser uma fonte muito rica de informações para uma pessoa mal intencionada. Bisbilhotar o lixo, é um método muito usado pelos invasores, porque é comum encontrarmos diversos itens como agendas, blocos com anotações, xerox de documentos de funcionários da empresa organograma, manuais de sistemas utilizados, memorandos, relatórios com informações estratégicas, apólices de seguro e até anotações com login e senha de usuários. As listas telefônicas podem fornecer os nomes e números das pessoas- alvo, o organograma mostra quem são as pessoas que estão no comando, as apólices mostram o quanto a empresa é segura ou insegura, os manuais dos sistemas ensinam como acessar as informações e assim todo e qualquer lixo poderá ser de grande valia para uma pessoa mal intencionada (Granger,2001). 3.3 Senhas Temos que tomar cuidado com nossas credenciais de acesso. Os principais pontos fracos das empresas costumar ser as senhas. Podemos observar que em muitas empresa é comum que as pessoas dividam seus logins de acesso com outras ou escolherem senhas fracas, sem a menor preocupação com a segurança da informação. Muitos utilizam como senha, palavras que existem em todos os dicionários, seus apelidos, ou até mesmo o próprio nome que, com um software gerenciador de senhas, é possível decifrá-las em
  • 28. 27 segundos(Virinfo,2002). Segundo Kevin Mitnick (2001), elas chegam a representar 70% do total de senhas utilizadas nas empresas. 3.4 Engenharia Social via Web A Engenharia Social Web também é popularmente conhecida como Online. A Web nos proporciona muitos benefícios, mas também podem nos trazer muitos problemas caso seja utilizada de maneira inconsciente a maneira mais fácil e usada para conseguir algum tipo de acesso não autorizado é através da internet. Devido à falta de disciplina dos usuários que criam senhas sem complexidades e ficam longos períodos sem alterá-las, e ainda utilizam a mesma senha para acesso a várias contas, torna o ataque mais simples ou eficaz. Basta enviar um cadastro oferecendo um brinde ou a participação em um sorteio que solicite o nome e senha do usuário e pronto. O hacker terá a sua disposição tudo o que é necessário para um ataque, sem grande esforço (Granger,2001). As salas de bate-papo também são um canal explorado para o roubo de informações. Homens e mulheres se dizem jovens, atraentes e de bom papo. Na verdade podem ser farsantes que manipulam os sentimentos das pessoas em busca de informações (Maia,2002). Outro meio de se obter informação on-line, é se passar pelo administrador da rede, que, através de um e-mail, manda um link informando do novo sistema da empresa e que será necessário fazer a confirmação de cadastro. Muitas pessoas desinformadas acabam preenchendo o cadastro sem saber se realmente é da empresa e confiável. Os e-mails5 também podem ser usados como meio para conseguir acesso a um sistema. Por exemplo, um e-mail enviado para alguém pode conter um vírus de computador ou cavalos de tróia6 , que, quando instalados no computador da vítima, podem destruir todas as informações, ou simplesmente ficar ocultos e transmitindo ao invasor todo tipo de informação como, senhas, números de cartão de crédito, ou mesmo abrir o firewall da empresa, deixando-a vulnerável a qualquer tipo de ataque (Granger,2001) 3.5 Engenharia Social Inversa Método avançado de conseguir informações. Ocorre quando uma pessoa mal intencionada cria um personagem em que aparece numa posição de autoridade, de modo que 5 E-mail são mensagens enviadas por correio eletrônico usando a Internet como meio de transporte. 6 Cavalos de tróia são programas ou fragmentos de códigos maliciosos que uma vez instaladas em um computador permitem o roubo de informações.
  • 29. 28 todos os usuários lhe pedirão informação. Se pesquisados, planejados e bem executados, os ataques de engenharia social inversa permitem ao atacante obter dos funcionários informações muito valiosas; entretanto, isto requer muita preparação e pesquisa. 7 Os três métodos principais de ataques de engenharia social inversa são, sabotagem, propaganda e ajuda. Na sabotagem, o atacante causa problemas na rede ou sistema, então divulga que possui a solução para este, e se propõe a solucioná-lo. Na expectativa de ver a falha corrigida, os funcionários passam para o atacante todas as informações por ele solicitadas. Após atingir o seu objetivo, o atacante elimina a falha e os serviços voltam a funcionar normalmente. Resolvido o problema os funcionários sentem-se satisfeitos e jamais desconfiarão que foram alvos de um hacker. As redes sociais e serviços online estão crescendo rapidamente a cada dia. O Facebook, por exemplo, foi classificado como o segundo site mais visitado na Internet, Uma das principais características das redes sociais é a comunicação entre amigos e familiares, é possível também encontrar novos amigos. Por exemplo, sites de redes sociais podem tentar identificar automaticamente que os usuários conhecem uns aos outros, a fim de propor recomendações de amizade. Diversos sites de redes sociais são críticos em relação à segurança do usuário e privacidade devido à grande quantidade de informação disponível sobre eles, bem como a sua base de usuários muito extensa. Pesquisas mostraram que os usuários de redes sociais online tendem a apresentar um maior grau de confiança em pedidos de amigos e mensagens enviadas por outros usuários. Mesmo que o problema de mensagens não solicitadas em redes sociais (ou seja, spam) sejam enviados, já foi estudado em detalhe, e até agora, inverter ataques de engenharia social em redes sociais não receberam qualquer atenção de seus hosts. Em um ataque de engenharia social inversa, a pessoal mal intencionada não inicia o contato com a vítima como comumente acontece. Em vez disso, a vítima é levada a entrar em contato com o atacante. Como resultado, um elevado grau de confiança é estabelecido entre a vítima e o hacker, como a vítima é a entidade que estabeleceu a relação fica mais fácil invadir sua privacidade e roubar seus dados e arquivos. 7 Atacante : Hacker , pessoal mal intencionada
  • 30. 29 3.6 Utilizando Footprint O invasor nem sempre consegue obter informações desejadas através de um telefonema ou uma conversa amigável, seja porque as pessoas não tem conhecimento necessário ou por não conseguir alcançar pessoas despreparadas. Então o atacante utiliza uma técnica conhecida como footprint, que, através de softwares específicos, consegue as informações necessárias ao ataque. Footprint é a uma técnica de organização de ideias com o um todo, tentando criar o melhor e mais completo perfil do alvo a ser atacado. O intuito é criar um perfil de uma máquina-alvo, para descobrir falhas que possam ser exploradas a partir de configurações e senhas padrões. A partir do resultado do Footprint é que é traçado a estratégia de ataque. Dura, enquanto for necessário. Pode ser colocado em prática de muitas formas, e é limitado apenas pela imaginação do atacante. Usando uma combinação de ferramentas e técnicas, atacantes podem empregar um fator desconhecido e convertê-lo em um conjunto específico de nomes de domínio, blocos de redes e endereços IP8 individuais de sistemas conectados diretamente na Internet. “Embora haja diversas técnicas diferentes de footprint, seu objetivo primário é descobrir informações relacionadas a tecnologias de internet, acesso remoto e extranet9 (Veríssimo,2002).” 3.7 Mesa Limpa As pessoas costumam deixar em suas mesas diversos documentos espalhados, infringindo a política de mesa limpa. Nomes, lista de ramais, endereços eletrônicos, organogramas e outros dados da empresa, comumente ficam expostos em lugares onde transitam pessoas estranhas. Um hacker pode simplesmente entrar na empresa como se fosse um técnico em manutenção ou consultor que tem livre acesso às dependências da empresa e, enquanto caminha pelos corredores, podem ir captando todas estas informações que porventura estejam expostas (Maia,2002). 8 IP são protocolos da Internet. 9 Uma extranet é uma intranet que pode ser acessada via Web, mas com restrições de segurança aos seus dados corporativos, por clientes ou outros usuários autorizados.
  • 31. 30 3.8 TRUQUES APLICADOS Os engenheiros sociais também aplicam vários truques utilizando a informática, visando obter informações e dados importantes que, normalmente, não seriam tão facilmente entregues. Um desses truques é fazer com que alguma pessoa pense que está recebendo e-mail de um amigo qualquer com um anexo, quando, na realidade, é uma ferramenta de invasão (uma porta dos fundos10 , por exemplo) que, se for instalada, dará acesso total ao sistema para o invasor. Se você recebesse um e-mail assim de um amigo e seu antivírus nada detectasse (já vimos que é fácil esconder dele esses programas) você executaria o anexo? Pense. Veremos algumas artimanhas desse tipo aqui. : 3.9 E-mail Phishing Umas das ferramentas mais utilizadas na internet hoje são os e-mails e que hoje possuem diversos recursos avançados de comunicação. Correspondemo-nos instantaneamente com quem quisermos, na hora em que desejarmos. Justamente por todos os recursos que ele nos oferece é uma das principais ferramentas usadas pelos engenheiros sociais e pelos vírus, para ganhar acesso não autorizado ao seu computador. Como isso acontece? Uma das formas é através de anexos de arquivos no e-mail. O mais comum é você receber um e-mail estranho, de alguém que você não conhece, com um arquivo anexado. 10 Backdoor (também conhecido por Porta dos fundos) é uma falha de segurança que pode existir em um programa de computador ou sistema operacional, que pode permitir a invasão do sistema por um cracker para que ele possa obter um total controle da máquina. Muitos crackers utilizam-se de um Backdoor para instalar vírus de computador ou outros programas maliciosos, conhecidos como malware.
  • 32. 31 ILUSTRAÇÃO 1 Fonte: (FLÁVIO, Marcos – Segredos do Hacker Ético). No exemplo anterior, o e-mail selecionado é provavelmente um vírus ou ferramenta de invasão que utiliza alguma mensagem que faça aguçar a curiosidade de quem o recebe (lembre-se, a curiosidade é uma das técnicas mais usadas). Note o ícone do clipe que está na frente do nome de quem enviou a mensagem. Significa que a mensagem veio com um anexo. “Muita gente com curiosidade clica no anexo, alguns aparecem com nomes que atiçam muito a curiosidade”. Exemplo: ”Vejam as fotos que achei da nossa infância” Ou “Fotos da Secretária como veio ao mundo”. “Outra técnica utilizada pelos engenheiros sociais é através da utilização de vírus, mandar para o alvo um arquivo ZIP11 (compactado), com a senha para descompactar no corpo do e-mail. Isso barra o antivírus e fornece uma falsa sensação de confiança (outro atributo importante ao estelionatário), pois passa a impressão de que a pessoa está lhe mandando um arquivo importante e que confiou a senha a você. Essa técnica é mostrada a seguir” (FLÁVIO, Marcos – Segredos do Hacker Ético). 11 ZIP é um formato de arquivo que suporta a compressão de dados sem perdas. Um arquivo. ZIP pode conter um ou mais arquivos ou pastas que podem ter sido comprimidas. O formato de arquivo. ZIP permite uma série de compressão algoritmos
  • 33. 32 ILUSTRAÇÃO 2 Fonte: (FLÁVIO, Marcos – Segredos do Hacker Ético) Está vendo o arquivo suspeito? Se você digitar a senha mostrada anteriormente no corpo do e-mail (57317), possivelmente vai encontrar um arquivo executável pronto para ser rodado e instalar algum tipo de malware12 no seu sistema. Muitas vezes esses e-mails se disfarçam também de cartões virtuais, convites e, o pior, da maioria das vezes de instituições financeiras. (FLÁVIO, Marcos – Segredos do Hacker Ético) Essa técnica é a grande responsável pelos ataques de phishing13 hoje em dia. Esses ataques consistem em enviar um e-mail falso, geralmente para os clientes de algum banco ou instituição financeira, fazendo com que o e-mail pareça ter vindo do próprio banco (algo como <gerencia@meubanco.com.br>). Alguns dos assuntos contidos nesses e-mails: 12 O termo malware é proveniente do inglês malicious software; é um software destinado a se infiltrar em um sistema de computador alheio de forma ilícita, com o intuito de causar alguns danos, alterações ou roubo de informações (confidenciais ou não). 13 Em computação, phishing, termo oriundo do inglês (fishing) que quer dizer pesca, é uma forma de fraude eletrônica, caracterizada por tentativas de adquirir dados pessoais de diversos tipos; senhas, dados financeiros como número de cartões de crédito e outros dados pessoais.
  • 34. 33 “Prezado cliente, por motivos de segurança, pedimos que modifique sua senha de acesso ou então. “Prezado cliente digite os números contidos em seu cartão de segurança para renovação” Clique aqui para fazê-lo.” “Meus parabéns! O banco MeuBanco acabou de sortear um prêmio de 10.000 reais entre seus clientes e você foi um dos ganhadores. O MeuBanco lhe dá os parabéns, querido cliente. Entre na sua conta agora clicando aqui e receba o seu prêmio.” Atualmente, muitos bancos não enviam e-mails para os clientes, a não ser que estes solicitem, outros até enviam, sendo que o valor da fatura caso solicitado. Os engenheiros sociais são tão “caras-de- pau” que, muitas vezes, colocam isso nos e-mails de phishing para gerar confiança, sendo que o cliente não se lembra se ativou ou não o serviço. Nosso primeiro exemplo modificado mostra isso a seguir. “Prezado cliente, por motivos de segurança, pedimos que modifique sua senha de acesso. Clique aqui para fazê-lo. O MeuBanco não envia e-mails aos usuários sem autorização. Se você não deseja mais receber o EBanking, clique aqui para acessar sua conta e desabilitar o serviço.” Nesse e-mail, existe um link para o site do banco, só que, na realidade, é um site falso, feito para se parecer exatamente como o original e ele realmente engana muita gente. A seguir, uma imagem de um site clonado feito para se parecer exatamente com o original (o nome do banco foi removido da imagem para fins de resguardo). FLÁVIO, Marcos – Segredos do Hacker Ético) ILUSTRAÇÃO 3 Fonte: (FLÁVIO, Marcos – Segredos do Hacker Ético)
  • 35. 34 Esses e muitos outros sites falsos de instituições financeiras, enganam facilmente as pessoas. A mídia costuma nomear os realizadores de phishing como hackers. Isso é um ultraje àquelas pessoas que procuram apenas o conhecimento, já que não é necessário um conhecimento técnico para se mandar um e-mail falso e enganar alguém. O que temos aqui, sim, são engenheiros sociais com péssimas intenções. Vamos ver como eles conseguem enviar o e-mail de forma anônima, tentando se passar por quem não são. 3.10 Spear Phishing Spear phishing é um e-mail spoofing tentativa de fraude que tem como alvo uma organização específica, buscando o acesso não autorizado a dados confidenciais. Essas tentativas de phishing normalmente não são iniciadas por "hackers aleatórios", mas são mais propensos a serem conduzida por autores de fora para o ganho financeiro, segredos comerciais ou informações militares. Tal como acontece com as mensagens de e-mail usado no phishing , as mensagens de spear phishing parecem vir de uma fonte confiável. Mensagens de phishing geralmente parecem vir de uma empresa grande e bem conhecida ou Web site com uma ampla base de associados, tais como eBay, mercado livre ou PayPal . No caso de spear phishing, no entanto, a fonte aparente do e-mail é provável que seja um indivíduo dentro da empresa do próprio usuário e, geralmente, alguém em posição de autoridade. Professora visitante de West Point e Agência de Segurança Nacional especialista Aaron Ferguson chamam de "efeito de coronel." Para ilustrar seu ponto de vista, Ferguson mandou uma mensagem para 500 cadetes, pedindo- lhes para clicar em um link para verificar as notas. A mensagem de Ferguson parecia vir de um coronel Robert Melville de West Point.Mais de 80% dos beneficiários clicou no link na mensagem. Em resposta, eles receberam uma notificação de que eles tinham sido enganados e aviso de que seu comportamento poderia ter resultado em downloads de spyware, cavalo de Tróia e / ou outros malwares .(Rouse Margaret, 2011) As maiorias das pessoas já aprenderam a desconfiar de pedidos inesperados de informação confidencial e não divulgar dados pessoais em resposta a mensagens de e-mail ou clicar em links de mensagens, a menos que a fonte seja “confiável”. O sucesso de spear phishing depende de três coisas: A fonte aparente deve parecer uma pessoa conhecida e confiável, há informações dentro da mensagem que suporta a sua validade e, a pedido do
  • 36. 35 indivíduo faz com que parece ter uma base lógica. Aqui está uma versão de um ataque de phishing: O autor encontra uma página web para sua organização-alvo que fornece informações de contato para a empresa. Usando detalhes disponíveis para fazer a mensagem parecer autêntico, o autor elabora um e-mail para um empregado na página de contato que parece vir de um indivíduo que pode razoavelmente solicitar informações confidenciais, como um administrador de rede. O e-mail pede que o funcionário entre numa página falsa que pede nome de usuário e senha do funcionário, caso clique no link irá efetuar o download de spyware14 ou outros programas mal-intencionados. Se um único funcionário cair na estratégia do phisher , o atacante pode passar por esse indivíduo e usar técnicas de engenharia social para ganhar mais acesso a dados sensíveis. 3.11 Whaling “Whaling pode ser definido como uma extensão do Spear Phishing (Phishing direcionado a colaboradores de uma organização) e tem como objetivo atacar executivos, celebridades e colaboradores do alto escalão”. (Mente AntiHacker, 2011). Ao contrário do Phishing, que diariamente são barrados por filtros de e-mail (antispam), o Whaling é bem planejado e único, visando o roubo de informações confidenciais. O Engenheiro Social tem tentando de diversas formas conseguirem atingir esses alvos específicos, e com grande parte das informações disponíveis em redes sociais, torna-se mais fácil ter contato com o alvo, bastando apenas a abertura de um link e o envio de algumas informações confidenciais. Após a captura desses dados, alguns mal intencionados podem chantagear suas vítimas, visto que essas pessoas possuem uma imagem na mídia, mercado de trabalho, que podem ter sua privacidade exposta através do repasse de informações confidenciais. 3.12 Vishing Vishing é a prática criminosa de utilização de engenharia social através da rede pública de telefonia comutada com o objetivo de obter vantagens ilícitas como, por exemplo, realizar compras ou saques em nome da vítima. As facilidades de Voz sobre IP (VoIP) são 14 Spyware consiste em um programa automático de computador, que recolhe informações sobre o usuário, sobre os seus costumes na Internet e transmite essa informação a uma entidade externa na Internet, sem o conhecimento e consentimento do usuário.
