Você está na página 1de 35

FACULDADE SANTA MARCELINA

Analise e Desenvolvimento de Sistemas

ENGENHARIA SOCIAL NO FACEBOOK

por

Fbio Jos de Oliveira

Muria
2016
Faculdade Santa Marcelina
Analise e Desenvolvimento de Sistemas

Engenharia social e o Facebook

por

Fabio Jos de Oliveira

Trabalho de Concluso de Curso apresentado como


requisito parcial para obteno do Ttulo de
Tecnlogo Analista de Sistemas pela Faculdade
Santa Marcelina
Orientador: Everaldo Graciliano Souza Ribeiro

Muria
2015
AGRADECIMENTO

A Deus que veio me nutrindo a vontade e me fazendo perseverar desde o momento em que
me prontifiquei a continuar estudando at o presente momento, aos meus pais por todo apoio
sentimental, moral e financeiro, que foi com certeza de grandeza inestimvel, a prefeitura de
minha cidade que cedeu transporte durante todos os anos de meu curso, aos meus
companheiros de curso, por toda ajuda, troca de conhecimento e brincadeiras, e a todos os
professores que passaram pelos mdulos do curso, e com certeza foram importantes na sntese
de todo o conhecimento que agora possuo.
O fator humano o elo mais fraco da
segurana.

Kevin Mitnick.
LISTA DE IMAGENS

Figura. 1 Exemplos de captcha. .................................................................................................. 9

Figura. 2 Exemplo configuraes de privacidade do Facebook. .............................................. 14

Figura. 3 Usuria fictcia Letcia Souza ................................................................................... 17

Figura. 4 Usurio fictcio Rubens Paiva. .................................................................................. 18


LISTA DE ILUSTRAES

Grafico 1. Convites Aceitos ..................................................................................................... 19

Grafico 2. Convites enviados por Leticia Souza. ..................................................................... 20

Grfico 3. Convites enviado por Rubens Paiva. ....................................................................... 20

Grfico 4. Porcentagem de usuarios que aceitaram o convite de Leticia souza ....................... 20

Grafico 5. Porcentagem de usuarios que aceitaram a convite de Rubens Paiva ...................... 20

Grfico 6. Faixa etria dos usurios que aceitaram o convite de Rubens Paiva....................... 21

Grafico 7. Porcentagem dos usuarios que aceitaram o convite de Leticia Souza .................... 21

Grafico 8. Porcentagem de usurios que tem o perfil preenchido com informaes sigilosas 22

Grafico 9. Usuarios que expunham informaes privadas em seu perfil................................. 23

Grafico 10. Usurios agrupados pelo ranking de exposio .................................................... 23


RESUMO

O nmero de usurios de redes sociais como Facebook e Twitter tem crescido continuamente
ao longo dos anos, esses servios encontraram no Brasil um terreno frtil e se aproveitando da
ascenso econmica e incluso digital de outrora se tornaram sites que figuram entre os mais
acessados do pais. Conhecidas como redes sociais horizontais, so pginas orientadas para a
vida social dos usurios. O Facebook permite socializar e manter o usurio conectado com
amigos, recuperar contatos perdidos, compartilhar informaes como fotos ou vdeos, links a
pginas web, conversar via chat, jogar e comparar suas vitrias com seus amigos, etc. Toda
essa liberdade para compartilhar opinies, gostos pessoais, uma valiosa fonte de informao,
uma pesquisa feita pelo instituto Ibero-Brasileiro de Relacionamento com o Cliente
(IBRC) para VOC S/A revela que crescente o nmero de empresas que observam o
comportamento de profissionais nas redes sociais tanto na hora de contratar como ao longo de
sua permanncia no emprego. O que o profissional faz nas horas vagas revela mais
sobre quem ele realmente e tem um peso maior em sua reputao. Empresas em geral no
so as nicas pessoas interessadas nas informaes de usurios, criminosos virtuais tambm
utilizam desse almanaque de dados, utilizando tcnicas de engenharia social vasculham perfis
usam essas informaes como armadilha para roubar dados dos usurios. Este estudo
analisar mtodos usados por usurios mal intencionados e tambm apresentara aes para
proteo a informaes.

PALAVRAS-CHAVE: Segurana, Redes Sociais, Engenharia Social.


ABSTRACT

The number of social network users as Facebook and Twitter has grown exponentially over
the years, these services have found in Brazil fertile ground and taking advantage of the
economic upswing and digital inclusion once became sites that are among the most accessible
in the country. Known as horizontal social networks, they are oriented pages for the social life
of the users. The Facebook allows socialize and keep you connected with friends, recover lost
contacts, share information such as photos or videos, links to web pages, talk via chat, play
and compare your winnings with your friends, etc. All this freedom to share opinions,
personal tastes, are a valuable source of information, a survey by the Ibero-Brazilian Institute
of Customer Relations (IBRC) for YOU S / A reveals that an increasing number of companies
has observe the professionals behavior in social networks, both in recruiting and throughout
their stay in the job. What the professional does in his spare time reveals more about who he
really is and have a greater weight on their reputation. Companies in general are not the only
people interested in user information, cybercriminals also use this almanac of data, using
social engineering techniques, they seek unprotected profiles and use this information as a
trap to steal user data. This study aims to analyze this problem and propose techniques to
minimize the possibility of failure not on Facebook security but in user behavior.

KEYWORDS: Social Engineering, Social Networks, Security.


SUMRIO

1.INTRODUO. ................................................................................................................................ 1

1.1 Objetivo. ...................................................................................................................... 1


1.2 Justificativa. ................................................................................................................. 1
2. FUNDAMENTAO TERICA. ..................................................................................... 3

2.1 O incio de tudo............................................................................................................ 3


2.2 As redes Sociais. .......................................................................................................... 3
2.3 O Facebook. ................................................................................................................. 5
2.4 As funcionalidades do Facebook. ................................................................................ 6
2.5 Os ataques s redes sociais. ......................................................................................... 7
2.6 A engenharia social .................................................................................................... 10
2.7 Engenharia social no Facebook. ................................................................................ 11
3. FERRAMENTAS DE PROTEO A DADOS NO FACEBOOK. ................................ 14

4. ESTUDO DE CASO ......................................................................................................... 16

4.1 Analise dos mecanismos de segurana do Facebook. ................................................ 16


4.2 Analise dos perfis acessados por Letcia Souza e Rubens Paiva. .............................. 19
5. CONCLUSO ................................................................................................................... 24

REFERNCIAS.......................................................................................................................26
1

1. INTRODUO

Segundo a Pesquisa Nacional por Amostras em Domicilio (Pnad), mais da metade dos
domiclios brasileiros passou a ter internet em 2014. Sites como o Facebook tm ganhado
cada vez mais a ateno e o tempo dos brasileiros que navegam na rede o que comprovam
dados divulgados por Ime Archibong, diretor de parcerias estratgicas da rede social, na
Campus Party 2016.

