Subir Archivo

a arte de enganar

286
Ataques de Hackers: Controlando o Fator Humano na Segurança da Informação Prefácio de Steve Wozniak MAKRON Books Education

Upload: fabiano-araujo-de-souza

Post on 20-Aug-2015

1.104 views

Category:

Documents


5 download

Report

TRANSCRIPT

  1. 1. Ataques de Hackers: Controlandoo Fator Humano naSegurana da InformaoPrefcio de Steve WozniakMAKRONBooksEducationDigitalizado e revisado porDIVONCIR
  2. 2. As aventuras de Kevin Mitnick comocibercriminoso e fugitivo de umadas caadas mais exaustivas dahistria do FBI deram origem adezenas de artigos, livros, filmes edocumentrios. Desde que foi soltode uma priso federal, Mitnick deuuma virada na sua vida eestabeleceu-se como um dosespecialistas em segurana decomputadores mais requisitados detodo o mundo.Neste livro, o hacker mais famosodo mundo fornece orientaesespecficas para o desenvolvimentode protocolos, programas detreinamento e manuais paragarantir que o investimento emsegurana tcnica sofisticada deuma empresa no seja em vo. Eled conselhos sobre como evitarvulnerabilidades de segurana eespera que as pessoas estejamsempre preparadas para umataque vindo do risco mais srio detodos a natureza humana.
  3. 3. A ARTE DEENGANARAtaques de Hackers: Controlandoo Fator Humano naSegurana da InformaoTraduo:Ktia Aparecida RoqueReviso Tcnica:Olavo Jos Anchieschi GomesCoordenador de projetos de segurana em informaes. Especialista emsegurana de redes e ethical hacking. Atua no desenvolvimento depolticas de segurana e anlise de vulnerabilidades em redes LAN/WAN.So PauloBrasil Argentina Colmbia Costa Rica Chile EspanhaGuatemala Mxico Peru Porto Rico VenezuelaMITNICKPEARSONEducationKevin D. Mitnick & William L. Simon
  4. 4. 2003 by Pearson Education do Brasil Ltda2002 by Kevin D. MitnickTraduo autorizada da edio em lngua inglesa,publicada pela John Wiley & Sons. Inc.Todos os direitos reservados. Nenhuma parte desta publicao poder serreproduzida ou transmitida de qualquer modo ou por qualquer outro meio,eletrnico ou mecnico, incluindo fotocpia, gravao ou qualquer outro tipo desistema de armazenamento e transmisso de informao, sem prvia autorizao,por escrito, da Pearson Education do Brasil.Diretor Editorial: Jos Martins BragaEditora: Gislia CostaEditora de Texto: Marileide GomesPreparao: Carla MontagnerReviso: Marise Goulart e Gina Monteiro de BarrosDesigner de capa: Marcelo da Silva FranozoFotografia do autor: Monty BrintonEditorao Eletrnica: Marco Zero/ Denise DAmaro ChiaraDados Internacionais de Catalogao na Publicao (CIP)(Cmara Brasileira do Livro, SP, Brasil)Mitnick. Kevin D., (1963)MITNICK - A arte de enganar/ Kevin D. Mitnick; William L. Simon;Traduo: Ktia Aparecida Roque; reviso tcnica: Olavo Jos AnchieschiGomesTitulo original: The art of deception : controlling the human element of securityISBN: 85-346-1516-01. Computadores segurana 2. Engenharia social 3. Segurana internaI.Simon, William L., 1930 -. II. Ttulo. III. Ttulo : ataques de hackers: controlandoo fator humano na segurana da informao03-1639 CDD-005.8ndices para catlogo sistemtico:1. Computadores: segurana: Processamento de dados 005.82. Segurana de computadores: Processamento de dados 005.82003Direitos exclusivos para a lngua portuguesa cedidos Pearson Education do Brasil Ltda., uma empresado grupo Pearson EducationAv. Ermano Marchetti, 1435Cep: 05038-001 Lapa - So Paulo - SPTel: (11)3613-1222 Fax: (11) 3611-0851e-mail: [email protected]
  5. 5. Para Shelly Jaffe, Reba Vartanian, Chickie Leventhal e Mitchell Mitnicke para os falecidos Alan Mitnick, Adam Mitnicke Jack BielloPara Arynne, Victoria e David, Sheldon,Vincent e Elena
  6. 6. Engenharia socialAengenharia social usa a influncia e a persuaso para enganar as pessoas e convenc-las deque o engenheiro social algum que na verdade ele no e, ou pela manipulao. Como re-sultado, o engenheiro social pode aproveitar-se das pessoas para obter as informaes comou sem o uso da tecnologia.
