Entendendo a engenharia social

Escrito por em 28 de Fevereiro de 2010 Deixe um comentário (2) Ir para os comentários

Por que não existe patch para a ignorância humana!

Primeiramente oque vem a ser engenharia social? São práticas utilizadas para obter acesso a informações importantes ou sigilosas em organizações ou sistemas por meio da enganação ou exploração da confiança das pessoas. Para isso, o golpista pode se passar por outra pessoa, assumir outra personalidade, fingir que é um profissional de determinada área, etc. É uma forma de entrar em organizações que não necessita da força bruta ou de erros em máquinas. Explora as falhas de segurança das próprias pessoas que, quando não treinados para esses ataques, podem ser facilmente manipuladas. O ataque basicamente explora a o elo mais fraco da corrente da segurança, o ser humano.

Se utilizada para o mal, a engenharia social torna-se crime e pode ser enquadrada nos artigos 171 e 299 do Código Civil Penal. Trata-se de estelionato, com pena de reclusão de um a cinco anos, além de multa, e falsidade ideológica, com pena de reclusão de um a três anos, além de multa.

No texto abaixo extraído da pagina unsekurity (não mais online) o autor Blood_Sucker descreveu diversos métodos de como são aplicados ataque de engenharia social.

Texto: Engenharia Social escrito por Blood_Sucker.

OBS: Este documento foi feito apenas com intuito educacional, não estou incentivando ninguém a fazer isso e muito menos me responsabilizo pelo q possam fazer.

=============
Sumário
=============

1. Introdução
2. O que eh Engenharia Social
3. Engenharia Social via telefone
4. Engenharia Social via e-mail
5. Engenharia Social aliada ao Phreaking
6. Engenharia Social pessoalmente(In Person Social Engineering)
7. Considerações Finais

1. Introdução

Bem, alguns de vocês já devem ter ouvido falar disso, ou não. Este tutorial é simplesmente destinado a explicar o q eh e dar algumas dicas para não ficar com cara de bobo se te pegarem com a mão na lambuja. Como sempre eh dito, eh um tuto destinado a newbies, portanto, se você é elite ou então é do tipo de cara q assistiu o filme do mitnick e ficou dizendo “putz, olha como esse cara é amador” (coisa que já ouvi muito por ai) você não tem motivos para ler isso, já que você é profissional.

2. O que eh engenharia social?

Engenharia social é a arte de se conseguir informações seja la qual for a maneira, muitos dizem ser loucura mas coisas do tipo falsificar uma carteira de identidade, ir numa universidade dizendo ser outra pessoa só para poder ter acesso ao servidor central da mesma eh engenharia social. Engenharia social conta com qualquer tipo de coisa, sejam telefonemas, e-mails, comparecimentos, qualquer coisa… Isso tudo é usado por phreakers, hackers e crackers…Mas quem eh q nunca falsificou uma copia de RG para entrar em um show, ou numa danceteria?? não deixa de ser engenharia social… Portanto não eh “coisa de hacker” como muito babaca diz por ai. Existem grandes loucuras usadas na engenharia social, temos de concordar que não é coisa para qualquer um, exige em muitos casos, mais “esperteza” do q “conhecimento técnico”. E em caso de “esperteza”, brasileiro da show =] Bem, agora que você já sabe o que é engenharia social, darei algumas pequenas dicas caso você esteja planejando algo do tipo.

3. Engenharia Social via telefone

Irei aqui discutir métodos de engenharia social via telefone, com certeza é a maneira mais usada, mas isso não a diminui… Regras básicas neste tipo de engenharia social Pois é…você entrou numa pagina da internet que possuía informações de tal individuo que é dono de um empresa que possui algum dado q você quer, e simplesmente ligara para a empresa dizendo q é ele e que quer a senha do banco de dados deles, certo??? Com certeza isso não dará certo, pelo simples fato da coisa não ser tao simples assim, olha, nunca pense q você é o único espertinho no mundo, nem todo mundo eh idiota. Lembre-se disso. Primeiramente, isso é um exemplo vago, porque com você pretende fazer uma coisa dessas, não seria assim que você conseguiria. Antes de tudo vamos levar em consideração algumas “regras” quando c quer fazer este tipo de coisa. Estas regras não se aplicam somente neste tipo de engenharia social.

- SEMPRE USE APARELHO TELEFÔNICO PUBLICO

- NUNCA, MAS NUNCA MESMO TENTE ALGO SEM TER TODAS AS INFORMAÇÕES NECESSÁRIAS SOBRE O LOCAL,
PESSOA(S), HORÁRIO DE TRABALHO, HORÁRIO DE ALMOÇO, TUDO, ABSOLUTAMENTE TUDO.