Sites como Facebook e Twitter oferecem muitas ferramentas para socializao de usurios
permitindo a criao de perfis pessoais, onde voc pode disponibilizar informaes pessoais,
como fotos, locais, gostos, preferncias entre outras coisas, alm de permitir o contato com
grupos ou paginas onde pessoas que compartilham um mesmo interesse, gosto ou opinio,
mantm contato.
Somando isso tudo natureza exibicionista humana, a vontade de ter aceitao num meio
social e ao fato de que toda essa informao pessoal pblica, a menos que se configure para
que assim no seja, pode entrar em cena a Engenharia Social, que uma pratica que se
aproveita da do ponto mais fraco de um determinado sistema tecnologicamente seguro, que
geralmente so usurios com muita confiana em detrimento de experincia, para ter acesso a
informaes privilegiadas. Atravs de tcnicas de persuaso os Hackers conseguem tirar esses
usurios de uma zona segura, tendo assim, acesso s suas informaes. Ataques deste tipo so
conhecidos como pishing, e tem se tornado um grande desafio para as empresas de segurana
da informao. J que o problema no est ligado tecnologia, esses sites so realmente
seguros, mas sim ao fator humano do sistema, pois atravs de alguns erros os usurios
acabam colocando a si prprio em situaes de risco, dando acesso s suas informaes
pessoais a de outros usurios ou sistemas.
Este trabalho estudar as principais falhas cometidas pelos usurios bem como quais as
principais armadilhas usadas pelos hackers.

1.1 Objetivo.

O objetivo deste trabalho estudar como essa tcnica utilizada nas redes sociais, e quais so
os principais erros dos usurios, quais as tcnicas mais comuns de ataque e propor algumas
aes preventivas que minimizam as chances de ser vtima desse tipo de ataque.
Dentro dessa prerrogativa os principais objetivos so:
Fazer um estudo nos perfis do Facebook para levantar quais so os principais dados
que os usurios liberam para visualizao publica.
Provar a eficcia da engenharia social, mostrando exemplos reais de casos em que foi
utilizada.
Definir os principais tipos e ferramentas de ataque de ataque.

1.2 Justificativa.
2

O ser humano possui uma inerente necessidade de se comunicar e ser aceito em meios sociais,
depois do grande boom da incluso digital, com a criao das redes sociais, foi questo de
tempo para internet acoplar essa necessidade, e mudar os paradigmas do que se relacionar, e
lanar novas tendncias sobre o que ser popular ou bem aceito.
publica a informao de que vrias empresas tm usado as pginas scias de seus possveis
futuros colaboradores como fonte de informao para traar tipos determinados de perfis,
buscando por pessoas que se adquam ao perfil profissional em demanda ou at mesmo com a
forma com que a empresa trabalha provando que esse espao, onde atrair seguidores ou
curtidas o objetivo comum pra maioria dos adeptos, no pode ser visto apenas do olhar
narcisista, o que o usurio curte, posta, comenta, opina diz muito sobre ele. Enquanto uns
adoram se expor e usam a rede pra aparecer, muitos outros utilizadores comearam a olh-la
como oportunidade de praticar golpes, partindo dos mesmos pressupostos e usando as
mesmas informaes que as corporaes usam na hora de contratar.
Os ataques munidos por esses tipos de dados tm crescido muito aps a virada do ltimo
sculo, e tem prejudicado muitas pessoas, tanto no mbito fsico quanto jurdico, a obteno
de alguns dados pode trazer prejuzos inestimveis colocando em risco a segurana dos
usurios. A preveno a esse tipo de ataque de extrema importncia para criar um ambiente
de tranquilidade ao usurio. Este trabalho pretende traar algumas aes preventivas bem
como permitir aos usurios analisar se de alguma forma ele est se expondo a uma situao
em que um ataque do tipo poderia ser usado contra ele.
3

2. FUNDAMENTAO TERICA.

2.1 O incio de tudo.

Datam do final da dcada 60 os primeiros servios que possuem caractersticas de sociabilizar


dados nesse tempo foram desenvolvidos a tecnologia dial-up e o CompuServe um servio que
disponibilizava conexo internet, a nvel internacional.
Em 1971 foi enviado o primeiro email, atravs de um programa criado por Ray Tomlinson,
sete anos mais tarde foi criado o Bulletin Board System (BBS), um sistema criado por dois
entusiastas de Chicago para convidar seus amigos para eventos e realizar anncios pessoais.
Essa tecnologia usava linhas telefnicas e um modem para transmitir os dados.

Quando algum quisesse acessar seu BBS, ele fazia o computador discar
para o telefone do BBS (normalmente o telefone da casa do sujeito que
montou o sistema) e colocava as duas mquinas para conversar. (TECH
TUDO, 2011).

Os anos seguintes, at o incio da dcada de 90, foram marcados por um grande avano na
infraestrutura dos recursos de comunicao. Em 1984 surgiu um servio chamado Prodigy
que oferecia a seus clientes acesso a uma ampla gama de servios de redes, esse servio
substituiu o BBS uma dcada aps seu lanamento.

Analisando esse perodo podemos constatar que o fato mais marcante foi disponibilizao
pela America Online (AOL) de ferramentas que permitiam a criao troca de mensagens entre
os usurios, essa empresa criou o AOL Instante Messenger sendo pioneiro nas trocas de
mensagens instantneas.

2.2 As redes Sociais.

Na dcada de 90, mais precisamente no ano 1994 nascia o GeoCities, um servio de


hospedagem de sites, que permitia aos usurios criarem suas prprias paginas,a ideia era
agrupar esses sites como cidades.

