10

1 INTRODUO Atualmente nota-se o rpido crescimento de usurios de computadores e da interligao destes em redes como a Internet, tornando o acesso a diversos tipos de informaes, praticamente uma necessidade para todas as profisses e empresas. Porm, na mesma proporo que cresce o nmero de usurios, cresce tambm a vulnerabilidade das pessoas e empresas em relao segurana das informaes. Hoje, a informao vem sendo considerada uma moeda de grande valor, e, em alguns casos, esse valor s pode ser mensurado mediante sua perda. Vrias falhas podem ser identificadas, como por exemplo, a utilizao de senhas fracas, m utilizao ou inexistncia de antivrus e, principalmente, o comportamento indevido dos usurios, tornando vulnerveis at mesmo os computadores desligados das tomadas, pois atravs da Engenharia Social pode-se facilmente convencer uma pessoa a lig-lo. Define-se, ento, a Engenharia Social como o uso de mtodos para influenciar pessoas, ganhando sua confiana atravs da persuaso ou apenas com uma simples conversa seguida de algumas mentiras bem convincentes, objetivando fazer com que essas pessoas forneam informaes a pessoas no autorizadas, para conseguirem, de forma rpida, acessos indevidos a lugares especficos, nem sempre utilizando recursos tecnolgicos. Sendo assim, se pode perceber a enorme abrangncia que a Engenharia Social pode ter em nossas vidas, j que esta age normalmente como um inimigo oculto, como, por exemplo: atravs da solicitao de ajuda, formulrios e cadastro em pginas da Internet, phishing scam e etc., gerando ao final uma inumervel lista de mtodos de ataques, limitada somente pela imaginao humana. Este trabalho ser dividido em captulos, abrangendo desde conceitos, exemplos de casos reais de famosos Engenheiros Sociais, vulnerabilidades encontradas em sistemas de informao, detalhes do perfil de um Engenheiro Social, mtodos, exemplos e anlises de ataques, at as sanes aplicveis pelo seu uso indevido, finalizando com formas de combate e a concluso.

11

2 CASOS REAIS Albert Einstein, o cientista mais respeitado do mundo no sculo XX, teria dito certa vez: Apenas duas coisas so infinitas: o universo e a estupidez humana. E eu no tenho certeza se isso verdadeiro para o primeiro. (www.issabrasil.org). Partindo desse princpio, muitas pessoas procuram explorar a estupidez humana em benefcio prprio. Dentre estas, podemos citar duas em especial, Frank W. Abagnale Jr. e Kevin Mitnick, que se diferenciam no pelo poder de persuaso e pelos sucessos obtidos em suas investidas utilizando a Engenharia Social, mas apenas pelo conhecimento tcnico que tinham na rea de informtica. a) O caso do falsificador Frank W. Abagnale Jr. Dentre suas vrias investidas de Engenharia Social, conseguiu ser contratado por uma companhia area americana como co-piloto, sem mesmo nunca ter feito um curso de pilotagem. Da mesma forma, sem ter habilitao, foi mdico, professor universitrio de sociologia e advogado. Conseguiu, tambm, descontar milhes de dlares atravs de cheques falsificados, e isso com a total permisso dos gerentes dos bancos. Quando tinha apenas 21 anos de idade foi considerado o maior vigarista e falsificador da poca. Figurava na lista do FBI - Federal Bureau of Investigation como o mais jovem dos dez criminosos mais procurados dos Estados Unidos. Utilizou a Engenharia Social para aplicar golpes pela primeira vez, encarnando um professor substituto de francs e teve como fator encorajador dois golpes que o seu pai executou com sua ajuda. Alm de muita sorte, ele teve, desde o incio, claro, muita habilidade em Engenharia Social, conseguindo atravs de golpes rpidos e brilhantes ganhar muito dinheiro. Aplicava golpes com algumas atitudes relativamente simples, porm, com muita ousadia e assim conseguia ganhar a credibilidade necessria. Frank W. Abagnale Jr. (Foto 1) tambm muito citado como exemplo de Engenheiro Social, tendo at um livro publicado, alm de um filme baseado em sua autobiografia, intitulado Prenda-me se for capaz, estrelado por Leonardo Di Caprio e Tom Hanks.

12

Foto 1 - Frank W. Abagnale Jr. Fonte: <http://www.abagnale.com > b) O caso do hacker Kevin Mitnick praticamente impossvel falar ou escrever sobre Engenharia Social sem citar Kevin David Mitnick. Este, na sua fase de cracker1/phreaker2/Engenheiro Social, era conhecido por vrios codinomes como: Condor, N6NHG, Anton Chernoff, Fred Weiner, Lee Nussbaum, Brian Merrill, Tom Bodette e muitos outros nomes. Ele se tornou um cone de uma gerao de hackers que jamais vo esquecer suas faanhas, seus acessos a documentos secretos, seus roubos e suas invases. Mitnick (2003) mostrou que no preciso chips nem tomadas para fazer invases, obtendo sucesso, na grande maioria dos ataques, por ser um sujeito de voz carismtica ao telefone, fato este importantssimo para que as pessoas colaborassem. Ele treinava consigo mesmo seus ataques e costumava dizer:
Uma forma que descobri para desenvolver as habilidades da minha arte, se que posso cham-la de arte, foi escolher algumas informaes com as quais no me importava e ver se poderia convencer algum do outro lado do telefone a me fornec-las, s para melhorar as minhas habilidades. Da mesma forma que costumava praticar meus truques de mgica, pratiquei a criao de pretextos. Por meio de todos esses ensaios, logo descobri que poderia adquirir praticamente quaisquer informaes que desejasse.

Desta forma, Mitnick mostra que no tinha muito critrio para escolher seu alvo, apenas pensava se a pessoa do outro lado iria cair ou no na sua histria, ento pegava o telefone e executava seu ataque. Responsvel por uma das mais exaustivas perseguies do FBI, dono de um currculo em que constam documentos ultra-secretos de empresas de telefonia e cdigos-fontes de sistemas operacionais,
1 2

Piratas que invadem computadores ligados em rede. Piratas especialistas em telefonia mvel ou fixa.

13

entre outras coisas, transformou-se em um dos mais requisitados profissionais de segurana de Informtica do planeta. Atualmente, Kevin Mitnick, consultor de segurana para corporaes em vrios pases, co-fundador da empresa de consultoria Defensive Thinking, publica vrios artigos em revistas e jornais especializados, tem programa de rdio semanal na KFI AM 640, em Los Angeles, e ministra palestras em eventos na rea (Foto 2).

Foto 2 - Kevin Mitnick, famoso Engenheiro Social e hacker. Fonte: <http://www.kevinmitnick.com>

14

3 VULNERABILIDADES EM SISTEMAS DE INFORMAO Independentemente do porte ou rea de atuao da empresa, bem como da complexidade de sua infra-estrutura tecnolgica e dos sistemas que utiliza, existem algumas falhas comumente identificadas, dentre estas: a utilizao de senhas fracas, m utilizao ou inexistncia de antivrus e comportamento indevido dos usurios. At mesmo os computadores desligados tornam-se vulnerveis, pelo simples fato de se poder facilmente convencer uma pessoa a lig-lo, principalmente no ambiente de hoje, onde quase tudo o que as empresas e seus empregados fazem envolve o tratamento das informaes. Se forem tomadas como exemplo as instituies financeiras, no quesito tecnologia empregada em segurana das informaes, estas gastam muito dinheiro para proteger os seus dados e dos seus clientes, empregando mecanismos de defesa como firewalls, utilizao de senhas, programas antivrus, filtros de E-mail, ferramentas Anti-Spam, Anti-Spyware, criptografia, cofres, e vigilncia 24h dentre outros, dando a impresso de que nesse quesito, talvez sejam atualmente, no mundo corporativo, um dos lugares mais seguros, conforme demonstra a Figura 1.

Figura 1 Proteo total no micro? Fonte: <http://www.antispam.br>

Porm, o que acontece na maioria das empresas onde h computadores, que apesar da dependncia da participao de todos os usurios, tal segurana, na maioria das vezes, responsabilidade quase que exclusiva da equipe do setor de tecnologia da informao, que para implementar uma nova soluo, chega a ficar horas analisando ferramentas antivrus e a forma de melhor implement-la; outras tantas horas configurando as regras do firewall, criando ou adquirindo sistemas

15

automticos de distribuio de correes de segurana, elaborando treinamentos e palestras para usurios e atualizando-se nas novas ferramentas tecnolgicas. Todas estas formas de proteo visam alm da segurana dos dados, a confidencialidade - se refere certeza de que aquele dado recebido foi realmente enviado por quem o assina totalmente protegido e sem perda, alterao e vazamento de seu contedo; a autenticidade - est relacionada ao acesso informao quando necessrio, sua fcil localizao e conseqente disseminao e a integridade dos dados - diz respeito garantia de que a informao no foi alvo de algum tipo de fraude. a) Utilizao de senhas fracas No que se refere utilizao de senhas nas empresas, s para exemplificar a fragilidade destas, enquanto dependerem da criatividade dos seus funcionrios para cri-las estaro quase que permanentemente vulnerveis, conforme constatao de Patrick Gray3 (www.terra.com.br): Atravs de levantamento realizado em um banco de Nova York, de todos os funcionrios da empresa, 581 deles tinham a mesma senha para acessar os computadores, e a senha era a palavra senha. Esta pesquisa refora a fragilidade no uso de senhas, pois como a maioria dos usurios geralmente no tem orientao para lidar com seu cdigo de acesso, muitas vezes as suas senhas podem ser facilmente descobertas, mesclando, por exemplo, itens comuns como nome e sobrenome, nome de esposa, nome do filho e data de aniversrio. b) M utilizao ou inexistncia de antivrus Atravs de pesquisas realizadas pela Sophos (www.terra.com.br), conforme grfico1, no ano de 2005 foram detectadas a criao de 7.189 novas ameaas, o que somava um total de 78 mil pragas digitais em todo o mundo e que 87% dos ataques registrados se voltavam ao sistema operacional Windows.

Investigador de crimes virtuais pela Internet Security Systems (ISS).

16

Sistemas operacionais atacados por vrus

Windows 87%

Outros 13%

Grfico1 Sistemas Operacionais atacados por vrus Fonte: <http://www.terra.com.br>

Deve-se enfatizar, que fatores como crescimento constante da utilizao de computadores e sistemas, tanto dentro das empresas quanto por usurios domsticos, e o aumento de acessos Internet atravs da banda larga, dificultam a manuteno da segurana e aumentam a disseminao de vrus, onde, de acordo com a mesma pesquisa apresentada no grfico1, nove em cada dez vrus detectados se disseminam atravs de correio eletrnico. Fato este, que firma o Email nos dias atuais como maior fonte de propagao de vrus, tornando-se cada vez mais difceis de serem notados pelos usurios e detectados pelos programas antivrus. De acordo com estudo realizado pela Amrica On-line e Aliana Nacional para a Segurana Ciberntica (www.terra.com.br), Mesmo constatando que 81% dos computadores pessoais no tm pelo menos uma proteo considerada crtica, como software antivrus atualizado, 83% dos entrevistados na pesquisa disseram aos pesquisadores que estavam a salvo das ameaas na rede, conforme mostrado nos grficos 2 e 3.