  • 37. 36 frequentemente utilizadas para obter acesso a informações pessoais ou financeiras privativas de pessoas físicas ou de empresas. O termo em inglês é uma combinação entre as palavras voice e phishing. As vítimas de vishing desconhecem técnicas como falsificação da identificação de chamada, automação dos processos de ligação e atendimento telefônico e outros mecanismos amplamente difundidos, que podem ser implantados em computadores convencionais. “O avanço e o barateamento da tecnologia ajudaram a difundir técnicas e facilidades de automação de serviços telefônicos, que no passado estavam restritas a grandes empresas, que possuíam recursos para adquirir equipamentos caros e sofisticados.” (Rouse Margaret, 2011) O criminoso que pratica o vishing explora a confiança da população nos serviços de telefonia fixa, cujos terminais estiveram historicamente associados a um endereço físico e a um assinante conhecido do serviço telefônico. O vishing é utilizado normalmente para obter números de cartão de crédito e senhas de acesso ao banco ou a sistemas corporativos. Uma quadrilha poderia realizar milhares de tentativas por dia se sua abordagem for mecanizada. A preocupação com segurança precisa ser compartilhada entre governo, empresas e a população em geral, pois não é fácil para a polícia monitorar ou rastrear o vishing. Para se proteger, a população deve suspeitar de qualquer solicitação de dados pessoais como números de cartão de crédito ou dados bancários. Ao falar com uma pessoa, em vez de fornecer informações, é melhor solicitar um número de protocolo e ligar para um número previamente conhecido, como o impresso no cartão bancário. a) As concessionárias telefônicas podem utilizar mecanismos de detecção de alteração nos padrões de chamadas para interceptar ataques de vishing na rede pública de telefonia; b) As empresas devem investir na formação continuada de seguranças de seus funcionários; c) É frequente que se utilize o e-mail para obter informações preliminares sobre um indivíduo ou empresa, por isso é importante investir em proteção para e-mails; d) Vírus, Trojans e outros softwares podem ser usados para capturar informações que podem ser utilizadas para dar credibilidade a um ataque de engenharia social. O e- mail é um dos principais mecanismos contemporâneos para distribuição de vírus e outras ameaças.
  • 38. 37 e) O criminoso configura um war dialer para ligar para uma série de números de telefone de uma determinada região ou para acessar sistemas de voz com listas de números telefônicos roubados de alguma instituição. f) Quando uma vítima atende uma ligação ouve uma mensagem gravada informando que foi detectada atividade fraudulenta ou incomum em sua conta bancárias. A mensagem instrui o usuário a ligar imediatamente para um determinado número, normalmente exibido em seu identificador de chamadas. g) Ao ligar para o número informado, a ligação é atendida por um sistema automático, que solicita ao usuário a digitação do número do seu cartão de crédito e de seus dados bancários h) Uma vez que o usuário informa seus dados, o criminoso tem condições de obter acesso a sistemas privativos, inclusive a contas bancárias, ou utilizar o cartão de crédito para compras em nome do usuário i) A chamada pode obter do usuário informações de segurança complementares como PIN, data de expiração, data de nascimento etc. Embora o uso de unidades de atendimento e ligação automáticas são preferidas pelos vishers, há casos onde operadores humanos tem um papel ativo ao persuadir as vítimas nesse tipo de fraude 3.13 E-mail Falso (Fake) O “fake mail” ou e-mail falso é uma técnica utilizada nos dias atuais na Internet para envio de e-mail de forma anônima. Pelo menos para o remetente, pois muitas vezes o endereço IP15 original ainda continua sendo mostrado no e-mail. Quais as vantagens disso para a Engenharia Social? Como a maioria dos usuários é leigo e nunca iriam conferir o endereço para ver se é real, os engenheiros sociais podem fingir ter vindo de qualquer e-mail real. Antigamente, podíamos fazer isso até usando programas como o próprio Outlook, através de uma falha nos servidores SMTP (uma má configuração, na realidade) que permitia o relay16 . Hoje é difícil encontrar servidores assim, então, enviamos os e-mails falsos de sites 15 O endereço IP, de forma genérica, é uma identificação de um dispositivo (computador, impressora, etc) em uma rede local ou pública. Cada computador na internet possui um IP (Internet Protocol ou Protocolo de internet) único, que é o meio em que as máquinas usam para se comunicarem na Internet. 16 Relay:Retransmissão de email aberto é um SMTP servidor configurado de tal forma que ele permite que qualquer pessoa na Internet para enviar e-mail através dele, não apenas mensagens destinadas ou provenientes de usuários conhecidos.
  • 39. 38 especializados ou mesmo de programas que já possuem um pequeno servidor de envio de e- mails embutido. No exemplo abaixo, usaremos o programa Phasma 3000 (www.8th-wonder.net). O interessante dele é que se parece com um cliente de e-mail comum, muito fácil de usar. ILUSTRAÇÃO 4 Fonte: (FLÁVIO, Marcos – Segredos do Hacker Ético) Configuramos o Phasma 3000 para enviar um e-mail como se tivesse vindo de um endereço conhecido qualquer. Poderia ser qualquer coisa, até algo inexistente como <fulanodetal@provedor.com>. É simplesmente uma informação falsa, como você assinar outro nome ao invés do seu. No fim do programa, a informação: “Mail sent to ...” e o e-mail na frente. Significa que o e-mail foi enviado com sucesso. Se o sistema AntiSpam de algum provedor bloquear o e-mail de chegar (faça testes antes para saber isso), você pode ir em Advanced e configurar o cabeçalho da mensagem para o que você quiser, fazendo, assim, ela passar pela maioria dos filtros dos provedores. Pouco tempo depois, o e-mail estava na caixa de entrada do meu Outlook.