  7. 7. Apresentao ixPrefcio xiIntroduo xvParte Bastidores 1Captulo 1 O Elo Mais Fraco da Segurana 3Parte A Arte do Atacante 11Captulo 2 Quando as Informaes No So Inofensivas 1 3Captulo 3 O Ataque Direto: Simplesmente Pedindo 25Captulo 4 Criando a Confiana 33Captulo 5 "Posso Ajudar?" 45Captulo 6 "Voc Pode Me Ajudar?" 63Captulo 7 Sites Falsos e Anexos Perigosos 75Captulo 8 Usando a Simpatia, a Culpa e a Intimidao 85Captulo 9 O Golpe Inverso 107Parte Alerta de Invaso 119Captulo 10 Entrando nas Instalaes 121Capitulo 11 Combinando a Tecnologia e a Engenharia Social 1 39Captulo 12 Ataques aos Empregados Iniciantes 155Capitulo 13 Trapaas Inteligentes 167Capitulo 14 A Espionagem Industrial 179Parte Eliminando as Barreiras 193Captulo 1 5 Conscientizao e Treinamento em Segurana da Informao 195Captulo 16 Recomendaes de polticas de segurana das informaescorporativas 207Um exame rpido da segurana 265Fontes 273Agradecimentos 275ndice 279
  8. 8. Ns nascemos com um impulso interno de explorar a natureza daquilo que nos cerca. Comotodos os jovens, Kevin Mitnick e eu ramos muito curiosos sobre o mundo e ansiosos paratestar a ns mesmos. Quase sempre fomos recompensados pelas nossas tentativas de apren-der coisas novas, solucionar quebra-cabeas e ganhar jogos. Mas ao mesmo tempo, o mundo ao nossoredor nos ensinou regras de comportamento que restringiam nossa necessidade de explorao livre.Para os nossos ousados cientistas e empreendedores tecnolgicos, bem como para pessoas comoKevin Mitnick, seguir essa vontade traz as maiores emoes e permite que realizemos coisas que osoutros acreditam que no podem ser feitas.Kevin Mitnick uma das melhores pessoas que conheo. Pergunte e ele responder de forma di-reta que aquilo que ele fazia a engenharia social era trapacear as pessoas. Mas Kevin no maisum engenheiro social. E mesmo quando o era, o seu motivo nunca foi enriquecer ou causar danoss outras pessoas. Isso no quer dizer que no existam criminosos perigosos e destrutivos que usama engenharia social para causar danos reais. Na verdade, foi exatamente por esse motivo que Kevinescreveu este livro para avis-los sobre eles.Este livro mostra como somos vulnerveis o governo, as empresas e cada um de ns sinvases do engenheiro social. Nessa era de conscientizao sobre a segurana, gastamos somasimensas em tecnologia para proteger nossas redes de computadores e nossos dados. Este livro mostracomo fcil enganar quem trabalha nessas reas e burlar toda essa proteo tecnolgica.Trabalhando em empresas ou no governo, forneo aqui um mapa para ajud-lo a entender comoos engenheiros sociais trabalham e o que voc pode fazer para frustr-los. Usando histrias fictciasque so divertidas e elucidativas, Kevin e Bill Simon do vida a tcnicas do submundo da engenhariasocial. Aps cada uma das histrias, h orientaes prticas que o ajudam a se proteger contra asinvases e ameaas descritas.A segurana tecnolgica deixa grandes lacunas que pessoas como Kevin podem nos ajudar afechar. Leia este livro e voc finalmente perceber que todos ns precisamos recorrer aos Mitnicksque h entre ns para obter orientao. Steve Wozniak
  9. 9. Alguns hackers destroem os arquivos ou unidades de disco inteiras das pessoas. Eles so cha-mados de Crackers ou vndalos. Alguns hackers novatos no se preocupam em aprender atecnologia; eles apenas querem baixar as ferramentas dos hackers para entrar nos sistemasde computadores, Esses so chamados de script kiddies. Os hackers mais experientes, com habili-dades em programao, desenvolvem programas para hackers e os postam na Web e nos sistemasde bulletin board. Em seguida, temos os indivduos que no tm nenhum interesse em tecnologia,mas que usam o computador apenas como uma ferramenta que os ajuda a roubar dinheiro, bens ouservios.Apesar do mito que a mdia criou sobre Kevin Mitnick, no sou um hacker malicioso.Mas estou me adiantando na histria.O INCIOO meu caminho provavelmente foi definido no incio da minha vida. Eu era uma criana bonita efeliz, mas chateada. Aps meu pai sair de casa quando eu tinha trs