Empresas e órgãos governamentais investem muito dinheiro em segurança por meio de inovações tecnológicas: antivírus, firewall, proxy, sistemas para detectar invasões, autenticação por biometria. Tudo isso custa caro e, por incrível que pareça, pode ser completamente inútil se os funcionários que trabalham com essas tecnologias não tiverem o treinamento adequado.
E não estamos falando aqui de um treinamento sobre como trabalhar com o equipamento recém-comprado, mas sim de como se comportar dentro do ambiente de trabalho. O sistema de autenticação por digitais não servirá para nada se o segurança, por simpatia ou educação, abrir a porta para funcionários ou desconhecidos.
São situações como essas que podem levar hackers a romperem barreiras de segurança aparentemente impenetráveis. E essas situações também compõem o campo de batalha em que atuam muitos hackers.
Fonte da imagem: Wikipedia
Quem assistiu ao filme “Prenda-me se for capaz” já sabe do que a se trata a Engenharia Social. No filme podemos conferir Leonardo DiCaprio aplicando golpes no papel de Frank Abagnale Jr., um falsário que abusou das técnicas de Engenharia Social para conseguir o que queria: dinheiro e aventura.
A Engenharia Social é uma técnica antiga e muito popular, que poderia ser traduzida, grosso modo, como “enganar pessoas”. A ideia é que o engenheiro social, como são conhecidos aqueles que praticam essa arte, possa manipular pessoas para que elas revelem informações importantes ou, então, para que elas façam algo que facilite o trabalho dele.
Além disso, a Engenharia Social também pode ser encarada como uma maneira de tirar proveito em benefício próprio, por meio de truques psicológicos, ao manipular a tendência que as pessoas possuem de confiar umas nas outras.
Existem diversos motivos para alguém estudar e usar esses truques: espionagem industrial, obter informações confidenciais para cometer alguma fraude, roubo de identidade, interromper redes e serviços ou, simplesmente, por pura diversão, apenas para provar que nenhum sistema é seguro o suficiente.
O famoso hacker Kevin Mitcnick foi um dos responsáveis pela popularização do termo Engenharia Social. Em seu livro “A arte de enganar”, Mitnick conta que teve o primeiro contato com a técnica aos 12 anos, quando percebeu que os bilhetes usados para as baldeações de ônibus usavam um esquema peculiar de furos em papel, utilizados pelos motoristas para marcar o dia, a hora e o itinerário das viagens.
Fonte da imagem: Mitnick Security Consulting
Kevin se demonstrou interessado por aprender mais sobre os furos nos bilhetes e conseguiu uma bela explicação com um motorista que acabara se tornando amigo do rapaz que viria a se tornar um dos hackers mais conhecidos do mundo. Depois disso, com um furador e bilhetes sem uso que ele encontrava nas lixeiras dos terminais de ônibus, Kevin passou a viajar de graça pela Grande Los Angeles.
Muitas vezes o engenheiro social nem precisa encontrar pessoalmente a vítima para conseguir o que deseja. Boa parte dos ataques é feita por meio de um simples telefonema, sem nem mesmo ter ideia de como a vítima se parece. Kevin Mitnick também aprendeu a usar a Engenharia Social para burlar a segurança das redes de telefonia.
Uma das diversões do jovem phreaker era conversar com atendentes que pudessem alterar a classe de serviço dos amigos. Assim, quando um deles pegava o telefone de casa para fazer uma ligação, uma mensagem eletrônica pedia para que eles depositassem 25 centavos para poder concluí-la, como se eles estivessem discando a partir de um telefone público.
É claro que nem sempre os hackers usam esses truques para pregar peças nos amigos. Prejuízos grandes já foram causados a empresas por causa do senso de confiança de pessoas e empresas. Uma dessas ações foi parar até mesmo no “Guinness, o Livro dos Recordes”. O responsável pela façanha foi Stanley Mark Rifkin, um consultor de banco que conseguiu roubar US$ 10,2 milhões por meio de uma transferência bancária feita com telefonemas, em 1978.