  • 40. 39 ILUSTRAÇÃO 5 Fonte: (FLÁVIO, Marcos – Segredos do Hacker Ético) Analisando as propriedades do e-mail anterior, observe que realmente parece ter vindo do nosso e-mail falso. Essa técnica, extremamente simples de se fazer (praticamente só enviar a mensagem e pronto), é a mais utilizada hoje pelos engenheiros sociais para executar cavalos de tróia,(Trojan)17 ferramentas de capturar tudo que se digita no teclado ou mesmo roubar dinheiro de outras pessoas. Quando receber um e-mail de algum amigo, pedindo o que geralmente ele não pediria como para você realizar um depósito às pressas na conta XXX para ele, ligue antes e confirme se a pessoa mandou o e-mail. (FLÁVIO, Marcos – Segredos do Hacker Ético). 17 O Cavalo de Tróia ou Trojan Horse é um tipo programa malicioso que podem entrar em um computador disfarçados como um programa comum e legítimo. Ele serve para possibilitar a abertura de uma porta de forma que usuários mal intencionados possam invadir seu PC.
  • 41. 40 3.14 Messengers Instantâneos Outro cuidado a se tomar é com os messengers, como Hangout (Google Talk), Yahoo, ICQ, Skype Messenger, Facebook etc. Um Engenheiro Social fará o possível para lhe convencer a aceitar um determinado arquivo. Alguns anos atrás era usada à desculpa de que determinado arquivo era uma foto, hoje, isso já não funciona tanto, pois a maioria desses Messenger já mostra automaticamente uma imagem da pessoa. Então, esses engenheiros se utilizam da sua confiança e simpatia para dizer que o arquivo é um jogo interessante ou apelam para dizer que é uma foto sensual, um projeto inacabado qualquer no qual ele quer a sua opinião. As técnicas são inúmeras. Mas, aí, você diz: “o Skyper, em suas versões mais novas, bloqueia o envio de arquivos executáveis”. Sim, mas isso pode ser facilmente burlado, uma maneira mais comum de burlar é colocar o arquivo em formato ZIP, a maioria das vezes funciona, ou utilizando ferramentas de terceiros. Os métodos apresentados anteriormente fazem parte das táticas comuns de ataque. Porém existem muitos outros truques não tão comuns, como por exemplo: a) Uma entrevista para uma vaga que não existe, que é feita somente para se obter informações a respeito dos concorrentes; b) Aquelas que acontecem por acaso, como numa conversa sobre assuntos confidenciais da empresa, em lugares de circulação de pessoas e que alguém de passagem sem querer capta alguma informação importante; c) Manipulação de informações para alterar o comportamento de usuários a partir de dados falsos ou sutilmente alterados.
  • 42. 41 4 FORMAS DE PREVENÇÃO Agora vamos ver algumas dicas para se proteger contra os ataques de Engenharia Social, especialmente no ambiente corporativo. Para começar, as estratégias devem ser tanto no nível físico (meio pelo qual o engenheiro social age, seja telefone, pessoalmente ou Internet) quanto no nível psicológico (manipulando as emoções). Seria um enorme erro focar só no lado físico da coisa, o treinamento e a conscientização dos empregados/colaboradores são essenciais. “É necessário os responsáveis entenderem que de nada adianta investir em softwares e hardwares, visando melhorar a segurança, se não for feito um plano contra a Engenharia Social.” (FLÁVIO, Marcos – Segredos do Hacker Ético) A organização pode criar novas políticas de segurança e um controle maior do contato feito com os funcionários, mas se pegar muito pesado, deixará essas pessoas frustradas e a solução não é 100% eficiente. A solução mais eficiente seria simplesmente o treinamento. Todas as pessoas de uma instituição que lidam de forma direta com informações importantes devem passar por um treinamento no qual irão aprender a identificar os tipos de ataques e como reagir a cada um deles. Outra ideia interessante é mandar uma espécie de artigo todo mês para os funcionários mostrando novos exemplos de Engenharia Social e qual a técnica para se proteger deles. Isso vai lembrá-los sempre do perigo. A prevenção não é uma tarefa fácil. A maioria das empresas não direciona recursos financeiros nem humanos para tal. No entanto, investem na manutenção de sistemas e em novas tecnologias, ao invés de direcionar parte desse investimento para combater um inimigo que pode ser bem mais perigoso, a engenharia social. A ameaça deste inimigo é real, tanto quanto as falhas em uma rede. Os seres humanos são seres imperfeitos e multifacetados. Além disso, situações de risco modificam seus comportamentos, e, decisões serão fortemente baseadas em confiança e grau de criticidade da situação (Vargas,2002). Em função desses fatores, sempre existirão brechas em seu caráter ou comportamento pouco consciente com relação à segurança, onde a engenharia social poderá ser plenamente eficaz. Para amenizar estes riscos, é recomendável que as empresas criem políticas de segurança centralizada e bem divulgada, para que todos os seus colaboradores saibam como proteger as informações que estão em seu poder. As intranets podem ser um recurso valioso para esta divulgação, assim como boletins periódicos on-line, lembretes no correio eletrônico, requisitos de mudança de senha e treinamento. O maior risco é de os funcionários tornarem-se complacentes e relaxarem na segurança; por isso a importância da insistência (Granger,2002).
  • 43. 42 O treinamento deve estender-se por toda a instituição. Diretores, gestores, coordenadores, e demais colaboradores, todos devem ser treinados. Nestes treinamentos devem ser exploradas as táticas comuns de intromissão e as estratégias de prevenção. Quando alguém captar sinais de um ataque, deve imediatamente alertar os demais, para que não sejam também abordados. 4.1 Dicas para não ser vítima da Engenharia Social Temos que usar alguns critérios para avaliar se estamos sendo alvo de algum tipo de ataca de Engenharia Social. Se todo funcionário fosse tão questionador como uma criança, demonstrando interesse nos mínimos detalhes, ouvindo mais, estando fortemente atento a tudo à sua volta, e principalmente fazendo o uso dos poderosos “por quês”, com certeza as empresas transformariam os frágeis cadeados em legítimos dispositivos dificultantes de segurança da informação. (PEIXOTO, 2006, p. 20). 4.2 Como se Proteger Temos sempre que ter certa precaução quanto a ceder informações, sejam elas digitais ou não, quando maior cuidado e conscientização melhor. O bom senso é fundamental nesses casos. Fique bastante atento com relação a qualquer tipo de abordagem, independente do meio utilizado, como por exemplo, e-mails, telefone e etc. Não forneça informações confidenciais como, por exemplo, senhas. Já nos casos de mensagens que tentam induzir a clicar em links contidos no e-mail ou em alguma página da Internet, a melhor coisa a fazer é entrar em contato com o remetente do e-mail ou com a instituição se for o caso, para certificar-se a respeito do assunto. (COMITÊ GESTOR DA INTERNET NO BRASIL, 2006). “Esses são alguns dos maiores erros cometidos dentro do ambiente corporativo que aumentam potencialmente o risco de se tornar uma vítima da engenharia social: (PEIXOTO, 2006)” a) Informar senha via telefone é um erro muito grave, pois antes de disponibilizar qualquer tipo de informação, deve-se saber com quem se fala e de onde fala, além
  • 44. 43 de conferir através de aparelhos identificadores de chamada se o telefone de origem da ligação está realmente confirmando com o mencionado. É muito importante conferir o motivo pelo qual estão solicitando determinada informação. Lembrando que existe uma técnica chamada Spoofing, que faz com que o número exibido pelo identificador de chamadas seja aquele desejado pelo fraudador. Portanto, não é seguro confiar somente nessa informação para ter certeza que o solicitante é realmente quem diz ser; b) Os Visitantes terem acesso à área interna na empresa, obtendo contato com as informações confidenciais; c) Entrega de informações sem o devido conhecimento real de quem as está levando; d) Entrada de pessoas não autorizadas ou principalmente sem identificação, com portas abertas e expostas à entrada de qualquer um; e) Recebimento de informações digitais (Flash Drive, DVD etc.) sem o prévio conhecimento da procedência (de onde realmente vem e de quem vem e do que se trata), sem fazer primeiramente uma inspeção do material recebido em algum lugar ou equipamento que não comprometa a empresa ou organização; f) Descarte incorreto de material que se acha inútil, como por exemplo, não triturar documentos antes de jogá-los fora e de preferência em diversas lixeiras ou o descarte de DVDs, CDs e outros, sem eliminar definitivamente as informações contidas neles; g) Gavetas abertas, material em cima da mesa de fácil acesso a documentos. h) Jogo online ou mesmo executados em Pen-drives ou CD-ROM são passíveis de conter armadilhas, como ativação de worms, cavalos de troia, vírus e dentre outros perigos que se escondem por trás dos envolventes jogos, ou diversões oferecidas; i) Deixar expostos arquivos de backup, não guardando em lugar seguro (Cofre antichamas) e confiável, além de demonstrar explicitamente que é um backup. j) Nome de usuário e senhas expostas para qualquer um que passar ver e ter acesso. k) Pen-drives, DVDs, documentos, material particular como bolsas, carteiras em cima da mesa ou expostos, com grande facilidade de alguém se apoderar ou ter acesso, principalmente se as portas ou janelas ficam sempre abetas. l) Programas, documentos digitais gravados em DVDs ou CDs, não sendo devidamente guardados em lugares seguros onde somente aqueles que podem ter realmente acesso seriam portadores da informação; m) Computador ligado exibindo informações confidenciais como senha, login de usuário, códigos fontes; n) Acessos a sites indevidos, não confiáveis, ou fora das políticas de trabalho da empresa; o) Computador logado com a senha e nome de algum usuário, deixando o uso da estação disponível para alguém não autorizado.