anos, a minha me trabalhoucomo garonete para nos sustentar Naquela poca apenas uma criana criada por uma me quetrabalhava muito, sem um horrio fixo eu era um jovem que me cuidava por conta prpria quaseque de manh at a noite. Eu era a minha prpria bab.Cresci em uma comunidade do Vale de So Fernando e tinha toda a Los Angeles para explorar;com doze anos j havia descoberto um meio de viajar de graa em toda a rea da Grande Los Angeles.Percebi certo dia que o bilhete de baldeao de nibus que havia comprado baseava-se em um padroincomum de furos em papel que os motoristas usavam para marcar o dia, a hora e o itinerrio nos bi-lhetes. Um motorista amigo, ao responder minhas perguntas cuidadosamente formuladas, contou-meonde eu poderia comprar aquele tipo especial de furador de papel.As baldeaes permitem que voc troque de nibus e continue a viagem at o seu destino, mas euhavia descoberto como us-las para viajar para qualquer lugar que quisesse de graa. A obteno daspassagens em branco foi como passear no parque: as lixeiras dos terminais de nibus estavam cheiasde blocos de passagens parcialmente usados, os quais eram jogados pelos motoristas no final de seusturnos. Com um bloco de passagens em branco e o furador, podia marcar minhas prprias baldeaese viajar para qualquer parte aonde fossem os nibus de Los Angeles. Em pouco tempo, j tinha feitotudo, menos decorar os horrios dos nibus de todo o sistema. Esse foi um exemplo precoce da minhasurpreendente memria para determinados tipos de informaes; ainda hoje consigo decorar nmerosde telefone, senhas e outras coisas.
  10. 10. A Arte de EnganarOutro interesse pessoal que surgiu logo cedo foi o meu fascnio pela mgica. Aps aprendercomo um truque novo funcionava, no parava de praticar at domin-lo bem. De certa forma, foi pelamgica que descobri como bom enganar as pessoas.Do phreaking ao hackingO meu primeiro encontro com aquilo que aprenderia a chamar de engenharia social deu-se durantemeus anos no ginsio, quando conheci outro aluno que foi pego com um hobby chamado phonephreaking. Esse um tipo de hacking que permite que voc vasculhe a rede telefnica explorando ossistemas de telefone e os empregados da empresa de telefonia. Ele me mostrou os truques que podiafazer com um telefone, como conseguir todas as informaes que a empresa de telefonia tinha sobreum cliente e como usar um nmero de teste secreto para fazer ligaes interurbanas de graa (na ver-dade elas eram de graa para ns descobri bem mais tarde que aquele no era um nmero secretode teste: as ligaes eram cobradas de alguma conta MCI da pobre empresa).Essa foi a minha apresentao engenharia social o meu jardim da infncia, por assim dizer.Ele garoto e outro phreaker que conheci pouco tempo depois me deixavam escutar as ligaes depretexto para a empresa de telefonia. Eu ouvia as coisas que eles diziam para parecerem pessoas de cre-dibilidade, aprendi sobre os diferentes escritrios das empresas de telefonia, o linguajar e os procedi-mentos. Mas esse "treinamento" no durou muito tempo; ele no precisava ser longo. Em breve esta-va aprendendo por conta prpria e me saindo melhor ainda do que aqueles primeiros professores.O curso que a minha vida tomaria nos prximos 15 anos j estava definido.Uma das minhas peas preferidas era conseguir o acesso no autorizado a uma central telef-nica e mudar a classe de servios de um colega phreaker. Quando tentava fazer uma ligao de casa,ele ouvia uma mensagem pedindo para depositar vinte e cinco centavos, porque a central da empre-sa de telefonia havia recebido informaes de que ele estava ligando de um telefone pblico.Fiquei interessado em tudo que dissesse respeito a telefones no apenas a eletrnica, scentrais e aos computadores, mas tambm a organizao corporativa, aos procedimentos e a termi-nologia. Aps algum tempo, talvez j soubesse mais sobre o sistema de telefones do que qualquerempregado da empresa. E havia desenvolvido as minhas habilidades em engenharia social at o pontode com 17 anos poder falar com a maioria dos empregados da empresa