INSTITUTO FEDERAL DE EDUCAO CINCIA E TECNOLOGIA DE SO PAULO CAMPUS BRAGANA PAULISTA

TRABALHO 2 - SEGURANA E AUDITORIA DE SISTEMAS ENGENHARIA SOCIAL

CURSO DE ANLISE E DESENVOLVIMENTO DE SISTEMAS Bragana Paulista novembro de 2013

Sumario
1 - Introduo ________________________________________________________ 4 2 - Engenharia Social __________________________________________________ 4

2.1 - Exemplos de Engenharia Social ___________________________________ 6 3 - O Poder da Persuaso _______________________________________________ 7 4 - Evitando ataques de Engenharia Social _________________________________ 9 4.1 - Segurana da conexo e criptografia _______________________________ 9 4.2 - Sites e certificados digitais _______________________________________ 10 4.3 - Bom senso e ateno aos detalhes _________________________________ 10 4.4 - Uso de senhas fortes ____________________________________________ 10 5 Kevin Mitnick _____________________________________________________ 11 5.1 - Priso ________________________________________________________ 11 5.2 Fugitivo ______________________________________________________ 11 5.3 Armadilha ___________________________________________________ 12 6 - Golpes ___________________________________________________________ 13 6.1 - Primeiros alvos ao telefone ______________________________________ 13 6.2 - Falar a mesma lngua ___________________________________________ 13 6.3 - Msicas de espera ______________________________________________ 14 6.4 - Telefones falsos ________________________________________________ 14 6.5 - Notcias e SPAMs ______________________________________________ 14 6.6 - Redes sociais __________________________________________________ 15 6.7 - Erros de digitao _____________________________________________ 15 6.8 - Boatos = queda ________________________________________________ 15 6.9 - Somos da equipe de suporte da Microsoft queremos ajudar ("This is Microsoft support we want to help") _________________________________ 16 6.10 - Faa uma doao para ajudar as vtimas do (alguma tragdia)! ("Donate to the hurricane recovery efforts!"). __________________________ 16 6.11 - Sobre sua inscrio para a vaga de emprego... ("About your job application...") ____________________________________________________ 17

6.12 - @pessoanoTwitter, o que voc pensa sobre o que a Dilma disse sobre #desemprego? http://shar.es/HNGAt ("@Twitterguy, what do you think about what Obama said on #cybersecurity? http://shar.es/HNGAt") _____________ 18 6.13 - Saiba como ter mais seguidores no Twitter! ("Get more Twitter followers!") _______________________________________________________ 19 7 - A Nova Profisso __________________________________________________ 20 8 - Prejuzos _________________________________________________________ 21 9 - Concluso ________________________________________________________ 22 10 Referncias ______________________________________________________ 22

Engenharia Social

1 - Introduo
O termo Sociedade da Informao designa o contexto atual no qual vivemos. A informao e o conhecimento so peas chaves para entendermos o andamento e as transformaes no mundo de hoje. Cada vez mais as inovaes tecnolgicas nos apresentam um mundo no qual o entendimento entre o tempo e o espao recriado a cada nova experincia. A crescente demanda de informaes afeta tanto a sociedade, a economia, as relaes de trabalho e o prprio indivduo em suas relaes. Desta forma, considerando a importncia e o quanto isto influncia em todos os meios, evidente a crescente valorizao da informao, causando, para quem a possui, a preocupao em mant-la segura, e para quem a quer, o incentivo para obt-la. Com tudo isso, nota-se que na busca por informaes importantes, capazes de levar a algum ganho pessoal ou organizacional, os hackers utilizam tcnica persuasiva na tentativa de alcanar o xito, explorando, na maioria das vezes, o elo mais fraco da gesto da informao, o ser humano, sendo esta a essncia que caracteriza a Engenharia Social. Seguindo essa linha de raciocnio, este trabalho, atravs da abordagem de conceitos pesquisados, expe as definies do termo Engenharia Social, alguns exemplos de como ela pode ser aplicada, em que contexto ela causa maiores estragos e a necessidade da adoo de medidas preventivas de proteo e preservao do capital intelectual das organizaes, investindo na capacitao e no treinamento dos recursos humanos, visando, principalmente, precaver-se da ao dos invasores virtuais, hackers e engenheiros sociais. O trabalho traz, tambm, algumas conjecturas sobre o poder da persuaso, capacidade intrnseca ao bom Engenheiro Social.