  • 45. 44 p) Sistema de alarme desligado, desativado ou inoperante, em caso de alguma urgência ou emergência; q) Softwares em lugar não seguro; bem como procedimentos, apostilas etc., que contenham informações que sirvam como um facilitador em trazer palavras de cunho técnico de modo a disponibilizar id, senhas, sejam elas default ou não; r) Enfeites, como vasos, quadros, dentre outros, servindo como mera distração, fugindo do habitual e tradicional layout de arranjo do ambiente de trabalho, podendo ser alvo de suspeita, pois atrás desses “enfeites” podem estar guardados, escondidos ou implantados sistemas de escuta, gravadores, dentre outros pequenos sistemas que podem colher informações ditas ou vivenciadas naquele ambiente. Paranoias e neuroses à parte, todo cuidado é pouco; “Quanto aos riscos inerentes aos fatores humanos, podem-se destacar como exemplo os seguintes controles:” (SÊMOLA, 2003 citado por PEIXOTO, 2006, p. 53). a) Seminários de sensibilização; b) Cursos de capacitação; c) Campanhas de divulgação da política de segurança; d) Crachás de identificação; e) Procedimentos específicos para demissão e admissão de funcionários; f) Termo de responsabilidade; g) Termo de confidencialidade; h) Softwares de auditoria de acessos; i) Softwares de monitoramento e filtragem de conteúdo; As práticas acima citadas ajudarão a minimizar a possibilidade da empresa se tornar mais uma vítima da engenharia social. Podemos constatar na visão de (PEIXOTO, 2006, p. 54) A maior prova para se ter certeza de que você será a próxima vítima da engenharia social é simplesmente subestimar o praticante desta arte. Mas como ao certo saber quem é afinal o engenheiro social naquele dado momento, lugar ou situação? Não saberá, na primeira instância. Apenas desconfiará de algum suspeito à medida que você vá adquirindo conhecimento das técnicas padrões e revolucionárias da engenharia social. E assim percebendo algumas “gafes” do engenheiro social, deixará a incerteza para então capturar o alvo certo. Abaixo, mais algumas dicas para manter seu computador seguro ao acessar a Internet. (SISTEMA DE COOPERATIVAS DE CRÉDITO DO BRASIL, 2012).
  • 46. 45 a) Instale um bom programa de antivírus e, pelo menos uma vez por semana, faça uma verificação completa do computador; b) Use sempre cópia original do programa de antivírus, pois as cópias “piratas” geralmente já estão infectadas e não funcionam corretamente; c) Configure seu antivírus para procurar por atualizações diariamente; d) Use seu antivírus para verificar todo arquivo baixado antes de abri-lo ou executá- lo pela primeira vez; e) Cópias originais do Windows são mais seguras e são atualizadas periodicamente pela Microsoft; f) Mantenha o sistema operacional do seu computador e seus programas sempre atualizados para protegê-los contra as falhas de segurança, que são descobertas todos os dias; g) Somente instale programas de fontes confiáveis. Evite os serviços de compartilhamento (por exemplo: Utorrent, Kazaa, Bittorrent, Limeware, Ares Emule, etc.). Eles são uma das principais fontes de disseminação de programas nocivos; h) Não abra e-mails e arquivos enviados por desconhecidos; i) Não abra programas ou fotos que dizem oferecer prêmios; j) Cuidado com os e-mails falsos de bancos, lojas e cartões de crédito; k) Jamais abra arquivos que terminem com PIF, SCR, BAT, VBS e, principalmente, os terminados com EXE e COM; l) Se você desconfiar de um e-mail recebido, mesmo quando enviado por pessoa conhecida, cuidado, pois pode ser um e-mail falso; m) Verifique se o endereço que está aparecendo em seu navegador é realmente o que você queria acessar; n) Não confie em tudo o que vê ou lê; o) Não autorize instalação de software de desconhecidos ou de sites estranhos; p) Antes de clicar em um link, veja na barra de status do navegador se o endereço de destino do link está de acordo com a descrição do mesmo; q) Sempre desconfie de ofertas e sorteios dos quais não tenha prévio conhecimento. r) Ao realizar compras pela Internet procure por sites reconhecidamente seguros; s) Se for utilizar o seu cartão de crédito ou tiver que fornecer dados bancários, verifique se a página acessada utiliza tecnologia de criptografia, ou seja, o endereço da página acessada deve começar com “https” e deve aparecer o ícone de um cadeado na barra de status (parte inferior) ou à direita da caixa do endereço, dependendo do navegador. Uma observação importante a ser feita, é que Crackers colocam imagens de cadeados para fazer com que os usuários pensem que o site é seguro, mas na realidade não é.
  • 47. 46 t) Se você desconfiar de um site de compra, deixe-o de lado e compre em outro lugar. u) Ao preencher qualquer cadastro seja ele virtual ou não, só forneça informações de extrema necessidade. v) Não acredite em todos os e-mails sobre vírus, principalmente aqueles de origem duvidosa que trazem anexo arquivo para ser executado, prometendo solucionar o problema; w) Jamais acredite em pedidos de pagamento, correção de senhas ou solicitação de qualquer dado pessoal por e-mail. Comunique-se por telefone com a instituição que supostamente enviou o e-mail e confira o assunto. x) Nunca realize operações bancárias ou transações pela internet que possuam informações pessoais de lugares públicos como, por exemplo, LAN-Houses, pois computadores públicos muitas vezes contêm códigos maliciosos, instalados por pessoas mal-intencionadas, capazes, por exemplo, de registrar tudo o que você digitar no teclado, facilitando a quebra de sigilo dos seus dados confidenciais. Os mecanismos de busca da Internet indexam um enorme número de páginas Web e outros recursos. Crackers podem usar esses mecanismos para fazer ataques anônimos, procurar por vítimas e adquirir o conhecimento necessário para montar um poderoso ataque contra a rede. Os mecanismos de busca são perigosos em grande parte porque usuários são descuidados. Além disso, os mecanismos de busca podem ajudar a evitar a identificação dos Crackers. Mecanismos de busca tornam a descoberta de maquinas expostas quase sem esforço. Nos últimos anos, os mecanismos de busca têm recebido uma grande quantidade de atenção negativa por expor informações confidenciais. Como resultado, o mais “interessante” que são as consultas, não retorna mais resultados úteis. (MCCLURE; SCAMBRAY; KURTZ, 2009, p. 553, tradução nossa). A tabela abaixo exibe as áreas de risco da empresa, a tática do invasor e a respectiva estratégia de combate, para assim evitar ser mais uma vítima. (POPPER; BRIGNOLI, 2003). Áreas de Risco, Táticas e Estratégias Área de Risco Tática do invasor Estratégia de Combate Suporte de Informática Representação e persuasão Desenvolver na empresa uma política de mudança frequente de senhas e treinar os demais funcionários para nunca passarem senhas ou outras informações confidenciais por telefone;
  • 48. 47 Entrada de edifícios Acesso físico não autorizado; Treinar os funcionários da segurança para não permitirem o acesso de pessoas sem o devido crachá de identificação e mesmo assim fazer uma verificação visual; Escritórios Caminhar pelo ambiente; Não digitar senhas na presença de pessoas estranhas, a não ser que você consiga fazer isso rapidamente; Suporte telefônico Usar de disfarces na hora de solicitar ajuda aos atendentes, geralmente se passando por outra pessoa; Os atendentes devem solicitar sempre um código de acesso, para só então prestarem o suporte solicitado; Escritórios Roubar documentos importantes; Manter os documentos confidenciais fora do alcance de pessoas não autorizadas, de preferência em envelopes fechados. Sala de correspondência Inserção de mensagens falsas; Fechar e monitorar a sala de correspondência; Sala dos servidores Instalam programas analisadores de protocolo para conseguirem informações confidenciais, além da remoção de equipamentos; Manter sala dos servidores sempre trancada, e o inventário de equipamentos atualizado; Central telefônica Roubar acesso a linhas telefônicas Controlar chamadas para o exterior e para longas distâncias, e recusar pedidos de transferências suspeitas; Internet e intranet Criar e/ou inserir programas na Internet ou intranet para capturar senhas; Criar senhas fortes e fazer uso consciente da mesma, alterando-a periodicamente. Depósito de lixo Vasculhar o lixo; Guardar o lixo da empresa em lugar seguro, triturar todo tipo de documento, e destruir todo o tipo de mídia magnética fora de uso; TABELA 3 Fonte: (POPPER; BRIGNOLI, 2003).