de telefonia sobre quase tudo,fosse pessoalmente ou por telefone.A minha carreira to divulgada de hacker, na verdade, comeou quando eu estava no colgio.Embora no possa descrever aqui os detalhes, basta dizer que um dos principais incentivos para asminhas primeiras aes foi ser aceito pelos caras do grupo de hackers.Naquela poca usvamos o termo hacker para descrever uma pessoa que passava grande parte dotempo mexendo com hardware e software, seja para o desenvolvimento de programas mais eficientes,seja para eliminar etapas desnecessrias e fazer um trabalho mais rapidamente. O termo agora se tor-nou pejorativo com o significado de "criminoso malicioso". Uso o termo como sempre o usei --- noseu sentido mais antigo e benigno.Terminado o colgio, fiz um curso sobre computadores no Computer Learning Center, em LosAngeles. Em alguns meses, o gerente de computadores da escola percebeu que eu havia descobertouma vulnerabilidade no sistema operacional e havia ganhado privilgios administrativos totais sobreseu minicomputador IBM. Os melhores especialistas em computadores do seu corpo docente noconseguiram descobrir como eu havia feito aquilo. Este deve ter sido um dos primeiros exemplos de"contrate o hacker", pois recebi uma oferta irrecusvel: criar um projeto honors (dentro dos padres exii
  11. 11. Prefcionormas) para melhorar a segurana dos computadores da escola, ou enfrentar a suspenso por ter inva-dido o sistema. claro que preferi criar o projeto e acabei me formando Cum Laude with Honors,Tomando-me um engenheiro socialAlgumas pessoas acordam de manh temendo a sua rotina de trabalho nas proverbiais minas de sal.Tive sorte e gosto do meu trabalho. Voc no pode imaginar o desafio, a gratificao e o prazer quesentia no perodo em que trabalhei como detetive particular. Eu estava aperfeioando meus talentosna arte teatral chamada engenharia social fazer com que as pessoas faam coisas que normalmenteno fariam para um estranho e sendo pago para fazer isso.Para mim no foi difcil tornar-me proficiente em engenharia social. O lado paterno da minhafamlia trabalhava com vendas h geraes, de modo que a arte da influncia e persuaso pode ter sidoum trao que herdei. Quando voc combina uma inclinao para enganar as pessoas com os talentosda influncia e persuaso, voc chega ao perfil de um engenheiro socialPode-se dizer que h duas especialidades dentro da classificao do cargo de artista da trapaa.Algum que faz falcatruas e engana as pessoas para tirar o seu dinheiro pertence a uma subespeciali-dade chamada grifter. Algum que usa a fraude, a influncia e a persuaso contra as empresas, em ge-ral visando suas informaes, pertence a outra subespecialidade: o engenheiro social. Desde a pocado meu truque com a baldeao de nibus, quando era jovem demais para saber que era errado aquiloque estava fazendo, eu havia comeado a reconhecer um talento para descobrir os segredos que euno deveria saber, Aproveitei aquele talento usando a fraude, conhecendo o jargo e desenvolvendouma habilidade de manipulao bem lapidada.Uma forma que descobri para desenvolver as habilidades da minha arte, se que posso cham-lade arte, foi escolher algumas informaes com as quais no me importava e ver se poderia conven-cer algum do outro lado do telefone a me fornec-las, s para melhorar as minhas habilidades. Damesma forma que costumava praticar meus truques de mgica, pratiquei a criao de pretextos. Pormeio de todos esses ensaios, logo descobri que poderia adquirir praticamente quaisquer informaesque desejasse.Como descrevi em meu testemunho no Congresso perante os Senadores Lieberman e Thompsonanos depois:Tive acesso no autorizado aos sistemas de computadores de algumas das maiores cor-poraes do planeta, e consegui entrar com sucesso em alguns dos sistemas de computadoresmais protegidos que j foram desenvolvidos. Usei meios tcnicos e no tcnicos para obtero cdigo-fonte de diversos sistemas operacionais e dispositivos de telecomunicaes paraestudar suas vulnerabilidades e seu funcionamento interno.Toda essa atividade visava satisfazer minha prpria curiosidade, ver o que eu poderia fazer e des-cobrir informaes secretas sobre os sistemas operacionais, telefones celulares e tudo o que chamasseminha ateno.LTIMAS IDIASReconheci desde a minha priso que minhas aes eram ilegais e que cometi invases de privacidade.Meus crimes foram motivados pela curiosidade. Eu queria saber o mximo possvel sobre omodo como funcionavam as redes de telefonia e os prs e Contras da segurana de computadores.xiii