Ele chegou a ter 38 milhes de usurios, foi adquirido pela Yahoo! cinco anos depois e foi
fechado em 2009.
4

Em 1995 nasceram outros dois servios, com caractersticas das redes sociais atuais.
Propagando a interao entre usurios. O The Globe permitia seus usurios a publicaes de
contedos e interao com outros usurios que partilhavam interesses em comum.

O Classmates foi projetado visando ajudar os membros a encontrarem amigos e colegas de


escola ou faculdade, apesar de possuir outros contedos essa era a principal atrao. Essa rede
social ultrapassou 50 milhes de cadastros e sobrevive at hoje, mas com um nmero menor
de participantes.

Em 2002, nasceram o Fotolog e o Friendster. O primeiro tinha um conceito baseado em


fotografias era possvel publicar frases junto com as fotos. Alm disso, possibilitava seguir as
publicaes de conhecidos e coment-las. O Fotolog j veiculou mais de 600 milhes de fotos
e est presente em mais de 200 pases.

Por sua vez, o Friendster permitia que amigos, familiares e colegas pudessem se conectar. Foi
o primeiro servio a receber o status de rede social, pois era possvel fazer crculos de
amizade e os usurios com interesses em comum incentivados a se conhecerem.

Em 2003 foram lanados LinkedIn que inovou no conceito de rede social, usando-a para fins
profissionais e o MysSpace que aproveitando o sucesso do Friendster fez um site muito
parecido, sendo aperfeioado ao longo do tempo, os dois at hoje esto no ar, com reputaes
e nmeros invejveis. O LinkEdln conta com mais de 175 milhes de registros e o MySpace
com 25 milhes apenas nos Estado unidos, no Brasil o seu servio foi encerrado em 2009.

Enfim chegamos poca em que as redes sociais tornaram-se populares. Em 2004 foram
criados o Flickr, o Orkut e o Facebook. Pode-se dizer que foi o ano de estouro e de
consolidao de algumas dessas redes como as maiores e mais populares, o Facebook, anos
depois se tornou a maior delas.

Utilizando tambm um conceito embasado em fotos o Flickr lembra o Fotolog, sendo


direcionado para o compartilhamento de imagens.

O Orkut foi criado por um funcionrio do Google chamado Orkut Bykkokten no inicio s
permitia o ingresso atravs convites, foi uma grande febre no Brasil, sedo a rede mais usada
do pas por um perodo, at perder seu ttulo para a criao de Mark Zuckerberg em dezembro
de 2011.
5

2.3 O Facebook.

O Facebook define-se como um produto/servio que tem por misso oferecer s pessoas o
poder da partilha, tornando o mundo mais aberto e interligado (Facebook, 2013a).

Segundo Mark Zuckerberg, ele mesmo teve a ideia de criar um site de relacionamento onde os
colegas de faculdade poderiam interagir de alguma forma. Antes do Facebook ele criou o
Facemash que era um site onde os alunos de Harvard poderiam escolher os colegas mais
atraentes. Essa primeira criao serviu de base para o que depois se tornaria o Facebook.

Foi um sucesso, tendo mais de mil cadastros em 24 horas. Se espalhando rapidamente da


Universidade de Harvard para outras universidades. O site permitia que os usurios enviassem
mensagens a amigos, com o intuito de socializar usurios.

"Eu me lembro de pedir pizza com os meus amigos em uma noite pouco
depois de abrir o Facebook. Eu falei para eles que estava ansioso para ajudar
a conectar nossa comunidade escolar, mas que, algum dia, algum precisaria
conectar o mundo inteiro". (Mark Zuckerberg).

Em 2005 uma importante funcionalidade foi aderida pelo site, o compartilhamento de fotos,
foi nesse ano tambm que o Facebook se expandiu, pois seu acesso foi liberado pra o mundo
inteiro, mas ainda era restrito a estudantes, o que viria a mudar s em 2006, nesse ano o
Facebook permitiu que qualquer pessoa acima de 13 anos pudesse criar a sua conta. Atingindo
a marca de 12 milhes de usurios. No ano de 2007 foi permitido pelo site o
compartilhamento de vdeos, nessa mesma poca o Facebook j contava com 58 milhes de
usurios.

Em 2009 nasceu o boto curtir, e o site ganhou um novo layout. Em dezembro j tinha
alcanado o numero de 360 milhes de usurios. Em 2010 foram lanados dois novos
servios o Facebook Places, que mostrava a localizao do usurio e o Facebook Sponsored
Stories que permitia que as empresas usassem os comentrios de usurios a seu respeito
como propaganda. No final daquele ano o Facebook j atingiu uma marca de 608 milhes de
usurios.

Em 2011 a re mostro o seu poder de organizao social, tendo um importante papel na


primavera rabe, sendo usada como ferramenta para organizao de manifestaes em
diversos pases do Oriente Mdio e frica.
6

Em 2012 a empresa abriu seu capital e ingressou no mercado de aes. O preo das aes no
dia de lanamento foi de US$ 38, chegando a atingir US$ 43,02 na primeira sesso.

No inicio de 2016 o Facebook chega a um numero de 1 bilho de usurios todos os dias, com
lucro crescente chegando aproximadamente a US$ 1,5 bilho.

2.4 As funcionalidades do Facebook.

O Facebook conta com inmeros aplicativos, que vo desde jogos a presentes que voc pode
dar aos seus amigos, alm disse permite a integrao com outras redes sociais. Em sua pgina
principal o Facebook permite aos usurios adicionar, vdeos, fotos e postagens, permitindo
aos usurios amigos ou ao pblico coment-las ou curti-las.

No perfil principal esto contidas inmeras informaes sobre os usurios, bem como os
links que levam a conhecer mais sobre o utilizador. Podemos acessar atravs do perfil
informaes como status de relacionamento, ocupao, idade, local de estudo, local de
trabalho, ramo, telefone, cidade, email etc. O perfil tambm oferece a possibilidade de
informar gostos pessoais como livros preferidos, musicas, filmes, alm de permitir ao usurio
escrever um pouco de sobre si prprio.

