A VTIMA - A Engenharia Social e seus usos fraudulentos Uma tendncia mundial nas tcnicas para iniciar, estruturar ou executar

fraudes, o aumento do uso da dita "Engenharia Social". Uma boa definio a seguinte: Engenharia social aquele conjunto de mtodos e tcnicas que tem como objetivo obter informaes sigilosas e importantes atravs da explorao da confiana das pessoas, de tcnicas investigativas, de tcnicas psicolgicas, de enganao etc.... Para isso, o "engenheiro social" pode se passar por outra pessoa, assumir outra personalidade, vasculhar lixo ou outras fontes de informaes, fazer contato com parentes e amigos da vtima etc. Por mais incrvel que possa parecer, um dos mtodos mais simples, mais usados e, infelizmente, mais eficientes para descobrir informaes confidenciais (tipo uma senha ou dados sensveis que possam ser usados na montagem de algum tipo de golpe) ... adivinha ? Perguntar !! Para isso preciso algum com bom papo, com habilidades na comunicao, voz profissional, sedutora ou simptica conforme os casos, poucos escrpulos, fantasia, reao rpida e bom domnio de algumas tcnicas psicolgicas. Com isso, basta esta pessoa perguntar a um funcionrio ou outro interlocutor despreparado que ele contar tudo o que precisar. Tudo vai depender de quanto bom o "Engenheiro Social", e quantas informaes sobre a vtima ele j possui na hora da pergunta. Quanto mais, melhor, uma das bases da engenharia social justamente juntar informaes aos poucos, explorando o que j se sabe para se chegar a saber tudo, pedacinho por pedacinho. O engenheiro social precisa se preparar bem para os seus ataques, precisa saber quem tem as informaes que ele quer, como chegar at tal pessoa, como ter informaes que faam com que esta pessoa acredite nele e lhe passe o que quer saber etc. Por isso muitas vezes os "engenheiros sociais" vo por etapas. Primeiro usam suas tcnicas e pesquisas para coletar informaes, muitas vezes aparentemente inocentes (tipo nmero do RG/CPF, data de nascimento, endereo, nome dos pais...), sobre a vtima de maneira a se preparar para quando for a hora de perguntar algo mais pesado (e/ou tiverem que se passar pela vtima com terceiros). Nesta hora um dos golpistas, por exemplo, vai ligar alegando ser algum que tem "direito" a fazer perguntas por alguma razo e mostrando que j conhece muitas informaes sobre a vtima para comprovar que ele realmente quem afirma ser. Um exemplo prtico de como tudo pode acontecer Um telefonema tpico vai ser algo do seguinte tipo (G.: golpista V.: vtima): G. - Bom dia, sou Fulano gerente de relacionamento do banco X, falo com o senhor Cicrano titular da conta n 123456 ? (o nmero da conta pode ter pego de mil maneiras, por exemplo numa fila de banco ou por algum ter deixado algum papelzinho num caixa

de atendimento automtico ou com a cumplicidade de algum funcionrio de lojas onde foram feitas compras com cheque). V. - Sim sou eu ... G. - Estamos recadastrando os clientes no novo sistema do banco por razes de segurana e estou ligando para confirmar seus dados ... o senhor nasceu em DD/MM/AAAA (existem vrias maneiras para se ter este dado, mas no vou sugerir aqui), mora na rua YYY (pegou esta informao na lista telefnica, ou em documentos que estavam em suas mos na fila do banco ou novamente de algum funcionrio de loja, por exemplo), o seu telefone ainda o 123456 (idem como antes), o seu CPF o 777.777.777-77 (tambm existem vrias maneiras para terem conseguido isso, num cheque por exemplo) e o RG 456789 (idem) ?? V. - Sim os dados so corretos. (nesta altura, tendo visto quanta coisa o interlocutor j sabe sobre ele, a vtima no duvida que se trate mesmo do gerente do banco). G. - Pode me confirmar o nmero do seu carto de crdito (ou do banco) ? V. - Sim, o nmero 123456789 ... G.- Correto, muito bem os seus dados foram atualizados. S falta o senhor confirmar tudo atravs das suas senhas. Vou lhe passar a central de autenticao onde o senhor poder digitar as senhas diretamente no seu aparelho de telefone. (a passa uma espcie de sistema automtico com voz registrada que pede, para confirmar o cadastro, primeiro para digitar no aparelho a senha do carto e depois a senha do "internet banking"). Pronto, a vtima ter fornecido a um golpista hbil, usando tcnicas de "engenharia social", todas as informaes e senhas necessrias para esvaziar a sua conta. De quebra, o golpista ainda poder usar as informaes obtidas para criar cheques e documentos falsos, em nome da vtima, e sair aplicando outros golpes, sujando o nome dela. Se voc j ligou para uma central de atendimento (de carto de crdito, telefone, banco etc...), j deve ter percebido que frequentemente o mtodo usado por estas centrais, para se certificar de quem est do outro lado do telefone, extremamente falho. Preste ateno no tipo de informao que sai da sua casa ou empresa, nos papis jogados no lixo, nos telefonemas estranhos, no comportamento de funcionrios de lojas ou outras empresas aos quais est passando seus dados, assim como em eventuais visitas ou acessos aos seus locais de pessoas estranhas. Um prato cheio para se praticar a engenharia social contra uma empresa encontrar um organograma da mesma. A partir da, o intruso vai saber exatamente com quem est falando, com quem precisa falar e por quem pode se passar.

As modalidades de ataque Existem dois tipos de ataques de engenharia social, os ataques diretos e indiretos. Diretos So aqueles em que o atacante entra diretamente em contato com a vtima por email, telefone, ou pessoalmente, diferentemente dos ataques indiretos os ataques diretos tem alvo fixo ou seja o engenheiro social sabe exatamente quem atacar, como e porque. Indiretos So aqueles que no tem um alvo especfico, um timo exemplo um trecho retirado do livro "A arte de enganar" de Kevin Mitinick: "Voc est em um elevador quando de repente um disquete cai no cho, voc olha tem um logotipo de uma grande empresa e a frase "histrico salarial", movido pela curiosidade voc abre o disquete em sua casa e talvez haja um cone para o Word ento ao clicar aparece a frase 'ocorreu um erro ao tentar abrir o arquivo', voc no sabe mas um backdoor foi instalado em sua mquina. Voc imediatamente leva o disquete at o setor responsvel em devolv-lo ou guard-lo, o setor por sua vez tambm abrir o disquete, agora o hacker tem acesso a dois computadores"... esse um exemplo de ataque indireto, ou seja, no teve uma vtima definida desde o incio.