Geralmente o engenheiro social é um tipo de pessoa agradável. Ou
seja, uma pessoa educada, simpática, carismática. Mas, sobretudo criativa,
flexível e dinâmica, possuindo uma conversa bastante envolvente.
Existem várias formas de tentar abordar o assunto da Engenharia
Social. Podemos dizer que existem dois tipos de engenheiros sociais: os
“formados” e os com o chamado “notório-saber”. Apesar de utilizar
nomenclaturas, é a única maneira de distinguir uma classe da outra.
Os formados são constituídos pelos seguintes indivíduos:
a) Policiais – recebem treinamento especial na escola da policia para sua
formação como investigadores;
b) Detetives particulares - outro tipo de engenheiro que utiliza técnicas
aprendidas em sua formação e em outros casos;
c) Espiões – indivíduos altamente treinados com técnicas de investigação,
levantamento de informações, assassinato, etc.
Esses três tipos são pessoas que normalmente passam por algum
tipo de treinamento ou formação técnica especializada para executar tarefas de
investigação e da Engenharia Social. Os com chamado “notório-saber” são os
mais interessantes de serem estudados e analisados. Normalmente esses
indivíduos são frutos de nossa sociedade, com desejos e dotados de uma visão
de olhar para a situação com vários prismas distintos. Ao perguntarmos a uma
pessoa quanto é a metade de 8, normalmente ela responderia 4, mas o
Engenheiro Social vê assim a resposta [2]:
Figura 1. Como é metade de 8 para o Engenheiro Social
Normalmente uma pessoa não teria esta visão, iria diretamente para
a visão matemática da coisa, ou seja, o mais lógico. Para o Engenheiro Social o
mais ilógico às vezes pode ser a resposta mais obvia para o problema. O
individuo que retém este notório-saber é muito perigoso, pois ainda não foi
localizado, ou melhor, ainda não foi registrado, já que ele ainda não fez nada que
chamasse atenção.
O engenheiro social é acima de tudo uma pessoa curiosa e
extremamente detalhista em suas ações. O mesmo é capaz de estudar sua
possível vítima por meses, procurando detalhes mínimos e brechas que podem
levar a conseguir a informação necessária. Bibliotecas, livros, revistas, noticias de
jornal e artigos de revista, são inicialmente sua forma de coletar dados. Traçar a
trajetória de seu alvo, até conseguir um ponto do qual possa penetrar no mundo
social ou empresarial do mesmo, é o objetivo inicial do engenheiro.
Embora existam inúmeros “engenheiros sociais” espalhados pelo
mundo, exercendo propositalmente esta arte para o bem ou para o mal, assim
como pessoas que mesmo com a ausência de conhecimento prévio desta
designação já cometeram o ato de engenharia social de alguma forma
ocasionalmente em suas rotinas diárias. Dois personagens merecem destaques
relevantes no contexto da engenharia social: Frank Abagnale W. Jr e Kevin D.
Mitnick.
1.1 Suas Ferramentas
Como principais ferramentas utilizadas pelo praticante de
engenharia social têm-se:
Telefone ou VoIP (voz sobre IP) – passar-se por alguém que não é seria
um dos típicos ataques de engenharia social, como na personificação –
help-desk);
Internet (coleta de informações) – como, por exemplo, sites que
fornecem id e passwords default [17], sites clonados ou via FTP, Orkut,
registro.br, Google, dentre outros;
Intranet (acesso remoto) – algo extremamente possível de acontecer.