Atravs dessas informaes outros usurios podero formar uma opinio sobre quem a
pessoa , tambm atravs da sntese dessas informaes o Facebook traa perfis, dando
sugestes de amizade, quando usurios tem algo em comum.

As publicaes so uma espcie de contedo que qualquer usurio pode postar, possvel
anexar a publicao dados de diferentes naturezas, como, fotos ou vdeos, alm dos
tradicionais textos, esse conjunto de informao fica disponvel no Feed de Notcias de todos
os usurios amigos.

O Feed de Notcias uma espcie de pagina onde ficam disponveis todas as publicaes das
mais diferentes naturezas de todos os usurios.
7

Os grupos permitem o compartilhamento de informaes em espao privado, quando algum


integrante do grupo compartilha algo, todos os usurios que esto inseridos nesse grupo tm
acesso a essa informao, possuem um administrador que conhecido por todos do grupo,
que podem ser determinados por assuntos especficos, os usurios, qualquer usurio pode
visitar os grupos de pessoas de quem amigo no Facebook.

O usurio tambm pode confirmar sua participao em eventos, organizados e divulgados nas
redes sociais, onde possvel compartilhar informaes, bem como confirmar ou no
presena.

O lbum de fotos e vdeos surgiu com o aumento da banda de transmisso pela Internet. Por
meio dele os usurios possuem um espao virtualmente infinito para divulgar fotos e vdeos
pessoais. Os usurios podem atribuir permisso a esses itens de acordo com sua vontade.

As pginas foram criadas pelo Facebook para facilitar o contato do pblico com marcas ou
artistas de forma mais abrangentes que os perfis pessoais. As pginas possuem
administradores, mas seus nomes so mantidos ocultos, por que se supe que elas prprias
representem outras entidades. A pgina de um artista, por exemplo, pode ser gerenciada por
vrias pessoas diferentes que no querem ou no precisam ser identificadas. Todo o contedo
do mural da pgina publicado em nome dela mesma.

O Facebook tambm possui comunidades, diferentemente das pginas estas permitem


publicaes de usurios, e costumam ser sobre um assunto, sentimento ou hbito e no sobre
pessoas famosas, no possuem fruns ou outros meios de publicao de informaes.

2.5 Os ataques s redes sociais.

Desde sua concepo o Facebook vem sofrendo ataques e atravs dos mesmos se
aperfeioando atravs de atualizaes para melhorar a segurana de seus usurios.

A possibilidade que o Facebook deu aos usurios de se descrever da melhor maneira possvel
ao pblico foi aos poucos se tornando um problema, j que muitos dos usurios no usavam
corretamente essa funcionalidade, e nem outras que visavam proteo da privacidade, como
8

as ferramentas de controle de privacidade, que permitem ao usurio selecionar as informaes


que quer compartilhar, sendo assim possveis alvos de engenheiros sociais a procura de
utilizadores errantes.

O problema que muitos usurios confiam cegamente nessas redes pelo seu uso ser to
comum, creditam estar em um ambiente seguro, livres de qualquer risco, apoiando-se nessa
ideia postam informaes conforme sua vontade.

Existe grande quantidade de casos na mdia onde toda essa divulgao pessoal se tornou
prejudicial aos prprios usurios, perdas de emprego, amizades e relacionamentos causados
pelo acesso da outra parte a grande quantidade de dados por outros usurios.

Atravs dessa exposio exacerbada, criminosos usam dessas informaes para praticar
crimes. Em notcia datada de 25/10/2016, o jornal online G1 cita um caso no qual falsos
sequestradores se utilizam de informaes divulgadas pelas vtimas nos seus perfis pessoais
para enganar parentes e amigos:

Detentos que aplicam o golpe do falso sequestro passaram a investigar a vida da


vtima nas redes sociais antes de agir, informou a Polcia Militar do Distrito
Federal. Em duas semanas de buscas, os "stalkers" procuram por informaes
como fotos, endereos da casa, trabalho ou escola para empregar a estratgia de
extorso que pede o pagamento como resgate em um falso sequestro
relmpago. (G1, 2016).

Esse vazamento de informaes no somente compromete o alvo no mundo virtual, mas


tambm fora dele. Em 2009 [16], o siteEl Universal publicou o seguinte caso, ao responder
a pergunta "O que voc est fazendo?" no Twitter, o norte-americano Israel Hyman postou
que estava de frias com sua famlia e logo depois teve a casa roubada:

"Ns viemos para Kansas City. Visitar a famlia de @ noellhyman. Mal


posso esperar para filmar alguns bons vdeos enquanto estamos aqui" foi a
mensagem deixada no Twitter por Hyman. (El Universal, 2009).

O caso foi divulgado em diversos canais de TV dos EUA, como ABC, NBC, CNN e Fox
News.
9

Fora do mbito criminal temos tambm a minerao de dados (Data-minig) que consiste
basicamente em extrair informaes referentes ao interesse de certos indivduos e depois
vende-las a outros indivduos ou empresas interessadas, utilizando essas informaes so
lanadas propagandas no autorizadas (spam).

Os mecanismos de controle resolveram grande parte da questo envolvendo o roubo de dados,


mas ainda temos uma abordagem sem soluo, a engenharia social, que ser detalhada no
Item 2.6.

Outro problema que ocorreu na expanso das redes sociais era o vrus. As novas tecnologias
possibilitaram aos usurios a disseminao de programas maliciosos, como vrus, cavalos de
tria, e spywares. A tcnica mais comum era infectar um usurio apenas e deixar o vrus se
apoderar de sua lista de contatos espalhando mensagens contendo o mesmo programa
malicioso.

Com a criao de novas tecnologias no desenvolvimento de site, grande quantidade desses


problemas foi resolvido, destas podemos destacas os captchas(Fig. 1) ou confirmaes por
escrito que um usurio precisa interagir para postar links como anexos. Ficando assim
praticamente impossvel para um software determinar os caracteres contidos na imagem.
Fazendo assim que a disseminao automtica de vrus perdesse fora.

Figura. 1 Exemplos de captcha.