2 A Engenharia Social
Engenharia social termo utilizado para descrever um mtodo de ataque, onde algum faz uso da persuaso, muitas vezes abusando da ingenuidade ou confiana do

usurio, para obter informaes que podem ser utilizadas para ter acesso no autorizado a computadores ou informaes. A engenharia social um dos meios mais utilizados de obteno de informaes sigilosas e importantes. Isso porque explora com muita sofisticao as "falhas de segurana dos humanos". As empresas investem fortunas em tecnologias de segurana de informaes e protegem fisicamente seus sistemas, mas a maioria no possui mtodos que protejam seus funcionrios das armadilhas de engenharia social. A questo se torna mais sria quando usurios domsticos e que no trabalham com informtica so envolvidos. Outra definio possvel : Engenharia Social qualquer mtodo usado para enganao ou explorao da confiana das pessoas para a obteno de informaes sigilosas e importantes. Para isso, o engenheiro social pode se passar por outra pessoa, assumir outra personalidade, fingir que um profissional de determinada rea, etc. Os ataques de engenharia social so muito frequentes, no s na Internet, mas no dia-adia das pessoas. Engenharia social compreende a inaptido dos indivduos manterem-se atualizados com diversas questes pertinentes a tecnologia da informao, alm de no estarem conscientes do valor da informao que eles possuem e, portanto, no terem preocupao em proteger essa informao conscientemente. importante salientar que, a engenharia social aplicada em diversos setores da segurana da informao independente de sistemas computacionais, software e plataforma utilizada, o elemento mais vulnervel de qualquer sistema de segurana da informao o ser humano, o qual possui traos comportamentais e psicolgicos que o torna susceptvel a ataques de engenharia social. Dentre essas caractersticas, pode-se destacar: Vaidade pessoal e/ou profissional: O ser humano costuma ser mais receptivo a avaliaes positivas e favorveis aos seus objetivos, aceitando com mias facilidade argumentos favorveis a sua avaliao pessoal ou profissional ligada diretamente ao benefcio prprio ou coletivo de forma demonstrativa. Autoconfiana: O ser humano busca transmitir em dilogos individuais ou coletivos o ato de fazer algo bem, coletivamente ou individualmente, buscando transmitir segurana, conhecimento e eficincia, buscando criar uma estrutura

base para o incio de uma comunicao ou ao favorvel a uma organizao ou individuo. Formao profissional: O ser humano busca valorizar sua formao e suas habilidades adquiridas nesta faculdade, buscando o controle em uma comunicao, execuo ou apresentao seja ela profissional ou pessoal buscando o reconhecimento pessoal inconscientemente em primeiro plano. Vontade de ser til: O ser humano, comumente, procura agir com cortesia, bem como ajudar outros quando necessrio. Vontade de ser til: O ser humano costuma se agradar e sentir-se bem quando elogiado, ficando mais vulnervel e aberto a dar informaes. Propagao de responsabilidade: Trata-se da situao na qual o ser humano considera que ele no o nico responsvel por um conjunto de atividades. Persuaso: Compreende quase uma arte a capacidade de persuadir pessoas, onde se busca obter respostas especficas. Isto possvel porque as pessoas possuem caractersticas comportamentais que as tornam vulnerveis a manipulao.

2.1 - Exemplos de Engenharia Social.

Os dois primeiros exemplos apresentam casos onde foram utilizadas mensagens de e-mail. O ltimo exemplo apresenta um ataque realizado por telefone. Exemplo 1: voc recebe uma mensagem e-mail, onde o remetente o gerente ou algum em nome do departamento de suporte do seu banco. Na mensagem ele diz que o servio de internet Banking est apresentando algum problema e que tal problema pode ser corrigido se voc executar o aplicativo que est anexado mensagem. A execuo deste aplicativo apresenta uma tela anloga quela que voc utiliza para ter acesso a conta bancria, aguardando que voc digite sua senha. Na verdade, este aplicativo est preparado para furtar sua senha de acesso a conta bancria e envi-la para o atacante.

Exemplo 2: voc recebe uma mensagem de e-mail, dizendo que seu computador est infectado por um vrus. A mensagem sugere que voc instale uma ferramenta disponvel em um site da internet, para eliminar o vrus de seu computador. A real

funo desta ferramenta no eliminar um vrus, mas sim permitir que algum tenha acesso ao seu computador e a todos os dados nele armazenados. Exemplo 3: algum desconhecido liga para a sua casa e diz ser do suporte tcnico do seu provedor. Nesta ligao ele diz que sua conexo com a internet est apresentando algum problema e, ento, pede sua senha para corrigi-lo. Caso voc entregue sua senha, este suposto tcnico poder realizar uma infinidade de atividades maliciosas, utilizando a sua conta de acesso a internet e, portanto, relacionando tais atividades ao seu nome. Estes casos mostram ataques tpicos de engenharia social, pois os discursos apresentados nos exemplos procuram induzir o usurio a realizar alguma tarefa e o sucesso do ataque depende nica e exclusivamente da deciso do usurio em fornecer informaes sensveis ou executar programas.