  • 49. 48 Diversos ataques poderiam ser evitados se o usuário seguisse estas etapas: a) Sempre verificar a identidade da pessoa para ter certeza se ela é realmente quem diz ser. b) Certificar que realmente a pessoa possui autorização. c) Sempre ficar atento ao ser abordado por alguém, principalmente se você não conhece. Independente se a abordagem foi feita através do telefone, carta ou e- mail, não forneça informações sensíveis, pessoais ou até mesmo da organização onde trabalha. d) Não clicar em links antes de verificar a autenticidade da solicitação. Várias são as vítimas de e-mails falsos. Para não ser mais uma vítima dessa armadilha, entre em contato com a fonte da solicitação seja ela uma pessoa, empresa, órgão público e etc. e) A melhor coisa a fazer enquanto estiver navegando na Web é ser cauteloso e manter o antivírus e detectores de pragas virtuais em geral sempre atualizados. f) Escolher senhas fortes e não compartilhar com outras pessoas. 4.2.1 Política de Segurança (PSI) Política de segurança da Informação é a expressão formal das regras pelas quais é fornecido o acesso aos recursos tecnológicos de uma organização. Uma PSI não é um documento definitivo, inalterável ou inquestionável, pelo contrário, requer constante atualização e participação de gerentes, usuários e equipes da organização. Objetivo da PSI: Proteção do conhecimento da infraestrutura, a fim de atender os requisitos legais, viabilizar os serviços prestados e evitar ou reduzir os riscos e ameaças. Orientação e o estabelecimento de diretrizes para a proteção dos ativos de informação, prevenção de ameaças e a conscientização da responsabilidade dos colaboradores. São boas práticas que a gestão da segurança da informação esteja alinhada e em conjunto com os outros processos de gestão. Princípios da PSI: Integridade, confidencialidade e disponibilidade da informação. Propósitos da PSI: Informar aos colaboradores/usuários suas responsabilidades com relação ao acesso à informação e oferecer um ponto de referência a partir do qual se possa adquirir, configurar e auditar sistemas computacionais e de redes de computadores.
  • 50. 49 A norma ISO/IEC 27002 descreve as três fontes principais de requisitos de segurança da informação: 1. Análise dos princípios, objetivos e requisitos dos serviços prestados. 2. Legislação vigente, estatutos e regulamentos. 3. Análise de vulnerabilidades, ameaças e riscos. É recomendável também que gerentes/supervisores de cada área estabeleçam critérios relativos ao nível de confidencialidade da informação (relatórios e/ou mídias) gerada por sua área, classificando as informações além da análise de requisitos, de acordo com a lista abaixo: 1. Pública; 2. Interna; 3. Confidencial 4. Restrita. A elaboração e implementação da PSI de cada organização possui suas particularidades de acordo com os requisitos de segurança analisados e alinhados a gestão de processos. Abaixo são sugeridos itens a serem estudados para a criação de regras: • Administração de contas; • Utilização da rede; • Utilização de correio eletrônico; • Acesso à Internet; • Uso das estações de trabalho; • Uso de impressoras; • Uso de equipamentos particulares 18 (BYOD); • Controle de acesso físico (controle de entrada e saída de pessoas); • Termo de compromisso (documento onde usuário se compromete a respeitar a política de segurança); • Verificação da utilização da política (supervisão realizada por gestores e equipe de TI 18 BYOD - Bring your own device (Traga seu próprio dispositivo) significa que a política permiti os funcionários trazer dispositivos móveis de propriedade pessoal (laptops, tablets e smartphones) para seu local de trabalho, e utilizar esses dispositivos para acessar informações sobre a empresa privilegiada e aplicações. O termo também é usado para descrever a mesma prática aplicada aos alunos que utilizam dispositivos de propriedade pessoal em situações de ensino.
  • 51. 50 • Política de senhas; • Violação da política (definição de ações tomadas nos casos de desrespeito a política de segurança). • Uso dispositivos de mídias removíveis; É necessário implementar controles adequados através de políticas de segurança e planejamentos. Como diz o ditado; até mesmo os verdadeiros paranoicos [sic] provavelmente têm inimigos. Devemos assumir que cada empresa também tem os seus — os atacantes que visam a infraestrutura [sic] da rede para comprometer os segredos da empresa. Não acabe sendo uma estatística nos crimes de computadores; está mais do que na hora de armazenar as defesas necessárias implementando controles adequados por meio de políticas de segurança e procedimentos bem planejados. (MITNICK; SIMON, 2003, p. 23). Para evitar ou reduzir riscos de informações privilegiadas de serem acessadas indevidamente, perdidas ou até mesmo deixarem de serem integras, é necessário que haja uma série de procedimentos claramente estabelecidos independentemente de onde as informações circulam. “Nós não tocamos em redes, nós tocamos nas pessoas. Porque, no fim, o elo mais fraco em todas essas coisas é a pessoa que está à frente da tela.” (SCHWARTAU, 2010 p. 1). Política de segurança da informação pode ser definida como uma série de instruções bem claras a fim de fornecer orientação para preservar as informações. Esse é um elemento essencial para o controle efetivo da segurança da informação de maneira a combater e prevenir possíveis ameaças ou ataques que venham a comprometer a segurança da informação nas empresas ou organizações. Essas políticas estão entre as mais significativas no que diz respeito a evitar e detectar os ataques da engenharia social. (FONSECA, 2009). É importante ressaltar também que a política de segurança nunca deve ser imutável ou inflexível, pois as novas técnicas de ataques usando a engenharia social estão surgindo a cada dia assim como as próprias tecnologias e ou procedimentos para combatê-las. Para que a política de segurança esteja sempre atualizada, devem-se estabelecer procedimentos regulares com o objetivo de identificar as novas ameaças e assim combatê- las através das tecnologias e ou procedimentos adequados. Lembrando que esse documento atualizado deve sempre estar disponível em um lugar bem acessível a todos os funcionários. Isso facilitará bastante a consulta dos funcionários ao surgir alguma dúvida relacionada às políticas e procedimento de segurança. Quanto mais rápido o funcionário conseguir acessar esse documento, melhor será. (MITNICK; SIMON, 2003).