Infelizmente a engenharia social no possui uma resoluo to dinmica. Indo de encontro


com as principais finalidades das redes sociais e no possuindo uma soluo a no ser a
preveno. No prximo tema esclareceremos um pouco mais sobre essa tcnica.
10

2.6 A engenharia social

chamado de engenharia social um conjunto de tcnicas que so usadas para manipulao de


pessoas de modo que eles tomem aes ou divulguem informaes confidenciais. O objetivo
principal ganhar acesso a dados ou a um sistema em especfico abusando da ingenuidade ou
confiana do usurio.

A engenharia social no figura somente na rea da computao, a definio seguinte trata de


maneira mais ampla esse conceito:

Engenharia social a cincia que estuda como o conhecimento do


comportamento humano pode ser utilizado para induzir uma pessoa a atuar
segundo o seu desejo. No se trata de hipnose ou controle de mente, as
tcnicas de engenharia social so amplamente utilizadas por detetives(para
obter informao) e magistrados (para comprovar se um declarante fala a
verdade). Tambm utilizada para lograr todo tipo de fraudes inclusive
invaso de sistemas eletrnicos (Konsultex, 2004 apud PEIXOTO, 2006, p.
4).

Kevin Mitnick, hacker preso pelo FBI nos anos 90, destaca em seu livro, A arte de enganar,
alguns cenrios em que a engenharia social poderia gerar frutos manipulando apenas o fator
humano. Em um dos exemplos, um hacker obtm acesso intranet de uma empresa, porm,
ele precisa de uma senha que por motivos de segurana trocada diariamente. O engenheiro
espera at um dia de chuva forte e entra em contato com a empresa alegando ser um
funcionrio que est preso em casa em decorrncia da tempestade, aps alguns minutos ao
telefone enfim o operador a libera a senha do dia.

Apesar de os mtodos usados variarem de criminoso para criminoso, todos usam a psicologia
como ferramenta de base. O objetivo ganhar a confiana do usurio e faz-la assim revelar
informaes confidenciais.
De acordo com Peixoto:

A engenharia social, propriamente dita, est inserida como um dos desafios


(se no o maior deles) mais complexos no mbito das vulnerabilidades
11

encontradas na gesto da segurana da informao. (PEIXOTO, 2006,


p.36).

Como pudemos ver, a engenharia social uma grande ferramenta para burlar sistemas sem
falhas conhecidas, o chamado fator humano cada vez mais tem se tornado, de extrema
importncia quando se pensa em segurana da informao, graas ao poder para interferir
mesmo em sistemas tecnologicamente seguros. Ganhando a confiana da vtima o engenheiro
social pode comprometer todo um sistema, ter acesso a dados importantes e executar
operaes s costas de qualquer mecanismo de segurana.

No prximo tpico analisaremos atravs de que essas tcnicas podem ser utilizadas no
Facebook.

2.7 Engenharia social no Facebook.

Partindo do pressuposto de que para realizar seus ataques os engenheiros sociais precisam de
uma gama de informaes muitas vezes pessoais, tanto para conhecimento quanto para
manipular algo ou algum, as redes sociais abriram uma estante de informaes livres,
fazendo que assim com que o processo de levantamento de dados seja facilitado, sem nenhum
tipo de exposio, tudo feito apenas visitando o perfil da vtima no Facebook.
Enganam-se aqueles que pensam que s os criminosos tm usado esse tipo de informao,
muitas empresas tambm atentam ao Facebook na hora de preencher a demanda de usurios,
usando do histrico, das opinies e dos likes para traar o perfil de um futuro colaborador.
Em 2013 em uma pesquisa exclusiva realizada por Revista VOC S/A revelou que Depois do
LinkedIn e dos sites de emprego Catho e Vagas, o Facebook aparece como a
ferramenta online mais utilizada pelos recrutadores. Surpreendentemente, a rede usada por
51,4% dos RHs para contratar analistas e especialistas. So vrios os usos da maior rede
social do mundo pelos recrutadores. Um deles a mera divulgao das vagas nas pginas de
cada empresa. Mas a rede tambm serve para pedidos de indicao de profissionais e para
a checagem de informaes sobre o candidato.
As informaes contidas em um perfil social so de grande valia para uma pratica
denominada pishing ou roubo de identidade. Informaes como, nome, cidade, viso poltica
12

e social, gostos pessoais j so suficientes para que um indivduo mal-intencionado arquitete


meios de usar desses dados para aplicar golpes.
As fotos ou lbuns publicados em redes sociais revelam informaes importantes sobre o
usurio, atravs de imagens podem-se deduzir informaes como, hbito pessoais, poder
aquisitivo, parentes, local de trabalho, locais frequentados, entre outras coisas.
Os likes ou curtidas revelam involuntariamente muito sobre os gostos pessoais e a
personalidade do usurio, podendo assim traar previamente aquilo, pelo qual o usurio se
interessaria, complementando, assim, as informaes postadas no perfil social.
As publicaes-comentrios, ou comentrios em publicao so dados importantes e
entrariam na pesquisa de qualquer engenheiro social, visto que expe de maneira clara, aquilo
que o usurio pensa, sobre determinados assuntos, podendo se deduzir, quem so os amigos
mais ntimos, quais so os assuntos potencialmente interessantes ao usurio e como ele se
posiciona em relao a estes.
A partir das informaes colhidas o engenheiro social pode aplicar inmeros golpes, sem
grandes dificuldades no levantamento dos dados, pode passar para a fase de engenhosamente
armar uma espcie de armadilha que atrair a ateno da vtima, da forma que imaginar ser
mais eficaz.
Um caso noticiado pelo portal TechTudo, em julho de 2011, exemplifica um ataque de um
engenheiro social por meio de um site de relacionamento:
George Bronk, 24 anos, foi condenado a quatro anos de cadeia por usar o
Facebook para invadir a conta de muitas mulheres. O morador da Califrnia
procurava, nos perfis da rede social, por pistas que o levassem a descobrir as
senhas dos e-mails de suas vtimas. Assim que encontrava dados, o hacker
invadia os computadores e procurava por contedo ertico. Bronk chegou a
enviar imagens das mulheres a seus maridos, namorados e colegas de
trabalho. O jovem hacker fez de vtimas mulheres em mais de 17 estados dos
Estados Unidos. (TECHTUDO, 2011).

