A engenharia social é a arte de enganar pessoas para obter informações confidenciais. Criminosos chamados engenheiros sociais exploram falhas humanas usando métodos como dinheiro fácil, amor ou curiosidade para persuadir vítimas a revelar informações. Engenheiros sociais analisam perfis de vítimas para traçar estratégias que exploram a ingenuidade delas.
1. ENGENHARIA SOCIAL (A ARTE DE ENGANAR)
Racy Rassilan
racy@unipacto.com.br
RESUMO
A engenharia social consiste na arte de enganar seres humanos, objetivando a obtenção de
informações sigilosas. Onde os criminosos são os engenheiros sociais que vasculham e exploram
falhas humanas. Usando-se para isso muitas vezes métodos ilusórios como: dinheiro fácil, amor,
curiosidade (e-mail dizendo que o usuário ganhou um prêmio e outros assuntos atrativos).
Conhecidos como Engenheiros Sociais, são pessoas dotadas de conhecimento amplo em
técnicas e esperteza para analisar o perfil de sua vitima, traçando-lhe uma boa estratégia para
conseguir seus objetivos através da ingenuidade das vítimas. Vemos isso acontecendo
principalmente via internet. As vítimas normalmente, pessoas comuns que não compreendem ou
não valorizam suas informações, a ponto de resguardá-las destes agentes. Caem em suas lábias.
ABSTRACT
The social engineering consists of the art of deceiving human beings, aiming at the
obtaining of secret information. Where the criminals are the social engineers that search and they
explore human flaws. Being used for that a lot of times illusory methods as: easy money, love,
curiosity (e-mail saying that the user won a prize and other attractive subjects).
Known as Social Engineers, they are people endowed with wide knowledge in techniques and
smartness to analyze the profile of yours it slays, tracing him/her a good strategy to get your
objectives through the victims' ingenuousness. We see that happening mainly he/she saw internet.
The victims usually, common people that don't understand or they don't value your information,
to the point of to protect them of these agents. They fall in your cunnings.
2. INTRODUÇÃO
A Engenharia Social é a arte de se enganar pessoas que não tem informação e ou
conhecimento suficiente para se livrarem destes ataques. Atualmente, a informação constitui um
bem de suma importância para as organizações dos mais variados segmentos. A Internet
popularizada ao longo da década de 90 permitiu a troca e disponibilidade de informações em
massa por meio da WWW (World Wide Web). Outros mecanismos de comunicação e troca de
informações, como correio eletrônico, proporciona benefícios no uso profissional e pessoal,
porém, tem quem o use para suas trapaças.
Como as informações passaram a ser digitalizadas e trafegadas de um lugar para outro pelo
mundo virtual surgiram os Engenheiros Sociais (atacantes), pessoas com muito conhecimento e
malicia nesta área com o objetivo de obter informações importantes e sigilosas. A engenharia
social explora sofisticadamente as falhas de segurança humanas, que por falta de treinamento
para esses ataques, podem ser facilmente manipuladas.
JUSTIFICATIVA
Atualmente as informações são cada vez mais valiosas e todas essas são guardadas e
manipuladas pela tecnologia da informação como computadores, redes, internet, banco de dados
estes sistemas são protegidos por senhas e manipulados por seres humanos que muitas vezes não
tem nenhum conhecimento sobre as técnicas de engenharia social e tornam-se vitimas constantes
de ataques de pessoas que exploram as falhas não dos sistemas e sim as falhas humanas.
Este artigo visa mostrar as principais técnicas usadas pela engenharia social e alguns métodos
para evitá-las. Objetiva-se diminuir a vulnerabilidade dos seres humanos a esses ataques, que se
tornaram constantes e prejudiciais às pessoas físicas e jurídicas.
Como profissionais de tecnologia temos que conhecer o máximo de seguimentos possíveis a
nossa mente, então consoante a esta afirmação devemos compreender sobre ‘engenharia social’.
Uma vez que ao fazermos softwares muitas vezes quase ‘perfeitos’ e que acabam sendo violados
por estes agentes, e os usuários colocarão a culpa em quem os criou.
3. COMPREENDENDO A ENGENHARIA SOCIAL
Segurança de sistemas computacionais, termo utilizado para qualificar os tipos de instruções
não técnicas, dá-se ênfase à interação humana. Freqüentemente envolve infelizmente a habilidade
de enganar pessoas objetivando violar procedimentos de segurança.
É importante salientar que, independente do hardware, software e plataforma utilizada, o
elemento mais vulnerável de qualquer sistema é o usuário. Uma vez que este é quem manipula as
informações muitas vezes de forma descuidosa tornado-o susceptível a ataques de engenharia
social.
O QUE A ENGENHARIA SOCIAL DEPENDE PARA OBTER SUCESSO
O sucesso da engenharia social depende diretamente do quanto sua vítima é desinformada
sobre o assunto que ela trabalhará para manipulá-lo, seu envolvimento e interesse sobre o mesmo.
Podemos dizer que administradores de sistemas, especialistas em segurança computadorizada,
técnicos e pessoas que se interessam pela computação, são os mais envolvidos em engenharia
social, tornando-se ‘hackers’ e ‘crackers’’.
Pessoas realmente envolvidas pela computação e sem informação susceptíveis são mais fáceis
de persuadir com bons argumentos. Estes, porém devem trabalhar a cabeça da vítima de forma a
não gerar desconfiança, de forma eficaz, que garantirá a confiabilidade do receptor. Basicamente,
pessoas sem conhecimento necessário da malícia informatizada, infelizmente serão facilmente
persuadidas pela engenharia social.
4. OS ATAQUES
Os ataques são sempre feitos por pessoas mal intencionadas que usa a confiança das pessoas
para obter informações sigilosas e importantes. Geralmente esses enganadores se passam por
outras pessoas ou mesmo usam nome de empresas de ‘nome’, que inspiram confiança na vítima.
Fazem-se passar por prestadores de serviço como: agente imobiliário, agente de seguros e outros.
O objetivo do ataque é sempre o mesmo obter informações custe o que custar, explorando,
sobretudo, as falhas humanas.
Para isso, esses vilões começam pela coleta de informações sobre suas vitimas, como gostos por
filme, jogos, comidas, mulheres, homens e etc. Cria-se um ambiente descontraído para a vitima
se sentir confortável com o vilão, e assim começar a falar sobre coisas que o engenheiro deseja
saber. Conseguem até tornarem-se amigos das vitimas, de tanta confiança que inspiram.
MÉTODOS MAIS UTILIZADOS
• Aproximação:
Quando o ataque não é virtual, os engenheiros se aproximam da vitima, lançando-lhe papos
que possivelmente serão de seu interesse. Objetivando é claro, conquistar sua confiança,
deixando-o à vontade, descontraída e com isso fale coisas sigilosas sem nem perceber que as
falou.
• Vírus que se espalham por e-mail:
Engenheiros Sociais com conhecimento em programação geralmente usam vírus que se
espalham via e-mail. Uma vez que o e-mail é infectado, envia uma informação para outro e-mail
este outro e-mail também ficará infectado. O vírus de e-mails geralmente tem como assunto,
conteúdos de interesse do usuário como: promoções, sexo, jogos, vídeos e etc.
Um dos exemplos mais clássicos é o vírus ‘I Love You’, este chegava ao e-mail das pessoas
usando este mesmo nome. Ao receber a mensagem, muitos pensavam que tinham um(a)
admirador(a) secreto(a) e na expectativa de descobrir quem era, clicavam no anexo e contaminam
5. o computador. Repare que neste caso, o autor explorou um assunto que mexe com qualquer
pessoa (Relacionamento Amoroso).
• E-mails falsos (scam):
Esta técnica tem sido a mais utilizada pelos criminosos de engenharia social para roubarem
senhas de banco. Uma vez que os sistemas dos bancos cada vez são mais invioláveis os clientes
se despreocupam ao usar os sistemas, tornando fácil a ação dos engenheiros sociais agirem sobre
eles. Os passos para este método primeiramente é adquirir uma lista de e-mails de grande
quantidade de clientes de um determinado banco, enviar para estes endereços informações e
promoções falsas, requisitando dados dos mesmos para participarem, estes caem no golpe
preenchendo os formulários idênticos aos originais de seu banco, mas que na verdade são falsos e
transmitirão os dados aos golpistas que o usaram em seu benefício.
• Salas de bate-papo (chats):
Nas salas de bate papo os engenheiros procuram conhecer suas futuras vítimas. Explorando-
as, descobrindo suas fraquezas sentimentais, para poder explorá-los de uma forma a não levantar
suspeitas, usando táticas como papo sobre amor, carros, esporte. Assuntos considerados em
alguns sites como perguntas secretas. Um exemplo disto é quando se faz uma conta de e-mail no
hotmail.com, onde é requisitado que se escolha uma pergunta secreta e sua respectiva resposta
como local de nascimento da mãe, o nome do primeiro carro, professor favorito e etc. Então o
engenheiro toma saber qual é a pergunta secreta do usuário e começa a perguntá-lo coisas
associadas à mesma.
6. DISTORÇÃO DE PERSONALIDADE
Normalmente o aplicador não se mostrará assim como ele é e sim por uma pessoa que agradará
de alguma forma a vítima. O aplicador se incumbirá de fazer um e-mail falso, dar nome
sugestivo, com interesse falso para agradar sua vítima. Mas não podemos descartar o fato de que
se o aplicador realmente necessitar invadir o sistema daquela pessoa, ele pode mostrar-se assim
mesmo como ele é, numa prestação de serviço. O problema é que se alguma coisa der errada a
vítima estará ciente de quem foi à última pessoa a lhe fornecer ajuda no computador. Esse é o
motivo da camuflagem de personalidade.
COMO NÃO SE TORNAR UMA DAS VITMAS
Especialistas afirmam, à medida que a sociedade torna-se cada vez mais dependente da
informação, a engenharia social tende a crescer e constituir-se numa das principais ameaças aos
sistemas de segurança das (grandes) organizações. Na era digital em qual vivemos devemos
tomar consciência dos nossos atos e para isso existem alguns passos a serem seguidos para não se
tornar uma vítima de engenharia social:
O primeiro e principal passo, é ter bom senso analisar calmamente as situações e
principalmente as novas pessoas que entram do nada em nossas vidas, muitas vezes sem motivo
algum aparente. Ficando assim bem atento a qualquer tipo de abordagem, seja ela de qual
natureza for como, e-mail, carta, ou até mesmo pessoalmente, onde uma pessoa (atacante) tenta
o induzir a fornecer informações confidenciais pessoais e até mesmo sobre a empresa em que
trabalha.
O segundo Passo ficar atento quando lhe for requisitado informações pessoais por ligação, e-
mail ou pessoalmente, como: CPF, RG, Números de Cartão de Credito. A vítima antes de tudo
7. deve verificar a autenticidade da ligação que esta recebendo, do crachá que o atacante apresentou
e etc.
O terceiro Passo Evitar clicar em link’s que direcionam para arquivos com extensões (.exe,
.com, .bat, .src), uma vez que estes são executáveis e podem fazer algo indesejável em seu
computador. Para saber isto basta deixar o mouse um tempo parado sobre o link e na barra
inferior aparecerá o endereço que aquele link o direcionará. E assim será mostrado o link mais o
nome do arquivo com a extensão do arquivo que ele ira abrir se o mesmo tiver referenciando
alguma das extensões mencionadas não clique e exclua o e-mail.
O quarto Passo este passo cabe mais a empresa, no sentido de treinar seus funcionários que
lidam com informações sigilosas. Ministrando cursos que elevem seus conhecimentos sobre
engenharia social. A fim de eliminar a vazão de informações sobre os processos realizados na
empresa, o que a prejudicará muito se acontecer.
CONCLUSÃO
Na engenharia social existe dois principais personagens o enganador e o enganado. O
enganador é o engenheiro social, que usa seus diversos métodos pra conseguir informações
sigilosas para seu benefício. Já o enganado é a vítima humana que infelizmente possui falhas
favoráveis ao enganador.
Devemos tomar consciência que no mundo em que vivemos hoje em dia, as informações se
tornaram cada vez mais valiosas. Nisso surgiram mais e mais pessoas interessadas em apoderar-
se das mesmas, para seu uso malicioso. Deve-se então protegê-las de tais pessoas mal
intencionadas, evitando passar informações, como: CPF, RG, data de nascimento, assuntos
particulares, etc. Para não ter dor de cabeça depois, com saques não autorizados, compras, e
outras fraudes em sua conta.
Precisa-se ter cuidado ate mesmo com pessoas que se pareçam sérias. Deve-se pesquisá-las e
analisa-las para poder dar um passo seguro. Sobretudo sobre informações trafegadas via internet,
torna-se necessária mais cautela, uma vez que não se tem contato diretamente com a pessoa. Agir
com a razão é a melhor maneira para não se tornar vítima da engenharia social que utiliza a
emoção como ferramenta principal de persuasão.
8. BIBLIOGRAFIA
Livro:
Engenharia Social e Segurança da Informação na Gestão Corporativa
Autor:
Mário César Pintaudi Peixoto
Livro:
A Arte de Enganar
Autor:
Kevin Mitnick
Sites:
Wikipédia, a enciclopédia livre.
http://pt.wikipedia.org/wiki/Engenharia_social