  • 52. 51 4.2.2 Plano de Treinamento e Conscientização Talvez haja pouquíssimos assuntos de extrema importância e ao mesmo tempo tão entediantes para a maioria dos funcionários, pelo qual deverão ainda passar por treinamentos como a questão da segurança da informação. Por isso é vital que haja artifícios para prender suas atenções e inclusive entusiasmá-los. (FONSECA, 2009). Um plano de conscientização sobre segurança da informação em uma organização, tem como principal objetivo, influenciar os colaboradores a mudarem seus hábitos e motivá- los a participarem do treinamento de conscientização mostrar que eles fazem parte da segurança da informação na empresa e que ela poderá sofrer um ataque a qualquer momento. Os colaboradores conscientes e motivados, buscarão cumprir sua parte para proteger o ativo mais importante da empresa que são suas informações. Os programas de conscientização devem ser realizados constantemente, pois com o passar do tempo o preparo das pessoas diminui além de novas ameaças e técnicas usadas pelos engenheiros sociais surgirem constantemente, o que faz com que seja necessário reforçar e atualizar os princípios da segurança da informação na mente dos colaboradores. Uma organização que leva a questão da segurança da informação a sério e como uma prioridade em sua cultura corporativa, passa a treinar seus colaboradores assim que são admitidos, de maneira que nenhum funcionário possa receber acesso a um computador antes de participar de pelo menos uma aula básica sobre conscientização em segurança da informação. Um ótimo aspecto a ser abordado que pode funcionar como um grande agente motivador para os funcionários é esclarecê-los de que a segurança da informação não é um assunto de interesse somente da empresa, mas também dos próprios funcionários, pois a própria empresa possui informações particulares a respeito dos seus funcionários. Inclusive algumas analogias podem ser feitas para criar entusiasmo nos empregados, como por exemplo, informá-los de que não cuidar da segurança das informações no ambiente de trabalho é o mesmo que não cuidar do cartão do banco ou do número do cartão de crédito de alguém. Ou seja, os funcionários perceberão que ao colaborarem estarão protegendo não somente informações da empresa, mas também suas informações pessoais. Outro bom artifício seria a demonstração das técnicas de engenharia social através da dramatização, reportagens ou através de vídeos educativos sobre o assunto, que exibam casos reais de maneira que seja ao mesmo tempo algo educativo e divertido. (FONSECA, 2009). A maioria dos casos o treinamento deve ser adaptado de acordo com os requisitos específicos de cada grupo dentro da organização, pois apesar de muitas vezes as políticas
  • 53. 52 serem aplicadas a todos os funcionários, há situações em que será necessária a existência de políticas específicas para determinados cargos ou grupos distintos dentro das organizações, como por exemplo, os gestores, o pessoal da tecnologia, os usuários gerais, o pessoal das áreas não técnicas, os assistentes administrativos, recepcionistas e o pessoal da segurança física da empresa. Uma observação interessante a ser feita com relação aos funcionários da segurança física é que normalmente esse tipo de funcionário não tem acesso aos microcomputadores e às vezes nem mesmo possuem proficiência para operá-los, mas nem por isso devem ser excluídos do treinamento, pois os engenheiros sociais costumam utilizá-los como peças importantes para conseguirem acesso privilegiado a locais restritos como, por exemplo, algumas salas ou escritórios que venham posteriormente permitir a invasão de algum computador. Por isso em alguns casos, o treinamento precisa sofrer adaptações. Como no exemplo supracitado, os guardas da segurança não precisariam passar pelo treinamento completo que os usuários de computadores deveriam passar. Já aqueles funcionários que não puderem participar dos treinamentos em classe, deverão ser incluídos no treinamento através de outras formas de instrução como, por exemplo, vídeos, treinamentos baseado em computadores, cursos on-line ou por material escrito. Também é muito importante ressaltar a questão dos empregados que mudarem de cargo, função e etc. Esses funcionários deverão passar por um novo processo de treinamento ajustado às suas novas atribuições. (FONSECA, 2009). É muito importante esclarecer a importância de seguir as Políticas de Segurança da Informação corretamente e os danos que a organização poderá vir a sofrer se estas não forem seguidas conforme planejado. Os colaboradores devem ser informados a respeito das consequência que sofrerão se não cumprirem as normas e procedimentos estabelecidos pela organização, pois muitas vezes, os próprios funcionários ignoram ou até mesmo negligenciam os procedimentos que acham desnecessários, ou aqueles considerados tediosos segundo entendimento próprio. Elaborar um resumo dessas consequências e divulgá-los amplamente é um ótimo procedimento a ser realizado. Algo muito interessante que também pode ser colocado em prática é a recompensa para os funcionários que seguem as boas práticas de segurança da empresa de maneira correta. Pois sabemos que o incentivo é sempre algo muito motivador. Também é interessante divulgar amplamente por toda empresa através de circulares internas, boletins periódicos on-line ou pela própria Intranet, os casos frustrados de quebra de segurança onde um funcionário atuou de maneira correta evitando algum sinistro. (MITNICK; SIMON, 2003). A questão relacionada a prevenção nas organizações é uma tarefa complicada, pois as organizações em maioria, não dá a devida atenção para essa questão. Normalmente
  • 54. 53 concentram seus recursos financeiros somente na manutenção de sistemas e em novas tecnologias, ao invés de destinar parte desses recursos para treinamento e conscientização dos funcionários para combater as ameaças. Devemos aproveitar os Recursos como o de Intranet ou correio eletrônico para divulgação de lembres de mudanças de senha ou até mesmo conscientização podem ser tão úteis. Concordando com o que diz Fonseca (2009), um bom e objetivo processo de conscientização sobre segurança da informação não pode deixar de lado os seguintes tópicos: a) Descrever a forma com que engenheiros sociais utilizam suas aptidões para manipular e ludibriar. b) Táticas empregadas pelos engenheiros sociais para cumprirem suas metas. c) Como identificar a ação de um engenheiro social. d) Como agir ao desconfiar de alguma solicitação suspeita. e) A quem reportar as tentativas de ataque fracassadas ou que tiveram êxito. f) Questionar solicitações, independentemente do cargo ou importância que o solicitante julga ter. g) Não confiar em pessoas que fazem solicitações de informações, sem antes examinar perfeitamente sua real identidade. h) Como proceder para proteger informações sigilosas. i) Como encontrar as políticas e procedimentos de segurança da informação e sua importância na proteção das informações. j) Sintetizar e explicar o sentido de cada política de segurança como, por exemplo, a questão da criação de senhas difíceis de serem descobertas. k) A obrigação do cumprimento das políticas de segurança e as consequências para o empregado e para a organização caso haja algum descumprimento. l) Como divulgar material ou informação restrita. m) Melhores práticas de uso do correio eletrônico de maneira a não se tornar vítima da engenharia social, vírus e armadilhas em geral. n) Questões físicas da segurança como, por exemplo, a utilização de crachás e o questionamento para com aqueles que estão nas dependências da organização sem utilizá-lo. o) Eliminação de documentos que contenham informações confidenciais independentemente se sua natureza é física ou eletrônica.
  • 55. 54 p) Deixar bem claro que testes serão feitos periodicamente dentro da organização para verificar quais funcionários estão procedendo corretamente e quais não estão. q) Fornecer material informativo como, por exemplo, lembretes através do meio de comunicação que julgar conveniente. r) Parabenizar publicamente o(s) funcionário(s) destaque(s) na segurança da informação. s) Testes de intrusão e vulnerabilidades usando a engenharia social podem ser feitos periodicamente com o objetivo de encontrar falhas ou descobrir o descumprimento das políticas de segurança e até mesmo pontos fracos no próprio treinamento dos funcionários. É interessante avisar os funcionários que testes desse tipo serão realizados periodicamente. (MITNICK; SIMON, 2003). t) Tudo isso se resume em uma reeducação na organização de maneira a inserir uma nova cultura que abrange cem por cento da empresa, pois qualquer falha poderá ser fatal. u) Pode-se considerar que o programa de treinamento teve um bom aproveitamento se todos que participaram do programa estiverem convencidos e motivados com a consciência de que a segurança da informação faz parte do seu trabalho diário. (FONSECA, 2009). 4.2.3 Plano de Resposta a Incidentes É um grande desafio manter a segurança da informação de uma organização no ambiente computacional interconectado dos dias atuais, que se torna mais difícil à medida em que são lançados novos produtos para a Internet e novas ferramentas de ataque são desenvolvidas. A maioria das organizações reconhece que não existe uma solução única capaz de garantir a segurança de sistemas e dados; ao contrário, é necessário ter uma estratégia de segurança composta de várias camadas. Uma das camadas que vem sendo incluída por diversas organizações nas suas estratégias é a criação de um Grupo de Resposta a Incidentes de Segurança em Computadores, geralmente conhecido como CSIRT (do inglês "Computer Security Incident Response Team"). As motivações para o estabelecimento de CSIRTs incluem: a) Um aumento generalizado na quantidade de incidentes de segurança sendo reportados
  • 56. 55 b) Um aumento generalizado na quantidade e variedade de organizações sendo afetadas por incidentes de segurança em computadores c) Uma maior consciência, por parte das organizações, da necessidade de políticas e práticas de segurança como parte das suas estratégias globais de gerenciamento de riscos d) Novas leis e regulamentos que afetam a maneira como as organizações precisam proteger as suas informações e) A percepção de que administradores de redes e sistemas não podem proteger sozinhos os sistemas e as informações da organização. (CERT, 2013). Não existe infraestrutura de segurança da informação que venha garantir cem por cento de proteção, pois as falhas sempre existirão, por mais remotas que sejam. Portanto as empresas devem estar preparadas para reconhecer, analisar e responder aos incidentes de segurança o mais rápido possível, pois isso é fator fundamental para amenizar os estragos ou diminuir custos com reparos. É importante que as experiências anteriores com outros incidentes sejam usadas para prevenir ocorrências semelhantes no futuro ou até mesmo para aprimorar a segurança atual. O documento que define as diretrizes para tratar incidentes de segurança chama-se Plano de Resposta a Incidentes. Ele possui os procedimentos e medidas a serem tomadas para remediar, corrigir ou contornar os incidentes. O tratamento de cada incidente dependerá de alguns fatores como, por exemplo, a sua magnitude e o risco que trará para a empresa. (POPPER; BRIGNOLI, 2003). Medidas que não podem ser deixadas de lado em um Plano de Resposta a Incidentes: (POPPER; BRIGNOLI, 2003). a) Identificar a autoria dos ataques, assim como sua seriedade, estragos causados e responsáveis pelo incidente. b) Divulgar o mais rápido possível o acontecimento ocorrido para que o mesmo incidente não ocorra em outras áreas da empresa. c) Tomar as medidas necessárias para restaurar aquilo que foi afetado como, por exemplo, mudar senhas, trocar funcionários, aumentar o nível de controle. d) Contatar os órgãos de segurança para que o fato seja registrado, assim como tentar entrar em contado com os responsáveis pelos ataques. Este capítulo apresentou alguns dos procedimentos essenciais para criação de uma política de segurança da informação que visa prevenir de ataques principalmente de engenharia social, cada organização terá seu plano de resposta a incidentes baseados nas medidas citadas.
  • 57. 56 CONCLUSÃO O presente trabalho procurou apresentar o que é engenharia social e suas práticas, essas que são bastante utilizadas nos dias de hoje, com o intuito de conseguir informações privilegiadas não autorizadas. Assim como a importância do valor das informações e de mantê-las seguras. Dentro de uma organização a maior parte de incidentes envolvendo a segurança da informação, envolve também o fator humano, pois boa parte dos processos são intermediados por pessoas, essas que em sua maioria não são preparadas para lhe dar com a informação. Por esse motivo de nada vale investir em tecnologias robustas de segurança e esquecer o fator humano, temos que conscientiza-los quanto ao perigo das ameaças e como proceder diante das informações. Procuramos demostrar, como a engenharia social tem crescido de uma forma despercebidas pelos alvos, pois a engenharia social envolve principalmente os sentimentos humanos e através disso os engenheiros agem e utilizam também ferramentas tecnológicas para ajudar nos processos de ataques aos alvos. Apresentar o leitor como é possível a identificação dessas pessoas mal intencionadas chamadas de engenheiros sociais e seus ataques. Mostrar alguns princípios e procedimentos básicos que são essenciais para uma política de segurança da informação para treinamento e conscientização dos colaboradores de uma organização, para que eles não sejam alvos dessas práticas maliciosas. O trabalho buscou abordar os métodos e técnicas utilizadas pelos engenheiros sociais de como conseguir informações privilegiadas, assim comprometendo a segurança da informação.
  • 58. 57 REFERÊNCIAS LIVROS E ARTIGOS ALLEN, Malcolm. Social Engineering: A Means to Violate a Computer System. SANS Institute InfoSec Reading Room. [S.l.], 13 f.,. 2006 ARAUJO, Eduardo E. de. A VULNERABILIDADE HUMANA NA SEGURANÇA DA INFORMAÇÃO. 2005. 85 f. Monografia (Graduação)– Faculdade de Ciências Aplicadas de Minas, União Educacional Minas Gerais S/C LTDA, Uberlândia, 2005. Acesso em: 23 ABRIL. 2013. COMITÊ GESTOR DA INTERNET NO BRASIL. Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança. Cartilha de Segurança para Internet. São Paulo, 2006. 95 p. Acesso em: 19 JUNHO. 2013. FONSECA, Paula F. Gestão de Segurança da Informação: O Fator Humano. 2009. 16 f. Monografia (Especialização)– Redes e Segurança de Computadores, Pontifícia Universidade Católica do Paraná, Curitiba, 2009. Acesso em: 18 JUNHO. 2013. MCCLURE, Stuart; SCAMBRAY, Joel; KURTZ, George. Hacking exposed 6: network security secrets & solutions. [S.l.]: The McGraw-Hill Companies, 2009. MITNICK, Kevin D.; SIMON, William L. A arte de enganar: Ataques de Hackers: Controlando o Fator Humano na Segurança da Informação. São Paulo: Pearson Education, 2003. MITNICK, Kevin D.; SIMON, William L. The art of intrusion: the real stories behind the exploits of hackers, intruders, and deceivers. Indianapolis: Wiley Publishing, 2005. PEIXOTO, Mário C. P. Engenharia Social e Segurança da Informação na Gestão Corporativa. Rio de Janeiro: Brasport, 2006. POPPER, Marcos Antonio; BRIGNOLI, Juliano Tonizetti. ENGENHARIA SOCIAL: Um Perigo Eminente. [2003]. 11 f. Monografia (Especialização)– Gestão Empresarial e
  • 59. 58 Estratégias de Informática, Instituto Catarinense de Pós-Graduação – ICPG, [S.l.], [2003]. Acesso em: 16 Junho. 2013. PRESCOTT, Roberta. Fator humano: um dos pilares da segurança da informação. [S.l.:s.n.], 2007.Acesso em: 16 Junho. 2013. SCHWARTAU, Winn. Engenharia social: pessoas ainda são elo mais fraco. [S.l.:s.n.], 2010. Acesso em: 17 JUNHO. 2013. SISTEMA DE COOPERATIVAS DE CRÉDITO DO BRASIL; CONFEDERAÇÃO NACIONAL DE COOPERATIVAS DE CRÉDITO. Cartilha de Segurança da Informação. [S.l.:s.n.]. Acesso em: 15 JUNHO. 2013. REFERÊNCIAS SITES ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 17799: Tecnologia da Informação: Técnicas de Segurança - Código de prática para a Gestão da Segurança da Informação. Rio de Janeiro, 2005. 120 p. Disponível em: < http://xa.yimg.com/kq/groups/21758149/952693400/name/ABNT+NBR+ISO+IEC+17799+- +27001-2005++Tecnologia+da+Informa>. Acesso em 19 MAIO. 2013. BASTOS . Segurança da Informação Vs Engenharia Social Disponível em:<http http://monografias.brasilescola.com/computacao/seguranca-informacao- vs-engenharia-social-como-se-proteger.htm>. Acesso em 18 MAIO. 2013. MITNICK . Hacker Regenerado Disponível em:<http://revistaepoca.globo.com/Epoca/0,6993,EPT600936- 1666,00.html>.Acesso em 23 FEV. 2013.

×