Mas como agem os engenheiros sociais? Quais descuidos eles esperam que você tenha, para que possam atacar? Vejamos alguns truques que os agressores costumam aplicar e, consequentemente, o que podemos fazer para não nos tornarmos uma vítima.
Tática nº 1: ambiente de trabalho
Talvez você não perceba, mas deve ter dados confidenciais ou importantes totalmente desprotegidos dentro do escritório ou do setor para o qual você trabalha. Eles estão em diversos locais e só precisam de um pouco de falta de atenção para que caiam nas mãos de alguém mal-intencionado.
Quer um exemplo? A maior parte das empresas reaproveita folhas de sulfite para impressões de documentos que circularão apenas internamente. Essa é uma prática que traz economia e, ao mesmo tempo, demonstra uma preocupação ambiental. Porém, não é raro encontrar na pilha de papéis reaproveitáveis alguns demonstrativos ou relatórios internos que possam ter informações secretas. Ainda pior, pode ser que você encontre até folhas com a palavra “CONFIDENCIAL” estampada no cabeçalho.
Existe outro destino comum para essas folhas: a lixeira. Se a sua empresa não tem um triturador de papel para uso dos funcionários, pode ser que seja hora de comprar um. Muitos documentos que estão sendo descartados no lixo podem estar parcialmente ou totalmente legíveis.
Muitas vezes esses papéis contêm informações aparentemente simples, como o nome ou o telefone de pessoas e departamentos, mas que podem ser usadas em conjunto com outras táticas. Até mesmo um calendário ou uma agenda jogada no lixo pode revelar detalhes da presença ou não de pessoas na empresa.
Tática nº 2: portas e catracas
Ter acesso aos departamentos onde se encontram esses tesouros também não costuma ser um problema para os engenheiros sociais. Para isso, muitas estratégias podem ser aplicadas e algumas até chegam a parecer ideia de filmes de Hollywood.
Uma prática comum para entrar em setores protegidos é aproveitar a entrada de alguém. Quando o engenheiro social vê que a porta para o local foi desbloqueada por alguém, ele chega de surpresa, sorridente, dizendo que vai aproveitar a “carona”. Isso provavelmente não funcionaria em uma empresa com poucos funcionários, mas em grandes corporações, que ocupam diversos andares, é muito provável que confundam o engenheiro com um funcionário novo ou ainda desconhecido.
Essa prática também exige uma pesquisa prévia do invasor. Quanto mais ele souber sobre o local e as pessoas que trabalham por lá, melhor. Basta usar a roupa e as palavras certas para se disfarçar de empregado ou de alguém com permissão para estar ali.
E por falar em roupas, elas podem abrir muitas portas. Um sujeito uniformizado, que diz estar ali para trocar lâmpadas queimadas ou consertar o ar-condicionado pode receber a permissão de um recepcionista despreparado e caminhar livremente pelos setores.
Algo ainda mais simples pode funcionar. Alegando que esqueceu o cartão de funcionário em casa, um invasor pode acabar descobrindo falhas no sistema de catracas da entrada do edifício comercial. Muitos desses sistemas não funcionam bem ou são simplesmente ignorados por quem devia ler os relatórios de entrada e saída dos funcionários.
Um recepcionista, ao querer ajudar o “funcionário” que chegou atrasado e sem crachá, poderia revelar, sem querer, uma falha de segurança para o invasor, que voltaria a explorá-la quando fosse conveniente. São pequenos descuidos como esse que podem colocar a segurança de uma organização em risco.
Tática n° 3: telefone
O telefone é a ferramenta preferida dos engenheiros sociais. E não é à toa: com uma simples ligação é possível conseguir informações confidenciais e acesso a pessoas importantes da organização.
A estratégia é a mesma que você deve estar imaginando no momento: ao ligar para a vítima, o engenheiro social imita a voz de uma pessoa conhecida e se passa por ela. Assim como outras estratégias de ataque, essa também exige pesquisa e preparo para ser realizada, e com informações obtidas no lixo das empresas fica ainda mais fácil enganar a vítima.