3 - O Poder da Persuaso
Todos ns conhecemos ou j ouvimos relatos sobre pessoas que se destacam por conseguirem, surpreendentemente, tudo o que desejam. So aquelas pessoas para as quais tudo parece sempre dar certo. E o mais estranho que, em muitos casos, elas nem parecem ser to competentes, inteligentes ou trabalhadoras, mas esto sempre alcanando seus propsitos. Se observarmos um pouco mais atentamente a conduta de vida dessas pessoas, talvez possamos identificar nelas uma incrvel capacidade, muitas vezes natural, inata, de falar aquilo que deve ser dito, da maneira mais agradvel, no momento oportuno e para a pessoa certa. Essa capacidade conquista pessoas, constri relacionamentos e permite que o comunicador influencie o ouvinte, que passa a respeit-lo, admir-lo e at apoi-lo na consecuo dos seus objetivos. Essa capacidade denominada persuaso e representa a principal ferramenta de ataque dos engenheiros sociais na maioria das situaes. A persuaso pode ser definida como uma estratgia de comunicao que consiste em utilizar recursos lgico-racionais ou simblicos para induzir algum a aceitar uma ideia, uma atitude, ou realizar uma ao, ou ainda, o emprego de

argumentos, legtimos ou no, com o propsito de conseguir que outro(s) indivduo(s) adote(m) certa(s) linha(s) de conduta, teoria(s) ou crena(s). Pode-se entender que o engenheiro social far uso de todo seu poder de argumentao, consciente ou intuitivamente, para convencer a lhe franquear o acesso s informaes que ele deseja. Se houver competncia tcnica por parte do invasor, ele far, provavelmente, uma anlise da personalidade do seu alvo, estudando o seu comportamento e verificando se se trata de uma pessoa que pensa nos argumentos apresentados ou age impulsivamente. Isso lhe permitir adotar a atitude mais convincente. O destaque fica por conta de trs dos elementos constitutivos da persuaso: o comunicador, a mensagem e a audincia. Vejamos algumas consideraes bsicas sobre cada um desses elementos: o comunicador ao bom comunicador (comunicador persuasivo) so atribudas as qualidades da credibilidade, decorrente da sua especializao e fidedignidade, e da atratividade ou simpatia, fruto de atrao fsica ou de similaridade (semelhana como destinatrio da mensagem transmitida). Falar rapidamente, com convico e encarando o alvo pode ajudar na persuaso. a mensagem ao contedo da mensagem, atribudo maior ou menor poder de influncia quando se associa os aspectos racionalidade e/ou emotividade da mensagem ao tipo de assistncia a que ela dirigida. Pessoas instrudas reagem mais aos apelos racionais do que pessoas menos instrudas. Da mesma forma, ainda demonstra que mensagens associadas a bons sentimentos so mais persuasivas. a audincia so trs os determinantes que definem o tipo de plateia a qual nos dirigimos: a idade, o sexo e a inteligncia. E cada um deles condiciona, de forma especfica, a receptividade e a reao da plateia.

Dessa forma, possvel inferir que a persuaso resultado dinmico de uma atividade de comunicao interpessoal e que a capacidade de persuadir pode ser desenvolvida mediante a observncia e a adoo de certas tcnicas, algumas delas bem definidas pela psicologia social, como as acima enumeradas.

De um ponto de vista um pouco mais abrangente podemos entender que a comunicao um processo transacional, contnuo e colaborador de troca, transmisso ou transferncia de dados, informaes e/ou conhecimentos, que se constitui em necessidade bsica da humanidade. O ser humano, por se tratar de um ser social, precisa estabelecer relacionamentos e, para isso, utiliza-se desse processo. Logo, se a comunicao uma necessidade do ser humano e a persuaso decorre da capacidade do locutor de usar a comunicao para influenciar ou convencer seus ouvintes, ento so caractersticas importantes de uma comunicao eficiente, a flexibilidade do comunicador, o bom aproveitamento das circunstncias, ou em outras palavras o oportunismo, e a habilidade de se relacionar. No processo de comunicao nem sempre o que se transmite o percebido pelo receptor, e isso se deve a estrutura de percepo do mesmo. O processo perceptivo sofre influncia direta de aspectos fisiolgicos, culturais e comportamentais, que frequentemente conduzem a erros de percepo. E so justamente os aspectos culturais e comportamentais que o Engenheiro Social procurar manipular para atingir seu intento de conduzir as aes do seu alvo, a fim de obter livre acesso s informaes desejadas.

4 - Evitando ataques de Engenharia Social

4.1 - Segurana da conexo e criptografia.

