RJ - Brasil
$ (erso mais recente deste documento pode ser o)tida na pagina o*icial do GRIS+ ,ttp+--.../gris/dcc/u*r0/)r GRIS - Grupo de Resposta a Incidentes de Segurana $(/ Brigadeiro 1rompo.s2i, s-n3 CCM4 - Bloco 5# - Decania Cidade 6ni(ersitria - Rio de Janeiro-RJ C7%+ !#898-8"" 1ele*one+ :;; <!#= !;8>-898# 7ste documento e Cop?rig,t@!"## GRIS/ 7le pode ser li(remente copiado desde 'ue se0am respeitadas as seguintes condiAes+ B permitido *aCer e distri)uir copias inalteradas deste documento, completo ou em partes, contanto 'ue esta nota de copyright e distri)uio se0a mantida em todas as copias, e 'ue a distri)uio no ten,a *ins comerciais/ Se este documento *or distri)uDdo apenas em parte, instruAes de como o)t-lo por completo de(em ser incluDdas/ B (edada a distri)uio de (ersAes modi*icadas deste documento, )em como a comercialiCao de copias, sem a permisso eEpressa do GRIS/ 7m)ora todos os cuidados ten,am sido tomados na preparao deste documento, o GRIS no garante a correo a)soluta das in*ormaAes nele contidas, nem se responsa)iliCa por e(entuais conse'uncias 'ue possam ad(ir do seu uso/ Fltima atualiCao em #; de 5e(ereiro de !"##
Agradecimentos:
Gostaria de agradecer a toda a e'uipe do GRIS, em especial a GuDs 5ernando Magal,es 4o(aes , Manoel 5ernando de Sousa Domingues Junior, Guil,erme Iria DH$))adia 5ontes %ereira e IinDcius de Sousa %ontes 'ue me auEiliaram em min,a pes'uisa e na organiCao desse tra)al,o e a %edro de SouCa $sad 'ue me a0udou durante a re(iso do teEto/
Sumrio
#/ Introduo
#/# J 'ue K a 7ngen,aria SocialL #/! De*inindo o *ator ,umano e eEplicando o seu uso/ #/M 5erramentas usadas pelos atacantes/
9/ Concluso
1 Introdu o:
1!1 " #ue a Engenharia Social$
%aradoEalmente, o nome 7ngen,aria Social apesar de pouco con,ecido classi*ica uma categoria eEtremamente comum de ata'ues N Segurana da In*ormao/ $pesar desse paradoEo o nome no poderia descre(-la mel,or+ Engenharia % 7studo da ,a)ilidade de criar, in(entar e manipular algo a partir da tKcnica/ Social % 1udo a'uilo 'ue K relati(o N *oras eEternas ao indi(Dduo, pro(enientes do meio 'ue este (i(e, 'ue determinam grande parte do seu comportamento/ 6ma Otima descrio da 7ngen,aria Social *oi dada pelo ,ac2er Pe(in Mitnic2 em seu li(ro QA Arte de EnganarR <QThe Art of DeceptionR no original em inglsR= / $)aiEo se encontra uma li(re traduo do original em ingls+ A engenharia social usa a influncia e a persuaso para enganar as pessoas e convenc-las de que o engenheiro social algum que na verdade ele no ou pela manipula!o. "omo resultado o engenheiro social pode aproveitar-se das pessoas para o#ter as informa!$es com ou sem o uso da tecnologia. Da de*inio acima dois pontos c,a(es de(em ser destacados/ J primeiro K 'ue a 7ngen,aria Social no K um ata'ue eEclusi(o do meio digital, sendo passD(el de ocorrncia mesmo sem o auEDlio da tecnologia, apesar de ata'ues assim no serem o *oco deste artigo/ J outro ponto do 'ual o primeiro K uma conse'uncia direta K 'ue o *oco de um ata'ue de 7ngen,aria social K o *ator ,umano, daD a sua e*iccia/
segundo caso, tam)Km e necessrio por parte do atacante mascarar a 6RG do site/ 6ma *orma muito comum de *aCer isso K usando encurtadores de endereos .e), como o migre/me e o )it/l?, mas as (eCes nem isso K necessrio, como no eEemplo a seguir+ htt*:00111!*a2*al!com0 htt*:00111!*a2*aI!com0 $ *orna em caiEa-alta da letra HiH se con*unde *acilmente com a letra HlH em caiEa-)aiEa, em algumas *ontes isso se torna atK imperceptD(el/ 7sse eEemplo simples ilustra claramente a *acilidade pela 'ual uma (Dtima desatenta pode cair em um ata'ue de phishing/ 6m caso recente de phishing ocorreu em Maio de !""8, 'uando atacantes en(iaram deCenas de e-mails para usurios do 5ace)oo2, rede social 'ue in*orma seus usurios desta maneira com *re'uncia/ Js lin2s contidos nessas mensagens le(a(am a pginas *alsas, deli)eradamente pro0etadas para parecer com as pginas legDtimas do 5ace)oo2/ 7las contin,am campos para 'ue os usurios digitassem os dados de suas contas/ J porta-(oC do 5ace)oo2, Barr? Sc,nitt, a*irmou na ocasio 'ue a e'uipe de segurana do 5ace)oo2 acredita 'ue os atacantes pretendiam coletar um grande nTmero de credenciais para, mais tarde, usar essas contas para en(iar spam a outros usurios do 5ace)oo2/ $ empresa no re(ela os nTmeros eEatos de contas in(adidas/ %reocupantemente, o C7R1/)r, o Centro de 7studos, Resposta e 1ratamentos a Incidentes de Segurana no Brasil, registrou um aumento de U#V nos casos de phishing no primeiro trimestre de !"#" em relao ao mesmo perDodo em !""8/ Isto mostra 'ue esta K uma ameaa cada (eC mais comum no cenrio nacional/ 7m escala glo)al, os sites 'ue mais registraram esse tipo de ata'ue em !"#" *oram+ %a?%al <;!,;V dos ata'ues registrados=, eBa? <#M,MV=, &SBC <W,>V=, 5ace)oo2 <;,WV=, Google <M,#V=, IRS <!,!V=, Rapis,are <#,>V=, Ban2 o* $merica <#,WV=, 6BI <#,UV=, Bradesco <#,!V=/ Js demais sites somaram <8,!V= das ocorrncias, mas indi(idualmente representam menos de #V/
7! 8onclus o:
1al(eC o maior pro)lema 'ue surge ao com)ater a 7ngen,aria Social K o *ato de no eEistir soluo imediata, algo 'ue para a sociedade atual parece impens(el/ $penas com a a conscientiCao e o treinamento dos operadores e usurios dos sistemas de in*ormao 'ue o)tKmse resultados, processo este 'ue K lento e custoso, porKm indispens(el/ $pesar de parecer algo tolo e 'ue apenas a*eta o usurio leigo, a 7ngen,aria Social K uma das maiores ameaas N segurana da in*ormao e a sua aparente simplicidade esconde uma perigosa *orma de in(adir atK os sistemas mais )em protegidos/ Como K possD(el 'ue o elemento c,a(e da 7ngen,aria Social, o *ator ,umano, 0amais se0a remo(ido dos sistemas computacionais, tal(eC sempre eEista a ameaa de um ata'ue deste tipo/ 7ste *ato 0amais de(e ser ignorado por todos 'ue preCam pela segurana da in*ormao, uma (eC 'ue a 7ngen,aria Social se torna ainda mais perigosa 'uando a (Dtima a descarta como uma ameaa sKria/
M %ara mais in*ormaAes so)re a escol,a de sen,as *ortes consulte o artigo escrito por Breno Guimares de Jli(eira, antigo mem)ro do GRIS/ ,ttp+--gris/dcc/u*r0/)r-documentos-artigos-GRIS!"";$""!/pd*
Fontes:9
,ttp+--.../s?mantec/com-securit?[response-.riteup/0spLdocid\!"""-#!#>#;-!!;>-88 ,ttp+--en/.i2ipedia/org-.i2i-IGJI7XJ6 ,ttp+--g#/glo)o/com-4oticias-1ecnologia-",,M6G##!W!98-U#W9,""&$CP7RS:G$4C$M:$1$S67:$:6S6$RIJS:DJ:5$C7BJJP/,tml ,ttp+--.../2aspers2?/com-ne.sLid\!"W;WU">M ,ttp+--googleonlinesecurit?/)logspot/com-!"#"-"M-p,is,ing-p,ree/,tmlL utm[source\*eed)urner]utm[medium\*eed]utm[campaign\5eed VM$:GoogleJnlineSecurit?Blog:V!>Google:Jnline:Securit?:BlogV!8 ,ttp+--googleonlinesecurit?/)logspot/com-!"#"-"9-rise-o*-*a2e-anti-(irus/,tmlL utm[source\*eed)urner]utm[medium\*eed]utm[campaign\5eed VM$:GoogleJnlineSecurit?Blog:V!>Google:Jnline:Securit?:BlogV!8 Pe(in Mitnic2 - QThe Art of DeceptionR , !""!, Jo,n ^ile? ] Sons
9 1odas os endereos %e# listados nas re*erncias )i)liogr*icas eram (lidos no dia #; de 5e(ereiro de !"##/