O Help Desk é um setor muito visado por quem pratica esse tipo de ataque. Como os atendentes estão ali para ajudar e prestar suporte para quem ligar, eles já estão predispostos a entregar informações cruciais, involuntariamente.
Sendo assim, vale a pena ficar atento e lembrar-se de não revelar informações importantes ou pessoais sem ter certeza da identidade da pessoa com a qual você está falando.
Tática nº 4: espiar o teclado
Não é à toa que os avisos em caixas eletrônicos pedem para que as pessoas da fila respeitem um limite de distância enquanto outro cliente estiver usando o equipamento. Espiar alguém digitando uma senha é muito fácil e pode causar grandes dores de cabeça para a vítima.
Em inglês essa técnica tem até um nome divertido: shoulder surf, ou seja, obter informações aos “surfar” por cima dos ombros de alguém. O engenheiro social pode combinar essa técnica com outras, como ao entrar ilegalmente em uma área restrita.
Portanto, quando tiver desconhecidos por perto e você precisar informar uma senha, tente digitá-la rapidamente, para dificultar a ação do “surfista de ombros”.
Tática nº 5: internet
Com a popularidade de spammers, golpistas virtuais, vírus e outros malwares, está cada vez mais difícil ser enganado por email ou chat. Porém, é sempre bom lembrar que engenheiros sociais também podem usar esses meios de comunicação para arrancarem dados ou manipularem alguém.
Um truque comum é o engenheiro social tentar se passar por administrador da rede ou técnico de um serviço que possa estar apresentando “problemas”. Com essa abordagem, pode ser que ele consiga o usuário e a senha da vítima. E já que muitas pessoas costumam usar a mesma senha para diversos perfis online, o agressor acaba tendo acesso a uma grande quantidade de informações pessoais da vítima.
Tática nº 6: amizade
Nenhuma das táticas mencionadas acimas funcionam muito bem se o engenheiro social não explorar as fraquezas psicológicas do ser humano. Para isso ele costuma usar muitos truques.
Um desses truques, por exemplo, é fazer com que a vítima se sinta submissa a um procedimento, usando falhas do comportamento ou convívio em grupo. Um exemplo seria abordar o funcionário de uma empresa alegando que todos do setor já responderam uma pesquisa e que só falta ele. Dessa forma, dificilmente o funcionário se recusaria a “colaborar” com o malfeitor.
A personificação também é muito aplicada, como já exemplificamos anteriormente. O engenheiro social finge ser outra pessoa para ter acesso a informações e locais protegidos: zelador, técnico de informática, gerente, parceiro comercial da empresa, ou simplesmente um empregado novo são algumas das possibilidades.
Mas nenhuma das técnicas desse item funciona bem sem a amizade. Fingir ser simpático e amigo da vítima é essencial para que o ataque seja bem-sucedido. Além disso, o engenheiro social terá a preocupação de não tentar arrancar todas as respostas em um período muito curto de tempo. Por isso a amizade se torna tão importante.
...
É claro que este não é um guia que acaba com o assunto. Essas são apenas as técnicas mais comuns e amplamente divulgadas em sites, livros e filmes. Para mais informações, recomendamos a leitura do já citado “A arte de enganar”, de Kevin Mitnick.
Além disso, há um filme baseado na história de Mitnick e que conta como Tsutomu Shimomura conseguiu rastrear e prender Mitnick. O nome do filme é “Caçada Virtual” (Takedown) e nele podemos assistir a algumas técnicas de Engenharia Social usadas pelo hacker.
Também citado anteriormente, Frank Abagnale Jr. é mais um caso de engenheiro social que, depois de preso, também foi parar nas telonas, interpretado no cinema por Leonardo DiCaprio em “Prenda-me se for capaz”. O filme é inspirado na autobiografia de Abagnale, que também merece ser lida. O criminoso se passou por piloto de avião, professor assistente, médico e procurador, além de ter causado fraudes bancárias.
Hoje tanto Abagnale quanto Mitnick colaboram com órgãos governamentais, bancos e outras instituições para ajudarem a aumentar a segurança dessas instituições. Mas antes disso, vale a pena lembrar que eles viram o sol nascer quadrado por alguns anos.
Categorias