  12. 12. Arte de EnganarPassei de uma criana que adorava fazer truques de mgica para o hacker mais conhecido do mundo,temido pelas corporaes e pelo governo. Ao pensar nesses ltimos 30 anos, tenho de admitir quetomei algumas decises ruins, motivadas pela minha curiosidade, pelo desejo de aprender sobre atecnologia e pela necessidade de um bom desafio intelectual.Hoje sou outra pessoa. Estou transformando meus talentos e o extenso conhecimento que reunisobre a segurana das informaes e sobre as tticas da engenharia social para ajudar o governo, asempresas e os indivduos a evitar, detectar e responder s ameaas da segurana da informao.Este livro mais uma forma pela qual posso usar a minha experincia para ajudar os outros aevitarem os esforos dos ladres mal-intencionados de informaes de todo o mundo. Creio que oleitor achar as histrias agradveis, elucidativas e educativas.xiv
  13. 13. Este livro contm inmeras informaes sobre a segurana das informaes e a engenharia social.Para ajud-lo a encontrar o seu caminho, apresento a sua organizao:Na Parte 1, revelo o elo mais fraco da segurana e mostro o motivo pelo qual voc e a sua empre-sa esto arriscados a sofrer ataques da engenharia socialNa Parte 2, voc ver como os engenheiros sociais brincam com a sua confiana, com o seudesejo de ser til, com a sua simpatia e com a sua credulidade para obter aquilo que eles querem. Ashistrias fictcias de ataques tpicos demonstraro que os engenheiros sociais podem assumir muitosSe acha que nunca encontrou um, provavelmente est errado. Voc reconheceria um cenriono qual j esteve nessas histrias e se perguntaria seja teve um contato com a engenharia social? Isso bem possvel. Mas depois de ler os Captulos 2 a 9, voc saber como ter a palavra final quando oprximo engenheiro social ligar.Na Parte 3, voc v como o engenheiro social faz as suas apostas em histrias criadas para mostrar como ele pode entrar nas instalaes da sua corporao, roubar o tipo de segredo que pode criarou destruir a sua empresa e frustrar as suas medidas de segurana de alta tecnologia. Os cenriosdesta seo o conscientizaro sobre as ameaas que variam da simples vingana de um empregadoate o ciberterrorismo. Se voc valoriza as informaes que mantm a sua empresa funcionando e aprivacidade dos seus dados, vai querer ler os Captulos 10 a 14 do incio ao final. importante observar que a menos que seja declarado o contrrio, as piadas deste livro so pu-ramente fictcias.Na Parte 4, falo em linguagem corporativa sobre como evitar ataques bem-sucedidos da enge-nharia social na sua organizao. O Captulo 15 fornece um roteiro de um programa de treinamentoem segurana bem-sucedido. E o Captulo 16 pode salvar o seu pescoo ele traz uma poltica desegurana completa que voc pode personalizar para a sua organizao e implementar imediatamentepara manter seguras a sua empresa e as suas informaes.Finalmente, forneci uma seo Segurana Rpida, que inclui listas de verificao, tabelas e grfi-cos que resumem as principais informaes que voc pode usar para ajudar seus empregados a frus-trar um ataque da engenharia social no trabalho. Essas ferramentas tambm fornecem informaesvaliosas que voc pode usar para criar seu prprio programa de treinamento em segurana.Voc tambm encontra diversos elementos teis: as caixas de texto "Jargo" fornecem as defini-es da engenharia social e a terminologia dos hackers de computadores, os "Recados do Mitnick"oferecem em poucas palavras o conhecimento para ajudar a fortalecer a sua estratgia de segurana,e as notas e quadros fornecem informaes prticas ou adicionais.