- PROCURE SABER O Q CADA PESSOA EH NA EMPRESA

- VOCÊ NÃO PODE SER RECONHECIDO POR NINGUÉM, EU DISSE NINGUÉM.

Estas regras são mais ligadas na engenharia social via telefone…mas também se aplicam a qualquer tipo. Vou explicar agora o motivo de cada regra.
Primeiramente, já inventaram rastreador de chamadas e não foi recentemente, não pensem q é porque a telefônica esta oferecendo este serviço somente agora q ele eh um serviço novo. E meio que uma regra em empresas, conter rastreador de chamadas, e mesmo que você tenha certeza absoluta que a empresa que você esta tramando algo não tem este tipo de coisa, não use seu próprio telefone, NUNCA. Primeiro por que a telefônica tem um registro de C/S(Cliente/Servidor), ou seja, ela tem o registro completo de quem ligou pra quem, eu disse COMPLETO. Mas tem algumas maneiras de burlar isso, uma delas eh usando uma blue box…

Uma dica ai, eh logico q você não vai ligar a cobrar, e muito menos fazer aquele eskeminha de apertar o 9 como já vi muito idiota fazer e dançar. O esquema é, você liga pro lugar com o cartão e quando a pessoa atender você segura o 9 e retira o cartão, ai a ligação passa a ser a cobrar. Mas e se esta telefonista não for tão burra quanto você pensa e ao ouvir o barulho do tom do telefone ela desligar na tua cara??? ou então ela pode ter percebido e esperado você falar q eh tal pessoa para t dizer algo do tipo “O Sr. Marcos esta sentado em minha frente, como pode ser você?? hahahaha”.

Muita gente me chama de doente quando eu levo em conta este tipo de coisa, mas não existe crime perfeito. Nada é perfeito. E isso nos concluímos a cada falha q descobrimos =] Na segunda regra cito q você deve ter todas as informações necessárias e não necessárias. Tipo, cara, e com você liga falando que é o senhor X e que precisa urgentemente de um relatório e q enviara um motoboy pra pega-lo é a telefonista percebe q não é você simplesmente porque o senhor X é gago e porque você esta falando perfeitamente, ou porque o cara tem voz fina e você tem voz grossa?? pois é cara, tem q saber até os mínimos detalhes…e se o tal cara andava comendo a telefonista e você chega todo falando serio, ela vai perceber que não é você porque devido a intimidade que eles tem não era pra ele estar falando dessa maneira. Cara, são inúmeros detalhes que tem de saber, e não somente informações cadastrais. Como citado na regra 3, você tem de saber o que cada pessoa é na empresa.

Não adianta você conseguir o telefone do ramal de vendas e ligar pedindo uma informação sobre o banco de dados, não tem nada haver né cara. A quarta regra é a mais importante, nunca seja reconhecido por NINGUÉM. É claro que por telefone é muito difícil de ser reconhecido, mas não force sua voz para tentar parecer outra pessoa também, Bom cara, são milhares de técnicas usadas para engenharia social por telefone, mas com certeza estas regras aplicam-se em todas. Aqui vai uma dica, se ligam pra você e a voz é de uma mulher bem sensual, você deixaria de dar tal informação para uma donzela indefesa? hehehe, pode parecer machista, mas as pessoas agem com mais seriedade com as mulheres do que com os homens. Pois seria ótimo se você conseguisse que uma mulher ciente de tudo, liga-se por você. Mulher é mais delicada e paciente pra falar (nem sempre huhauha).

Se possível, use artifícios não ligados a empresa, isso é muito mais inteligente do que ligar dizendo ser tal pessoa e por acaso a essa que você diz ser estiver do outro lado da linha. Por exemplo, se a empresa q você esta tramando algo estiver fechando negocio com uma consultoria para configurar o servidor deles. Você pode muito bem ligar para la, dizendo trabalhar na tal consultoria, e que precisa de informações incluindo senhas. Isso funciona, é logico que você não vai pedir somente o dado especifico que você quer, por exemplo “ae, preciso da senha do root”, ninguém seria burro né cara.. Se a pessoa do outro lado da linha não cair na sua armadilha, e começar a dizer merda pra você, NÃO DISCUTA, será pior, simplesmente desligue o telefone. Outro item importante eh demonstrar seriedade, nada de risadinhas. E por ultimo, não ligue de um aparelho publico muito lotado, não deixe que as pessoas ao seu redor ouçam o que você fala. Procure sempre um orelhão vazio.