Em 2014 uma pesquisa realizada pela Microsoft com 10 mil usurios do Brasil revela que
14% j foram vtimas de pishing:
S no Brasil, o prejuzo mdio das vtimas de danos reputao pessoal
de R$ 100 por golpe. O valor o mesmo para vtimas de danos reputao
profissional. J com prejuzo mdio com vazamentos de dados pode chegar a
R$ 1 mil. (MCSI, 2014).
13

Os ataques de engenharia social podem ser divididos em diretos e indiretos. Os ataques


diretos so aqueles em que o prprio engenheiro social tem contato com a vtima, atravs de
telefonemas, fax, a at mesmo pessoalmente. Os indiretos caracterizam-se pela utilizao de
softwares ou ferramentas para invadir, como, por exemplo, vrus, cavalos de tria e pishing.
Atentados para isso as redes sociais desenvolveram ferramentas para minimizar a exposio
dos usurios, falaremos delas no tpico seguinte.
14

3 FERRAMENTAS DE PROTEO A DADOS NO FACEBOOK.

Em seu primeiro ano o Facebook no dispunha de ferramentas de controle de dados, e o seu


usurio no conseguia limitar as informaes a determinado tipo de pblico, permitindo assim
que qualquer usurio pudesse acessar a conta de outros sem a necessidade de haver qualquer
tipo de vnculo entre as partes.

O problema foi limitado atravs do desenvolvimento de ferramentas especficas para o


controle de privacidade, onde o usurio pode limitar como bem quer quem tem acesso s suas
informaes ou postagens podendo tambm deixar de ter contato com determinados usurios.

A figura 2 exibe os tipos de configuraes disposio do usurio para configurar o modo


que suas informaes sero exibidas.

Figura. 2 exemplo configuraes de privacidade do Facebook.

Para isso, o Facebook, faz com que os usurios criem categorias de contatos, na hora de se
relacionar com novos utilizadores, geralmente todas as informaes ficam disponveis para os
contatos marcados como melhores amigos, mas tambm existe a possibilidade de criao de
outras listas, seguindo uma hierarquia no compartilhamento de dados;

Melhores Amigos: so as pessoas com as quais voc pode compartilhar


exclusivamente se quiser. Voc vai receber notificaes quando publicarem, mas
pode desativar estas notificaes extra a qualquer momento.
15

Conhecidos: pessoas com as quais voc deseja compartilhar menos. Voc pode optar
por excluir essas pessoas quando publicar algo, selecionando Amigos exceto
Conhecidos no seletor de pblico.

Restrito: essa lista para as pessoas que voc adicionou como amigo, mas com quem
no quer compartilhar contedos, como seu chefe. Ao adicionar algum lista
Restrita, essa pessoa poder ver somente seu contedo pblico ou suas publicaes em
que ela estiver marcada.

No campo do roubo de identidade, existe uma autenticao em duas fases que pode ser
ativada pelo dono do perfil (Figura 3.3). Ao efetuar o login, o usurio recebe um cdigo em
seu telefone celular, sendo necessrio inform-lo para obter acesso ao site. Este mtodo,
mesmo exigindo que o celular esteja com a pessoa o tempo todo, 100% efetivo mesmo que
o hacker possua o usurio e senha corretos da vtima.

Alm disso, o Facebook tambm contm um sistema filtrador de links, onde qualquer link
postado na linha do tempo do prprio usurio ou de outros s fique disponvel depois de
autenticada a segurana. E para inibir ataques possui tambm autenticao por captcha
solicitando a confirmao fsica do usurio e impedindo assim que softwares maliciosos
testem combinaes ou postem grande quantidade de links.
16

4 ESTUDO DE CASO.

4.1 Analise dos mecanismos de segurana do Facebook.

O estudo de caso sobre o comportamento dos usurios se baseou em duas etapas.

Na primeira foram criados dois perfis falsos no Facebook, testamos nessa etapa, os
mecanismos de segurana do Facebook, sem muita dificuldade foram criados dois perfis
falsos que podiam realizar aes comuns a todos os usurios como postagem de fotos, envios
de convites de amizade, procura de usurios, administrao de paginas ou grupos e etc.

A segunda surgiu das falhas de segurana da primeira etapa, atualizamos os dados dos perfis
pra que se parecesse com usurios reais, foram adicionadas fotos, postagens e o perfil foram
preenchidos com vrias informaes falsas que tinham a ver com o personagem criado.

O primeiro perfil mostrado na Figura 3 da usuria Letcia Souza foi criado visualizando uma
mulher de 20 anos, solteira, formada em Administrao de empresas, mineira, morando em
RJ.

Figura. 3 usuria fictcia Letcia Souza.

O segundo perfil mostrado na figura 4 do usurio Rubens Paiva foi criado visualizando um
homem de 20 anos, solteiro, formado em qumica, mineiro, morando em Par de minas MG.
17

Figura. 4 Usurio fictcio Rubens Paiva.

A partir de cada perfil foram enviadas 100 solicitaes de amizades aleatrias, no foi
escolhido um usurio em particular, 50 homens e 50 mulheres.

Os convites foram enviados da forma tradicional do Facebook, sem haver qualquer tipo de
contato antecedido ou planejado com os possveis contatos, no houve mais que uma tentativa
de envio de convites.

Foi dado um prazo de 15 para que os usurios aceitassem o convite aps esse prazo foi feita
uma anlise e organizao das informaes conseguidas, so elas:

Perfis sociais Nome, idade, local de trabalho, telefone, estado civil, entre outros.
Fotos pessoais Amigos marcados, hbitos, locais visitados constantemente.
Curtidas Gostos pessoais, hbitos, opo sexual, etc.

Cruzando esses dados vamos criar um ranking de periculosidade embasado no livro de


Mitnick(2004) Mattern (2010) e Laribee (2006), no qual os perfis sero enquadrados. O ranking
possui escala de um a quatro:

Grau 1 Perfis sem nenhuma informao especfica sobre o usurio, difcil de definir
um perfil, gostos, ou outras informaes relevantes.
Grau 2 Perfis com referncias indiretas sobre os gostos do usurio, local de
trabalho, lugares frequentados: Ex: usurios participantes de alguma pgina de
determinada banda ou time de futebol.
18

Grau 3 Perfis com referncia direta sobre os dados do usurio, como famlia, local
de trabalho, residncia, ou estudo nas pginas curtidas. Ex: fotos em local de trabalho,
ou no local de estudo, ou em lugares frequentados.
Grau 4Perfis que tenha referencia especfica sobre o usurio, como endereo,
telefone celular, e-mail pessoal entre outras coisas.