Um comportamento simples, mas eficiente no combate Engenharia Social a ateno a segurana da conexo e o no envio de dados sigilosos em uma conexo insegura. Uma conexo criptografada impede que um terceiro obtenha dados de uma vtima e use-os contra ela em um posterior ataque de Engenharia Social. Para auxiliar o usurio a maioria dos navegadores atuais mostra se a conexo criptografada e, caso positivo, o tipo da criptografia empregado. Tambm recomendado o uso de protocolos

seguros no referente ao acesso remoto, como por exemplo o uso do SSH em detrimento do TELNET, uma vez que esse ltimo no garante por padro a segurana da conexo.

4.2 - Sites e certificados digitais.

Entidades certificadoras so instituies responsveis pela emisso de certificados digitais que identificam sites na Internet e seus respectivos proprietrios. Ao assinar digitalmente os certificados que emite, a entidade certificadora relaciona a identidade do portador do certificado, e portanto da chave privada, chave pblica existente no certificado. A maioria dos navegadores exibem se a pgina visitada possui um certificado digital vlido, caso no possua, o site provavelmente uma fraude.

4.3 - Bom senso e ateno aos detalhes.

Em grande parte dos ataques de Engenharia Social ocorrem erros de escrita. Isto devido ao emprego de tradutores para passar a mensagem de sua lngua original para outras. Alm disso outros detalhes podem expor um ataque: o domnio de um site, dados conflitantes na mensagem, entre outros. Conferindo as informaes recebidas e no acreditando em tudo a primeira vista, o usurio consegue escapar de diversos ataques de Engenharia Social.

4.4 - Uso de senhas fortes.

Jamais use senhas constitudas de informaes pessoais que possam ser descobertas por um engenheiro social. Nmeros de CPF ou RG, datas de aniversrio, nomes de amigos ou familiares, endereos, o nome de um time de futebol e o prprio login so exemplos de senhas que um atacante descobrir rapidamente. Prefira senhas extensas, com letras em caixa-alta e baixa, nmeros e caracteres especiais.

5 Kevin Mitnick.
Kevin David Mitnick (Van Nuys, Califrnia, 6 de agosto de 1963) foi um cracker norte americano, conhecido mundialmente a partir dos anos 90. Atualmente trabalha como gerente de uma empresa de segurana. Kevin Mitnick cometeu os primeiros delitos em 1990, quando invadiu vrios computadores, dentre os quais estavam computadores de operadora de celulares, de empresas de tecnologia e provedores de internet. Foi preso em 1995 e libertado em 2000. Mitnick ficou trs anos em liberdade condicional, sem poder conectar-se internet. Hoje trabalha como consultor de segurana na Web. Sua histria comea na adolescncia em Los Angeles, durante os anos 70, quando invadiu o computador da sua escola e alterou algumas notas. Pouco tempo depois, passou a interessar-se pela pirataria de sistemas telefnicos. Para isso, chegou a invadir as instalaes da Pacific Bell para furtar manuais tcnicos. Entretanto, como ele tinha apenas 17 anos, acabou no sendo condenado.

5.1 Priso.
A persistncia em invadir sistemas o levou priso pela primeira vez aos 32 anos de idade, quando ele foi condenado a um ano de priso por invaso de sistema e furto de software da DEC. Quando ele saiu da priso, seu telefone passou a ser monitorado, assim como suas atividades. Haydan S.A foi o hacker que ajudou Kevin a atualizar-se sobre os conceitos de informtica atuais.

5.2 Fugitivo.
Sem autorizao, Kevin viajou a Israel para encontrar amigos crackers, violando sua condicional. Como a polcia suspeitava que ele continuasse invadindo sistemas, Mitnick resolveu desaparecer. Para isso, utilizou uma identidade falsa. Ento, como fugitivo da polcia sua atividade cracker continuou cada vez mais intensa. Invases em sistemas de telefonia celular e furto online de softwares foram atribudos a Mitnick, aumentando o interesse pela sua captura.