  14. 14. Bastidores
  15. 15. O Elo Mais Fraco da SeguranaUma empresa pode ter adquirido as melhores tecnologias de segurana que o dinheiro pode com-prar, pode ter treinado seu pessoal to bem que eles trancam todos os segredos antes de ir embo-ra e pode ter contratado guardas para o prdio na melhor empresa de segurana que existe.Mesmo assim essa empresa ainda estar vulnervel.Os indivduos podem seguir cada uma das melhores prticas de segurana recomendadas pelosespecialistas, podem instalar cada produto de segurana recomendado e vigiar muito bem a configu-rao adequada do sistema e a aplicao das correes de segurana.Esses indivduos ainda estaro completamente vulnerveis.O FATOR HUMANOAo testemunhar no Congresso h pouco tempo, expliquei que poderia conseguir senhas e outras infor-maes sigilosas nas empresas fingindo ser outra pessoa e simplesmente pedindo essas informaes.E natural querer se sentir seguro e isso leva muitas pessoas a buscarem uma falsa idia de seguran-a. Veja o caso do responsvel e carinhoso proprietrio de uma casa que tem um Medico, um cadeadode fechadura conhecido como sendo prova de roubo, o qual foi instalado na porta da frente paraproteger sua esposa, seus filhos e sua casa. Agora ele est certo de que tornou sua famlia muito maissegura com relao a intrusos. Mas e o intruso que quebra uma janela ou descobre o cdigo que abre aporta da garagem? Que tal instalar um sistema de segurana resistente? Isso melhor, mas no garantenada. Com cadeados caros ou no, o proprietrio da casa permanece vulnervelPor qu? Porque o fator humano o elo mais fraco da segurana.Com freqncia, a segurana apenas uma iluso, que s vezes fica pior ainda quando entram emjogo a credulidade, a inocncia ou a ignorncia. O cientista mais respeitado do mundo no sculo XX,Albert Einstein, disse: "Apenas duas coisas so infinitas: o universo e a estupidez humana, e eu notenho certeza se isso verdadeiro sobre o primeiro". No final, os ataques da engenharia social podem tersucesso quando as pessoas so estpidas ou, em geral, apenas desconhecem as boas prticas da seguran-a. Com a mesma atitude do nosso proprietrio de casa consciente sobre a segurana, muitos profissio-nais da tecnologia da informao (TI) conservam a idia errada de que tomaram suas empresas imunesao ataque porque usaram produtos de segurana padro firewalls, sistemas de deteco de intrusos(Intrusion Detection Systems) ou dispositivos avanados de autenticao, tais como tokens baseadosno tempo ou cartes biomtricos inteligentes. Todos que acham que os produtos de segurana sozinhosoferecem a verdadeira segurana esto fadados a sofrer da iluso da segurana, Esse o caso de viverem um mundo de fantasia: mais cedo ou mais tarde eles sero vtimas de um incidente de segurana.
  16. 16. A Arte de EnganarComo observou o consultor de segurana Bruce Schneier, "a segurana no um produto, ela um processo". Alm disso, a segurana no um problema para a tecnologia ela um problemapara as pessoas e a direo.A medida que os especialistas contribuem para o desenvolvimento contnuo de melhores tecnolo-gias de segurana, tornando ainda mais difcil a explorao de vulnerabilidades tcnicas, os atacantesse voltaro cada vez mais para a explorao do elemento humano. Quebrar a "firewall humana" quasesempre fcil, no exige nenhum investimento alm do custo de uma ligao telefnica e envolveum risco mnimo.UM CASO CLSSICO DE FRAUDEQual e a maior ameaa segurana dos bens da sua empresa? Isso fcil: o engenheiro social, ummgico inescrupuloso que faz voc olhar a sua mo esquerda enquanto com a mo direita rouba seussegredos. Esse personagem quase sempre to amistoso, desembaraado e prestativo que voc sesente feliz por t-lo encontrado.D uma olhada em um exemplo da engenharia social. No h muitas pessoas hoje que ainda se lem-bram do jovem chamado Stanley Mark Rifkin e de sua pequena aventura com o agora extinto SecurityPacific National Bank, de Los Angeles. Os relatos dessa invaso variam e Rifkin (assim como eu) nuncacontou a sua prpria verso. Assim sendo, o que vem a seguir se baseia nos relatrios publicados.Descoberta do cdigoCerto dia em 1978, Rifkin perambulou pela sala de transferncia eletrnica com acesso autorizadoapenas para os funcionrios do Security Pacific, na qual a equipe enviava e transferia vrios bilhesde dlares