4. Engenharia Social via e-mail

Pode parecer idiotice mas com a chegada da era da internet, muita coisa passou a ser feita via e-mail, incluindo envio de dados importantíssimos. Aonde entra a engenharia social nisso? Bem, na minha opinião isso já se trata mais de hacking do que engenharia social, mas o que é que no hacking não é uma engenharia social????? busco esta resposta em todos q se consideram elites e vejo eles parados pensando e olhando seriamente para mim. Aqui aplicam-se diversas coisas, envio de e-mail como sendo outra pessoa eh a mais usada, porem e-mail anonimo pode até funcionar. Uma coisa importante eh você escrever o e-mail de uma maneira bastante seria, abusem mesmo, e pecam com urgência, digam q precisam desta informação em menos de 5 horas urgentemente se não podem perder um negocio, sei la, cabe a vocês inventarem suas próprias verdades =] O nash/fallon fez um artigo explicando como enviar um e-mail falso, só pegar la na pagina da unsek. Só para os desavisados, isso tudo aqui eh crime e gente famosa como o Marco Nunez se ferraram fazendo isso. Relembrando. As regras na seção Engenharia Social via Telefone aplicam-se aqui também ta.

5. Engenharia Social aliada ao Phreaking

Engenharia Social e phreaking, duas coisas que quando bem combinadas se saem muito bem. A melhor maneira de usar phreaking na engenharia social é grampeando telefones para conseguir informações, pode parecer um pouco além de nosso alcance, mas não é tao difícil de se fazer uma coisa dessas…Pretendo começar a escrever sobre phreaking junto ao meu amigo j00nix, bom, mas a ideia já foi dada, cabe a você usa-la ou não =]

6. Engenharia Social pessoalmente

Chegamos a maior loucura de todas, engenharia social pessoalmente, também conhecida como “in person social engineering”. Neste caso, não eh brincadeira, se você for pego cara, não a NADA que pode ser feito, a não ser CORRER. É o único jeito, pois se te pegarem, o que você vai dizer para a policia?? q era brincadeira??

Se você chegou a este ponto, com certeza não foi atoa, você já deve ter usado o método via e-mail ou telefone para conseguir tais informações. Neste caso, é muito importante ter uma carteirinha de identificação falsificada, e eh sempre aquela mesma historia, saber com quem esta lidando, e ter o que é mais importante, informações completas.

Neste caso, tente parecer o mais serio possível, mas demonstre um pouco de “estranheza”, não no sentido que vocês estão pensando, mas no sentido de tentar parecer com o tipo de pessoa q meche na área que você esta tentando fingir ser. Compliquei? Vou dar um exemplo. Temos de concordar q a maioria dos programadores ou pessoas q mechem com informática são considerados nerds ou loucos pelas outras pessoas, não digo q isso não seja verdade, mas por exemplo, já vi programador de assembly falar sozinho, ficar olhando para um lugar e começar a viajar, ter aquele olhar de bobo, até mesmo o richard stallman na palestra dele na Linux expô , teve uma hora que parou de falar, e começou a olhar pro chão assim, do nada. Ninguém entendeu. Não estou tentando dizer para parecerem imbecis, só estou tentando faze-los entender q na engenharia social devem fingir ser o q as pessoas acham q o q você esta fingindo ser “SÃO”. (q frase doida)

7. Considerações Finais

Bem, expliquei aqui beeeem resumidamente o que é a tal engenharia social. Uma coisa q esta ficando cada vez mais esquecida pelo simples fato das pessoas começarem a serem mais atentas. Praticar Engenharia Social hoje em dia, principalmente pessoalmente, é muito raro, além de muito perigoso, você tem de ter total certeza do que você ta fazendo, como sempre. Deixo aqui um pedaço do meu esforço escrevendo este texto para fins informativos. Pois somos todos newbies e temos muito a aprender. Valeu galera, Unsekurity forever. T+, Blood_Sucker! “Odiado por muitos e compreendido por poucos…”

O perigo mora ao lado…

Em casos avançados de engenharia social envolvem conhecimento em psicologia, PNL (programação neurolinguística), análise comportamental. Agora analisemos alguns casos de engenharia social:

  • O primeiro deles, um teste simples realizado pelos organizadores do congresso europeu InfoSecurity, em 2003. Eles colocaram pesquisadores com crachás no metrô de Londres, que pediam cinco minutos de atenção aos passantes. Para quem se dispusesse a responder um pequeno questionário, entregavam uma caneta simples como presente. Entre as questões pediam o nome da pessoa, a empresa onde trabalhava, o departamento e a senha de entrada no sistema. 95% dos homens e 85% das mulheres responderam de bom grado. Em 2004 a mesma pesquisa foi realizada pelos mesmos organizadores do InfoSecurity, desta vez oferecendo chocolate como prêmio pelas respostas ao questionário, e os resultados foram semelhantes.
  • O segundo caso é o do técnico em informática Stanley Rifkin, que em 1978 roubou mais de 10 milhões de dólares do banco Security Pacific sem disparar um tiro ou mesmo sem usar um computador. Ele simplesmente leu o código diário de autorização para transferências internacionais que os funcionários colavam num quadro de avisos para facilitar o acesso, ligou de um orelhão se fazendo passar por um funcionário do setor de contas internacionais, e solicitou a transferência de dez milhões e duzentos mil dólares para uma conta que ele havia aberto na Suíça, fornecendo o código que havia lido. Só foi pego porque usou o dinheiro para comprar diamantes, e não sabia nada sobre como vendê-los sem chamar a atenção.
  • E-mails falsos (scam): este é um dos tipos de ataque de engenharia social mais comuns e é usado principalmente para obter informações financeiras da pessoa, como número de conta-corrente e senha. Neste caso, o aspecto explorado é a confiança. Boa parte dos criadores desses e-mails são criminosos que desejam roubar o dinheiro presente em contas bancárias. Porém, os sistemas dos bancos são muito bem protegidos e quase que invioláveis! Como é inviável tentar burlar a seguranças dos sistemas bancários, é mais fácil ao criminoso tentar enganar as pessoas para que elas forneçam suas informações bancárias. A tática usada é a seguinte: o criminoso adquire uma lista de e-mails usados para SPAM que contém milhões de endereços, depois vai a um site de um banco muito conhecido, copia o layout da página e o salva em um site provisório, que tem a URL semelhante ao site do banco. Ataques de e-mails falsos comumente geram os famosos phisings(que ficaram para outro artigo).
  • Redes sociais: Boa parte das pessoas possui perfis e contas em redes sociais, o que facilita a engenharia social criminosa. Ao criar perfis em sites de relacionamento é preciso ter cautela com os dados ali fornecidos, pois muitas vezes eles podem ser usados para prejudicar você. Não é aconselhável colocar telefones, endereço, empresa na qual trabalha e qualquer tipo de informação pessoal em seu perfil.
  • Boatos = queda: Os boatos que circulam pela Internet podem refletir diretamente na empresa sobre a qual se fala. Um bom exemplo dessa situação é a Apple, que teve queda em suas ações depois que o boato sobre a suposta morte de Steve Jobs circulou por e-mails, blogs e fóruns. Tal método é conhecido no mercado financeiro como “pump-and-dump”.
  • Kevin mitnick: Um caso que não poderia ficar sem ser citado, ele utilizou artimanhas da engenharia social pela primeira vez nos anos 70, ao conhecer um estudante que lidava com phreaking(hacking de linhas telefônicas), ele percebeu como os phreakers agiam, fazendo-se passar por funcionários das companhias telefônicas. Começou a tentar com amigos e professores e sentiu-se motivado após notar que tinha facilidade em conseguir informações confidenciais. ele foi evoluindo sua tática até o ponto em que nenhuma empresa estava mais segura contra os seus ataques. Sua lista de ataques inclui desde telefonemas inocentes ao setor de suporte até a incorporação de funcionários importantes para conseguir informações como senhas para obter acesso a grandes sistemas de empresas. Dessa forma ele se tornou uma lenda para a população hacker ao redor do mundo.
  • Vladmir Levin: Vladmir Levin, russo, foi preso pela Interpol depois de vários meses de investigação por ter conseguido transferir 10 milhões de dólares de contas bancarias, do CitiBank.

Esses foram só alguns casos a lista de casos famosos e bastante grandes.Em ambos os casos apresentados foi explorada e ingenuidade das pessoas e falta de boas praticas de segurança.

Como se proteger dela?

  • Bom senso: A vítima deve ficar sempre bem atenta ao receber qualquer tipo de abordagem, seja por telefone, e-mail, carta ou até mesmo pessoalmente, onde um pessoa (atacante) tenta o induzir a fornecer informações confidenciais pessoais e até mesmo sobre a empresa em que trabalha.
  • Informações sensíveis: Deve-se sempre estar antenado quando lhe for solicitado informações sensíveis como, por exemplo, números de cartões de crédito, senhas e etc. por pessoas estranhas. A vítima antes de tudo deve verificar a autenticidade da ligação que esta recebendo, do crachá que o atacante apresentou e etc.
  • Solicitações pela internet: Nunca fornecer informações pessoais, de empresas e etc antes de identificar e constatar a autenticidade do pedido. Por várias vezes, vítimas recebem e-mails contendo links falsos, informações não verdadeiras ou até mesmo solicitações de cadastro em empresas fantasmas. Para não cair nestas armadilhas a vítima deve, por exemplo, entrar em contato com a instituição que lhe fez a solicitação de cadastro, como por exemplo bancos, receita federal e etc, para garantir assim uma autenticidade do pedido, nunca clicar sobre links recebidos através de spams e etc.
  • Treinamento: E vital empresas fornecerem treinamento para seus funcionários, fim de evitar a vazão de informações sobre a estrutura da empresa.O treinamento, estabelecimento da política de segurança da informação na empresa, baseia-se em educar os funcionários a sempre certificar-se de que a pessoa a quem vai fornecer as informações é realmente quem diz ser, a tomarem cuidado com o lixo pois este é uma grande fonte de informações, desconfiarem de pessoas em chats e etc. Esta política de segurança da informação da empresa deve conter dentre outros tópicos, planos e ações de segurança como, por exemplo, plano de proteção física, continuidade dos negócios, análise de riscos, ações de engenharia, plano de contingência, plano de conscientização de todos os colaboradores, mesmo os terceirizados e etc.  Basicamente tudo se resume em reeducar toda a corporação a fim de implantar uma nova cultura cem por cento abrangente, cem por cento, pois qualquer falha põe novamente a corporação em risco iminente.
  • Segurança Física: Permitir o acesso a dependências de uma organização apenas às pessoas devidamente autorizadas, bem como dispor de funcionários de segurança a fim de monitorar entrada e saída da organização.
  • Certifique-se de que a pessoa e realmente quem diz ser: sempre peça ao menos 1 confirmação verbal e ou escrita(assinada) quando for fazer algum tipo de troca de informações.
  • Fique atento para qualquer abordagem: seja via telefone, seja através de um e-mail, onde uma pessoa (em muitos casos falando em nome de uma instituição) solicita informações (principalmente confidenciais) a seu respeito. Procure não fornecer muita informação e não forneça, sob hipótese alguma, informações sensíveis, como senhas ou números de cartões de crédito. Nestes casos e nos casos em que receber mensagens, procurando lhe induzir a executar programas ou clicar em um link contido em um e-mail ou página é extremamente importante que você, antes de realizar qualquer ação, procure identificar e entrar em contato com a  Instituição envolvida, para certificar-se sobre o caso.

A melhor arma contra a engenharia social é a informação. De nada adiante as empresas usarem sistemas ultra-protegidos se seus funcionários não tiverem ciência dos golpes que podem sofrer (repare que neste caso, os golpes de engenharia social podem ocorrer não só pela Internet, mas principalmente no próprio ambiente de trabalho). No caso dos usuários domésticos, os pais devem informar a seus filhos sobre os perigos existentes e de igual forma, devem tomar cuidado quando estiverem navegando na Internet.

Fica a nota, engenharia social não só ocorre no mundo virtual, mas também no mundo real, como minha avó diz: pilantras e salafrários tem em tudo que e beco e buraco de rato.

Links e Referências:

http://www.vivaolinux.com.br/artigo/Entendendo-o-que-e-Engenharia-Social/?pagina=1
http://www.espacoacademico.com.br/043/43amsf.htm
http://pt.kioskea.net/contents/attaques/ingenierie-sociale.php3
http://www.baixaki.com.br/info/1078-cuidado-com-a-engenharia-social.htm
http://www.infowester.com/col120904.php
http://www.istf.com.br/vb/etica-e-comportamento/7101-como-se-proteger-de-engenharia-social.html
http://www.forumseguranca.org.br/artigos/engenharia-social-o-ciber-crime-sem-computador

Leitura complementar:

Cartilha da CERT sobre fraudes na internet.
ENGENHARIA SOCIAL Um Perigo Eminente.
Livro A Arte de Enganar, Autor: Kevin D. Nitnick, William L. Simon, Editora: Pearson
Livros de psicologia e PNL.

Textos Relacionados:

Segurança,
Deixe um Comentário

2 Comentários.

  1. VonNaturAustreVe via Rec6 - trackback on 28 de Fevereiro de 2010 em 17:34
  2. Bug do F1 no Internet Explorer 7 e 8 | 0fx66 - pingback on 2 de Março de 2010 em 16:08

Deixe um Comentário

Trackbacks e Pingbacks:

SEO Powered by Platinum SEO from Techblissonline