Entendendo e Evitando a Engenharia Social: Protegendo Sistemas e Informaes - Gesto de Projetos

Escrito por Sandra Regina da Luz Incio

Engenharia social, dentro da rea de segurana de sistemas computacionais, um termo
utilizado para qualificar os tipos de intruso no tcnica, que coloca nfase na interao
humana e, freqentemente, envolve a habilidade de enganar pessoas objetivando violar
procedimentos de segurana. Um aspecto relevante da engenharia social compreende a
inaptido dos indivduos manterem-se atualizados com diversas questes pertinentes a
tecnologia da informao, alm de no estarem conscientes do valor da informao que eles
possuem e, portanto, no terem preocupao em proteger essa informao.
importante salientar que, independente do hardware, software e plataforma utilizada, o
elemento mais vulnervel de qualquer sistema o ser humano, o qual possui traos
comportamentais e psicolgicos que o torna susceptvel a ataques de engenharia social.
Dentre essas caractersticas, pode-se destacar:
1) Vontade de ser til O ser humano, comumente, procura agir com cortesia, bem como
ajudar outros quando necessrio.
2) Busca por novas amizades O ser humano costuma se agradar e sentir-se bem quando
elogiado, ficando mais vulnervel e aberto a dar informaes.
3) Propagao de responsabilidade Trata-se da situao na qual o ser humano considera
que ele no o nico responsvel por um conjunto de atividades.
4) Persuaso Compreende quase uma arte a capacidade de persuadir pessoas, onde se
busca obter respostas especficas. Isto possvel porque as pessoas tm caractersticas
comportamentais que as tornam vulnerveis manipulao.
Importante observar que o sucesso da engenharia social depende da compreenso do
comportamento do ser humano, alm da habilidade de persuadir outros a disponibilizarem
informaes ou realizarem aes desejadas pelo engenheiro social. Perceba ainda que o medo
de perder seu emprego ou vontade de ascender pode resultar na entrega de informao de
natureza proprietria. Nesse sentido, observa-se que a engenharia social possui uma
seqncia de passos na qual um ataque pode ocorrer:
5) Coleta de informaes O hacker ou engenheiro social busca as mais diversas informaes
dos usurios como nmero de CPF, data de nascimento, nomes dos pais, manuais da
empresa, etc. Essas informaes ajudaro no estabelecimento de uma relao com algum da
empresa visada.
1 / 8
Entendendo e Evitando a Engenharia Social: Protegendo Sistemas e Informaes - Gesto de Projetos
Escrito por Sandra Regina da Luz Incio
6) Desenvolvimento de relacionamento O engenheiro social explora a natureza humana de
ser confiante nas pessoas at que se prove o contrrio.
7) Explorao de um relacionamento O engenheiro social procura obter informaes da
vtima ou empresa como, por exemplo, senha, agenda de compromissos, dados de conta
bancria ou carto de crdito a serem usados no ataque.
8) Execuo do ataque O hacker ou engenheiro social realiza o ataque empresa ou vtima,
fazendo uso de todas as informaes e recursos obtidos.
Evitando a Engenharia Social
Especialistas afirmam que medida que nossa sociedade torna-se cada vez mais dependente
da informao, a engenharia social tende a crescer e constituir-se numa das principais
ameaas aos sistemas de segurana das (grandes) organizaes. Entretanto, embora as
situaes apresentadas acima sejam um tanto indesejveis e at certo ponto assustadoras, h
mecanismos atravs dos quais uma organizao pode implementar a fim de detectar e prevenir
ataques de engenharia social. Tais medidas visam, principalmente, atenuar a participao do
componente humano. Essas medidas compreendem:
1) Educao e Treinamento Importante conscientizar as pessoas sobre o valor da informao
que elas dispem e manipulam, seja ela de uso pessoal ou institucional. Informar os usurios
sobre como age um engenheiro social.
2) Segurana Fsica Permitir o acesso a dependncias de uma organizao apenas s
pessoas devidamente autorizadas, bem como dispor de funcionrios de segurana a fim de
monitorar entrada e sada da organizao.
3) Poltica de Segurana Estabelecer procedimentos que eliminem quaisquer trocas de
senhas. Por exemplo, um administrador jamais deve solicitar a senha e/ou ser capaz de ter
acesso senha de usurios de um sistema. Estimular o uso de senhas de difcil descoberta,
alm de remover contas de usurios que deixaram instituio.
2 / 8
Entendendo e Evitando a Engenharia Social: Protegendo Sistemas e Informaes - Gesto de Projetos
Escrito por Sandra Regina da Luz Incio
4) Controle de Acesso Os mecanismos de controle de acesso tem o objetivo de implementar
privilgios mnimos a usurios a fim de que estes possam realizar suas atividades. O controle
de acesso pode tambm evitar que usurios sem permisso possam criar/remover/alterar
contas e instalar software danosos organizao.