5.3 Armadilha.
Em 1994, Tsutomu Shimomura era um grande especialista em segurana do Centro Nacional de Supercomputaco em San Diego, Califrnia. Durante suas frias, seu computador pessoal - que estava conectado via Internet com aquele centro - fora invadido. Alm disso, em 27 de dezembro daquele ano, uma pessoa deixou uma mensagem na caixa postal do telefone de Shimomura. Tsutomu Shimomura, com sua reputao tcnica abalada, preparou uma armadilha para Mitnick. Em primeiro lugar, colocou a mensagem da secretria eletrnica na Internet, tornado-a pblica. Ele imaginou que, dessa forma, Kevin entraria novamente em contato. Algum tempo depois, uma outra mensagem atribuda a Mitnick foi deixada na caixa postal de Tsutomu Shimomura. Ela dizia mais ou menos o seguinte: "Ah Tsutomu, meu discpulo aprendiz. Voc ps minha voz na Internet. Estou muito desgostoso com isso". Com o FBI acionado e com a colaborao da National Security Agency, o computador de Shimomura passou a ser monitorado 24 horas por dia em busca de qualquer indcio de invaso na tentativa de pegar Mitnick. Da mesma forma, o seu telefone passou a ser rastreado. Algum tempo depois, outra mensagem atribuda a Mitnick foi deixada na caixa postal de Shimomura. Essa ligao foi rastreada e em 15 de fevereiro de 1995, as autoridades com a colaborao de tcnicos da Sprint Cellular concluram que o suspeito estava operando na Carolina do Norte. Com scanners de frequncia, eles verificaram um sinal suspeito vindo de um edifcio de apartamentos em Players Court. Com uma ordem judicial, Kevin foi finalmente preso. Liberdade longe dos computadores - aps cinco anos preso, Kevin Mitnick foi libertado em 2000 com a condio de manter-se longe de computadores, celulares e telefones portteis pelo perodo de trs anos.

Atualmente, passado o perodo em que deveria manter-se longe dos computadores, Kevin Mitnick escreve livros e artigos sobre segurana de informaes, profere palestras em diversos pases e trabalha como consultor em segurana de sistemas.

6 - Golpes
6.1 - Primeiros alvos ao telefone.
Engenheiros sociais que utilizam o telefone para obter informaes possuem como objetivo ou passar-se por algum funcionrio e colega de trabalho, ou algum tipo de autoridade externa, como auditor por exemplo. Os primeiros alvos so secretrias, recepcionistas e seguranas, pois esses funcionrios esto sempre em contato (direto ou indireto) com as pessoas que detm cargos de poder dentro da empresa, os verdadeiros alvos. Assim, atravs de pessoas mais acessveis e com cargos menores possvel obter informaes sobre aquelas mais bem posicionadas na hierarquia.

6.2 - Falar a mesma lngua.

Cada corporao possui sua prpria linguagem e expresses que so usadas pelos funcionrios. A engenharia social criminosa estuda tal linguagem para tirar o mximo proveito disso. O motivo simples: se algum fala com voc utilizando uma linguagem que se reconhea mais simples sentir-se seguro e a facilitar, falando o que o golpista quer ouvir.

6.3 - Msicas de espera.

Ataques bem-sucedidos exigem pacincia, tempo e persistncia. Uma abordagem que est sendo muito utilizada utilizar a msica que as empresas utilizam para deixar as pessoas esperando ao telefone. Ao ouvi a msica qual est habituado, o funcionrio conclui que quem est do outro lado da linha realmente trabalha na mesma corporao que ele e acaba facilitando e fornecendo todas as informaes solicitadas.

6.4 - Telefones falsos.

Uma nova tcnica est sendo usada pela engenharia social criminosa para burlar o sistema de identificador de chamada das empresas. o chamado spoofing do nmero telefnico, que faz com que o identificador de chamadas mostre um nmero diferente daquele que realmente originou a ligao.

6.5 - Notcias e SPAMs.

Este um dos ataques mais comuns e utilizado principalmente para obter dados bancrios e financeiros das pessoas, como nmero de conta, senha, nmero do carto de crdito, etc. Os assuntos dos e-mails normalmente so pertinentes a notcias divulgadas na mdia, seja pelo jornal, televiso, rdio ou Internet. A maioria dos textos contm um link que encaminha o usurio para uma pgina falsa de banco, contas de e-mail, sites de relacionamento, etc. Ao entrar com os dados

solicitados, o usurio est, na verdade, enviando o login e a senha para o criminoso sem perceber.

6.6 - Redes sociais.

Boa parte das pessoas possui perfis e contas em redes sociais, o que facilita a engenharia social criminosa. Ao criar perfis em sites de relacionamento preciso ter cautela com os dados ali fornecidos, pois muitas vezes eles podem ser usados para prejudicar voc. No aconselhvel colocar telefones, endereo, empresa na qual trabalha e qualquer tipo de informao pessoal em seu perfil.

6.7 - Erros de digitao.

Pessoas que praticam a engenharia social criminosa se aproveitam de qualquer deslize dos usurios para tirar informaes. Uma das novas tcnicas empregadas aproveitar-se dos erros de digitao cometidos. Sites falsos so criados com endereos muito semelhantes aos do site original, mas estes sites falsos, como so conhecidos, na verdade enviam os dados digitados diretamente para a mo dos criminosos., o conhecemos por phishing. Por isso, cuidado ao digitar o endereo de qualquer pgina na barra de endereos do seu navegador. Antes de enviar qualquer dado, tenha certeza que est no site correto.