todos os dias.Ele trabalhava como contratado de uma empresa que desenvolvia um sistema de backup para osdados da sala de transferncia para o caso de seu computador principal ficar paralisado. Essa funodeu-lhe acesso aos procedimentos de transferncia, incluindo o modo como os funcionrios do bancoorganizavam o envio de uma transferncia. Ele aprendeu que os funcionrios do banco que estavamautorizados a pedir as transferncias eletrnicas recebiam um cdigo dirio secreto a cada manh, oqual era usado quando ligavam para a sala de transferncia.Na sala de transferncia, os funcionrios nem se davam ao trabalho de memorizar o cdigo decada dia. Eles escreviam o cdigo em um pedao de papel e o colocavam em um lugar no qual podiamv-lo facilmente. Nesse dia de novembro em particular, Rifkin tinha um motivo especfico para a suavisita. Ele queria dar uma olhada naquele papel.Ao chegar sala de transferncia, anotou os procedimentos operacionais, supostamente para tercerteza de que o sistema de backup se combinaria com os sistemas normais. Nesse meio tempo, leudiscretamente o cdigo de segurana no pedao de papel e o memorizou. Alguns minutos depois foiembora. Como declarou mais tarde, ele se sentiu como se houvesse ganhado na loteria.H essa conta no banco suo...Ao sair da sala l pelas 3 horas da tarde, ele foi direto para o telefone pblico no saguo de mrmoredo prdio, no qual depositou uma ficha e discou para a sala de transferncia eletrnica. Em seguida,transformou-se de Stanley Rifkin. consultor do banco, em Mike Hansen, um membro do Departa-mento Internacional do banco.4
  17. 17. Captulo 1 O Elo Mais Fraco da SeguranaSegundo uma fonte, a conversao foi mais ou menos esta:"Ol, aqui quem fala Mike Hansen, do Internacional", ele disse para a jovem que atendeu aotelefone.Ela pediu o nmero do escritrio. Esse era um procedimento padro e ele estava preparado."286", respondeu.A garota continuou, "Muito bem, qual o cdigo?"Rifkin disse que nesse ponto o seu corao disparado pela adrenalina "retomou o ritmo". Elerespondeu com calma "4789". Em seguida, deu as instrues para a transferncia de "dez milhes eduzentos mil dlares exatamente" para o Irving Trust Company de Nova York, a crdito do WozchodHandels Bank de Zurique, Sua, onde ele j havia aberto uma conta.Em seguida, a garota retrucou: "Muito bem, entendi. Agora preciso do nmero de estabelecimen-to entre escritrios."Rifkin comeou a suar frio; essa era uma pergunta que ele no havia previsto, algo que havia es-quecido nos detalhes da sua pesquisa. Mas conseguiu permanecer calmo, agiu como se tudo estivessebem e respondeu rapidamente: "Eu vou verificar e ligo logo em seguida." Ele ligou para outro depar-tamento do banco, s que desta vez alegou ser um empregado da sala de transferncia eletrnica. Eleconseguiu o nmero de estabelecimento e ligou novamente para a garota.Ela anotou o nmero e agradeceu. (Nessas circunstancias o seu agradecimento tem de ser consi-derado como algo altamente irnico.)Conseguindo o fechamentoAlguns dias depois, Rifkin voou para a Sua, pegou o seu dinheiro e trocou mais de US$ 8 milhescom uma agncia russa por diamantes. Ele voou de volta e passou pela alfndega americana com aspedras ocultas no cinto de carregar dinheiro. Ele havia dado o maior desfalque bancrio da histria e fez isso sem usar uma arma, sequer um computador. O curioso que sua travessura chegou spginas do Guiness Book na categoria de "a maior fraude de computadores".Stanley Rifkin usou a arte da fraude as habilidades e as tcnicas que hoje so chamadas deengenharia social. Um planejamento cuidadoso e uma boa conversa foram tudo do que precisou.E este livro fala disso das tcnicas da engenharia social (nas quais sou especializado) e comose defender contra o seu uso na sua empresa.A NATUREZA DA AMEAAA histria de Rifkin deixa bastante claro como a sua sensao de segurana pode ser enganosa. Inci-dentes como esse muito bem, eles podem no ser desfalques de US$ 10 milhes, mas so sempreprejudiciais acontecem todos os dias. Voc pode estar perdendo dinheiro agora mesmo, ou algumpode estar roubando os planos de novos produtos e voc nem sabe disso. Se isso ainda no aconteceuna sua empresa, o problema no se isso acontecer, mas sim quando acontecer.Uma preocupao crescenteO Computer Security Institute, em sua pesquisa de 2001 sobre os crimes de computadores relatouque 85% das organizaes entrevistadas detectaram quebras na segurana dos computadores nos 125
