Entendendo e Evitando a Engenharia Social: Protegendo Sistemas e Informações

Atualmente, informação constitui um bem de suma importância para as organizações dos mais variados segmentos. A Internet popularizada ao longo dos anos 90 permitiu a troca e disponibilidade de informações por meio da WWW (World Wide Web). Outros mecanismos de comunicação e troca de informações como correio eletrônico também têm proporcionado benefícios no uso profissional e pessoal. Note que a informação compreende qualquer conteúdo que possa ser armazenado ou transferido de algum modo, servindo a determinado propósito e sendo de utilidade ao ser humano. Dentro do universo de informações, muitas delas têm valor pessoal ou mesmo organizacional. Na grande maioria das situações, usuários de informações desconhecem seu valor e pode colocar a si ou uma instituição numa condição vulnerável, principalmente, quando diante de um engenheiro social, conforme discutido abaixo.

Fazer engenharia social a beber um copo

No contexto apresentado acima, a necessidade de prover segurança da informação e sistemas de informações tem sido uma questão constante nas organizações. A segurança da informação visa proteger os sistemas através de um conjunto de medidas que preservam informações e sistemas de informações, assegurando-lhes integridade, não repúdio, disponibilidade, autenticidade e confidencialidade.

Embora a grande maioria das organizações e usuários comuns possua mecanismos técnicos defensivos contra ataques, os quais exigem o usuário informar não apenas seu login (ou nome de usuário num sistema) e respectiva senha, bem como verifica a existência de vírus em arquivos, ainda assim os sistemas atuais são susceptíveis a ataques não técnicos decorrentes da engenharia social.

Considere a situação na qual um executivo de uma companhia, o qual na realidade não é funcionário dessa companhia, faz uma ligação telefônica ao administrador de sistemas dessa companhia. O executivo (i.e. engenheiro social ou hacker social) informa ao administrador de sistemas que se encontra numa viagem de negócios fora da cidade e precisa ter acesso a um relatório de um cliente a fim de fechar um negócio de milhões de reais. Em razão disto, solicita que o administrador de sistemas troque sua senha, permitindo-lhe digitar nova senha, pois do contrário ele não terá acesso ao relatório do cliente e, conseqüentemente, perderá um negocio de milhões. O administrador, então, tentando ajudá-lo emite um comando de reset para o login daquele usuário e, a partir daí, o suposto executivo obtém acesso privilegiado ao sistema da companhia, sem ter a necessidade de passar por qualquer mecanismo de detecção de intrusão.

Entendendo a Engenharia Social

Engenharia social, dentro da área de segurança de sistemas computacionais, é um termo utilizado para qualificar os tipos de intrusão não técnica, que coloca ênfase na interação humana e, freqüentemente, envolve a habilidade de enganar pessoas objetivando violar procedimentos de segurança. Um aspecto relevante da engenharia social compreende a inaptidão dos indivíduos manterem-se atualizados com diversas questões pertinentes a tecnologia da informação, além de não estarem conscientes do valor da informação que eles possuem e, portanto, não terem preocupação em proteger essa informação.

É importante salientar que, independente do hardware, software e plataforma utilizada, o elemento mais vulnerável de qualquer sistema é o ser humano, o qual possui traços comportamentais e psicológicos que o torna susceptível a ataques de engenharia social. Dentre essas características, pode-se destacar:

Vontade de ser útil – O ser humano, comumente, procura agir com cortesia, bem como ajudar outros quando necessário.

Busca por novas amizades – O ser humano costuma se agradar e sentir-se bem quando elogiado, ficando mais vulnerável e aberto a dar informações.

Propagação de responsabilidade – Trata-se da situação na qual o ser humano considera que ele não é o único responsável por um conjunto de atividades.

Persuasão – Compreende quase uma arte a capacidade de persuadir pessoas, onde se busca obter respostas específicas. Isto é possível porque as pessoas têm características comportamentais que as tornam vulneráveis a manipulação.

Importante observar que o sucesso da engenharia social depende da compreensão do comportamento do ser humano, além da habilidade de persuadir outros a disponibilizarem informações ou realizarem ações desejadas pelo engenheiro social. Perceba ainda que o medo de perder seu emprego ou vontade de ascender pode resultar na entrega de informação de natureza proprietária. Nesse sentido, observa-se que a engenharia social possui uma seqüência de passos na qual um ataque pode ocorrer:

Coleta de informações – O hacker ou engenheiro social busca as mais diversas informações dos usuários como número de CPF, data de nascimento, nomes dos pais, manuais da empresa, etc. Essas informações ajudarão no estabelecimento de uma relação com alguém da empresa visada.

Desenvolvimento de relacionamento – O engenheiro social explora a natureza humana de ser confiante nas pessoas até que se prove o contrário.

Exploração de um relacionamento – O engenheiro social procura obter informações da vítima ou empresa como, por exemplo, senha, agenda de compromissos, dados de conta bancária ou cartão de crédito a serem usados no ataque.

Execução do ataque – O hacker ou engenheiro social realiza o ataque a empresa ou vítima, fazendo uso de todas informações e recursos obtidos.

Evitando a Engenharia Social

Especialistas afirmam que a medida que nossa sociedade torna-se cada vez mais dependente da informação, a engenharia social tende a crescer e constituir-se numa das principais ameaças aos sistemas de segurança das (grandes) organizações. Entretanto, embora as situações apresentadas acima sejam um tanto indesejáveis e até certo ponto assustadoras, há mecanismos através dos quais uma organização pode implementar a fim de detectar e prevenir ataques de engenharia social. Tais medidas visam, principalmente, atenuar a participação do componente humano. Essas medidas compreendem:

Educação e Treinamento – Importante conscientizar as pessoas sobre o valor da informação que elas dispõem e manipulam, seja ela de uso pessoal ou institucional. Informar os usuários sobre como age um engenheiro social.

Segurança Física – Permitir o acesso a dependências de uma organização apenas às pessoas devidamente autorizadas, bem como dispor de funcionários de segurança a fim de monitorar entrada e saída da organização.

Política de Segurança – Estabelecer procedimentos que eliminem quaisquer trocas de senhas. Por exemplo, um administrador jamais deve solicitar a senha e/ou ser capaz de ter acesso a senha de usuários de um sistema. Estimular o uso de senhas de difícil descoberta, além de remover contas de usuários que deixaram a instituição.

Controle de Acesso – Os mecanismos de controle de acesso tem o objetivo de implementar privilégios mínimos a usuários a fim de que estes possam realizar suas atividades. O controle de acesso pode também evitar que usuários sem permissão possam criar/remover/alterar contas e instalar software danosos a organização.

Tenho observado que gasto milhares de reais na aquisição de ferramentas de segurança (detecção de intrusão, firewalls, etc) a fim de dotarem seus sistemas de maior segurança. Todavia, a maioria das empresas acredita que a solução, unicamente, técnica garantem a segurança dos sistemas. Embora eu concorde que a solução técnica seja necessária, ela por si só não é suficiente. É preciso também considerar o componente humano de um sistema de segurança da informação a fim de minimizar ou quiçá minimizar a vulnerabilidade de sistemas. 

Ataques de engenharia social na Internet

A engenharia social é um dos meios mais utilizados de obtenção de informações sigilosas e importantes. Isso porque explora com muita sofisticação as "falhas de segurança dos humanos". As empresas investem fortunas em tecnologias de segurança de informações e protegem fisicamente seus sistemas, mas a maioria não possui métodos que protegem seus funcionários das armadilhas de engenharia social. A questão se torna mais séria quando usuários domésticos e que não trabalham com informática são envolvidos.

Uma definição aceitável do que é a engenharia social é a seguinte: engenharia social é qualquer método usado para enganação ou exploração da confiança das pessoas para a obtenção de informações sigilosas e importantes. Para isso, o enganador pode se passar por outra pessoa, assumir outra personalidade, fingir que é um profissional de determinada área, etc.

Os ataques de engenharia social são muito freqüentes, não só na Internet, mas no dia-a-dia das pessoas. Mas, pelo fato do InfoWester ser um site ligado à computação, este artigo tratará apenas dos ataques que envolvem a Internet. Sendo assim, vejamos alguns casos comuns:

Vírus que se espalham por e-mail: criadores de vírus geralmente usam e-mail para a propagação de suas criações. Na maioria dos casos, é necessário que o usuário que receber o e-mail execute o arquivo em anexo para que seu computador seja contaminado. O criador do vírus pensa então em uma maneira de fazer com que o usuário clique no anexo. Uma dos métodos mais usados é colocar um texto que desperte a curiosidade do internauta. Assim, o texto pode tratar de sexo, de amor, de notícias atuais, etc. Um dos exemplos mais clássicos é o vírus I Love You, que chegava ao e-mail das pessoas usando este mesmo nome. Ao receber a mensagem, muitos pensavam que tinham um(a) admirador(a) secreto(a) e na expectativa de descobrir quem era, clicavam no anexo e contaminam o computador. Repare que neste caso, o autor explorou um assunto que mexe com qualquer pessoa.

Alguns vírus possuem a característica de se espalhar muito facilmente e por isso recebem o nome de worms (vermes). Aqui, a engenharia social também pode ser aplicada. Imagine, por exemplo, que um worm se espalha por e-mail usando como tema cartões virtuais de amizade. O internauta que acreditar na mensagem vai contaminar seu computador e o worm, para se propagar, envia cópias da mesma mensagem para a lista de contatos da vítima e coloca o endereço de e-mail dela como remetente. Quando alguém da lista receber a mensagem, vai pensar que foi um conhecido que enviou aquele e-mail e como o assunto é amizade, pode acreditar que está mesmo recebendo um cartão virtual de seu amigo. A tática de engenharia social para este caso, explora um assunto cabível a qualquer pessoa: a amizade.

E-mails falsos (scam): este é um dos tipos de ataque de engenharia social mais comuns e é usado principalmente para obter informações financeiras da pessoa, como número de conta-corrente e senha. Neste caso, o aspecto explorado é a confiança. Boa parte dos criadores desses e-mails são criminosos que desejam roubar o dinheiro presente em contas bancárias. Porém, os sistemas dos bancos são muito bem protegidos e quase que invioláveis! Como é inviável tentar burlar a seguranças dos sistemas bancários, é mais fácil ao criminoso tentar enganar as pessoas para que elas forneçam suas informações bancárias. A tática usada é a seguinte: o criminoso adquire uma lista de e-mails usados para SPAM que contém milhões de endereços, depois vai a um site de um banco muito conhecido, copia o layout da página e o salva em um site provisório, que tem a url semelhante ao site do banco. Por exemplo, imagine que o nome do banco seja Banco InfoWester e o site seja www.infowester.com. O criminoso cria um site semelhante: www.infoweste.com ou www.imfowester.com ou www.infowezter.com, enfim. Neste site, ele disponibiliza campos específicos para o usuário digitar seus dados confidenciais. O passo seguinte é enviar um e-mail à lista adquirida usando um layout semelhante ao do site. Esse e-mail é acompanhado por um link que leva ao site falso. Para fazer com que o internauta clique no link, o texto da mensagem pode, por exemplo, sugerir uma premiação: "Você acaba de ser premiado com 10 mil reais. Clique no link para atualizar seu cadastro e receber o prêmio". Como a instituição bancária escolhida geralmente é muito conhecida, as chances de que o internauta que recebeu o e-mail seja cliente do banco são grandes. Assim, ele pode pensar que de fato foi o banco que enviou aquela mensagem, afinal, o e-mail e o site do link tem o layout da instituição. Como conseqüência, a vítima ingenuamente digita seus dados e dias depois percebe que todo o dinheiro da sua conta sumiu! Repare que em casos assim, o golpista usa a imagem de confiabilidade que o banco tem para enganar as pessoas.

Quando a questão é e-mail falso, as possibilidades de enganação são grandes, pois as pessoas gostam de receber e-mails. Assim, mensagens falsas que dizem que o internauta recebeu um cartão virtual ou ganhou um prêmio de uma empresa grande são comuns. Independente do assunto tratado em e-mails desse tipo, todos tentam convencer o internauta a clicar em um link ou no anexo. A forma utilizada para convencer o usuário a fazer isso é uma tática de engenharia social.

Salas de conversa (chat): esse é um dos meios mais perigosos e costumam vitimar principalmente crianças e adolescentes. O perigo ocorre porque a conseqüência do golpe pode trazer danos físicos e morais à pessoa. Nas salas de chat, os golpistas vão ganhando a confiança da futura vítima através da conversa. Por este meio, ele aos poucos vai convencendo a pessoa a fornecer seus dados, como telefone, endereço residencial, endereço escolar, etc. Um criminoso pode, por exemplo, entrar numa sala de chat para jovens e dizer coisas que convencem uma adolescente de 13 anos de que ele pode ser o seu namorado perfeito. Ela então fornece seus dados ou marca um encontro na expectativa de ver seu "príncipe encantado". Outro exemplo pode ocorrer com um garoto que, não vendo a hora de ter a sua primeira relação sexual, acredita na conversa de uma suposta garota bonita que está louco para conhecê-lo. Em ambos os casos, as conseqüências podem ser terríveis. Golpes assim também podem ser aplicados em adultos. Por exemplo, com uma mulher divorciada e que usa um chat esperando encontrar um novo parceiro.

Existem outros tipos de ataque de engenharia social além dos citados acima. A questão é séria e mesmo uma pessoa dotada de muita inteligência pode ser vítima. Só para dar uma noção da dimensão do problema, muitos hackers atingem seus objetivos através de técnicas de engenharia social. E tudo porque o humano é um ser que, ao contrário dos computadores, é constantemente afetado por aspectos emocionais.

A melhor arma contra a engenharia social é a informação. De nada adiante as empresas usarem sistemas ultra-protegidos se seus funcionários não tiverem ciência dos golpes que podem sofrer (repare que neste caso, os golpes de engenharia social podem ocorrer não só pela Internet, mas principalmente no próprio ambiente de trabalho). No caso dos usuários domésticos, os pais devem informar a seus filhos sobre os perigos existentes e de igual forma, devem tomar cuidado quando estiverem navegando na Internet.

O grande problema é que muitos internautas, independente da idade, estão "dando seus primeiros passos na Internet" e não têm noção dos perigos existentes nela. Muitos ficam maravilhados com a "grande rede" e tendem a acreditar em tudo que lêem nesse meio. Felizmente, muitos provedores de acesso à Internet e a mídia como um todo tem dado atenção aos golpes existentes na Internet e ajudado na divulgação das formas de prevenção. Mas ainda há muito a ser feito e se governos e entidades especializadas não levarem o assunto a sério, a Internet será tão perigosa quanto andar sozinho num lugar escuro e desconhecido.