6.8 - Boatos = queda.

Os boatos que circulam pela Internet podem refletir diretamente na empresa sobre a qual se fala. Um bom exemplo dessa situao a Apple, que teve queda em suas aes depois que o boato sobre a suposta morte de Steve Jobs circulou por e-mails,

blogs e fruns. Tal mtodo conhecido no mercado financeiro como pump-anddump.

6.9 - Somos da equipe de suporte da Microsoft queremos ajudar ("This is Microsoft support we want to help") .
Hadnagy afirma que um novo tipo de ataque tem atingido muitas pessoas ultimamente. Ele comea com uma ligao telefnica em que algum afirma ser do servio de suporte da Microsoft e diz que est ligando por causa de um nmero anormal de erros que teriam origem no seu computador. A pessoa do outro lado da linha diz que quer ajudar na soluo porque h uma falha e eles tm feito ligaes para usurios licenciados do Windows, explica Hadnagy. Faz sentido; voc um usurio licenciado do Windows, tem uma mquina com Windows e ela quer provar isso para voc. A pessoa que ligou diz para a vtima ir at o event log (visualizador de eventos) da mquina e a acompanha pelos passos at chegar ao log do sistema. Todo usurio do Windows ter dezenas de erros neste log, simplesmente porque acontecem pequenas coisas; um servio trava, algo no inicializa. Sempre existem erros, afirma Hadnagy. Mas quando um usurio sem experincia abre isso e v todos esses erros, parece assustador. Nesse ponto, a vtima est desesperadamente pronta para fazer qualquer coisa que o suposto funcionrio do suporte pedir. O engenheiro social ento aconselha-os a ir at o site Teamviewer.com, um servio de acesso remoto que d a ele controle da mquina. Uma vez que o cracker tiver acesso mquina por meio do Teamviewer, ele pode ento instalar algum tipo de rootkit ou outro tipo de malware que permitir a ele ter acesso contnuo ao sistema, afirma Hadnagy.

6.10 - Faa uma doao para ajudar as vtimas do (alguma tragdia)! ("Donate to the hurricane recovery efforts!").
Golpes de doaes para caridade tem sido um problema h anos. A todo o momento temos desastres de grandes propores no mundo, como o terremoto no Haiti

ou tsunami no Japo, e os criminosos rapidamente entram no jogo e lanam sites falsos de doaes. A melhor maneira de evitar isso indo a uma organizao conhecida e de boa reputao, como a Cruz Vermelha, e iniciar o contato por conta prpria se quiser fazer uma doao. No entanto, Hadnagy afirma que surgiu h pouco tempo um tipo particularmente desprezvel de golpe de engenharia social direcionado para pessoas que possam ter perdido parentes ou amigos em desastres naturais. Neste exemplo, Hadnagy diz que, entre 8 e 10 horas aps o incidentes, o site aparece dizendo ajudar a encontrar pessoas que possam ter desaparecido no desastre. Eles alegam ter acesso s bases de dados do governo e informaes de recuperao. Normalmente os engenheiros no pedem por informaes financeiras, mas exigem nomes, endereos e informaes de contato, como nmeros de telefone e e-mail. Enquanto voc est esperando para ouvir sobre a pessoa, recebe um pedido de doao para caridade, diz Hadnagy. A pessoa da suposta instituio de caridade normalmente vai iniciar uma conversa e dizer que est coletando contribuies porque tem uma relao mais passional com a causa porque perdeu um membro da famlia em um desastre parecido. Secretamente, eles sabem que a pessoa que contataram tambm j perdeu algum, e isso ajuda a criar uma suposta camaradagem. Tocada pela pessoa que entrou em contato, a vtima ento oferece um nmero de carto de crdito pelo telefone para fazer a doao para "caridade". Agora eles tem seu endereo, seu nome, nome do seu parente e tambm do seu carto de crdito. Basicamente todas as informaes que eles precisam para cometer um roubo de identidade, explica Hadnagy.

6.11 - Sobre sua inscrio para a vaga de emprego... ("About your job application...").
Tanto pessoas buscando empregos quanto empresas de recrutamento esto sendo atacadas por engenheiros sociais. Esse um golpe perigoso, para os dois lados, afirma Hadnagy. Seja a pessoa buscando trabalho ou a companhia postando novas vagas, ambas as partes esto dizendo estou disposto a aceitar arquivos anexos e informaes de estranhos.

De acordo com um alerta do FBI, mais de US$ 150 mil foram roubados de uma empresa americana por meio de uma transferncia no autorizada como resultado de um e-mail com malware que a companhia recebeu a partir de uma oferta de emprego. O malware estava incorporado em um e-mail de resposta a uma vaga de emprego que a companhia colocou em um site de recrutamento e permitiu ao cracker conseguir as credenciais bancrias online da pessoa que estava autorizada a realizar transaes financeiras na companhia, afirma o aviso do FBI. O invasor alterou as configuraes da conta para permitir o envio de transferncias protegidas, sendo uma para a Ucrnia e duas para contas domsticas.

6.12 - @pessoanoTwitter, o que voc pensa sobre o que a Dilma disse sobre #desemprego? http://shar.es/HNGAt ("@Twitterguy, what do you think about what Obama said on #cybersecurity? http://shar.es/HNGAt").
Os engenheiros sociais esto observando o que as pessoas esto tuitando e usando essa informao para realizar ataques que parecem mais crveis. Uma maneira disso acontecer na forma de hashtags populares, de acordo com a companhia de segurana Sophos. Na verdade, o incio da nova temporada da srie Glee no comeo deste ms na Inglaterra fez com que os cibercriminosos sequestrassem a hashtag #gleeonsky por vrias horas. A operadora de TV por assinatura Sky pagou para usar a hashtag como uma forme de divulgar a nova temporada, mas os spammers tomaram conta dela rapidamente e comearam a incorporar links maliciosos nos tutes com o termo. Obviamente que os spammers podem escolher redirecionar para qualquer site que quiserem uma vez que voc tenha clicado no link, afirma o consultor snior de tecnologia da Sophos, Graham Cluley. Poderia ser um site de phishing desenvolvido para roubar suas credenciais no Twitter, uma farmcia falsa ou um site pornogrfico. Acho que veremos ainda mais ataques desse tipo em mdias sociais por causa da maneira como as pessoas clicam nesses links, afirma Hadnagy.

6.13 - Saiba como ter mais seguidores no Twitter! ("Get more Twitter followers!").
A Sophos tambm faz um alerta sobre servios que dizem conseguir mais seguidores no Twitter. De acordo com Cluley, sero cada vez mais comuns mensagens como QUEREM MAIS SEGUIDORES? EU VOU TE SEGUIR DE VOLTA SE VOC ME SEGUIR (LINK). Clicar nesse link leva o usurio para um servio na web que promete conseguir muitos novos seguidores.O prprio Cluley criou uma conta teste para ver o que acontecia. As pginas pedem para voc digitar seu nome de usurio e senha do Twitter, afirma Cluley em um post no blog sobre o experimento. Isso deveria fazer voc sair correndo por que um site de terceiros deveria pedir suas credenciais? O que os donos dessas pginas esto planejando fazer com seu nome de usurio e senha? possvel confiar neles? Cluley tambm colocou que o servio admite no ser apoiado ou afiliado ao Twitter, e que para usar o servio, voc precisar autorizar o aplicativo a acessar sua conta. A essa altura, todas as garantias de segurana e uso tico j eram, afirma o especialista. O prprio Twitter avisa aos usurios para tomarem cuidado com esses servios em sua pgina de informaes de ajuda. Quando voc fornece seu nome de usurio e senha para outro site ou aplicativo, est passando o controle da sua conta para outra pessoa, explica uma das regras do Twitter. Elas podem ento postar atualizaes e links duplicados, maliciosos ou spam, enviar mensagens diretas no desejadas, seguir outros usurios de modo agressivo, ou violar outras regras do Twitter com a sua conta. Alguns aplicativos de terceiros j foram implicados em atos de comportamento de spam, fraude, venda de nomes de usurios e senhas e golpes de phishing. Por favor, no fornea seu nome de usurio e senha para aplicativos de terceiros que voc no conhea ou tenha pesquisado com cuidado antes.