Os resultados das anlises sero postados mais a frente.

4.2 Analise dos perfis acessados por Letcia Souza e Rubens Paiva.

Quantas pessoas aceitaram o convite de um estranho?


Como mostrado no grfico uma das 200 pessoas que receberam a solicitao 115 aceitaram as
solicitaes.

Grafico 1. Convites Aceitos

15.5, 16%
4.5, 5%

75, 79%

Aceitos Rejeitados Pendentes

Nos grficos dois e trs foram separados os que aceitaram o convite entre os dois usurios.
19

Grafico 2. Convites enviados por Grafico 3. Convites enviados por


Leticia Souza Rubens Paiva

4 18
32
51
64 31

Aceitos Pendentes Rejetados Aceitos Pendentes Rejeitados

Curiosamente a usuria Letcia Souza possui um nmero bem mais expressivo de convites
aceitos, em comparao com Rubens Paiva, mostrando que a aceitao sofre interferncia de
gnero, foram 64 convites aceitos contra 51, respectivamente. Outra curiosidade que a
usuria tambm recebeu um total de 56 solicitaes de amizade contra 0 do usurio, no
deixando dvidas sobre a comprovao da hiptese anterior.

Graficos 4 . Porcentagem de Gafico 5. Porcentagem de


usuarios que aceitaram o convite usuarios que aceitaram o convite
de Leicia Souza divididos por de Rubens Paiva dividios por
sexo. sexo.

30%
42%
Homens
58% Homens 70%
Mulheres
Mulheres

Enquanto Letcia Souza teve um numero mais equiparado de convites aceitos entre ambos os
sexos, Rubens Paiva foi mais aceito por mulheres.
20

Grafico 6. Faixa etria dos usurios que aceitaram o convite de


Rubens Paiva II.

12 4 14

30

40

Indefinida 10 20 20 30 30 40 Acima 40

O grfico 4 demonstra a faixa etria dos usurios que aceitaram o convite de amizade, dentre
115 usurios, 47 tinham idade entre 23 a 30, 32 tinham de 10 20 anos, 12 de 30 a 40, 5
usurios tinham idade acima de 40.19 usurios no informaro a idade no seu perfil.

Grafico 7. Porcentagem dos usuarios que aceitaram o convite de


Leticia Souza.

4 6

30 26

36

Indefinida 10 a 20 20 a 30 30 a 40 Acima 40
21

O grfico 5 demonstra a faixa etria dos usurios que aceitaram o convite de amizade da
usuria Letcia Souza, dentre 66 usurios, 24 tinham idade entre 20 a 30, 17 tinham de 10 20
anos, 30 de 30 a 40, 4 usurios tinham idade acima de 40.3 usurios no informaram a idade
no seu perfil.

O prximo passo foi a anlise profunda de cada perfil em busca de informaes pessoais e
dados especficos.

Grafico 8. Porcentagem de usuarios que tem o perfil preenchido com


informaes sigilosas.

47%

53%

Completo Incompleto

O grfico mostra o resultado da pesquisa, num universo de 115 analisados 54 usurios


deixavam informaes como, telefone, local de trabalho, familiares, acontecimentos, eventos
totalmente disponveis a qualquer que fosse seu amigo. Por outro lado, 61 usurios
preencheram seu perfil de forma parcial, onde apesar de haver alguns dados proveitosos havia
mais dificuldade em se encontrar informaes complementares.

Uma curiosidade na pesquisa que dados sigilosos como telefone, local de trabalho ou
estudo, relacionamento familiar eram comuns a uma parte significativa dos usurios como
mostra o grfico, mas no foram encontrados casos de usurios que disponibilizaram o e-mail
de pessoal.
22

Grafico 9. Porcentagem de usuarios que expunham informaes


privadas em seu perfil.

20 %

80%

Expunham No expunham

Por ltimo os usurios foram analisados e enquadrados no ranking de riscos elaborado na


metodologia deste estudo.

Grafico 10. Usurios agrupados pelo ranking de exposio

15
33

38
14

Grau 1 Grau 2 Grau 3 Grau 4

Como mostra o grfico dos 115 usurios que aceitaram o convite apenas 37 possuem um
perfil pessoal que no oferece risco. Perfis assim possuem poucas fotos, no explicitando
nenhum gosto, por qualquer tipo de entretenimento, alm de conter poucas informaes no
23

perfil. Entretanto, os outros 78 perfis pesquisados, possuam informaes relevantes que


poderiam ser usadas num eventual ataque, 16 usurios, possuam alguns dados onde poderia
ser possvel atravs de um traado de informaes deduzirem possveis atitudes. 44 estavam
no grau 3, pois forneciam dados como, pginas curtidas que indicavam gosto pessoais,
eventos, parentes, amizades, local de trabalho e estudo. No grau 4 encontramos os usurios
que se expunham de forma detalhada, 17 usurios foram enquadrados nesse nvel, por
disponibilizar informaes como telefone celular, local de trabalho, endereo entre outras
caractersticas comuns a todos os nveis.
24

5. CONCLUSO

O intuito principal deste trabalho no foi trazer uma soluo para o problema da
engenharia social, visto que o mesmo no uma soluo pronta e nem relao com algum tipo
especifico de software e nem de hardware, com um olhar mais aprofundado pudemos ver
como essa tcnica se aproveita de sentimentos, de vontades e gostos humanos.

O foco foi o nvel de privacidade que pode ser alarmante para determinados usurios
que no utilizam das ferramentas de segurana que as redes sociais dispem ficando assim
com informaes de grande importncia e relevncia desprotegidas de um eventual garimpo
de um engenheiro social, muitas vezes se expondo atravs de opinies, curtidas, publicaes
entre outras coisas, exposio essa que poderia ser diminuda atravs de pequenas atitudes, da
utilizao correta da rede, e de uma reeducao com relao importncia dessas
informaes.

