Engenharia Social é um
método utilizado para obter acesso à informações
importantes ou sigilosas em organizações ou sistemas por
meio da enganação ou exploração da confiança das
pessoas. Para isso, o golpista pode se passar por outra
pessoa, assumir outra personalidade, fingir que é um
profissional de determinada área, etc. É uma forma de
entrar em organizações muito facilmente, porque não
necessita da força bruta ou de erros em máquinas, ela
explora com muita sofisticação as falhas de segurança
dos humanos, que quando não treinados para esses
ataques, podem ser facilmente manipulados. Algumas
empresas investem fortunas em tecnologias de segurança
de informações e protegem fisicamente seus sistemas, mas
a maioria não possui métodos que protegem seus
funcionários das armadilhas de engenharia social.
Entendendo a Engenharia
Social
Engenharia social compreende na aptidão dos indivíduos
manterem-se atualizados com diversas questões
pertinentes a tecnologia da informação, além de não
estarem conscientes do valor da informação que eles
possuem e, portanto, não terem preocupação em proteger
essa informação. É importante salientar que,
independente do hardware, software e plataforma
utilizada, o elemento mais vulnerável de qualquer
sistema é o ser humano, o qual possui traços
comportamentais e psicológicos que o torna susceptível a
ataques de engenharia social. Dentre essas
características, pode-se destacar:
-
Vontade de ser útil
: O ser humano, comumente, procura agir com
cortesia, bem como ajudar outros quando
necessário.
-
Busca por novas
amizades : O ser humano costuma se agradar e
sentir-se bem quando elogiado, ficando mais
vulnerável e aberto a dar informações.
-
Propagação de
responsabilidade : Trata-se da situação na qual
o ser humano considera que ele não é o único
responsável por um conjunto de atividades.
-
Persuasão :
Compreende quase uma arte a capacidade de
persuadir pessoas, onde se busca obter respostas
específicas. Isto é possível porque as pessoas
têm características comportamentais que as
tornam vulneráveis a manipulação.
Técnicas
A maioria das técnicas de engenharia social consiste em
obter informações privilegiadas enganando os usuários de
um determinado sistema através de identificações falsas,
aquisição de carisma e confiança da vítima. Um ataque de
engenharia social pode se dar através de qualquer meio
de comunicação. Tendo-se destaque para telefonemas,
conversas diretas com a vítima, e-mail e WWW. Algumas
dessas tecnicas são:
Vírus que se espalham por e-mail
Criadores de vírus geralmente usam e-mail para a
propagar de suas criações. Na maioria dos casos, é
necessário que o usuário ao receber o e-mail execute o
arquivo em anexo para que seu computador seja
contaminado. O criador do vírus pensa então em uma
maneira de fazer com que o usuário clique no anexo. Uma
dos métodos mais usados é colocar um texto que desperte
a curiosidade do usuário. O texto pode tratar de sexo,
de amor, de notícias atuais ou até mesmo de um assunto
particular do internauta. Um dos exemplos mais clássicos
é o vírus I Love You, que chegava ao e-mail das pessoas
usando este mesmo nome. Ao receber a mensagem, muitos
pensavam que tinham um(a) admirador(a) secreto(a) e na
expectativa de descobrir quem era, clicavam no anexo e
contaminam o computador. Repare que neste caso, o autor
explorou um assunto que mexe com qualquer pessoa. Alguns
vírus possuem a característica de se espalhar muito
facilmente e por isso recebem o nome de worms (vermes).
Aqui, a engenharia social também pode ser aplicada.
Imagine, por exemplo, que um worm se espalha por e-mail
usando como tema cartões virtuais de amizade. O
internauta que acreditar na mensagem vai contaminar seu
computador e o worm, para se propagar, envia cópias da
mesma mensagem para a lista de contatos da vítima e
coloca o endereço de e-mail dela como remetente. Quando
alguém da lista receber a mensagem, vai pensar que foi
um conhecido que enviou aquele e-mail e como o assunto é
amizade, pode acreditar que está mesmo recebendo um
cartão virtual de seu amigo. A tática de engenharia
social para este caso, explora um assunto cabível a
qualquer pessoa: a amizade.
E-mails falsos (spam)
Este é um dos tipos de ataque de engenharia social mais
comuns e é usado principalmente para obter informações
financeiras da pessoa, como número de conta-corrente e
senha. Neste caso, o aspecto explorado é a confiança.
Boa parte dos criadores desses e-mails são criminosos
que desejam roubar o dinheiro presente em contas
bancárias. Porém, os sistemas dos bancos são muito bem
protegidos e quase que invioláveis! Como é inviável
tentar burlar a seguranças dos sistemas bancários, é
mais fácil ao criminoso tentar enganar as pessoas para
que elas forneçam suas informações bancárias. A tática
usada é a seguinte: o criminoso adquire uma lista de
e-mails usados para SPAM que contém milhões de
endereços, depois vai a um site de um banco muito
conhecido, copia o layout da página e o salva em um site
provisório, que tem a url semelhante ao site do banco.
Por exemplo, imagine que o nome do banco seja 'Banco
Dinheiro' e o site seja www.bancodinheiro.com. O
criminoso cria um site semelhante: 'www.bancodinhero.com'
ou 'www.bancodinheiro.com.br' ou 'www.bancodinheiro.org',
enfim. Neste site, ele faz uma cópia idêntica a do banco
e disponibiliza campos específicos para o usuário
digitar seus dados confidenciais. O passo seguinte é
enviar um e-mail à lista adquirida usando um layout
semelhante ao do site. Esse e-mail é acompanhado por um
link que leva ao site falso. Para fazer com que o
internauta clique no link, o texto da mensagem pode, por
exemplo, sugerir uma premiação: "Você acaba de ser
premiado com 10 mil reais. Clique no link para atualizar
seu cadastro e receber o prêmio". Como a instituição
bancária escolhida geralmente é muito conhecida, as
chances de que o internauta que recebeu o e-mail seja
cliente do banco são grandes. Assim, ele pode pensar que
de fato foi o banco que enviou aquela mensagem, afinal,
o e-mail e o site do link tem o layout da instituição.
Como conseqüência, a vítima ingenuamente digita seus
dados e dias depois percebe que todo o dinheiro da sua
conta sumiu! Repare que em casos assim, o golpista usa a
imagem de confiabilidade que o banco tem para enganar as
pessoas. Quando a questão é e-mail falso, as
possibilidades de enganação são grandes, pois as pessoas
gostam de receber e-mails. Assim, mensagens falsas que
dizem que o internauta recebeu um cartão virtual ou
ganhou um prêmio de uma empresa grande são comuns.
Independente do assunto tratado em e-mails desse tipo,
todos tentam convencer o internauta a clicar em um link
ou no anexo. A forma utilizada para convencer o usuário
a fazer isso é uma tática de engenharia social.
Outras informações
Um filme interessante que mostra exemplos de uso de
Engenharia Social é Prenda-me se for capaz, dirigido por
Steven Spielberg e estrelado por Leonardo DiCaprio e Tom
Hanks. O filme retrata a história de Frank W. Abagnale,
ex-fraudador e especialista em combate à falsificação,
desfalques e documentos seguros.
Um livro que pode também ser útil para maior compreensão
do assunto é "The Art of Deception" (editado no Brasil
com o nome de "A Arte de Enganar"), de autoria de Kevin
Mittnick e William Simon. Já o livro "Cuckoo's Egg:
tracking a spy through the maze of computer espionage",
de Cliff Stoll trata da mesma temática em forma
romanceada.
Obtido em "http://pt.wikipedia.org/wiki/Engenharia_social"
Tópicos Relacionados:
