Pgina 1

Engenharia Social e a Criminalidade

Edson Melo de Souza, 20/01/2010 O termo Engenharia Social pode ser definido como a "Arte de Enganar, conscientemente, explorando os sentimentos do outro", opa, psicologia, sim, psicologia "instrumental". Alguns autores costumam dizer que Engenharia Social nada mais do um nome bonito para estelionato, falcatrua, enfim, cada um pode definir sua maneira, entretanto a prtica amplamente utilizada por todos os seres humanos, seja para o bem ou no. Um das maiores fragilidades do ser humano o fato de permitir que suas emoes venham na frente da sua razo. Fato! Uma criana j usa do benefcio da vulnerabilidade dos que a cercam para colocar em prtica, claro que inconscientemente, suas tcnicas. Vejamos o caso da criana que ao levar uma bronca, lana mo de um sorriso encantador, neste caso, ningum vai resistir e, consequentemente, amolecer. ai que a criana "entende" a vulnerabilidade e passa a usar aquele mtodo, pois a vantagem clara e eficiente. Um segundo caso, que muito comum, acontece quando precisamos de algum tipo de favorecimento e usamos o fator "distrao" para obter um acesso em determinado local onde no somos autorizados. Por acaso voc alguma vez j tentou, e conseguiu, fato, entrar em algum lugar alegando ter esquecido o crach? RG? Em 90% dos casos onde a engenharia social aplicada, o fator sentimental somado com a distrao so as chaves do sucesso do "golpe". As pessoas se sentem importantes quando so chamadas pelo nome e tendem a "abrir a guarda" quanto essa importncia elevada. Passando para o lado tcnico da Engenharia Social, podem-se perceber diversas maneiras de arquitetar uma forma de aplic-la para obter algum benefcio. Casos como de roubo de cartes eletrnicos no prprio caixa, o velho golpe do "Boa Noite Cinderela", entre outros. Dentro do ambiente corporativo encontramos vrias portas abertas para que as informaes possam ser desviadas e, consequentemente, carem na mo da concorrncia ou at mesmo, prejudicar os funcionrios da corporao. Como foi dito anteriormente, a Engenharia Social visa a "pessoa" e no o "sistema". Neste caso, os funcionrios so o alvo dos atacantes ou criminosos virtuais.

Pgina 2

Toda empresa possui algum sistema de segurana, seja ele fsico tal como o uso de crach e/ou informatizados como, por exemplo, com softwares de proteo para autenticao. Pensando por este lado, a Engenharia Social utilizada para transpor as barreiras da segurana por meio de instrumentos "pessoas" que esto vulnerveis. Os criminosos buscam obter informaes das empresas atravs dos funcionrios, pois normalmente estes so desatentos e "conversam" sobre assuntos sigilosos ou estratgicos do trabalho em ambientes abertos tais como restaurantes, conduo, ponto de nibus, entre outros, e ai que os criminosos esto prestando ateno para descobrir as vulnerabilidades e atacar com "conhecimento de causa". Alguns cuidados devem ser tomados para que no sejam criadas vulnerabilidades: Nunca conversar sobre detalhes de falhas ou ento sobre o funcionamento dos sistemas da sua empresa em pblico; Destruir todo e qualquer tipo de documentao que no seja mais til, pois o lixo o melhor lugar para se conhecer pessoas e processos; Nunca use um Pendrive ou CD/DVD que ganhou de alguma fonte no confivel, ele pode conter programas que daro acesso remoto ao criminoso; Nunca deixe documentos sobre a mesa, utilize a poltica da "mesa limpa", ao sair tranque tudo; Sua senha "somente sua", nunca compartilhe ou deixe anotada em local de fcil acesso.

Essas so algumas dicas de como se proteger dos ataques criminosos, mas vale lembrar que "voc" deve sempre ter em mente que qualquer situao estranha deve ser investigada, ou seja, qualquer anormalidade dever ser reportada ao superior.

Caso 1

Para demonstrar a importncia da segurana da informao, vou descrever dois casos onde participei em alguma etapa do processo.

Para obter acesso a uma empresa, um consultor esqueceu, propositalmente, um CD no balco da entrada do prdio no qual queria testar o nvel de segurana. N contedo do CD haviam arquivos de texto e algumas planilhas eletrnicas, entretanto entre eles havia um programa "trojan" para "pescar" senhas e informaes sigilosas.

Pgina 3

No CD foi impresso o seguinte ttulo: Folha de Pagamento Diretoria - Confidencial Aps deixar o local, o consultor ficou aguardando no carro com uma conexo 3G e conectado no site que estava "esperando" as informaes. Bastaram 8 minutos para que ele tivesse acesso a uma mquina e, nos prximos 30 minutos, j tinha infectado mais de 100 mquinas da empresa. O objetivo deste teste foi o de medir o impacto quanto necessidade de um treinamento para os colaboradores, pois a curiosidade das pessoas vai alm da sua razo e, sobretudo, das normas.

Caso 2

Em uma determinada empresa do interior de Minas Gerais, diversos projetos foram copiados por uma empresa concorrente. Durante um ano as investigaes internas no conseguiram descobrir como ocorreu o vazamento. Passados 8 meses da finalizao da investigao, o problema ocorreu com outra empresa de outro segmento, mas desta vez no foi difcil encontrar o responsvel, na verdade "a" responsvel. Quando todos acreditavam ser um funcionrio de nvel intermedirio para elevado, constatou-se que se tratava da faxineira onde, aps um levantamento bem detalhado de suas informaes, foi verificado que a mesma era engenheira. Apesar de parecer clich de filme americano um fato real. Quando interrogada pelos policiais a falsria disse a seguinte frase: "Ningum d valor para o faxineiro, porque muitas vezes acham at mesmo que no sabem ler, por isso deixam gavetas abertas, papeis confidenciais sobre as mesmas. Vocs acham que eu ia perder a oportunidade?"

Concluso
Vimos que a engenharia social uma tcnica muito perigosa para as pessoas e empresas, todo cuidado pouco e todos os dias novas formas de ataques esto sendo desenvolvidas. Por esse motivo, toda ateno pouca! Um grande abrao.