7 - A Nova Profisso
Nesse cenrio de guerra, surge uma nova categoria de profissionais para atuar nos grandes centros financeiros e corporativos: o Ethical Hacker. Eles so contratados pelas grandes empresas para testar o grau de segurana seus sistemas. Brian Holyfield, da Tiger Team Ernst & Young um desses profissionais. Com as bnos da alta direo da empresa, transforma-se no hacker Will Rogers. Passandose por funcionrio da equipe de TI da empresa, pede por telefone, que os funcionrios lhe forneam suas senhas para verificar se esto dentro dos padres para atender as mudanas da rede. o uso da antiga tcnica de Engenharia Social, que surpreendentemente ainda funciona at hoje, conseguindo inmeras senhas. Estima-se, entretanto, que 70% dos ataques no so reportados a polcia. Empresas como Kroll Associates, uma das maiores empresas privadas de investigao dos Estados Unidos, so frequentemente chamadas para investigar os incidentes e mant-los em sigilo, pois sua divulgao pode gerar publicidade negativa para a empresa e causar enormes prejuzos por suas posies nos volteis mercados financeiros. Muitos ataques sequer chegam aos conhecimentos da alta direo, pois no so notificados pelos administradores de rede, que mesmo tendo descoberto o ataque, no divulgam com medo de perderem seus empregos. Empresas especializadas em treinamento, como a Xtreme Hacking recebem estudantes de todas as partes do pas, para ensin-los as tcnicas usadas pelos hackers e com isso ajud-los a defender as empresas em que trabalham. Pete White, por exemplo, aluno da Xtreme Hacking e responsvel pela segurana de um grande hospital. Se as informaes sobre os pacientes viessem a publico, a credibilidade do hospital seria seriamente afetada, podendo vir a provocar at mesmo sua falncia.

8 - Prejuzos
Os ataques de engenharia social ocorrem em todo lugar, so frequentes e custam s organizaes milhares de dlares por ano, segundo pesquisa recente da empresa de segurana Check Point Software Technologies. Uma pesquisa de 850 profissionais de segurana em TI que atuam nos Estados Unidos, Canad, Reino Unido, Alemanha, Austrlia e Nova Zelndia revela que 48%, ou quase a metade, foram vtimas de engenharia social e tiveram 25 ou mais ataques nos ltimos dois anos. Esses ataques custaram s vtimas de 25 mil a 100 mil dlares por incidente. "Os ataques de engenharia social tm como alvo pessoas com conhecimento implcito ou acesso a informaes sigilosas", explica a Check Point, no relatrio. "Os hackers hoje utilizam uma variedade de tcnicas e aplicaes de redes sociais para obter informaes pessoais e profissionais sobre uma pessoa, para encontrar o elo mais fraco dentro de uma organizao." Entre os que responderam pesquisa, 86% reconhecem a engenharia social como uma grande preocupao. A maioria dos entrevistados - 51% - citou o ganho financeiro como a principal motivao dos ataques. Outras razes seriam a obteno de vantagem competitiva e vingana. Os vetores de ataque mais comuns em casos de engenharia social so e-mails de phishing (47% dos incidentes), seguidos de sites de rede social (39%). Novos empregados so mais propensos a carem em golpes de engenharia social, segundo o relatrio. Em seguida aparecem os terceirizados (44%), assistentes executivos (38%), recursos humanos (33%), lderes de negcio (32%) e pessoal de TI (23%). Contudo, quase um tero das organizaes afirmou no ter programas de alerta e preveno de engenharia social. Entre os pesquisados, 34% no tm qualquer treinamento de funcionrios ou polticas de segurana para prevenir tcnicas de engenharia social. No entanto, 19% afirmaram ter planos de implant-los, destacou a Check Point.

9 - Concluso
Com este trabalho, percebemos que tanto os usurios leigos como tambm os usurios mais avanados de informtica, tanto as pessoas que esto em posies mais baixas em uma hierarquia empresarial quanto as que ocupam o alto escalo esto suscetveis a serem enganadas com esses tipos de golpes provenientes da Engenharia Social. Com isso, a melhor forma pra combater e evitar este risco atravs de treinamento e conscientizao do elo mais fraco desse sistema, os humanos. Investir em treinamento contra a engenharia social um investimento alto e, muitas vezes, um processo lento, porm, levando em considerao o valor das informaes para determinada empresa ou pessoa, mais do que necessrio.

10 Referncias

Cuidado com a Engenharia Social Disponvel em: http://www.tecmundo.com.br/msn-messenger/1078-cuidado-com-a-engenhariasocial.htm#ixzz2jdNavKOT

Ataques de engenharia social custam caro s empresas, diz estudo Disponvel em: http://idgnow.uol.com.br/seguranca/2011/09/21/ataques-de-engenharia-social-custamcaro-as-empresas-diz-estudo/ Soldado americano rouba mais de US$ 15 mil de co-fundador da Microsoft Disponvel em: http://idgnow.uol.com.br/seguranca/2012/04/20/soldado-americano-rouba-mais-de-us15-mil-de-co-fundador-da-microsoft/

Homem condenado por roubar dados de rede P2P do governo dos EUA Disponvel em: http://idgnow.uol.com.br/seguranca/2011/09/16/homem-e-condenado-por-roubar-dadosde-rede-p2p-do-governo-dos-eua/

Entendendo a engenharia social Disponvel em:

http://pt.wikipedia.org/wiki/Engenharia_social_%28seguran%C3%A7a_da_informa%C 3%A7%C3%A3o%29