Temos observado que gasto milhares de reais na aquisio de ferramentas de segurana
(deteco de intruso, firewalls, etc, a fim de dotarem seus sistemas de maior segurana).
Todavia, a maioria das empresas acredita que a soluo, unicamente, tcnica garantem a
segurana dos sistemas. Embora eu concorde que a soluo tcnica seja necessria, ela por si
s no suficiente. preciso tambm considerar o componente humano de um sistema de
segurana da informao a fim de minimizar ou qui minimizar a vulnerabilidade de sistemas.
As tcnicas de engenharia social exigem uma preparao psicolgica profunda e contnua. O
candidato a invasor deve estar pronto para estudar o comportamento do seu alvo e entender
melhor seu modelo de operar, incluindo at o monitoramento de horrios. Mesmo com
investimentos pesados na rea de segurana, grande parte das empresas (seno todas) no
est preparada para lidar com esse fator. Lembre-se de que o espio usar boa vontade, a
cortesia, a ingenuidade das pessoas e mesmo as normas da empresa para enganar a vtima.
Tipos de ataque
Existem basicamente dois tipos de ataques: o direto e o indireto. A eficincia deles depende
das habilidades pessoais do hacker e do quanto ele se identifica com os processos.
Normalmente, necessrio utilizar uma combinao de ambos para obter o resultado
desejado. Para chegar abordagem direta, o invasor deve ter conseguido uma bela coleo de
informaes obtidas de modo indireto. S assim poder "saber do que est falando" quando
abordar um funcionrio do teleatendimento para conseguir uma senha de acesso ao sistema
ou enviar aquele fax dizendo que o gerente da filial solicitando informaes.
a) Ataque indireto
O ataque indireto consiste basicamente na utilizao de ferramentas de invaso (como cavalos
de tria e sites com cdigo malicioso) e de impostura (como cartas, e-mails e sites falsos com a
aparncia dos verdadeiros) para obter informaes pessoais. Os usurios individuais de quem
o hacker extrai os dados so apenas vetores para a coleta de informaes de uma entidade
maior - empresa, organizao ou governo. sua inteno no atacar cada um desses
usurios, e sim o organismo maior ao qual elas pertencem.
b) Ataque direto
So caracterizados pelo contato pessoal. Geralmente so feitos por fax ou telefone (embora
hackers mais confiantes ousem faz-los pessoalmente...) e exigem planejamento detalhado e
3 / 8
Entendendo e Evitando a Engenharia Social: Protegendo Sistemas e Informaes - Gesto de Projetos
Escrito por Sandra Regina da Luz Incio
antecipado, vrios planos de emergncia para cada uma das fases do ataque previamente
planejadas e um pouco de dom artstico. Sim, um bom invasor tem a obrigao de ser bom
ator. Este deve ser bem articulado para que seu plano no seja desmascarado, e tambm ter
raciocnio rpido para encontrar sadas caso algo fora do planejado d errado.
Mtodos utilizados
bvio que todo esse falatrio sobre ataques diretos e indiretos extremamente vago. Na
prtica, existem algumas tticas simples que deve ser usadas na elaborao do procedimento
de ataque. As principais armas de um engenheiro no social podem ser divididas em dois
grandes grupos: pesquisa e impostura.
Comecemos pela pesquisa. A aquisio de material, como relatrios anuais e lista de
pagamento, pode dar uma tima viso da hierarquia adotada na empresa. Isso ajuda muito na
hora da seleo dos alvos pontuais (lembre-se: um pedacinho de informao extrado de cada
usurio ressalta em um bolo valiosssimo quando reunido s outras pequenas informaes
extradas dos outros usurios). O hacker pode descobrir quem detm o material necessrio
para a invaso e outras informaes importantes para o ataque, como departamento em que a
pessoa trabalha, softwares utilizados, sistemas operacional, hardware e sistemas empresariais.
Observe que nem sempre os dados teis esto escritos: uma anlise dos resultados de sua
busca, compreendendo combinaes e cruzamento de informaes, importantssima. "Ler
nas entrelinhas" nunca foi to necessrio...
Mesmo assim, a pesquisa s o comeo. Depois de descobrir quem guarda as informaes e
quais so elas, o hacker deve pensar nos meios que utilizar para extrair mais dados. nesse
ponto que entra a impostura: o hacker deve se fazer passar por outras pessoas (seja da prpria
empresa, sejam clientes, fornecedores, seja at agentes do governo) para, de posse das
informaes j "garimpadas", angariarem dados e documentos mais srios, especficos e,
principalmente, valiosos.