Vale ressaltar que o Facebook tecnicamente falando um site seguro, se usado de


maneira s, pode ser muito bem aproveitado por quem gosta das suas finalidades e funes, e
atravs de suas ferramentas de segurana seria possvel dificultar de grande maneira a ao de
usurios mal-intencionados, em contrapartida possvel compartilhar links sem muita
dificuldade, o que tambm uma das fontes de lucro do site.

Mesmo sendo um problema sem soluo aparente, durante o desenvolvimento desse


trabalho percebemos que algumas aes simples poderiam ser tomadas para reduzir o
problema. Do lado da plataforma, esta poderia restringir a postagens somente dos links que
esto em sua White-list outra ao interessante seria desenvolver ferramentas para auxiliar o
captcha no controle de comportamentos suspeitos e foi possvel constatar tambm que
qualquer pessoa poderia criar um perfil falso na rede ento criar alguma ferramenta que
permita a comprovao de identidade seria uma boa medida.

J para o usurio, o interessante mesmo seria uma reeducao atravs de campanhas


feitas pela sociedade ou talvez, at mesmo, pelo Facebook, falando sobre alguns riscos do
compartilhamento de informaes na rede e tambm sobre a importncia de se proteger e
como fazer isso, atravs dessas infamaes quem sabe no se criaria uma onda de proteo,
dificultando o ataque de outros usurios.
25

REFERNCIAS

MITNICK, K. The Art of Deception. 1st. ed. Los Angeles: Wiley Publishing, 2002.

TECHTUDO, Homem que usou o Facebook para perseguir mulheres em 17 estados


condenado. (2011) < http://www.techtudo.com.br/noticias/noticia/2011/07/homem-que-usou-
ofacebook-para-perseguir-mulheres-em-17-estados-e-condenado.html> Acessado em: 30 out.
2016.

DAQUINO, F. A histria das redes sociais: como tudo comeou. Tecmundo, 2012.
Disponvel em: <http://www.tecmundo.com.br/redes-sociais/33036-a-historia-das-
redessociais-como-tudo-comecou.htm>. Acesso em: 27 set. 2016.

AZEVEDO, G. Criminosos usam informaes da internet para realizar assaltos em SP.


G1, 2011. Disponvel em: <http://g1.globo.com/jornal-hoje/noticia/2011/12/criminososusam-
informacoes-da-internet-para-realizar-assaltos-em-sp.html>. Acesso em: 7 set. 2016.

HADNAGY, C. Social Engineering: The Art of Human Hacking. 1st. ed. New York: Wiley
Publishing, 2010.

G1, Homem tem casa roubada aps informar no Twitter que estava de frias. 2009.
Disponvel em: <http://g1.globo.com/Noticias/Tecnologia/0,,MUL1182742-6174,00-
HOMEM+TEM+CASA+ROUBADA+APOS+INFORMAR+NO+TWITTER+QUE+ESTAV
A+DE+FERIAS.html>. Acesso em : 7 out. 2016.

G1, Detentos 'stalkeiam' vtima por 15 dias em golpe do falso sequestro, diz PM. 2016.
Disponvel em: < http://g1.globo.com/distrito-federal/noticia/2016/10/detentos-stalkeiam-
vitima-por-15-dias-em-golpe-do-falso-sequestro-diz-pm.html>. Acessado em : 11 nov. 2016.

IDGNOW, Prejuzo mdio de brasileiro vtima de phishing de R$ 200 por ataque. 2014.
Disponvel em < http://idgnow.com.br/internet/2014/02/11/prejuizo-medio-de-vitima-de-
phishing-e-de-r-200-por-ataque/>, Acessado em: 5 nov. 2016.

TERRA, Facebook completa 10 anos: conhea a histria da rede social. 2014. Disponvel
em:< https://tecnologia.terra.com.br/facebook-completa-10-anos-conheca-a-historia-da-rede-
social,c862b236f78f3410VgnVCM20000099cceb0aRCRD.html >. Acessado em : 5 nov.
2016.

G1, Curtidas no Facebook revelam muito sobre a personalidade do usurio, diz estudo.
2015. Disponvel em: < http://g1.globo.com/ciencia-e-saude/noticia/2015/01/curtidas-no-
facebook-revelam-personalidade-do-usuario-diz-estudo.html >. Acessado em: 4 nov. 2016.
26

VIVO, Conhea os tipos de redes sociais que existem. 2014. Disponvel em: <
https://segurancaonline.vivo.com.br/portal/public/conteudo/artigo/s/conheca-os-tipos-de-
redes-sociais-que-existem_ >. Acessado em: 30. Out. 2016.

BBC, O que os criminosos online esperam que voc revele sobre sua identidade. 2016.
Disponvel em: < http://www.bbc.com/portuguese/geral-36806342?ocid=socialflow_facebook
>. Acessado em: 30 out. 2016.

IBOPE, Nmero de usurios de redes sociais ultrapassa 46 milhes de brasileiros. 2013.


Disponvel em < http://www.ibope.com.br/pt-br/noticias/paginas/numero-de-usuarios-de-
redes-sociais-ultrapassa-46-milhoes-de-brasileiros.aspx>. Acessado em: 30 out.2016.

G1, Facebook atinge marca de 1 bilho de usurios todos os dias. 2016. Disponivel em: <
http://g1.globo.com/tecnologia/noticia/2016/04/facebook-atinge-marca-de1-bilhao-de-
usuarios-todos-os-dias.html >. Acessado em: 10 out. 2016.

BORNATOVSKI, Eros; SILVA, Peterson; CARLA, Diane; CAMILLO, Samuel A.;


POMBEIRO, Orlei (2006). Invaso de Privacidade por meio de Rastreamento de
Informao. Sociedade Paranaense de Ensino e Informtica.

LARIBEE, Lena. Development of Methodical Social Engineering Taxonomy Project.


(2006). Naval Postgraduate School. Disponvel em <
http://faculty.nps.edu/ncrowe/oldstudents/laribeethesis.htm >. Acessado em: 12/11/2016.

MATTERN, Jennifer. 5 Things to Keep Off Social Networking Profiles. (2010). Social
Implications. Disponvel em: < https://socialimplications.com/5-things-to-keep-off-social-
networking-profiles-if-youll-ever-be-job-hunting-again/> Acessado em 13/11/2016.