17

Percentuais de micros COM ou SEM proteo

Micros que possuem proteo 19%

Micros que NO possuem proteo 81%

Grfico2 Percentuais de micros COM e SEM proteo Fonte: <http://www.terra.com.br>

Sobre os 19% que possuem proteo instalada

83% se consideram protegidos

17% NO se consideram protegidos

Grfico3 Sobre os 19% que possuem proteo instalada Fonte: <http://www.terra.com.br>

O estudo ento leva a concluir-se, que algumas vezes o computador do usurio at tem um antivrus instalado, porm, este, por desconhecimento ou por sentir uma falsa sensao de proteo, j que acredita que o antivrus proporcionar toda a proteo necessria ao computador, no procura configur-lo, habilit-lo para iniciar junto com o sistema e nem mesmo atualiz-lo, no sabendo que o antivrus to vulnervel quanto qualquer outro programa. Como conseqncias de um ataque de vrus, se podem destacar alguns sintomas que caracterizam uma infeco, que em quase sua totalidade so malficas para o computador, como: mau funcionamento dos programas, que s

18

vezes fazem com que o computador pare de funcionar, arquivos que aumentam de tamanho, janelas estranhas que so exibidas na tela, dentre outros. c) Comportamento indevido dos usurios Mesmo com mecanismos defensivos contra ataques, os sistemas ainda so susceptveis a ataques no-tcnicos. Estes apenas dificultam a invaso tecnolgica, mas no impedem a ao do usurio, o qual considerado a principal ameaa s empresas, alm de ser a parte mais vulnervel de qualquer sistema. Mesmo sem a inteno de prejudicar a empresa onde trabalha, mas por saberem onde encontrar informaes importantes e geralmente terem acesso irrestrito a elas, tornam-se alvos de ameaas tecnolgicas to comuns hoje em dia. De acordo com estudo realizado (www.terra.com.br) visando avaliar o comportamento dos usurios de computadores nas empresas, contatou-se que: Um em cada quatro internautas est exposto todos os meses a ameaas atravs de mensagens eletrnicas falsas que tentam roubar informaes pessoais e que o mesmo no est preparado para enfrent-las; 70% dos usurios no suspeitavam que essas mensagens eram falsas, e que vinham de fontes ilegtimas; 74% dos entrevistados utilizam seu computador para fazer transaes delicadas como operaes bancrias e compra ou venda de aes, e que a maioria faz tais operaes sem a proteo adequada. Desta forma, conclui-se que o perfil da maioria dos usurios de computadores, tanto domsticos quanto corporativos, mostra pessoas que sabem ligar o computador, utilizar um editor de textos, um software de leitura de correio eletrnico e acessar a Internet, porm poucos sabem como lidar com as ameaas digitais de nossos dias, o que os tornam totalmente vulnerveis s mesmas e, sem saber, se tornam ameaas para as redes onde trabalham, para redes como a Internet e para si mesmos, ocasionando muitos incidentes de segurana. Por falta de informao e orientao chegam at mesmo a instalar softwares que anulam as diversas solues tecnolgicas implementadas no ambiente.

19

4 A ENGENHARIA SOCIAL A cada dia cresce o nmero de fraudes por roubo de informaes, tanto de maneira fsica como de forma digital. Na nossa sociedade, cada vez mais dependente de computadores, diferentemente do ladro que anda armado prestes a roubar pessoas, muitos criminosos atualmente se escondem sob uma outra roupagem, visando o grande tesouro dos dias de hoje a informao, que se tornou um bem de troca, escondida sob forma de senhas, programas antivrus e outros meios tecnolgicos j citados. Considerando que o fator humano fundamental em uma empresa, onde tm acesso a diversas informaes e, partindo do princpio de que o ser humano desde a infncia ensinado a amar o prximo e a confiar nos outros, tm-se ento a um ambiente favorvel a ser explorado pelo Engenheiro Social. ANTONIO; MARCOS (2005 apud BLOOD _ Sucker) relata que:
Engenharia Social eh a arte de se conseguir informaes seja la qual for a maneira, muitos dizem ser loucura, mas coisas do tipo falsificar uma carteira de identidade, ir numa universidade dizendo ser outra pessoa soh para poder ter acesso ao servidor central da mesma eh Engenharia Social. Engenharia Social conta com qualquer tipo de coisa, sejam telefonemas, emails, comparecimentos, qualquer coisa... Issu tudo eh usado por phreakers, hackers e crackers...Mas quem eh que nunca falsificou uma cpia de RG para entrar em um show, ou numa danceteria?? No deixa de ser Engenharia Social... Portanto no eh coisa de hacker como muito babaca diz por a. Existem grandes loucuras usadas na Engenharia Social, temos de concordar q no eh coisa para qualquer um, exige em muitos casos, mais esperteza do q conhecimento tcnico.

Acrescenta ainda que, segundo Joseph Goebbels4 Para transformar uma mentira numa verdade, insista nela at que se torne uma verdade. E foi atravs da utilizao de mentiras como instrumento poltico, com muita astcia e grande poder de persuaso, que conseguiu transformar criminosos, carrascos, loucos e vrios outros degenerados, em polticos e heris respeitados pelos alemes, sendo objeto de estudo at os dias de hoje. Chega at mesmo a ser comparado com Adolf Hitler quando o assunto refere-se a qual dos dois foi melhor orador. Transformando mentiras em grandes verdades, mostrando o que as pessoas querem ver, ouvir e sentir, que o Engenheiro Social age em variadas situaes, conseguindo assim, romper sofisticados mecanismos de segurana,
4

Ministro da propaganda nazista em 1934.

20

utilizando apenas as palavras, atuando em lugares diversos, utilizando mtodos de estudo das situaes e das pessoas, de forma a tornar-se oculto e, at mesmo, imperceptvel em suas investidas. Conclui-se, ento, que apesar do nome no estar relacionado com as Cincias Exatas ou Sociologia, a Engenharia Social seria a tcnica de influenciar pessoas atravs de uma boa conversa seguida de mentiras bem convincentes, tendo como objetivo conseguir que as pessoas faam algo ou forneam determinadas informaes atravs do pedido de algum no autorizado, conseguindo de forma rpida, acessos indevidos a lugares especficos, tornando muitas vezes desnecessrias a utilizao de recursos tecnolgicos. Pelo fato do Engenheiro Social ser uma pessoa bastante expressiva, inteligente, dotada de um conhecimento muito grande da psicologia humana, conversar muito bem com as pessoas e demonstrar grande conhecimento de negcios, chega-se concluso tambm que, se for feita uma anlise minuciosa dos acontecimentos, dificilmente se encontrar algum ou alguma empresa que no tenha sido alvo de ataques de Engenharia Social. 4.1 A escolha da vtima Consideradas como o principal elemento a ser explorado em um ataque de Engenharia Social, as vtimas so tratadas e referidas como se fossem um alvo. Para conseguir persuadir e ganhar sua confiana, o Engenheiro Social precisa possuir algumas habilidades, como por exemplo, a capacidade de influenciar as pessoas, ser ousado, ter grande poder de persuaso e, claro, conhecer bem o alvo. Aps ter escolhido o alvo, o Engenheiro Social procura envolver-se com ele, objetivando influenci-lo sempre de alguma maneira. Segundo MARCELO Antonio; PEREIRA Marcos (2005), Alguns autores costumam apontar que existem seis princpios bsicos para a chamada influncia social, sendo eles: reciprocidade, demanda, autoridade, consenso, consistncia e comprometimento e imitao. O Engenheiro Social utiliza tambm artimanhas, explorando algumas caractersticas humanas como solidariedade, ambio e curiosidade, exercendo

21

influncias acima de tudo, pois somente aps ter conquistado a confiana do seu alvo ter seu objetivo alcanado. Partindo destas afirmaes, conclui-se que o Engenheiro Social no ter muitas barreiras a quebrar, pois alm desses princpios serem inerentes maioria dos seres humanos, pode-se destacar ainda: a) necessidade de ser til a outras pessoas; b) necessidade de procurar novas amizades quando elogiado, costuma se agradar e sentir-se bem, ficando assim bem mais vulnervel e aberto a dar informaes para outras pessoas; c) necessidade de ser receptivo - um exemplo simples disso o Brasil, onde com bem pouco tempo de relacionamento, uma pessoa j convida outra para visitar sua casa, coisa que muito rara em outros pases, onde isto s acontece depois de algum tempo de convivncia; d) necessidade de se sentir seguro ao receber alguma coisa que precise, se sentindo desta forma obrigado a dar algo em troca; e) necessidade de obter lucro de forma fcil; f) necessidade de ser considerado como pessoa entendida em determinados assuntos; g) necessidade de ganhar a confiana das pessoas atravs do comportamento e comprometimento; h) necessidade de serem admiradas, conquistando assim grande poder de influncia. Sabendo disso, mesmo sem utilizarem padres, mtodos ou frmulas definidas, os Engenheiros Sociais exploram aspectos fsicos e psicolgicos do seu alvo. Em relao aos aspectos fsicos, exploram o local de trabalho, lixeiras, e atravs do uso do telefone, por exemplo, se passam por outra pessoa. No aspecto psicolgico, exploram o lado sentimental, fazendo do seu alvo um meio de acesso aos locais onde desejam atacar.

22

4.2 Utilizao da programao neurolingstica na Engenharia Social ANTONIO; MARCOS (2005 apud RICHARD BANDLER) diz que a Programao Neurolingstica, ou PNL, poderia ser entendida como [...] uma ferramenta educacional, no em forma de terapia. Ns ensinamos s pessoas como seus crebros funcionam e elas usam esta informao para mudar. Outra definio que merece destaque, segundo ANTONIO; MARCOS (2005 apud OCONNOR E SEYMOUR) a que diz:
A PNL prtica. Trata-se de um conjunto de modelos, habilidades e tcnicas que nos permite pensar e agir com mais eficincia no mundo. O objetivo da PNL ser til, oferecer mais opes de escolha e melhorar a qualidade de vida. As perguntas mais importantes deste livro so: Ele til? D resultados? . Descubra o que til e o que funciona atravs da experincia. E, o que mais importante, descubra o que no funciona e modifique-o at que d resultado. Esse o esprito da PNL.

As definies apresentadas mostram algumas formas de entendimento sobre o que a PNL pode fazer atravs do estudo de tcnicas de anlise do pensamento. Conhecer as pessoas e seu comportamento sob a tica da PNL, um dos pontos mais importantes para o melhor entendimento do estudo dos alvos do Engenheiro Social que, muitas vezes, obtm excelentes resultados mesmo sem saber da existncia da PNL. Atravs da PNL, o Engenheiro Social procura imitar o alvo de maneira imperceptvel, na sua forma de falar e seus maneirismos, conseguindo desta forma assimilar suas falas e frases, criando assim uma proximidade com o alvo a ponto de em pouco tempo estar conversando como se fosse um velho amigo. Ele geralmente consegue estabelecer um elo com o seu alvo, de forma a deix-lo dependente dele. Para tanto, procura fazer com que o alvo se sinta vontade, fazendo cair as barreiras que antes os separavam, criando, assim, um ambiente favorvel ao ataque. Para melhor se identificar com o alvo, ele procura utilizar roupas iguais s do alvo; analisa no ambiente, objetos que possam dizer algo sobre o alvo como, por exemplo, fotos ou qualquer outra coisa que permita iniciar uma conversa; passa a falar igual ao alvo espelhando sua fala, utilizando termos comuns ao alvo, ganhando sua confiana pelo fato de estar falando com um igual a ele; imita o comportamento e maneirismos do alvo; e demonstra subservincia a ele, bancando o humilde e fazendo o alvo se achar superior, pois o ser humano se sente mais

23

vontade com outro se este for inferior a ele, e este um dos grandes pontos que o Engenheiro Social explora - o ego do seu alvo. 4.3 Classificao do Engenheiro Social De acordo com MARCELO, Antonio; PEREIRA Marcos, (2003) [..] para entender mais a fundo quem , como se forma e como se comporta um Engenheiro Social, pode-se utilizar uma nomenclatura especfica para classific-lo em dois tipos: os formados e os com o chamado notrio-saber. Os formados so pessoas que normalmente passam por algum tipo de treinamento ou formao tcnica especializada para executar tarefas de investigao e da Engenharia Social e so constitudos pelos seguintes indivduos: a) policiais recebem treinamento especial na escola da polcia para sua formao como investigadores; b) detetives particulares outro tipo de engenheiro que utiliza as tcnicas aprendidas em sua formao e em outros casos; c) espies indivduos altamente treinados com tcnicas de investigao, levantamento de informaes, assassinato, etc. Os com o chamado notrio-saber so normalmente frutos de nossa sociedade, com desejos e dotados de uma viso de olhar para a situao com vrios prismas distintos , que no chamam a ateno pelas suas aes, como os casos j citados de Frank Abagnale Jr. e Kevin Mitnick. Kevin Mitnick um grande exemplo a ser lembrado. Considerado um Engenheiro Social nato que, mesmo sem ter nenhum dos tipos de formao citadas, desenvolveu suas prprias metodologias e demonstrava profundo conhecimento de psicologia e do comportamento humano, obtendo resultados surpreendentes atravs da persuaso e do seu comportamento educado e solcito com os seus alvos. 4.4 O uso indevido da Engenharia Social na informtica Considerando a informao uma moeda de grande valor nos dias de hoje, porm difcil de ser mensurada, pode-se dizer que o valor da informao medido de acordo com a sua perda, podendo o seu custo, s vezes, ser muito alto quando esta for perdida ou divulgada.

24

Se um grande banco, por exemplo, tiver o dinheiro de seus investidores desviado, ou ento as senhas de clientes divulgadas em algum lugar, isto poder significar a sua runa, pois a confiana nessa instituio ser perdida, ou seja: no confiando no sistema de segurana do banco, os clientes no depositaro mais dinheiro nem executaro transaes financeiras com o mesmo. Desta forma, pode-se ter idia do quo importante e valiosa a informao. Esforos devem ser feitos para proteg-la de acessos indevidos, pois quem est melhor informado mantm vantagens considerveis sobre os seus adversrios. Prova disso que os grandes estrategistas da histria mundial como o general Napoleo, sabendo da importncia da informao, desenvolveram seus sistemas para conseguir sempre estar frente dos seus inimigos. No mundo digital, os computadores funcionam a partir do fornecimento de informaes pelo usurio. Diz-se, que o nico computador aparentemente seguro aquele desligado da tomada, porm pelo simples fato de que se pode convencer uma pessoa a lig-lo, isso torna tanto as informaes nele contidas vulnerveis. Ainda so inexistentes computadores que no necessitem do ser humano para oper-los, pois este, na maioria dos casos, faz parte do sistema computacional, tornando vulnervel o sistema, independentemente de plataforma utilizada pelo sistema, softwares, hardwares ou tipo de conexo de rede, o que significa que qualquer pessoa pode servir como uma porta de entrada para a ao do Engenheiro Social.

25

5 MTODOS DE ATAQUE DE ENGENHARIA SOCIAL O uso indevido da Engenharia Social na informtica se deve tambm ao fato da evoluo rpida e contnua das tecnologias, onde apesar de a cada nova criao de um determinado equipamento ou mesmo pelo acrscimo de novos recursos nestes, os usurios ainda pouco sabem sobre o seu funcionamento. Conforme estimativas realizadas pelo instituto de pesquisa Gartner, (www.uol.com.br):
Um computador domstico em 2008 ter 1.3 Terabytes de capacidade de armazenamento, sendo que na medida em que proporcionar inmeros benefcios, tambm se encarregar de gerar novos riscos e que, nos prximos dez anos, a Engenharia Social ser a principal arma utilizada para burlar a segurana dos sistemas de tecnologia da informao.

Desta forma pode-se concluir que devido ao fato do grande poder de armazenamento que cada usurio ter em seus computadores e que o despreparo dos usurios proporcional ao seu crescimento o nmero de alvos de ataques de Engenharia Social torna-se cada vez maior. 5.1 A utilizao da Internet para o ataque Neste incio de sculo, a Internet firmou-se como uma plataforma que permite acessos a servios, relaes sociais, comunicao e entretenimento, alm de contar atualmente com bilhes de usurios e empresas dependentes dela espalhados por todo o mundo. Esta dependncia se deve ao fato da Internet ter se tornado um importante recurso social, poltico e econmico, criando assim um vasto campo a ser explorado pelo Engenheiro Social. Quando os ataques realizados pelo Engenheiro Social so bem feitos, qualquer pessoa pode ser o alvo, levando a acreditar que todo ataque a computadores conectados Internet, atravs do uso da Engenharia Social, perigoso e muito difcil de ser combatido, pois como este visa ganhar a confiana de algum com privilgios locais ou na rede, todas as barreiras de segurana podem ser quebradas, utilizando-se ou no do auxlio de ferramentas de ataque. Existem alguns mtodos de ataques, cujas formas de execuo nem sempre so complicadas, como citado na matria (www.uol.com.br): pode ser um

26

pedido simples e direto, embora seja a forma menos provvel, onde se solicita ao alvo que execute uma determinada tarefa. Ainda na mesma matria, afirma que a Nigria a campe mundial de fraudes pela Internet, estimando-se que os golpes on-line representam a terceira maior fonte de divisas do pas, depois das exportaes de petrleo e de cacau e que pelo menos 1,3 milhes de pessoas, ou seja, 1% da populao viva desses golpes. A partir destes dados, conclui-se que j se foram os tempos da Internet onde os hackers tinham como objetivo apenas invadir provedores para conseguir arquivos de senhas para acesso gratuito Internet e ento utiliz-los para invases mais ousadas. Estimativas e previses de crescimento do nmero de usurios com acesso Internet so cada vez mais comuns, podendo-se ento afirmar que a Internet tornou-se e ainda continuar sendo o meio mais rpido e fcil de realizar ataques de Engenharia Social. De acordo com o site (www.uol.com.br), pesquisas realizadas pela empresa Computer Industry Almanac prevem que mais de 1 bilho de pessoas em todo o mundo tero acesso Internet at o final do ano de 2006 e que em 2010 o valor deve chegar a 1,8 bilho. Ainda de acordo com a empresa, o nmero de assinantes de banda larga em todo o mundo deve ultrapassar os 215 milhes at o final deste ano, nmero que em 1999 era 5 milhes. A mesma empresa elaborou um ranking que mostra [...] os Estados Unidos na liderana de assinantes do servio com 46,9 milhes de pessoas ou 21,6% do total, seguida pela China com 35,9 milhes, Japo com 26,4 milhes, Coria do Sul com 13,1 milhes e Frana com 9,6 milhes. O Brasil aparece na 13 posio, com 3 milhes de assinantes, conforme grfico 4:

27

Grfico de usuarios de banda larga no mundo

46,9 Em milhes de usurios 35,9 26,4 Estados Unidos China Japo Coria do Sul Frana Alemanha Reino Unido 13,1 9,6 9,5 8,9 6,7 6,6 4,6 4,4 4,3 3 Canad Itlia Espanha Holanda Taiwan Brasil

Pas Grfico 4 Usurios de banda larga no mundo Fonte: http://www1.folha.uol.com.br

5.2 Tipos de intrusos Engana-se quem pensa que os ataques utilizando a Engenharia Social so executados somente por hackers. Existem diversos tipos de intrusos, a saber: a) curiosos querendo bisbilhotar mensagens de correio eletrnico de outras pessoas; b) executivos em busca de plano estratgico dos concorrentes, cadastro de clientes e planilhas de preos; d) ex-funcionrios da empresa querendo sabotar por pura vingana; e) vigaristas querendo roubar senhas e nmeros de cartes de crdito. 5.3 Mtodos de ataques Na maioria dos casos, o certo que no existe ainda o preparo necessrio das pessoas e empresas para enfrentar ataques de Engenharia Social. Para impressionar seu alvo e conseguir a informao desejada, o Engenheiro Social, que uma pessoa curiosa e age de maneira detalhista, capaz de estud-lo por tempo indefinido, mostrando ser o que no , mudando a forma de se vestir, utilizando frases de efeito e demonstrando grande conhecimento sobre determinados assuntos. Utiliza-se normalmente dos mtodos de ataque direto e indireto.

28

5.3.1 Ataque direto Este mtodo o mais ousado e arriscado para o Engenheiro Social, vez que ele pode aparecer pessoalmente para o alvo, ou poder faz-lo pelo telefone. Por isso normalmente no realizado por iniciantes, pois requer um Engenheiro Social experiente, que para conseguir informaes necessrias para realizar o ataque, muitas vezes utiliza disfarces se fazendo passar por algum que pode ser um faxineiro, um pesquisador de algum instituto, um funcionrio de uma firma de manuteno um vendedor ou um entregador, por exemplo. Para a realizao de um ataque direto, os passos a serem seguidos geralmente so os seguintes: a) a escolha e aproximao do alvo - o alvo pode ser uma pessoa de sua roda de influncia ou no. A forma e tempo de aproximao de um alvo dependem muito da escolha do mesmo. Para descobrir uma forma de explorar o alvo, o Engenheiro Social deve no ter que se fazer notar, deve s aparecer no momento certo. b) estudo da vtima - freqenta os mesmos locais da vtima, observa, escuta e colhe o mximo de informaes possveis em fontes diversas para saber do que seu alvo gosta e outras informaes ligadas ao seu dia-a-dia. No caso do alvo ser funcionrio de uma empresa, por exemplo, vrios outros funcionrios tambm so observados, a fim de identificar caractersticas explorveis, observar o procedimento de acesso fsico empresa, horrios de maior movimento, etc. Desta forma, pode criar disfarces elaborados a fim de realizar contato com o seu alvo; c) aclimatao - os contatos com o alvo se iniciam atravs de papos despretensiosos at comear a freqentar os mesmos lugares que este, procurando inserir-se no seu mundo social ou empresarial de forma natural e aparentemente espontnea; d) confiana e cumplicidade procura ganhar a confiana do alvo, explorando situaes de carncia afetiva, econmica ou social, pois quanto mais prestativo e solidrio o Engenheiro Social for, mais o alvo confiar nele. Demonstraes de boa-f so muito importantes. O Engenheiro Social pode se passar por algum em quem o alvo passar a confiar. Para tanto, ele pode, por exemplo, expor o alvo a uma situao que o deixe embaraado e, ao mesmo tempo, ajud-lo a sair dela, ganhando assim a sua confiana.

29

Nesta fase o alvo torna-se inconscientemente dominado, ou seja, comea a se ver no engenheiro, tendo simpatia por ele que, a partir da, passou a ser uma pessoa que pensa como o alvo, tendo desse momento em diante grande poder de sugesto e de deciso junto ao alvo. e) criao de uma histria e de um personagem - cria os elementos que iro compor todo um cenrio em que ele possa atuar, atravs da criao de uma histria e encarnao de um personagem, falando sobre assuntos que devem estar compatveis com a histria e o personagem criados. Dependendo do alvo, alguns personagens como parentes doentes, negcios imperdveis ou at mesmo morte de parente devem ser evitados, por j serem conhecidos e desconfiveis; f) execuo torna-se piv de tudo, chamando mais ateno que o golpe. Mostra-se uma pessoa segura e sincera, por mais mal-intencionada que seja, representando o papel a ponto de ser convincente, cativando e envolvendo o alvo no golpe a ser realizado; g) finalizao - o alvo s ficar sabendo da verdade quando o Engenheiro Social estiver numa situao privilegiada. Este que antes freqentava os mesmos lugares que o alvo em busca de informaes, agora desaparece totalmente, como se ele, o alvo, nunca tivesse existido. Porm, muitos Engenheiros Sociais, para alimentar suas vaidades com seus sucessos, acabam se mostrando, sendo, ento, descobertos e detidos. 5.5 Exemplos de ataques diretos Para realizar alguns ataques diretos, o Engenheiro Social faz contatos pelo telefone, pessoalmente ou atravs do computador. No filme que conta a trajetria das trapaas de Frank Abagnale Jr., podese ver toda a histria de sua adolescncia, o momento da sua priso sua vida atual, onde utilizou e muito a Engenharia Social e o ataque direto. Como exemplo desse tipo de ataque, v-se no filme que desde a adolescncia, ainda estudante em uma escola pblica, testou pela primeira vez seu dom de enganar, quando aps ser desafiado por um estudante em sala de aula, se passou por um professor substituto e assim permaneceu por meses. Aplica, ainda, golpes falsificando cheques.

30

H uma cena em que ele escolhe uma caixa do banco e, aps impression-la com sua vestimenta impecvel, conquista-a com muito charme e boa conversa, e quando esta vai conferir a originalidade do cheque, ele a convida para sair, conseguindo desta forma desviar sua ateno e obter xito em sua investida, ou seja: o cheque passa apenas por uma verificao superficial e descontado. a) Scripts de ataque Para o Engenheiro Social, os scripts de ataque so essenciais, pois atravs deles conseguem identificar as fraquezas de seus alvos, podendo assim, com segurana, prever se o ataque ser bem sucedido. Um script um recurso que seu personagem ir utilizar para efetuar o ataque durante o perodo de levantamento das informaes, conforme exemplo abaixo: Engenheiro: Oi. Meu nome Ney. Trabalho com informtica e gostaria saber se h vagas... Alvo: Infelizmente no temos vagas... Engenheiro: Poderia me dizer, quando abrir uma vaga, qual o tipo de qualificao que devo ter... por exemplo, o sistema operacional que utilizado... bom que eu saiba caso surja a oportunidade. Alvo: Em geral o Windows 98. Engenheiro: Obrigado, j fiz um curso do Windows 95. Tem muita diferena? Alvo: Se eu fosse voc faria um curso de 98. Sabe trabalhar com o Office? Engenheiro: Pouco, mas estou aprendendo a criar sites. Falando nisso, vocs tm site? Alvo: Temos. Engenheiro: Vocs que fizeram? Alvo: No, uma empresa contratada. Engenheiro: Voc conhece rede? Alvo: No! O Engenheiro Social aguarda o momento para fazer o teste final... Engenheiro: Pode fazer um favor? Tenho que enviar um E-mail, mas queria saber se a pessoa que vai receb-lo est com o E-mail ativo. Poderia verificar para mim? Basta abrir a janela do DOS e digitar IPCONFIG /ALL.

31

Alvo: Pronto! Engenheiro: Que bom, est ativo. Vou j a uma lan house enviar o E-mail. Engenheiro: A pessoa responsvel pela rede chata? Alvo: Sim. No deixa a gente acessar nada, mas buscamos pelo Google e depois acessamos pelo link... Engenheiro: Vocs so muito espertos, hein? Obrigado pelas informaes. Neste script o Engenheiro Social apresenta-se com seriedade ao alvo, com o objetivo de convenc-lo e adapta o seu linguajar durante o dilogo para criar empatia. Como resultado, o Engenheiro Social descobriu que a rede da empresa utilizava o Windows 98, que o acesso Internet, mesmo monitorado, tinha falhas na configurao ao permitir acesso a links proibidas atravs do Google, e vrias outras informaes tcnicas. Detectou, ainda, que em matria de segurana, o funcionrio apresentava-se vulnervel e destreinado. A partir da obteno destas informaes, o Engenheiro Social pode ento elaborar uma estratgia para fazer a explorao mais a fundo do seu alvo. b) Fingindo precisar de ajuda Kevin Mitnick (2003) mostra um exemplo prtico desse tipo de situao, quando o Engenheiro Social utiliza o telefone fingindo precisar de ajuda: O atacante discou para o nmero particular da empresa de telefonia do MLAC, o Centro Mecanizado de Designao de Linhas. Uma mulher respondeu e ele disse: - Ol, aqui Paul Anthony. Eu sou um tcnico de cabos. Oua, uma caixa de terminal aqui foi queimada em um incndio. Os policiais acham que algum maluco tentou queimar sua prpria casa para receber o seguro. Eles me mandaram aqui sozinho para tentar refazer a fiao de todo este terminal de duzentos pares. Eu estou precisando de ajuda. Quais instalaes deveriam estar funcionando na South Main, 6723? Ela forneceu o cabo, os pares e cada nmero em funcionamento designado para aquele endereo. Como se v, o Engenheiro Social ganhou a confiana da mulher que atendeu o telefonema, a qual quis ser prestativa, no se recusando a ajudar o homem que estava tentando dar conta, sozinho, de uma tarefa difcil. Concluiu,

32

ento, que poderia quebrar as regras da empresa para ajudar um colega com problemas, apesar das normas da empresa permitirem fornecer informaes apenas para o pessoal autorizado da prpria empresa de telefonia. c) Oferecendo ajuda Os empregados novos so os principais alvos do Engenheiro Social, pois como estes ainda no conheceram muitas pessoas nem os procedimentos da empresa, e, por quererem causar uma boa impresso, esto sempre ansiosos para mostrar como so prestativos e rpidos. Kevin Mitnick (2003) mostra no exemplo abaixo, uma situao em que o Engenheiro Social escolhe um alvo com pouco conhecimento de computadores, e que em razo disto no ter o entendimento sobre o valor das informaes que est colocando em risco: Rosemary Morgan estava encantada com o seu novo emprego. Ela nunca havia trabalhado antes em uma revista e estava achando as pessoas mais amigas do que havia imaginado, uma surpresa por causa da presso interminvel sofrida pela maioria da equipe sobre o prazo para entregar a edio do ms. A ligao que ela recebeu numa manh de tera-feira reconfirmou esta impresso de amizade. Rosemary Morgan? Sim. Ol, Rosemary. Aqui Bill Jorday do grupo de segurana da informao. Sim? Algum do nosso departamento j falou com voc sobre as melhores prticas de segurana? Acho que no. Bem, vejamos. Para os iniciantes, no permitimos que ningum instale um software trazido de fora da empresa. Isso porque no queremos quaisquer problemas com software que tenha um worm ou um vrus. Tudo bem. Voc est a par das nossas polticas sobre correio eletrnico? No. Qual o seu endereo de correio eletrnico atual? rosemary@ttrzine.net.

33

O seu nome de usurio Rosemary? No. R-sublinhado-Morgan. Certo. Queremos que todos os nossos empregados saibam que pode ser perigoso abrir anexos de correio eletrnico que voc no est esperando. Muitos dos vrus so enviados e chegam em mensagens de correio eletrnico que parecem vir de pessoas que voc conhece, Assim sendo, se receber uma mensagem de correio eletrnico com um anexo que no est esperando, voc deve sempre verificar se a pessoa relacionada na caixa de destinatrio realmente enviou a mensagem. Voc entendeu? Sim. J ouvi falar disso. Bom. E a nossa poltica diz que voc tem de mudar de senha a cada 90 dias. Qual foi a ltima vez que voc mudou a sua senha? Estou aqui h apenas trs semanas; ainda estou usando a primeira senha que criei. Muito bem. Voc pode aguardar o restante dos 90 dias. Mas precisamos ter certeza de que as pessoas esto usando senhas que no sejam muito fceis de adivinhar. Voc est usando uma senha formada por letras e nmeros? No. Temos que corrigir isso. Que senha voc est usando agora? O nome da minha filha: Annette. Essa no mesmo uma senha segura. Voc nunca deve escolher uma senha que se baseia em informao da famlia. Bem, vejamos... voc poderia fazer o mesmo que eu. Voc pode usar o que est usando agora como a primeira parte da senha, mas sempre que mudar voc inclui um nmero para o ms atual. Ento, se eu fizesse isso agora em maro, eu usaria trs ou zero trs? Isso depende de voc. Aquele com o qual voc se sentir mais vontade. Acho que Annette-trs. Bom. Voc quer que eu diga como voc faz para alterar a senha? No. Eu sei como fazer isso. Bom. E mais uma coisa sobre a qual precisamos conversar. Voc tem um software antivrus no seu computador e muito importante mant-lo atualizado. Voc nunca deve desativar a atualizao automtica, mesmo que o seu computador fique mais lento de vez em quando. Tudo bem? claro.

34

Muito bom. E voc tem o nosso nmero de telefone. Se tiver algum problema com o computador, s nos ligar. Ela no tinha o nmero. Ele deu-lhe o nmero, ela anotou e voltou a trabalhar novamente, feliz com o modo como se sentia bem cuidada. Neste exemplo de ataque direto, foram utilizados o telefone e o computador, e o mesmo refora que a maioria das informaes comuns que um Engenheiro Social quer de um empregado, independentemente de seu objetivo final, so suas credenciais de autenticao, onde a partir do nome de uma conta e uma senha, mesmo que seja de um nico empregado da empresa, o atacante tem o que precisa para entrar e encontrar as informaes que est procurando, sendo desta forma possvel mover-se livremente pelo espao corporativo e encontrar o que busca. d) Funcionrios descontentes Um outro caso a ser citado de funcionrio insatisfeito com a Empresa em que trabalha que pode ser relatado a partir de uma breve histria: Joo freqentou um bar perto do escritrio onde trabalhava durante anos, e neste sempre comemorava datas especiais com seus amigos, porm, durante algum tempo Joo andava meio triste e passava no bar apenas rapidamente para tomar um drink e falar mal do seu ambiente de trabalho. Reclamava dos parceiros, chefes e dos processos de trabalho que, segundo seu ponto de vista, no estavam competitivos com o mercado devido a sua estruturao. Com isto ele comeou a conversar com qualquer pessoa que se aproximava e acabava comentando sobre o ambiente de trabalho, sendo que nos ltimos tempos ele comeou a encontrar o Pedro, uma pessoa atenciosa e que adora ouvir seu assunto sobre a empresa. Depois de alguns drinks, Joo comeou a detalhar um trabalho importante no qual o escritrio em que trabalhava estava envolvido e Pedro ouvia. Acontece que Pedro era justamente o Diretor de um escritrio que era o principal concorrente do escritrio de Joo e as informaes passadas por Joo tornaram-se o principal diferencial para uma estratgia de mercado nova que Pedro precisava. A partir deste exemplo, conclui-se que um funcionrio insatisfeito torna-se uma perigosa ameaa quando despedido ou mesmo quando sai da empresa por conta prpria. Entretanto, essa ameaa no considerada, pelo contrrio, costuma

35

ser subestimada, pois nem sempre o empregado demonstra ser mal-intencionado ou possuir habilidades para fazer algo que prejudique a empresa. Por isso, qualquer informao crtica precisa estar assegurada para responder a esse tipo de situao. e) Usando a autoridade Uma forma popular e eficaz de intimidao popular em larga escala porque muito simples influencia o comportamento humano usando a autoridade, como por exemplo, utilizando o nome de um CEO5, que por si s j pode ser valioso. Utiliza-se a autoridade como forma de estabelecer rapidamente a confiana, influenciando o alvo para que ele acredite que o atacante tem relaes com algum que tem autoridade. Um alvo tem mais chances de prestar um favor para algum que conhece algum que ele conhece. Se o atacante tiver acesso a informaes confidenciais, ele pode usar esse tipo de abordagem para gerar e manipular emoes teis na vtima, como o medo de causar problemas para os seus superiores. Kevin Mitnick (2003) cita um exemplo tpico deste tipo de ataque:
Scott Abrams. Scott, aqui Cristopher Dalbridge. Acabei de falar ao telefone com o Sr. Biggley e ele estava muito descontente. Disse que pediu h dez dias para voc nos enviar cpias de toda a sua pesquisa de penetrao de mercado para anlise. E nunca recebemos nada. Pesquisa de penetrao de mercado? Ningum me disse nada sobre isso. Em qual departamento voc trabalha? Somos uma empresa de consultoria contratada e j estamos atrasados. Oua. Estou indo para uma reunio agora. Me deixe o seu nmero de telefone e... O atacante agora parecia estar frustrado: isso o que voc quer que eu diga ao Sr. Biggley?! Oua, ele espera a nossa anlise amanh de manh e temos de trabalhar hoje noite. Agora, voc quer que eu diga a ele que no conseguimos porque no recebemos o relatrio de vocs ou quer dizer isso a ele pessoalmente? Um CEO zangado pode arruinar a sua semana. O alvo provavelmente vai resolver que talvez seja melhor ele cuidar disso antes de ir para aquela reunio. Novamente, o Engenheiro Social apertou o boto certo para receber a resposta que desejava.

Neste exemplo, percebe-se que o uso da intimidao quando se menciona uma autoridade, funciona muito bem se a outra pessoa ocupar um nvel relativamente baixo dentro da empresa. O uso do nome de uma pessoa importante como o CEO citado no exemplo, no apenas supera a suspeita como tambm torna a pessoa mais disposta a agradar. O instinto natural de querer ser til aumenta
5

Chief Executive Officer - Chefe do Setor Executivo.

36

quando se acha que a pessoa que est sendo ajudada importante ou influente, e a intimidao pode criar o medo de ser punido ou de criar uma situao embaraosa, alm de influenciar assim as pessoas a cooperarem. f) O Lixo O lixo, potencialmente, um escritrio e uma das maiores fontes de informaes. Geralmente nele que se jogam pedaos de papis onde se anotam senhas antes de memoriz-las ou transcrev-las para uma agenda. Alm disso, o lixo domstico ou de uma grande empresa recebe diversos documentos que muitas vezes podem parecer banais, mas que guardam informaes sobre dados sigilosos, seu patrimnio, seus funcionrios, uma relao de nomes com telefones, ramais, endereos, relao de clientes, aspectos dos sistemas, relatrios e folhas de papel rasgadas mo que podem ser montadas e, quando prontas, podero ser toda a lista de nomes de contas e senhas de um dos sistemas de computador, ou at mesmo um simples organograma que poder servir para algum passar-se por outro que seja seu superior na escala hierrquica. Kevin Mitnick cita Mark Joseph Edwards6 (2003):
Relatrios inteiros descartados por causa de erros de digitao, senhas escritas em pedaos de papel, impressos de recados com nmeros de telefone, pastas de arquivos inteiras com os documentos ainda dentro delas, disquetes e fitas que no foram apagados ou destrudos tudo o que poderia ajudar um provvel intruso.

Conclui-se, que ataques diretos de Engenharia Social so comuns, portanto deve-se prestar muita ateno ao tipo de informaes que se d a outras pessoas, sejam relacionadas ao ambiente familiar ou empresarial. Deve-se desconfiar de telefonemas estranhos, onde o interlocutor no se identifica ou oferece algo, no comportamento dos funcionrios da empresa, assim como no que se considera descartvel e o que se joga no lixo.

Autor do livro Internet Security with Windows NT.

37

5.3.2 Ataque Indireto O ataque indireto consiste na utilizao de ferramentas para obter informaes pessoais, sendo, atravs da Internet, a forma mais fcil de conseguilas. Como exemplo pode-se citar sites clonados, cavalos de tria, pesquisa de dados, formulrios, cadastros, apelo sentimental, e o famoso phishing scam, dentre outros mais. Pelo fato do Engenheiro Social no ter contato pessoal com o alvo, este mtodo pode ser considerado menos arriscado que o ataque direto. Destaca-se ainda, que o atacante no possui um alvo definido, de forma que qualquer pessoa conectada a uma pequena rede ou principalmente Internet torna-se um alvo em potencial. 5.3.2.1 Exemplos de ataques indiretos Para realizar os ataques indiretos, o Engenheiro Social no precisa necessariamente colher informaes atravs do acesso fsico aos locais que o alvo freqenta. Estas so coletadas principalmente atravs do uso de computadores sendo uma caracterstica a observar com relao ao ataque direto. Neste caso, citando mais uma vez os exemplos de Frank Abagnale Jr. E Kevin Mitnick, verifica-se que os dois diferenciam-se no que se refere ao uso da tecnologia, onde Mitnick era, alm de um excelente Engenheiro Social, um grande especialista em informtica. a) Formulrios e cadastros Esse mtodo utilizado principalmente para a obteno de nmeros de cartes de crdito, cartes de banco, dados como CPF e RG, atravs de formulrios e cadastros na Internet, onde diversos sites falsos oferecem brindes e promoes com variados tipos de prmios para quem se cadastrar. O exemplo (Figura 2) mostra que h casos, como o que usou o nome do Banco Ita, em que o formulrio apresentado atravs de um link que conduz outra pgina com o formulrio.

38

Figura 2 Promoo realizada pelo Banco Ita Fonte: <http://www.mhavila.com.br/topicos/seguranca/exemplo_fraude.jsp?img=itau3>

O Banco do Brasil, um dos bancos nacionais mais visados nas fraudes, sofre ataques a partir da montagem de formulrios disponibilizados em pginas fraudulentas, como no exemplo (Figura 3). Este mostra que formulrios e cadastros na Internet podem no passar de instrumentos utilizados para conseguir informaes sobre pessoas e empresas, destacando-se dentre elas: dados pessoais, dicas sobre o comportamento do alvo e, no caso do Banco do Brasil, dados do carto do banco.

39

Figura 3 Site falso do Banco do Brasil solicitando dados de carto Fonte: <http://www.mhavila.com.br/topicos/seguranca/exemplo_fraude.jsp?img=bbrasil>

Deve-se observar sempre, at onde e que tipo de informao torna-se relevante ao preencherem-se formulrios e cadastros, pois essas informaes podem ainda ser utilizadas para aplicao de outros mtodos de ataques indiretos como, por exemplo, o mtodo de pesquisa de dados. b) Pesquisa de dados (Footprint) Consiste em uma detalhada e profunda pesquisa de dados do alvo, como por exemplo, nome, data de nascimento, endereo, telefone, RG e CPF, local de trabalho, preferncias por algo especfico, salrio, parentescos e outras informaes pessoais e empresariais, com o objetivo de montar um grande banco de dados para ser comercializado. Obter informaes nos dias de hoje, uma tarefa muito simples. Pode-se, por exemplo, com base no nome completo de uma pessoa e sua data de nascimento, consultar em um cartrio eleitoral, o nmero do seu ttulo de eleitor, pois muitos cartrios permitem a consulta exigindo apenas informaes simples como estas. Alm disso, pode-se solicitar a segunda via de um registro de nascimento em um cartrio de registro civil, como tambm obter informaes nos sites da

40

Receita Federal, da Unio, do Ministrio da Fazenda, das Foras Armadas, Detran e endereos e profisses dos vizinhos, dentre outras. Com o aumento crescente do nmero de usurios da rede de relacionamentos Orkut, muitos usurios no filtram as informaes que devem disponibilizar e divulgam fotos pessoais, fotos de amigos e de familiares, nmero de telefone celular, E-mail, e outros contedos comprometedores, conforme mosta o exemplo a seguir (Figura 4):

Figura 4 Informaes disponibilizadas no site de relacionamentos Orkut Fonte: <http://www.orkut.com>

De posse dessas informaes, o Engenheiro Social elabora um ataque mais especfico e com maiores probabilidades de alcanar xito em sua investida. Pode, por exemplo, traar o crculo de relacionamento do alvo, descobrir a escola onde os seus filhos estudam, associar datas de nascimento a senhas, saber os locais que costuma freqentar e hbitos de consumo, como tambm fazer o mesmo com os amigos do alvo, os amigos de seus amigos e assim por diante, ou seja, teoricamente, com muito tempo e pacincia, pode-se ir a qualquer lugar procura destas informaes. Antonio Marcelo (2005) cita outro exemplo: Como levantar uma informao de maneira simples e interessante sobre um determinado alvo? A resposta formada por duas partes: RegistroBR e Google. Inicialmente vamos

41

escolher

uma

vtima.

Escolhemos

fictcia

empresa

SuperEmpresa

Empreendimentos. Vamos no Google verificar se ela existe. Se a mesma fosse real, provavelmente teria uma homepage e com isto um domnio. Supostamente descobrimos que o domnio o www.superemp.com.br. Em seguida vamos pgina da RegistoBR (http://www.registro.br) pesquisar as informaes do domnio (Figura 5).

Figura 5 Site de registro de domnios Fonte: <http://www.registro.br>

Quando procuramos o domnio, o RegistroBR faz um whois e levanta as informaes sobre aquela entidade. Eis o resultado: domnio: entidade: documento: responsvel: endereo: endereo: telefone: . .% whois.registro.br accepts only direct match queries. % Types of queries are: domains (.BR) , BR POCs, CIDR blocks, % IP and AS numbers. V-se nesta pesquisa, que muitas informaes foram colhidas, e que a partir destas, o Engenheiro Social poderia ainda, antes de atacar o seu alvo, complet-la, fazendo algumas buscas no site do Google para informar-se de SUPEREMP.COM.BR SUPER EMPRESA EMPREENDIMENTOS LTDA 000.000.000/0001-00 JOO DA SILVA RUA DO SOBE E DESCE NUMERO QUE DESAPARECE 00000-00 SO PAULO SP (11) 2222 2222

42

referncias bancrias e ento, no passo seguinte, de posse do nome, identidade, CPF e conta bancria, ligar para o Sr. Joo da Silva e simular, por exemplo, e dizer que uma compra com carto de crdito falso foi feita no nome dele, conforme continuao do exemplo do dilogo abaixo:
Engenheiro: Bom dia seu Joo, meu nome Mrio da Silva sou da empresa Vendas.com (nome trocado da loja) e para a sua segurana, estou confirmando a compra do produto XYZ. Quero que o senhor me confirme os dados. Joo: Deve haver um engano, eu no comprei nada... Engenheiro: Consta em nosso cadastro que o senhor Joo da Silva, CPF tal, residente rua tal, com conta bancria tal, e carto Mastercard (falso) comprou ontem o produto XYZ. O senhor poderia me confirmar os dados inclusive o do carto. Joo: Pois no, meus dados so esses, mas o carto no... Essa frase a chave, pois ele poder dizer ou no o nmero do carto; pode ser que ele no tenha carto, a voc poder confirmar outras informaes e utiliz-las para outros fins, as possibilidades so enormes. E no final termine assim: Engenheiro: Sr. Joo queria registrar que no dia tal, a compra no foi feita pelo senhor e no ser efetuada em nenhuma hiptese, nem o senhor ter qualquer tipo de prejuzo. Colocamo-nos disposio pela nossa central de atendimento no tel. 0800-00000 e pelo email sac@vendas.com. A vendas.com agradece e tenha um bom dia.

Informaes diversas so ainda adquiridas no local onde o alvo estuda ou trabalha, locais estes onde a ficha cadastral dos alunos e funcionrios muitas vezes vendida. E mais ou menos desta forma que funciona na Internet. Ao se fazer um cadastro em um servidor de E-mail, principalmente nos servidores gratuitos como BOL, Hotmail e Zipmail, ou quando se preenche cadastros para ter acesso a determinadas reas de um site tipo Digite seu E-mail e receba as novidades do site", automaticamente a pessoa j se torna alvo de Spam. Como esses servidores vendem os E-mails para empresas diversas, justifica-se, assim, a gratuidade desses servios. Desta forma, pode-se concluir que o conhecimento detalhado de uma pessoa fsica ou jurdica essencial para as investidas bem-sucedidas de um Engenheiro Social. c) E-mails falsos (Phishing scam) O phishing scam (termo gerado a partir da juno das palavras Password = senha e Fishing = Pescaria) ou e-mail fraudulento se propaga atravs do E-mail e considerado uma praga eletrnica que se alastra pela Internet em ritmo acelerado. A sua forma de propagao simples e de baixo custo.

43

Pode ser considerado um Spam, que ao ser executado direciona a vtima para sites falsos ou instala programas nocivos, passando ento a monitorar tudo o que a vtima faz ao usar o computador infectado. O mtodo de ataque indireto phishing scam, faz com que o usurio, que est navegando nas pginas da Internet, acredite que est em um site seguro, induzindo-o a inserir dados no referido site como: informaes pessoais, nmeros de cartes de contas bancrias, agncias, senhas e, principalmente, nmeros de cartes de crdito, de forma que o usurio nem desconfie que esteja navegando em uma pgina clonada e que suas informaes sero conduzidas para pessoas no autorizadas. Dentre os vrios exemplos de phishing scam, existem aqueles que se passam por mensagens de bancos, da Receita Federal, Polcia Federal, Serasa, etc. Outros tantos prometem fotos de revistas masculinas, viagens areas grtis, cartes virtuais, senhas para sites pornogrficos e atualizao de antivrus. Porm, por oferecer maior retorno para os bandidos, geralmente o setor financeiro o mais atingido por esse tipo de crime, no pelo fato dos bancos on-line serem inseguros, muito pelo contrrio, mas sim por contar, e muito, com a colaborao do usurio, que fornece as chaves do seu banco, atravs de um E-mail recebido ou clicando no link de um site falso que aparece no corpo da mensagem de E-mail, solicitando, por exemplo, que insira algumas informaes seno sua conta ser cancelada. No se evita o phishing scam com programas de proteo como se faz contra a invaso de um vrus. Seu funcionamento consiste inicialmente na criao de sites clones de bancos, que depois atacam servidores DNS para direcionar os sites de bancos para sites clones. Da em diante os vrus ou E-mails falsos transportam programas como cavalo de tria (trojan), spywares ou um keyloger para a mquina das vtimas e estes, por sua vez, capturam as informaes que so fornecidas pelo pressionamento do teclado ou cliques do mouse, e as enviam aos fraudadores. De acordo com Leonardo Bonomi 7 (www.terra.com.br),
O Brasil o pas que mais cria softwares cavalo-de-tria (trojan) que so projetados para enganar usurios de servios de bancos pela Internet. Diz, ainda, que No Brasil tem ocorrido com mais freqncia que em outros pases como Estados Unidos e Espanha, porque os servios financeiros pela Internet so bastante desenvolvidos.
7

Gerente de suporte da Trend Micro no Brasil, empresa japonesa de segurana de computadores.

44

O site da PC WORLD (www.pcworld.com.br) explica algumas tcnicas aplicadas em phishing scam. Vejamos:
Antes que o phishing evolusse e aperfeioasse seus mtodos, havia outros aspectos nos quais podamos prestar ateno: a confirmao de que a conexo era realizada atravs de uma conexo segura mediante https:// e que possua um certificado de segurana vlido. Infelizmente, esses detalhes j no so 100% confiveis. Os fraudadores tambm aperfeioam suas tcnicas e possvel encontrar casos nos quais simulada uma conexo segura a partir de uma URL https:// ou o indicador de site seguro atravs de um certificado. Para isso, os piratas da Internet criam uma cpia do formulrio da entidade em um servidor seguro prprio com um certificado vlido. Modifica-se essa pgina de forma que qualquer nome de usurio e senha inseridos sejam armazenados em arquivos, que vo parar nas mos dos delinqentes. Depois de colocar os dados, em um caso de phishing, geralmente receberemos uma mensagem informando que h um erro na pgina e que preciso tentar novamente. Nesse ponto, os fraudadores j tero os dados da vtima, mas ao coloc-los pela segunda vez, o internauta ser reconduzido verdadeira pgina da web da instituio, que funcionar normalmente.

d) Exemplo de phishing scam aplicada utilizando o nome do Banco do Brasil A utilizao de nomes de bancos o meio preferido para o ataque de phishing scam, podendo-se citar diversos exemplos que seguem a mesma lgica de ataque. Como constantemente os bancos aumentam a segurana em seus sites, os programas se adaptam rapidamente a essa situao. Antigamente, a tcnica utilizada para adquirir dados de correntistas era baseada na gravao de teclas digitadas e posterior envio por E-mail. Atualmente, devido o advento dos teclados virtuais e outras tcnicas desenvolvidas pelos bancos, os programas funcionam de forma a alterar ou mesmo sobrepor s telas originais dos sites dos bancos, onde o usurio clica nas senhas ao invs de digit-las, tendo assim a falsa sensao de segurana. Porm, os trojans atuais (Figura 6) imitam as telas do sistema de login do banco e, a partir do momento que o usurio insere todas as informaes de acesso sua conta, o trojan exibe uma falsa informao de erro e fecha o navegador. Envia, ento, as informaes do correntista atravs de E-mail, que em sua grande maioria so criados em provedores gratuitos e quase sempre fora do Brasil, dificultando o rastreamento e identificao de quem o fez e de onde partiu o ataque.

45

Figura 6 Tela que imita o sistema de login do banco Fonte: <http://www.mhavila.com.br/topicos/seguranca/exemplo_fraude.jsp?img=bbseguros>

De posse dos dados do correntista, a pessoa que realizou o ataque testa as informaes no prprio site do banco, verificando saldos e datas de eventuais recebimentos, limites de valores para transferncias e outros. As retiradas dos valores das contas podem acontecer de vrias formas, ou seja: atravs de transferncias para outras contas da mesma rede bancria, pagamentos de boletos de compras e ttulos, recarga de celulares pr-pagos com registros falsos e, em casos de contas com crdito pr-aprovado, fazem emprstimos para efetuar as transaes citadas. Conclui-se que, geralmente, no caso das mensagens utilizando nome de instituies financeiras, estas sejam similares s originais enviadas pelas mesmas, e muitas delas tm links para sites que tambm so cpias dos verdadeiros. Entretanto, nestas mensagens so encontrados erros de digitao, textos sem formatao, erros de concordncia gramatical, e at imagens quebradas, o que dificilmente ocorre com empresas que investem alto em marketing. e) Exemplo do uso de phishing scam na Nigria A Revista Veja (www.uol.com.br) cita o seguinte exemplo de ataque de phishing scam:

46

O esquema nigeriano simples, bvio e vem se repetindo a tanto tempo que causa espanto que ainda engane algum. Tem variaes, mas se trata basicamente do mesmo golpe. O mais utilizado consiste em fisgar a vtima pedindo ajuda para movimentar uma grande quantia em dinheiro de uma conta para outra, com a promessa de dar uma porcentagem do valor. Nesse caso, os fraudadores se identificam, no E-mail, como parentes de polticos corruptos que esto com dificuldade para sacar o dinheiro da herana por se tratar de dinheiro ilcito. As pessoas que aceitam entrar no falso esquema so instrudas a enviar uma determinada quantia aos fraudadores, com a desculpa de que preciso abrir uma conta em um banco ou pagar taxas para concluir a transao. Obviamente, depois que as vtimas entregam o dinheiro, os vigaristas desaparecem. Calcula-se que cerca de 70% das pessoas que respondem ao primeiro E-mail acabam caindo em um golpe.

f) Exemplo de phishing scam aplicada utilizando cartes virtuais Um exemplo tpico pode ser visto na Figura 7 e no texto, retirados do site www.linhadefensiva.uol.com.br:
Outra fraude do tipo Algum enviou um carto virtual para voc. Essa utiliza o UOL Cartes e pode ser identificada pelo link utilizado: apesar de parecer legtimo, o link vai para o arquivo UOLCard.scr quando se observa a barra de status do cliente de E-mail. UOLCard.scr outro cavalo-de-tria que rouba as senhas de bancos dos usurios. Contedo do E-mail Mariana ([removido]@hotmail.com) Enviou um Carto Virtual para voc! Ele estar disponvel por 15 dias a contar de hoje. Aps este perodo ele ser apagado de nosso sistema. Veja a mensagem que Mariana deixou para voc: Acabei me lembrando de voc e resolvi lhe enviar esse carto. Espero que goste! :D. Para ver seu carto clique no link abaixo:

Figura 7 Exemplo de phishing scam aplicada utilizando cartes virtuais Fonte: <http://linhadefensiva.uol.com.br>

47

No que se refere aos resultados obtidos pelo atacante em relao aos alvos, pode-se afirmar que pelo fato destes no serem definidos, os resultados independentemente da forma como realizado o ataque pelo phishing scam - se atravs de mensagens falsas de instituies financeiras, preenchimento de formulrio, cadastros, download de programas, mensagens do Orkut, carto virtual e outros mais - so aleatrios. Com relao s mensagens, quase em sua totalidade possuem contedo persuasivo, de forma que o destinatrio acredite que so originrias da empresa que est se referindo, fazendo com que este no tenha muito tempo para decidir o que fazer, isto , se deve ou no clicar no link. Pode-se resumir ento que, atravs deste mtodo de ataque indireto, para o atacante obter xito no ataque, s precisa enviar para o usurio um E-mail contendo o cavalo de tria e aguardar o preenchimento do formulrio, ou o clique no link.

48

6 SANES APLICVEIS PELO USO INDEVIDO DA ENGENHARIA SOCIAL Devido a fatores como falta de conhecimento especfico sobre a Internet acerca dos mtodos utilizados pelos criminosos, certeza da impunidade de seus atos, o anonimato, a estrutura virtual, o fato dos resultados serem considerados como algo muito tentador e falta de regulamentao pertinente ao assunto, muitos vem inmeras vantagens que podem obter com o uso indevido da Engenharia Social. Porm, todas as tcnicas aqui citadas, de acordo com o Cdigo Penal Brasileiro em seus artigos 171 e 299 (www.planalto.gov.br), so consideradas crimes e possuem suas devidas punies, que vo desde o pagamento de multas at a recluso do criminoso. Os crimes virtuais so o atestado de que a privacidade das pessoas encontra-se comprometida, sendo algo muito mais amplo do que apenas uma pessoa tentando invadir um computador para realizar uma transao eletrnica, pois quase tudo o que se faz, viaja pela Internet. De acordo com o artigo 171, o uso indevido da Engenharia Social, em determinadas situaes, como por exemplo - quando h um grande grau de ofensa ao bem da vida - pode ser enquadrado como estelionato. Obter, para si ou para outrem, vantagem ilcita, em prejuzo alheio, induzindo ou mantendo algum em erro, mediante artifcio, ardil, ou qualquer outro meio fraudulento com pena de recluso de 1 (um) a 5 (cinco) anos e multa. O mesmo acontece quando atravs da Internet, uma pessoa ou entidade passa-se por outra. Crime tipificado como falsidade ideolgica no Cdigo Penal Brasileiro (www.planalto.gov.br), em seu artigo 299.
Omitir, em documento pblico ou particular, declarao que dele devia constar, ou nele inserir ou fazer inserir declarao falsa ou diversa da que devia ser escrita, com o fim de prejudicar direito, criar obrigao ou alterar a verdade sobre fato juridicamente relevante com pena de recluso de 1 (um) a 5 (cinco) anos, e multa.

A ttulo de exemplo, pode-se citar a matria veiculada no site (www.forumpcs.com.br): A Vara Federal Criminal de Florianpolis condenou nesta segunda-feira dois internautas brasileiros priso sob acusao de crimes virtuais o prejuzo para as vtimas pode ter ultrapassado os R$ 100,00. [...] O consultor de informtica de 30 anos e a representante comercial de 40 anos obtinham informaes confidenciais ilegalmente, por meio de cdigos maliciosos instalados

49

nos micros das vtimas. Eles ento faziam transferncias financeiras, como o pagamento de dbitos de terceiros. O fato da Internet no possuir fronteiras entres pases, ou seja, a falta de limites geogrficos estabelecidos em termos de jurisdio dificulta a aplicao da Lei. Alm das dificuldades j citadas, existem muitas outras para aplicao da Lei, como por exemplo, a fato da Internet no possuir fronteiras entre pases, levando-se concluso de que a falta de limites geogrficos estabelecidos no que se refere jurisdio, como nos casos em que dois ou mais pases esto envolvidos, gera problemas relacionados soberania nacional, ou seja, o problema relacionado ao princpio da territoriedade, onde a dificuldade neste caso encontra-se em definir se a jurisdio est no pas de onde partiram os dados, onde estes dados esto armazenados ou onde o dano foi causado (www.icpg.com.br).

50

7 COMO COMBATER Apesar das poucas estatsticas existentes sobre os efeitos do uso indevido da Engenharia Social, principalmente na informtica, Mitnick (2003) afirma que: As empresas que realizam teste de penetrao de segurana relatam que suas tentativas de invadir os sistemas de computadores de uma empresa cliente com mtodos da Engenharia Social tm um ndice de sucesso de quase 100 por cento. Isto nos leva a concluir que, praticamente, no existem tecnologias disponveis que evitem um ataque de Engenharia Social. Partindo do princpio de que a informao tem um valor imensurvel para a organizao, e que esta no tem como assegurar ser impossvel impedir a invaso do seu sistema por um Engenheiro Social, pelo menos deve torn-la extremamente difcil, implementando Polticas de Segurana, investindo no somente em equipamentos e recursos tecnolgicos, como firewalls, antivrus e outras tantas ferramentas, mas principalmente na capacitao e conscientizao dos seus funcionrios. Todos os funcionrios da empresa, incluindo os executivos, devem ter conscincia do valor das informaes manuseadas por eles e dos prejuzos que podem causar organizao em caso de ataque, o que poder at ameaar seus empregos, caso a organizao fique impossibilitada de realizar seus negcios. Com o objetivo de minimizar ou at mesmo evitar os ataques diretos, alm do uso de ferramentas computacionais, sugere-se os seguintes cuidados: a) atravs do uso do telefone utilizar identificador de chamadas atravs da implementao de controles para identificar se a origem verdadeira, como por exemplo, ligao de retorno; b) verificao do funcionrio estabelecer procedimentos para verificao da identidade e autorizao de um indivduo, antes de liberar informaes confidenciais ou sigilosas, ou de executar uma tarefa que envolva o uso de hardware ou software de computador; c) distribuio de informaes impressas devem ser entregues pessoalmente - se dentro da empresa, e por correio atravs de carta registrada se fora da empresa. d) distribuio de informaes via E-mail as mensagens e os anexos devem ser criptografados;

51

d) procedimentos para o pessoal da recepo manter controle com registro do nome, nmero da identidade e data e hora em que o visitante compareceu na empresa; e) utilizao de crachs os funcionrios devem usar um crach com foto grande para que a pessoa possa ser reconhecida distncia; f) contineres de lixo tendo em vista que o lixo considerado propriedade abandonada, este deve ficar dentro das instalaes da empresa, que ter o direito legal de proteg-lo juntamente com o seu contedo, de forma a no ser manuseado por pessoas no autorizadas. No caso dos ataques indiretos, os cuidados devero ser os seguintes: a) com relao ao sistema - manter o sistema operacional sempre atualizado. O mesmo serve para o antivrus e outros softwares de proteo, como no caso de ter instalado um firewall para impedir o envio de dados para outras pessoas; b) utilizao de senhas - evitar utilizar senhas simples e mud-las com freqncia. Uma boa dica de senha combinar nmeros, letras minsculas, letras maisculas, alm de caracteres especiais; c) desativao de contas de usurios - desativar contas de exfuncionrios, de ex-contratados, incluindo contas usadas para acesso a banco de dados e acesso remoto; d) usar o E-mail corretamente - nunca enviar ou repassar mensagens de correio eletrnico atravs do campo "Para" e nem "CC" (carbon copy). Deve-se utilizar sempre o "CCO" (carbon copy ocult). Desta forma, os E-mails para quem a mensagem foi enviada ficaro ocultos, evitando assim o uso e a propagao de spam; e) pginas desconfiveis - nunca clicar em links que vierem no corpo da mensagem do E-mail, mesmo que a mensagem, aparentemente, tenha origem de algum conhecido. No caso de tratar-se de empresas ou instituies conhecidas, digitar o endereo na barra do navegador e procurar nos sites oficiais alguma informao sobre o referido link; f) mensagens e avisos de dbitos - praticamente nenhuma empresa, seja ela de telefonia, instituio financeira ou qualquer outra de prestao de servios, notifica dbitos atravs do E-mail. Desta forma, aconselha-se telefonar para a empresa e verificar se o E-mail realmente autntico;