  18. 18. A Arte de Enganarmeses anteriores. Esse um nmero assustador: apenas 15 entre cem organizaes responderam quepodiam dizer que no haviam tido uma quebra de segurana durante o ano. Igualmente assustadorfoi o nmero de organizaes que informaram terem tido prejuzos financeiros devido a quebras nasegurana dos computadores: 64%. Bem mais do que metade das organizaes havia tido prejuzosfinanceiros. Tudo isso em um nico ano.Por experincia prpria, acredito que os nmeros dos relatrios como esse so um pouco exa-gerados. Suspeito da agenda das pessoas que realizam uma pesquisa. Mas isso no quer dizer que odano no seja extenso. Ele , sim. Aqueles que no planejam um incidente de segurana esto plane-jando o fracasso.Os produtos comerciais de segurana empregados na maioria das empresas visam principalmenteo fornecimento da proteo contra o intruso amador de computadores, assim como as crianas queso conhecidas como script kiddies. Na verdade, esses pretendentes a hackers com software baixa-do so mais um aborrecimento. Quanto maiores as perdas, mais reais as ameaas vindas de atacantessofisticados com alvos bem-definidos e motivados pelo ganho financeiro. Essas pessoas concentram-se em um alvo de cada vez e no so como os amadores, que tentam se infiltrar no maior nmeropossvel de sistemas. Enquanto os intrusos amadores de computadores apenas buscam a quantidade,os profissionais visam as informaes de qualidade e valorAs tecnologias como os dispositivos de autenticao (para fornecer a identidade), o controle deacesso (para gerenciar o acesso aos arquivos e recursos do sistema) e os sistemas de deteco de in-trusos (o equivalente eletrnico dos alarmes contra arrombamento) so necessrias para um programacorporativo de segurana. Mesmo assim, hoje em dia tpico de uma empresa gastar mais dinheiro emcaf do que em medidas de contra-ataque para proteger-se dos ataques segurana.Assim como uma mente criminosa no resiste tentao, a mente do hacker orientada para en-contrar maneiras de burlar as poderosas salvaguardas da tecnologia de segurana. E em muitos casos,eles fazem isso visando s pessoas que usam a tecnologia.Prticas fraudulentasH um ditado popular que diz que um computador seguro aquele que est desligado. Isso inteligente,mas falso: o hacker convence algum a entrar no escritrio e ligar aquele computador Um adversrioque quer as suas informaes pode obt-las, em geral, usando uma de vrias maneiras. Tudo uma ques-to de tempo, pacincia, personalidade e persistncia. nesse ponto que entra a arte da fraude.Para anular as medidas de segurana, um atacante, um invasor ou um engenheiro social deveencontrar um modo de enganar um usurio de confiana para que ele revele as informaes, ou de-ve enganar algum importante para que ele fornea o acesso. Quando os empregados de confiana soenganados, influenciados ou manipulados para revelar informaes sigilosas ou para executar aesque criem um buraco na segurana para que o atacante se infiltre, nenhuma tecnologia do mundo podeproteger uma empresa. Assim como os analistas de criptografia podem revelar o texto simples de umamensagem codificada encontrando um ponto fraco que permita que desviem da tecnologia da cripto-grafia, os engenheiros sociais enganam os seus empregados para desviar da tecnologia da segurana.ABUSO DE CONFIANANa maioria dos casos, os engenheiros sociais bem-sucedidos tm uma habilidade muito boa em lidarcom as pessoas. Eles so charmosos, educados e agradam facilmente os traos sociais necessrios6
  19. 19. Capitulo 1 O Elo Mais Fraco da Seguranapara estabelecer a afinidade e confiana. Um engenheiro social experiente pode ter acesso a pratica-mente qualquer informao-alvo usando as estratgias e tticas da sua habilidade.Os tecnologistas experientes tm desenvolvido solues de segurana da informao para mini-mizar os riscos ligados ao uso dos computadores, mas mesmo assim deixaram de fora a vulnerabili-dade mais significativa: o fator humano, Apesar do nosso intelecto, ns humanos voc, eu e todasas outras pessoas continuamos sendo a ameaa mais sria segurana do outro.O nosso carter nacionalNo temos conscincia da ameaa, em particular no mundo ocidental, