Universidade Federal do Rio de Janeiro Instituto de Matemtica Departamento de Cincia da Computao Grupo de Resposta a Incidentes de Segurana Rio de Janeiro,

RJ - Brasil

Tcnicas de Engenharia Social

GRIS !"#" $ ""#

%edro &enri'ue da Costa Braga

$ (erso mais recente deste documento pode ser o)tida na pagina o*icial do GRIS+ ,ttp+--.../gris/dcc/u*r0/)r GRIS - Grupo de Resposta a Incidentes de Segurana $(/ Brigadeiro 1rompo.s2i, s-n3 CCM4 - Bloco 5# - Decania Cidade 6ni(ersitria - Rio de Janeiro-RJ C7%+ !#898-8"" 1ele*one+ :;; <!#= !;8>-898# 7ste documento e Cop?rig,t@!"## GRIS/ 7le pode ser li(remente copiado desde 'ue se0am respeitadas as seguintes condiAes+ B permitido *aCer e distri)uir copias inalteradas deste documento, completo ou em partes, contanto 'ue esta nota de copyright e distri)uio se0a mantida em todas as copias, e 'ue a distri)uio no ten,a *ins comerciais/ Se este documento *or distri)uDdo apenas em parte, instruAes de como o)t-lo por completo de(em ser incluDdas/ B (edada a distri)uio de (ersAes modi*icadas deste documento, )em como a comercialiCao de copias, sem a permisso eEpressa do GRIS/ 7m)ora todos os cuidados ten,am sido tomados na preparao deste documento, o GRIS no garante a correo a)soluta das in*ormaAes nele contidas, nem se responsa)iliCa por e(entuais conse'uncias 'ue possam ad(ir do seu uso/ Fltima atualiCao em #; de 5e(ereiro de !"##

Agradecimentos:
Gostaria de agradecer a toda a e'uipe do GRIS, em especial a GuDs 5ernando Magal,es 4o(aes , Manoel 5ernando de Sousa Domingues Junior, Guil,erme Iria DH$))adia 5ontes %ereira e IinDcius de Sousa %ontes 'ue me auEiliaram em min,a pes'uisa e na organiCao desse tra)al,o e a %edro de SouCa $sad 'ue me a0udou durante a re(iso do teEto/

Sumrio
#/ Introduo
#/# J 'ue K a 7ngen,aria SocialL #/! De*inindo o *ator ,umano e eEplicando o seu uso/ #/M 5erramentas usadas pelos atacantes/

!/ $ta'ues comuns de 7ngen,aria Social

!/# Phishing. !/! $neEos Maliciosos/ !/M 5alsos anti(Drus/

M/ 7(itando ata'ues de 7ngen,aria Social

M/# M/! M/M M/9 Segurana da coneEo e criptogra*ia/ Sites e certi*icados digitais/ Bom senso e ateno aos detal,es/ 6so de sen,as *ortes/

9/ Concluso

1 Introdu o:
1!1 " #ue a Engenharia Social$
%aradoEalmente, o nome 7ngen,aria Social apesar de pouco con,ecido classi*ica uma categoria eEtremamente comum de ata'ues N Segurana da In*ormao/ $pesar desse paradoEo o nome no poderia descre(-la mel,or+ Engenharia % 7studo da ,a)ilidade de criar, in(entar e manipular algo a partir da tKcnica/ Social % 1udo a'uilo 'ue K relati(o N *oras eEternas ao indi(Dduo, pro(enientes do meio 'ue este (i(e, 'ue determinam grande parte do seu comportamento/ 6ma Otima descrio da 7ngen,aria Social *oi dada pelo ,ac2er Pe(in Mitnic2 em seu li(ro QA Arte de EnganarR <QThe Art of DeceptionR no original em inglsR= / $)aiEo se encontra uma li(re traduo do original em ingls+ A engenharia social usa a influncia e a persuaso para enganar as pessoas e convenc-las de que o engenheiro social algum que na verdade ele no ou pela manipula!o. "omo resultado o engenheiro social pode aproveitar-se das pessoas para o#ter as informa!$es com ou sem o uso da tecnologia. Da de*inio acima dois pontos c,a(es de(em ser destacados/ J primeiro K 'ue a 7ngen,aria Social no K um ata'ue eEclusi(o do meio digital, sendo passD(el de ocorrncia mesmo sem o auEDlio da tecnologia, apesar de ata'ues assim no serem o *oco deste artigo/ J outro ponto do 'ual o primeiro K uma conse'uncia direta K 'ue o *oco de um ata'ue de 7ngen,aria social K o *ator ,umano, daD a sua e*iccia/

1!& 'e(inindo o (ator humano e e)*licando o seu uso:

Suando pensamos na pre(eno de um ata'ue N Segurana da In*ormao em geral pensamos logo na correo de *al,as computacionais 'ue podem le(ar ao sucesso destes ata'ues/ Cercamos nossos sistemas por fire%alls, instalamos anti(Drus e anti-spy%ares para detectar e remo(er programas maliciosos, atualiCamos sempre todos os programas na esperana corrigir as suas *al,as/ %or mais criteriosas 'ue se0am as polDticas de segurana de um sistema, ele ainda pode ser comprometido por *ruto de um desliCe do seu operador/ 7Eiste ento uma segunda rota de in(aso para o sistema+ o erro ,umano/ De*inimos por erro ,umano todo comportamento inseguro, se0a ele um ato contDnuo ou *ruto de um momento de distrao, 'ue pode ser usado por um atacante para 'ue este consiga comprometer um sistema/ J grande pro)lema com o erro ,umano K 'ue ele no pode ser completamente corrigido, apenas mitigado <como (eremos no *inal desse artigo=, a*inal nen,uma pessoa K per*eita e nen,um treinamento pode mudar isso/ %odemos concluir 'ue o *ator ,umano K o elo mais *raco da Segurana da In*ormao/ Ieremos a seguir como o atacante eEplora essa *ra'ueCa/

1!+ Ferramentas usadas *elos atacantes:

'is(arces: %arte *undamental de 'ual'uer ata'ue de 7ngen,aria Social K a capacidade do atacante de esconder a sua identidade e de assumir a identidade de alguKm 'ue possui acesso a in*ormao 'ue o ata'ue tem como al(o/ In(orma,es descartadas incorretamente+ J descarte de in*ormao na *orma impressa ou o ato de es(aCiar a liEeira de um des&top no so seguros o su*iciente 'uando tratamos com dados sigilosos, 0 'ue )asta uma inspeo mais cautelosa para 'ue um atacante c,egue atK eles/# De(emos sempre garantir o descarte seguro da in*ormao, usando meio ade'uados para isso <a 'ueima no caso da in*ormao em papel ou o uso de soft%ares seguros para apagar dados sigilosos do computador=/ Redes de contato: $migos e con,ecidos so uma *onte de in*ormao (aliosa, se )em eEplorada/ %or isso, um engen,eiro social eEperiente se aproEimar destas pessoas a *im de eEtrair in*ormaAes e conseguir *a(ores/ A*elo sentimental: 7moAes so a maneira mais *cil de se manipular alguKm/ 6ma ,istOria con(incente 'ue le(e a (Dtima a ac,ar 'ue est *aCendo o )em, ou 'ue gan,ar algo no *inal pode ser determinante para o sucesso de um ata'ue de 7ngen,aria Social/ -rograma o .eurolingu/stica: Consiste no uso de 0argAes e maneirismos arti*iciais por parte do engen,eiro social para 'ue a (Dtima acredite na sua ,istOria e no seu dis*arce/ $lKm disso tam)Km cria um elo de con*iana entre a (Dtima e o atacante, sendo assim uma pea central de um ata'ue de 7ngen,aria Social/ -es#uisas na Internet: Sual'uer concurso pT)lico *eito por uma pessoa, seu C%5, a *aculdade 'ue cursou, a escola na 'ual se *ormou, entre outros dados, podem ser *acilmente encontrados com uma )usca na Internet/ $lKm disso, redes sociais permitem 'ue um indi(Dduo mal-intencionado descu)ra di(ersas in*ormaAes pessoais so)re seus usurios/ %ode-se se a*irmar 'ue as in*ormaAes na Internet so uma das maiores armas do engen,eiro social/

& Ata#ues comuns de Engenharia Social &!1 Phishing:

1ipo de ata'ue de engen,aria social eEtremamente comum/ Consiste do en(io de mensagens *alsas para a (Dtima, )uscando o)ter, sem o con,ecimento desta, in*ormaAes sigilosas/ Seu *uncionamento )aseia-se na eEplorao de um (Dnculo de con*iana entre a (Dtima e por 'uem o atacante est se passando/ 4esse ata'ue ocorre com *re'uncia a cOpia do layout do site pelo 'ual o atacante tenta se passar, se0a esse layout usado na mensagem en(iada para a (Dtima ou em um site *also/ 4esse
# Suando um ar'ui(o K remo(ido da liEeira de um computador ele no K realmente apagado, apenas se torna oculto para o usurio, 7(entualmente o sistema operacional ir escre(er alguma no(a in*ormao no espao no disco onde se encontra, mas atK 'ue isso ocorra o ar'ui(o pode ser recuperado com o uso de aplicaAes apropriadas/

segundo caso, tam)Km e necessrio por parte do atacante mascarar a 6RG do site/ 6ma *orma muito comum de *aCer isso K usando encurtadores de endereos .e), como o migre/me e o )it/l?, mas as (eCes nem isso K necessrio, como no eEemplo a seguir+ htt*:00111!*a2*al!com0 htt*:00111!*a2*aI!com0 $ *orna em caiEa-alta da letra HiH se con*unde *acilmente com a letra HlH em caiEa-)aiEa, em algumas *ontes isso se torna atK imperceptD(el/ 7sse eEemplo simples ilustra claramente a *acilidade pela 'ual uma (Dtima desatenta pode cair em um ata'ue de phishing/ 6m caso recente de phishing ocorreu em Maio de !""8, 'uando atacantes en(iaram deCenas de e-mails para usurios do 5ace)oo2, rede social 'ue in*orma seus usurios desta maneira com *re'uncia/ Js lin2s contidos nessas mensagens le(a(am a pginas *alsas, deli)eradamente pro0etadas para parecer com as pginas legDtimas do 5ace)oo2/ 7las contin,am campos para 'ue os usurios digitassem os dados de suas contas/ J porta-(oC do 5ace)oo2, Barr? Sc,nitt, a*irmou na ocasio 'ue a e'uipe de segurana do 5ace)oo2 acredita 'ue os atacantes pretendiam coletar um grande nTmero de credenciais para, mais tarde, usar essas contas para en(iar spam a outros usurios do 5ace)oo2/ $ empresa no re(ela os nTmeros eEatos de contas in(adidas/ %reocupantemente, o C7R1/)r, o Centro de 7studos, Resposta e 1ratamentos a Incidentes de Segurana no Brasil, registrou um aumento de U#V nos casos de phishing no primeiro trimestre de !"#" em relao ao mesmo perDodo em !""8/ Isto mostra 'ue esta K uma ameaa cada (eC mais comum no cenrio nacional/ 7m escala glo)al, os sites 'ue mais registraram esse tipo de ata'ue em !"#" *oram+ %a?%al <;!,;V dos ata'ues registrados=, eBa? <#M,MV=, &SBC <W,>V=, 5ace)oo2 <;,WV=, Google <M,#V=, IRS <!,!V=, Rapis,are <#,>V=, Ban2 o* $merica <#,WV=, 6BI <#,UV=, Bradesco <#,!V=/ Js demais sites somaram <8,!V= das ocorrncias, mas indi(idualmente representam menos de #V/

&!& Ane)os 3aliciosos:

6m dos mais antigos e con,ecidos ata'ues de 7ngen,aria Social/ Consiste no en(io de mensagens contendo algum tipo de mal%are em aneEo/ J atacante )usca atiar a curiosidade da (Dtima para 'ue esta eEecute o aneEo, contaminando o seu sistema no processo/ Jutro *ator importante K a necessidade de se esconder a natureCa do aneEo, para isso emprega-se tKcnicas de esteganogra*ia! e apro(eita-se de uma *al,a computacional, como ocorreu no caso do %orm IGJI7XJ6/ 4esse *amoso caso, 'ue te(e inicio no dia 9 de Maio de !""", di(ersas mensagens *oram en(iadas (ia e-mail e canais de IRC contendo em aneEo o ar'ui(o QGJI7-G7117R-5JRXJ6/1Y1/IBSR, na'uela Kpoca di(ersos clientes de e-mail e IRC sO mostra(am atK a primeira eEtenso do aneEo, ocultando o Q/IBSR, dessa *orma o %orm se passa(a por um ar'ui(o de teEto comum 'ue aparentemente contin,a uma mensagem de amor/ 6ma (eC eEecutado ele se instala(a no computador da (Dtima e su)stituDa di(ersos ar'ui(os por cOpias de si mesmo, incluindo a eEtenso Q/IBSR escondida/ $pOs isso o mal%are se espal,a(a usando o li(ro de contatos do cliente de e-mail Microso*t Jutloo2/ $ propagao do (Drus *oi impressionante+ no(e dias depois, de seu surgimento, ;" mil,Aes de in*ecAes 0 tin,am sido reportadas no mundo todo/ $pesar da *al,a 'ue o %orm eEplora(a ter sido corrigida, ele ilustra muito )em o perigo desse tipo de ata'ue/
!! Esteganogra(ia: Do grego Zescrita escondidaZ, K o estudo e uso das tKcnicas para ocultar a eEistncia de uma mensagem dentro de outra/ 4o conteEto dos ata'ues de aneEos maliciosos, se re*ere ao ato de esconder cOdigo malicioso dentro de um ar'ui(o aparentemente ino*ensi(o/ %ara mais in*ormaAes, o GRIS possui em seu acer(o uma apresentao so)re esteganogra*ia escrita por GuDs 5ernando Magal,es 4o(aes/ ,ttp+--gris/dcc/u*r0/)r-documentos-apresentacoes-esteanogra*ia

&!+ Falso Antiv/rus 4Rogueware5:

6m tipo de ata'ue 'ue surgiu recentemente K a criao de mal%ares dis*arados de programas anti(Drus/ $ e*icincia dessa tKcnica reside no uso pelo atacante do medo do usurio de ter seu sistema comprometido/ Seu *uncionamento K simples+ o usurio K le(ado por um pop-up ou por uma )usca na Internet para uma pgina contendo lin2s para o do.nload de um suposto soft%are anti(Drus/ B muito comum 'ue nessas pginas eEista uma enganosa )usca on-line por mal%ares no computador da (Dtima, 'ue alerta para a presena de programas maliciosos e sugere o do.nload do soft%are indicado na pgina/ $o instalar o programa uma no(a *alsa )usca K realiCada mas o computador K desta (eC dado como li(re de ameaas/ $ssim o atacante consegue no sO comprometer o computador da (Dtima como tam)Km, con(enc-la de 'ue seu computador no possui nen,um so*t.are mal-intencionado/ $pesar do surgimento recente, esse tipo de ata'ue 0 c,amou a ateno de gigantes da tecnologia, como o Google, 'ue eEi)iu em !8 de !"#" uma pes'uisa, realiCada entre 0aneiro de !""8 e *e(ereiro de !"#", mostrando 'ue os programas anti(Drus *alsos 0 representam #;V de todos os so*t.ares maliciosos para computadores / $ pes'uisa tam)Km a*irma(a 'ue mais de ## mil domDnios registrados na Internet esto relacionados N distri)uio de anti(Drus *alsos /

+ Evitando ata#ues de Engenharia Social +!1 Segurana da cone) o e cri*togra(ia:

6m comportamento simples, mas e*iciente no com)ate N 7ngen,aria Social K a ateno a segurana da coneEo e o no en(io de dados sigilosos em uma coneEo insegura/ 6ma coneEo criptogra*ada impede 'ue um terceiro o)ten,a dados de uma (Dtima e use-os contra ela em um posterior ata'ue de 7ngen,aria Social/ %ara auEiliar o usurio a maioria dos na(egadores atuais mostra se a coneEo K criptogra*ada e, caso positi(o, o tipo da criptogra*ia empregado/ 1am)Km K recomendado o uso de protocolos seguros no re*erente ao acesso remoto, como por eEemplo o uso do SS& em detrimento do 17G471, uma (eC 'ue esse Tltimo no garante por padro a segurana da coneEo/

+!& Sites e certi(icados digitais:

7ntidades certi*icadoras so instituiAes respons(eis pela emisso de certi*icados digitais 'ue identi*icam sites na Internet e seus respecti(os proprietrios/ $o assinar digitalmente os certi*icados 'ue emite, a entidade certi*icadora relaciona a identidade do portador do certi*icado, e portanto da c,a(e pri(ada, N c,a(e pT)lica eEistente no certi*icado/ $ maioria dos na(egadores eEi)em se a pgina (isitada possui um certi*icado digital (lido, caso no possua, o site pro(a(elmente K uma *raude/

+!+ 6om senso e aten o aos detalhes:

7m grande parte dos ata'ues de 7ngen,aria Social ocorrem erros de escrita/ Isto K de(ido ao emprego de tradutores para passar a mensagem de sua lDngua original para outras/ $lKm disso outros detal,es podem eEpor um ata'ue+ o domDnio de um site, dados con*litantes na mensagem, entre outros/ Con*erindo as in*ormaAes rece)idas e no acreditando em tudo a primeira (ista, o usurio consegue escapar de di(ersos ata'ues de 7ngen,aria Social/

+!7 Uso de senhas (ortes:

Jamais use sen,as constituDdas de in*ormaAes pessoais 'ue possam ser desco)ertas por um engen,eiro social/ 4Tmeros de C%5 ou RG, datas de ani(ersrio, nomes de amigos ou *amiliares, endereos, o nome de um time de *ute)ol e o prOprio login so eEemplos de sen,as 'ue um atacante desco)rir rapidamente/ %re*ira sen,as eEtensas, com letras em caiEa-alta e )aiEa, nTmeros e caracteres especiais/M

7! 8onclus o:
1al(eC o maior pro)lema 'ue surge ao com)ater a 7ngen,aria Social K o *ato de no eEistir soluo imediata, algo 'ue para a sociedade atual parece impens(el/ $penas com a a conscientiCao e o treinamento dos operadores e usurios dos sistemas de in*ormao 'ue o)tKmse resultados, processo este 'ue K lento e custoso, porKm indispens(el/ $pesar de parecer algo tolo e 'ue apenas a*eta o usurio leigo, a 7ngen,aria Social K uma das maiores ameaas N segurana da in*ormao e a sua aparente simplicidade esconde uma perigosa *orma de in(adir atK os sistemas mais )em protegidos/ Como K possD(el 'ue o elemento c,a(e da 7ngen,aria Social, o *ator ,umano, 0amais se0a remo(ido dos sistemas computacionais, tal(eC sempre eEista a ameaa de um ata'ue deste tipo/ 7ste *ato 0amais de(e ser ignorado por todos 'ue preCam pela segurana da in*ormao, uma (eC 'ue a 7ngen,aria Social se torna ainda mais perigosa 'uando a (Dtima a descarta como uma ameaa sKria/

M %ara mais in*ormaAes so)re a escol,a de sen,as *ortes consulte o artigo escrito por Breno Guimares de Jli(eira, antigo mem)ro do GRIS/ ,ttp+--gris/dcc/u*r0/)r-documentos-artigos-GRIS!"";$""!/pd*

Fontes:9
,ttp+--.../s?mantec/com-securit?[response-.riteup/0spLdocid\!"""-#!#>#;-!!;>-88 ,ttp+--en/.i2ipedia/org-.i2i-IGJI7XJ6 ,ttp+--g#/glo)o/com-4oticias-1ecnologia-",,M6G##!W!98-U#W9,""&$CP7RS:G$4C$M:$1$S67:$:6S6$RIJS:DJ:5$C7BJJP/,tml ,ttp+--.../2aspers2?/com-ne.sLid\!"W;WU">M ,ttp+--googleonlinesecurit?/)logspot/com-!"#"-"M-p,is,ing-p,ree/,tmlL utm[source\*eed)urner]utm[medium\*eed]utm[campaign\5eed VM$:GoogleJnlineSecurit?Blog:V!>Google:Jnline:Securit?:BlogV!8 ,ttp+--googleonlinesecurit?/)logspot/com-!"#"-"9-rise-o*-*a2e-anti-(irus/,tmlL utm[source\*eed)urner]utm[medium\*eed]utm[campaign\5eed VM$:GoogleJnlineSecurit?Blog:V!>Google:Jnline:Securit?:BlogV!8 Pe(in Mitnic2 - QThe Art of DeceptionR , !""!, Jo,n ^ile? ] Sons

9 1odas os endereos %e# listados nas re*erncias )i)liogr*icas eram (lidos no dia #; de 5e(ereiro de !"##/