52

g) download de arquivos - antes de efetuar o download de um arquivo, principalmente se este for executvel (exe, scr, bat, pif e com), verificar a origem. Se mesmo assim achar seguro efetuar o download do referido arquivo, observar na barra de status do navegador o endereo do arquivo ao apontar o mouse no link, e digit-lo na barra de endereos do navegador. Caso constate que o link aponta para um provedor gratuito, com nomes e endereos estranhos, deve-se desconfiar, pois geralmente grandes empresas no utilizam servios de hospedagem gratuitos; h) evitar informar E-mail pessoal em sites duvidosos - utilizar uma segunda conta de E-mail para assuntos secundrios, como por exemplo, lazer e salas de bate-papo. Assim mantm-se o E-mail oficial para assuntos mais pessoais; i) navegao nos sites de instituies financeiras apesar dos bancos utilizarem medidas de segurana, atualizarem constantemente os seus sistemas contra possveis vulnerabilidades a ataques e sempre disponibilizarem recomendaes em suas pginas, o usurio deve observar atentamente como funciona o sistema do banco e, em caso de dvidas, suspeitas ou desconfiana de que foi vtima de algum golpe, entrar imediatamente em contato com a agncia e seguir as suas orientaes. Deve tambm, utilizar sempre a opo de desconexo da pgina do banco ao invs de apenas fechar o navegador; j) navegao no Orkut no divulgar fotos pessoais, nem de familiares e amigos. No deixar em seu perfil informaes como celular, telefone de casa e do servio, hbitos de consumo, E-mail e informaes sobre o que faz profissionalmente; Mitnick (2003) sugere a utilizao de fluxogramas (Figura 8 e Figura 9), com o objetivo de responder s solicitaes de informaes, como mostra o exemplo abaixo:

53

AS P Como sei que Como sei que esta pesso

EXEMPLOS

Figura 8 Fluxograma1 de respostas a solicitaes de informaes Fonte: MITNICK (pg. 270)

Estrutura hierrquica do pessoal, nomes e cargos dos empregados.

54

AS PE No confiar e O questionamen

OBSERVAES

Figura 9 Fluxograma2 de respostas a solicitaes de informaes Fonte: MITNICK (pg. 271)

55

Sugeriu-se aqui, apenas algumas formas seguras de evitar prejuzos. Porm, o esclarecimento e o treinamento constantes continuam a ser as armas mais poderosas contra ataques de Engenharia Social. Aconselha-se tambm que, antes de divulgar qualquer informao, se consulte a veracidade desta e, sempre que possvel orientar e indicar aos amigos dicas sobre o assunto, trocar experincias e, caso tenha sido vtima de algum ataque, denunci-lo s autoridades competentes.

56

8 CONCLUSO Considerando o usurio de computador o alvo principal das investidas da Engenharia Social e que o sucesso dos seus ataques ocorre geralmente quando os alvos so as pessoas ingnuas ou aquelas que simplesmente desconhecem as melhores prticas de segurana dos sistemas de informao, esta, no mundo atual, se constitui um perigoso inimigo para qualquer sistema, seja domstico ou empresarial, se usada indevidamente. Hoje possvel inventar variaes de ataques at onde a imaginao humana possa alcanar e se o usurio no estiver devidamente preparado para enfrent-los torna-se difcil se mensurar as conseqncias dos prejuzos causados. Mesmo utilizando recursos tecnolgicos avanados como antivrus, etc. tem sido extremamente difcil conviver com a Engenharia Social nos dias atuais. No h frmula que elimine cem por cento os riscos de uma invaso por Engenheiros Sociais vidos em roubar informaes alheias para obter lucro fcil em benefcio prprio, pois seus golpes quando bem aplicados so praticamente indetectveis. Entretanto, com algumas medidas de precauo de segurana, este mal poder ser minimizado e, porque no dizer, combatido. Conclui-se assim que, enquanto o homem estiver presente no processo, os Engenheiros Sociais sempre iro existir, mas esta mxima deixar de ser verdadeira se este souber utilizar os mecanismos de defesa adequados, podendo assim at elimin-los. Portanto, o usurio torna-se a melhor ferramenta de segurana. Transform-lo em um agente de segurana um grande desafio que, se conseguido, trar resultados positivos para a empresa que ento ter um ambiente mais seguro e, com o aumento do nmero de usurios conscientes, o nvel de segurana da empresa aumentar constantemente. Vale lembrar que este assunto no se extingue aqui. Ainda se vai ouvir falar por muito tempo em Engenharia Social, pois as probabilidades de se desenvolver e se massificar so bem grandes. Sugere-se, ento, a criao de um Sistema Especialista na rea de Inteligncia Artificial voltado exclusivamente para desenvolver mtodos de preveno para as inmeras vulnerabilidades dos sistemas de informao.

57

REFERNCIAS ABAGNALE & ASSOCIATES: Disponvel em: <http://www.abagnale.com>. Acesso em: 06 jun. 2006. BARELLA, Jos Eduardo. Pas de fraudadores: golpes pela Internet so a terceira maior fonte de divisas da Nigria. 30 de novembro de 2005, n. 48, Edio 1933. COMIT GESTOR DA INTERNET NO BRASIL: Disponvel em: <http://www.antispam.br>. Acesso em: 06 jun. 2006. EINSTEIN, Albert. Disponvel em <http://www.issabrasil.org/artigos_0022.asp>. Acesso em: 06 jun. 2006. MARCELO, Antonio; PEREIRA Marcos. A arte de hackear pessoas. Rio de Janeiro: Brasoft, 2005, p. 4-26-30- 5. BANDLER, Richard (apud MARCELO, Antonio; PEREIRA Marcos). A arte de hackear pessoas. Rio de Janeiro: Brasoft, 2005, p. 30. DVILA, Mrcio. Disponvel em: <http://www.mhavila.com.br/topicos/seguranca/exemplo_fraude.jsp?img=itau3>. Acesso em 06 jun. 2006. MITNICK, Kevin D; SIMON William L. A arte de enganar. Ataques de Hackers: Controlando o fator Humano na Segurana da Informao. So Paulo: Pearson Makron Books, 2003, p. 25-49-50-51-89-90-128. Mitnick Security: Disponvel em: <http://www.kevinmitnick.com>. Acesso em: 06 jun. 2006. Mdulo Security: Agentes digitais do crime. Disponvel em: http://www.modulo.com.br/index.jsp? page=3&catid=2&objid=389&pagecounter=0&idiom=0. Acesso em: 11 abr. 2006. Ncleo de Informao e Coordenao do Ponto BR. Disponvel em: <http://www.registro.br >. Acesso em: 06 jun. 2006. Orkut. Disponvel em: <http://www.orkut.com>. Acesso em: 06 jun. 2006. PC WORLD - Computerworld do Brasil Publicaes e Servios LTDA. Phishing: como funciona. Disponvel em: <http://pcworld.com.br/dicas/2005/10/27/idgnoticia.2005-1027.3277343321/IDGNoticia_view>. Acesso em: 27 out. 2005. Pesquisa Sophos. Crimes on-line so mais sofisticados que protees. Disponvel em: (http://tecnologia.terra.com.br/interna/0,,OI677431-EI4805,00.html). Acesso em: 22 set. 2005.

58

Grficos 2 e 3. Usurios no esto preparados para as ameaas na Web. Disponvel em: <http://tecnologia.terra.com.br/interna/0,,OI788506-EI4805,00.html>. Acesso em: 08 dez. 2005. POPPER, Marcos Antonio; BRIGNOLI, Juliano Tonizetti. ENGENHARIA SOCIAL Um Perigo Eminente. Disponvel em: www.icpg.com.br/artigos/rev03-05.pdf. Acesso em: 06 Jun. 2006. Revista Isto . Patrick Gray, O James Bond da Internet. Disponvel em: <http://www.terra.com.br/istoe/1812/1812_vermelhas_01.htm>. Acesso em: 30 jun. 2004. Revista Veja (UOL, 2005). Pas de fraudadores. Golpes pela Internet so a terceira maior fonte de divisas da Nigria. Disponvel em: <http://veja.abril.com.br/301105/p_058.html>. Acesso em: 30 nov. 2005. SPIDER_WISE. Crimes virtuais: Priso de dois internautas brasileiros. 10 de Agosto de 2005. Disponvel em: <http://www.forumpcs.com.br/noticia.php? b=124313>. Acesso em: 06 jun. 2006. Terra Networks, S.A. Disponvel em: <http://tecnologia.terra.com.br/interna/0,,OI788506-EI4805,00.html>. Acesso em: 08 dez. 2005. Terra Networks, S.A. Pas maior criador de pragas para roubo de dados. Disponvel em: <http://tecnologia.terra.com.br/interna/0,,OI715694-EI4805,00.html>. Acesso em: 19 out. 2005. TERRA Networks,S.A. Patrick Gray O James Bond da Internet. Disponvel em: <http://www.terra.com.br/istoe/1812/1812_vermelhas_01.htm>. Acesso em 30 jun. 2004. TERRA. Disponvel em: <http://tecnologia.terra.com.br/interna/0,,OI788506EI4805,00.html>. Acesso em: 06 Jun. 2006. GARTNER. Engenharia Social ser arma hacker da prxima dcada. Disponvel em: <http://www1.folha.uol.com.br/folha/informatica/ult124u17317.shtml>. Acesso em: 06 jun. 2006. P. 15 Cerca de 1 bilho de pessoas tm acesso Internet. Disponvel em: <http://www1.folha.uol.com.br/folha/informatica/ult124u19375.shtml> http://. Acesso em: 09 dez. 2005. Cdigo Penal Brasileiro, Artigo 171. Disponvel em: <http://www.planalto.gov.br>. Acesso em: 06 jun. 2006. Cdigo Penal Brasileiro, Artigo 299. Disponvel em: <http://www.planalto.gov.br>. Acesso em: 06 jun. 2006.

59

LINHA DEFENSIVA. Disponvel em: < http://www.linhadefensiva.uol.com.br/>. Acesso em: 06 jun. 2006. UOL Cartes. Disponvel em: <http://linhadefensiva.uol.com.br/avs/scr/scr-63.png>. Acesso em: 06 jun. 2006. UOL Cartes. Disponvel em: <http://linhadefensiva.uol.com.br/avs/fraudes/uolcartoes>. Acesso em: 06 jun. 2006. WIKIPDIA, a enciclopdia livre. Disponvel em: <http://pt.wikipedia.org/wiki/Cracker>. Acesso em: 06 jun. 2006.

60

Corra, Ney Carlos Cutrim. O uso indevido da Engenharia Social na Informtica. / Ney Carlos Cutrim Corra. __ So Lus, 2006. 61 f. : il. Monografia (Graduao em Sistemas de Informao) Centro Universitrio do Maranho UniCEUMA, 2006. 1. Engenharia Social Internet Phishing scam. I. Ttulo. CDU 004.738.5:624