Como por exemplo, por acesso remoto, capturando-se o micro
determinado usuário na rede e se passando por alguém que na verdade
não é. Como sabemos, o funcionário insatisfeito é um das maiores
ameaças existentes;
E-mail (Fakemail, e-mails falsos, os famosos phishing scam);
Pessoalmente (In Person Social Engineering) – poder de persuasão,
habilidade em saber conversar, tipo de ataque mais raro. O engenheiro
social faz-se passar por alguém que na verdade não é. Adota toda uma
encenação; e como um verdadeiro artista busca manipular a vítima de
forma a ser bastante convincente no que diz. Esse tipo de ataque ganha
mais força quanto o atacante já conhece literalmente o território no qual vai
pisar, mas, sobretudo, já consigo informações que lhe conferem subsídios
para persuadir a vitima, valendo-se às vezes ate mesmo de informações
ditas como confidenciais. Alguns recursos a favor do engenheiro social
seriam: a sedução, a intimidação, a dramaticidade e a credibilidade;
Chats (bate-papo) – fazer-se passar por alguém que na verdade não é
fica muito mais fácil pelos canais de bate-papo. Além de tudo, mandar fotos
fica mais atrativo e seduz mais facilmente a conseguir informações que
desejar. Exemplos: Messenger, ICQ, IRC, etc;
Fax – Primeiramente, obter o número do faz da pessoa física ou jurídica
para que se possa começar o ataque. Seguindo praticamente os mesmos
princípios do e-mail, enviando, por exemplo, pedidos de requisição,
formulários de preenchimento, dentre outros, para posterior retorno do que
se deseja obter. Atualmente não há a necessidade propriamente dita de se
ter um aparelho de fax, pois existem os chamados internet-fax onde há
servidores exclusivos para este fim;
Cartas/correspondência – não é o meio mais moderno sem duvida, mas,
acredite, é um recurso poderoso que faz como uma das maiores vítimas as
pessoas mais velhas. Não somente idosos, mas principalmente aquelas
que têm certa resistência à tecnologia. É muito fácil hoje elaborar cartas –
documentos com logomarcas e tudo mais, dando-se a impressão de que
se trata realmente daquela origem;
Spyware – Software “espião” usado para monitorar de modo oculto as
atividades do computador de um alvo;
Mergulho no lixo (“Dumpster Diving”) – varias coisas que são
descartadas para o lixo muitas vezes contêm informações essenciais ao
suposto engenheiro social;
Surfar sobre os ombros (“Shoulders Surfing”) – é o ato de observar
uma pessoa digitando no teclado do computador para descobrir e roubar
sua senha ou outras informações de usuário.
P2P (Peer-to-Peer) – tecnologia empregada para estabelecer
comunicação entre inúmeros computadores, como uma rede, onde cada
estação possui capacidades e responsabilidades equivalentes. Algumas
aplicações já conhecidas como o E-Mule e KaZaa, são exemplos reais de
como pode-se executar engenharia social, devido a alguns recursos por
eles oferecidos, como envio de mensagens, demonstrações de IP’s ou
nome, enfim, a comunicação propriamente estabelecida já pode ser um
fator favorável ao Engenheiro Social.
1.2 A PNL ou Programação Neurolingüística na Engenharia Social
A PNL poderia ser definida como: “Um conjunto de técnicas que
ensinam a entender os processos internos das pessoas através da identificação
dos padrões de linguagem verbal e extra-verbal”. Falar de PNL é falar de uma
técnica de estudo que permite conhecer maneirismos e através dos mesmos
entender como uma pessoa “funciona”, ou melhor, como seus processos mentais
funcionam, trazendo à tona as nuances de seu raciocínio.
A PNL vem das mãos de Richard Bandler e John Grinder, que na
década de 70 começaram a estudar comportamentos apresentados por famosos
terapeutas em trabalhos sobre a analise de casos psicológicos. Esses trabalhos
mostraram que as pessoas possuem padrões pessoais de comportamento
similares e que através disso poderia descobrir-se a linguagem oculta das
pessoas.
Os dois iniciaram então um trabalho de copiar comportamentos não
verbais de pacientes, com o intuito de desenvolver o que se chamou de
“linguagem de mudança”. Com um grupo de terapia Gestalt, Bandler conduziu os
estudos imitando a forma de se apresentar o fundador do gestaltismo, o alemão
Fritz Perls. Deixou a barba crescer, começou a fumar e a imitar o sotaque do Dr.
Fritz. Em pouco tempo eles começaram a ignorar comportamentos básicos de
Bandler e conseguiram enxergar a essência da filosofia, sem ver outros detalhes.
Essa imitação deu início a outros “estudos” comportamentais e logo
eles estavam trabalhando o que se chamou de modelagem comportamental
humana. Uma das grandes descobertas foi a experiência de quando começaram
a estudar indivíduos com diversas dificuldades. As observações feitas a pessoas
com diversos tipos de fobia que as mesmas tinham a tendência de se comportar
como se estivessem passando por uma experiência fóbica naquele instante.
Começaram então a notar que as pessoas que se livraram de seus
medos os tratavam como se já estivessem passado por aquela experiência, ou
melhor, como se a mesma estivesse sendo passada por outra pessoa. Ao
observarem isto os dois pesquisadores começaram um trabalho de tentar fazer
com que as pessoas fóbicas tivessem o comportamento similar às não-fobicas.
Surpreendentemente as mesmas quase que imediatamente cessaram os seus
medos.
Nesse momento a base fundamental da PNL foi a descoberta: e
acordo com a forma de pensar de um indivíduo, as diferenças sobre a vivencia de
uma situação totalmente distintas.
O Engenheiro Social pode utilizar a PNL como elemento de ganho
de confiança do seu alvo, tentando recriar seus maneirismos e assim causar uma
impressão muito boa em seu alvo. Ou seja, reproduzir a maneira como ele pensa,
se comporta e de como é visto em seu meio é um dos passos para o sucesso da
exploração pessoal.
1.3 A Arte do Engenheiro Social e Suas Técnicas
As artimanhas utilizadas por um engenheiro social estão em
constante evolução. Procuram sempre buscar algo inovador, diferente do
tradicional, para conseguir atingir seus objetivos. Mas mesmo perante tais
transformações e mudanças no segmento da arte de enganar, modificando ou
incrementando seus ataques, o engenheiro social utiliza-se sempre de alguns
aspectos clássicos de ataque.
1.3.1 Informações Inofensivas x Valiosas
Você sabe quando as informações não são inofensivas? Pergunta difícil de ser
respondida partindo-se do ponto de vista “funcionário despreparado”. Como um
jogo de quebra-cabeça, as informações são postas como “pedaços” importantes,
que se juntando aos outros “pedaços” formarão o resultado final do que se
espera. Assim, informações que parecem ser irrelevantes ou tampouco
consideradas como importantes, quando juntadas a outras também assim
consideradas tomam forma diferente daquilo que imaginávamos ser inofensivo. E
passa a ser a chave que o engenheiro social precisava para abrir o “reino
encantado” e ter acesso a informações que até então eram confidenciais. O
funcionário deve pensar antes se realmente aquilo que lhe foi pedido é inofensivo
ou não.
Vale a seguinte regra: Não dê nenhuma informação pessoal ou
interna da empresa, nem identificadores para ninguém, a menos que a sua voz
seja conhecida e o solicitante tenha necessidade de saber a informação.
Segundo Kevin Mitnick: “Como dia o ditado: até mesmo os
verdadeiros paranóicos provavelmente têm inimigos. Devemos assumir que cada
empresa também tem os seus – os atacantes que visam a infra-estrutura da rede
para comprometer os segredos da empresa. Não acabe sendo uma estatística
nos crimes de computadores; está mais do que na hora de armazenar as defesas
necessárias implementando controles adequados por meio de políticas de
segurança e procedimentos bem planejados.” [3]
Portanto, neuroses e paranóias a parte, nunca é demais prevenir,
educar e estar cada vez mais atento, pois aquelas informações que você acha
que são inofensivas podem ser a chaves para os segredos mais valiosos que a
empresa guarda.
1.4 Criando a Confiança
Pode parecer estranho acreditar que praticamente todas as pessoas
estão sujeitas a serem enganadas a qualquer momento em qualquer lugar.
Segurança parece estar muito próximo da confiança, o que realmente é uma
verdade. Segundo Yamagishi, “a confiança generalizada é a expectativa básica
de um comportamento não-explorador da contraparte até prova em contrário.” [4]
Confiança não é transitiva: Eu confio em Maria, e Maria confia em
João – isso não significa que eu confio em João.
Por exemplo, Maria pode acessar dados secretos para o seu
trabalho; então ela pode copiá-los para a sua área e dar a João acesso a eles!
Agora João tem acesso a dados secretos (uma cópia deles pelo menos!).
O problema, porém, foi causado por Maria, que era a depositária da
nossa confiança, e “nos traiu”. Será desejável que este tipo de vazamento
pudesse ser contido. [4]
O que o engenheiro social faz é simplesmente adquirir esta
confiança primeiro para que, depois de reforçado o “vínculo” de amizade criado,
possa então atacar e conseguir as informações. Ele prepara toda a teia de
situações que podem vir a ocorrer, como questionamentos e perguntas das quais
ele possa ter que responder no ato, sem gaguejar ou demonstrar insegurança, a
ponto da vítima não ter motivo de desconfiar de algo estranho nessa conversa.
Quando as pessoas não têm um determinado motivo para suspeitar,
o engenheiro social ganha a confiança mais facilmente. O habito de aprendermos
a nos educar cada vez mais observar, pensar e questionar a autoridade que
aparenta ser no momento é de fundamental importância para ao menos dificultar
a entrega de informações preciosas, ou até mesmo de informações que achamos
não ser importantes serem compartilhadas.
O cuidado que se deve tomar vale para todos os aspectos e
situações inerentes ao tipo de atacante que venha a nos persuadir. Quando
éramos crianças, nossos pais nos ensinavam a não confiar em estranhos. Talvez
devessem adotar esse antigo principio no ambiente de trabalho.
1.5 Simplesmente Pedindo
Considerada literalmente a técnica mais simples de se conseguir
informação. Quando você tem alguma duvida o quer saber alguma informação, o
que você faz naturalmente é pedir. Então nada mais prático do que simplesmente
solicitar o pedido da informação interessada para a suposta vítima.
Sem duvida alguma o engenheiro social tem truques fabulosos a ponto de
conseguir absorver da mais simples à suposta impossível fonte de informações
que uma determinada empresa guarda. Mas pode acreditar que este simples e
direto ataque as informações funciona.
Primeiramente o engenheiro social deve sim ter ao menos
conhecimento de alguns jargões comumente utilizados naquele ambiente onde se
fará o ataque. O saber da linguagem de uma empresa e de sua estrutura
corporativa, bem como os departamentos ali existentes e suas funções, fazem
parte da bagagem essencial de truques que um engenheiro social bem sucedido
deve ser consigo.
Após ter em mãos tais conhecimentos, fica ainda mais fácil ter a
confiança da pessoa que disponibilizará a informação. Segundo Kevin Mitnick em
sua entrevista aqui no Brasil para a Information Week Brasil, existem seis
características do comportamento humano que podem ser exploradas pelo
engenheiro social, das quais duas são destaque neste contexto da técnica do
“simplesmente pedindo”: a autoridade e o medo.
Autoridade, devido o que fora mencionado antes com relação à
credibilidade. Ou seja, após ter conhecimento suficiente para demonstrar que
sabe do que esta falando além da confiança de quem está falando (na mesma
linguagem transposta aos jargões comuns utilizados) e, sobretudo, aonde quer
chegar, manipulando de forma segura e convicta, faz com que a vítima seja quase
que sufocada a dispor a informação requisitada. Levando-se em conta também o
fator conseqüente da outra característica do comportamento humano: o medo.
1.6 Posso Ajudar?
Dispondo-se desta técnica do “posso ajudar?” o atacante
(engenheiro social) com sua habilidade nata de persuasão consegue criar um
problema para você. E aproveitando desse eventual problema criado, o
engenheiro social, passa a ser definitivamente a solução exata destes seus
problemas. Ai é onde mora o perigo. Um dos pratos prediletos do engenheiro
social é justamente conseguir as informações partindo da gratidão imposta pelo
favor executado por ele.
“O atacante cria uma teia para convencer o alvo de que ele tem um
problema que na verdade não existe – ou, como neste caso, de um problema que
ainda não aconteceu, mas que o atacante sabe que acontecerá porque ele vai
causá-lo. Em seguida, ele se apresenta como a pessoa que pode fornecer a
solução” [3].
Esse tipo de ataque, ou esta técnica utilizada, conhecida como
engenharia social inversa, é extremamente poderoso. Pois parte-se da premissa
de que o engenheiro social tem absoluta credibilidade para conseguir as
informações que deseja.
Portanto caso alguém venha lhe fazer um favor e mais tarde vier
pedir outro em troca, não vá imediatamente retribuir, sem ao menos pensar
cuidadosamente as conseqüências daquilo que lhe pediu, possa vir a trazer no
presente momento, ou futuramente transtornos às vezes irreparáveis.
1.7 Você pode me ajudar?
Parecido com a técnica do “simplesmente pedindo”, pois se baseia
no fato de estar também solicitando um pedido de informação. Uma das
diferenças é a questão da utilização da dramaticidade juntamente com a
humildade pela qual o atacante (engenheiro social) faz o pedido.
Sem dúvida, um dos métodos mais poderosos utilizados pelos
engenheiros sociais é o golpe simples de fingir que precisa de ajuda. Levando-se
em conta que o funcionário novo ou velho de casa vendo a necessidade simplória
de poder ajudar um “companheiro de trabalho”, que acabara de requisitar uma
informação, não hesitara em cooperar e assim fornecer o que deseja.
Deve-se então ficar atento que no ensejo desta boa vontade de
poder ajudar o próximo, fica a grande chance de o engenheiro social poder
explorar esse tipo de vulnerabilidade, aproveitando assim essa disposição de
ajudar, para então conseguir atingir seu objetivo.
0 comentários:
Postar um comentário
ORA VIVA, OLHA TEU COMENTARIO VALE MAIS DO QUE OURO PARA MIM, PRECISO DELE PARA MELHORAR A DISPONIBILIDADE DO BLOG.