A seguir amos falar sobre mtodos utilizados para a aquisio de dados vitais das empresas,
tanto em ataques diretos como indiretos.
Disfarces
4 / 8
Entendendo e Evitando a Engenharia Social: Protegendo Sistemas e Informaes - Gesto de Projetos
Escrito por Sandra Regina da Luz Incio
Como um bom espio, o engenheiro social deve dispor de diversos disfarces para alcanar
seus objetivos. Entre eles deve constar desde se passar por faxineiro at consultor em visita.
Certas empresas adoram receber consultores de empresas famosas. Para tanto, basta apenas
que o hacker tenha um terno, boa lbia e um crach. O fator idade no mais um problema to
grande, pois o perfil do profissional de informtica cada vez mais jovem, basta apenas tratar
um pouco da aparncia e da linguagem a ser utilizada.
A incorporao do personagem um fator de grande importncia para o sucesso. Imagine um
hacker disfarado de faxineiro. Ele simplesmente no vai andar at a lata de lixo, separar os
papis de seu interesse, e virar as costas, ser at estranho se ningum suspeitar. Ele deve
fazer todo o servio, desde limpar a mesa at varrer o cho, conseguindo mais oportunidades
para entender o que acontece ao seu redor. Depois de certo tempo, as pessoas passam a
confiar mais e o invasor pode tranqilamente limpar as mesas repletas de material importante
para o desenvolvimento de um ataque bem-sucedido.
O lixo rico!
O lixo de um escritrio , potencialmente, umas das maiores fontes de informaes para o
hacker. Geralmente nele que as pessoas jogam aqueles pedaos de papis em que anotam
suas senhas antes de memoriz-las ou transcrever para uma agenda. Alm disso o lixo de uma
grande empresa recebe dezenas de relatrios que podem parecer banais mas que, na
verdade, guardam informaes sobre o patrimnio da empresa, funcionrios cadastrados e
aspectos dos sistemas.
A falta de preocupao s com esse fator isolado pode render uma invaso bem-sucedida e
ainda ajudar o invasor a limpar seus rastros. Muitas vezes, ele mesmo pode estar l para
recolher o lixo da sala do administrador. Obviamente, isso depende muito da percia do hacker
e do quanto ele realmente precisa das informaes, caso contrrio, ele pode esperar at que o
material seja posto para coleta, o que no seria muito recomendado.
Funcionrios descontentes e redes de contatos
Talvez seja a forma mais fcil de conseguir informaes dentro de uma empresa. Muitas vezes
pode custar certo valor (nem sempre em dinheiro...), mas isso vai depender do teor de
insatisfao do funcionrio para com a empresa em questo. Explorar a fragilidade de pessoas
insatisfeitas com as condies de trabalho muito mais simples do que podemos imaginar.
muito fcil para o administrador insatisfeito com o salrio falar algo que possa prejudicar seus
5 / 8
Entendendo e Evitando a Engenharia Social: Protegendo Sistemas e Informaes - Gesto de Projetos
Escrito por Sandra Regina da Luz Incio
superiores de alguma forma. Nem sempre eles so teis aps sarem ou serem demitidos, pois
a poltica das empresas a de trocar as senhas.
No se deve esquecer que os funcionrios de uma empresa possuem uma rede de contatos,
dentro e fora dela. Isso tambm vlido para os descontentes, que podem fornecer ao hacker
informaes valiosas sobre outras pessoas e sobre caminhos para chegar a mais dados.
O apelo sentimental
O invasor pode incorporar outra pessoa, com muito mas facilidade, no mundo virtual. Vamos
supor que o hacker quer invadir um computador qualquer na internet. Ele procura uma sala de
chat e observa silenciosamente a conversa por um tempo. Depois, sai da sala e entra
novamente com algum apelido de sexo oposto ao da vtima escolhida. A partir desse ponto
fcil conquistar a confiana que todos ns conhecemos e que, mesmo assim, funcionam.
Observe que homens e mulheres possuem maneiras diferentes de serem conquistados e
seduzidos.
Programao neurolingistica
Ao se comunicar com qualquer pessoa, possvel utilizar tcnicas de programao
neurolingistica para confundir a pessoa e faz-la concordar com voc. Consegue-se isso de
diversas formas, sendo a mais bvia (e que funciona em quase 100% dos casos) fazer com
que a vtima acredite que na verdade a idia foi dela. Uma das tcnicas para confundir a vtima
a acompanha-acompanha-acompanha-comanda: o hacker imita o jeito de escrever, de falar e
at a gesticulao de seu interlocutor. Faz isso por um bom tempo durante a conversa, at que
um elo de intimidade se forme e a vtima pense que est no comando, baixando a guarda. A
partir da, o hacker pode comandar a conversa sem que a vtima perceba e sugar dela tudo o
que for necessrio.
A utilizao da Internet
Uma forma eficaz de conseguir as informaes desejadas atravs de formulrios e cadastros
na Internet. sites que oferecem brindes para quem se cadastrar e promoes que prometem os
mais variados tipos de prmios podem no passar de instrumentos utilizados pelos hackers
para conseguir uma vasta quantidade de informaes sobre os internautas. Entre elas, esto
6 / 8
Entendendo e Evitando a Engenharia Social: Protegendo Sistemas e Informaes - Gesto de Projetos
Escrito por Sandra Regina da Luz Incio
dados pessoais e dicas sobre o comportamento da futura vtima. essa tcnica utilizada
principalmente para a obteno de nmeros de cartes de crdito e dados como CPF e RG.
O fator sorte
H muitos casos em que os procedimentos de engenharia social so facilitados por descuidos
dos usurios e dos administradores do parque de informaes das empresas. s vezes,
mesmo empresas muito seguras deixam escapar uma, e apenas uma, informao no bvia.
Se o hacker tiver sorte de tropear nessa informao, seu processo de engenharia social
poder ser abreviado em vrios dias, s vezes semanas.
Navegando pelo mar proibido
Mesmo depois de invadidos, um computador, um site ou uma empresa so um quebra-cabea
complicado para o invasor. At ento este possua as informaes sobre a periferia. Agora ele
tem acesso irrestrito a todas as reas do local invadido, mas que para ele se parece mais com
um labirinto. O controle de acesso e usurios internos de empresas, por exemplo, normalmente
menos rigoroso que os procedimentos de segurana das partes visveis externamente (site,
e-mail, gateways, Internet). Mas ainda assim, uma vez dentro, o invasor dever quebrar
senhas, contornar dispositivos de segurana ou mesmo utilizar novamente a engenharia social
para obter informaes cada vez mais prximas do ncleo. (Este um processo sem fim ;-)
Casos reais
Abraham Abdallah, em 2002, o hacker e lavador de pratos Abraham Abdallah recebeu
acusaes de fraudes da ordem de US$ 80 milhes. Utilizando-se da revista Forbes, que
publicou uma lista com as 400 pessoas mais ricas dos EUA, ele roubou o nmero de diversos
cartes de crdito das pessoas famosas. Utilizando tcnicas de engenharia social, Abdallah
enganou bancos e empresas de crdito para conseguir as informaes para o seu golpe.
Chegou a montar uma rede de caixas postais para receber as encomendas que fazia com o
dinheiro roubado. Foi descoberto pela polcia ao tentar retirar uma quantia acima do saldo
existente de Thomas Siebel, fundador da empresa de e-commerce chamada Siebel Systems.
Kevin Mitnick, j foi um dos criminosos mais procurados pelo FBI, devido aos crimes digitais
que cometeu. Aps ganhar a liberdade, ajudou a fundar uma empresa de consultoria
7 / 8
Entendendo e Evitando a Engenharia Social: Protegendo Sistemas e Informaes - Gesto de Projetos
Escrito por Sandra Regina da Luz Incio
especializada em segurana, a Defensive Thinking. Esse um fato que chega a surpreender
muito, pois Mitnick tornou-se um smbolo da engenharia social ao planejar e realizar seus
ataques aos sistemas de grandes empresas pelo mundo.
Ele usou as artimanhas da engenharia social pela primeira vez nos anos 70, ao conhecer um
estudante que lidava com "phreaking" (o hackerismo de linhas telefnicas). Ele percebeu como
os phreakers agiam, fazendo-se passar por funcionrios das companhias telefnicas. Comeou
a tentar com amigos e professores e sentiu-se motivado aps notar que tinha facilidade em
conseguir informaes confidenciais. Ele foi evoluindo suas tticas at o ponto em que
nenhuma empresa estava mais segura contra os seus ataques.
Sua lista de ataques inclui desde telefonemas inocentes ao setor de suporte at a incorporao
de funcionrios importantes para conseguir informaes como senhas para obter acesso a
grandes sistemas da empresa. dessa forma, Mitnick tornou-se uma lenda para a populao
hacker ao redor do mundo.
Alm desses, podemos citar, com louvor, outros hakers que se utilizaram de engenharia social
para atingir seus objetivos:
Poderamos preencher completamente esta matria citando diversos hackers famosos
(inclusive brasileiros). Apenas estes exemplos, entretanto, mostram como as estruturas de
segurana, que j so ruins no campo tecnolgico, ficam piores quando o fator humano entra
em campo.
8 / 8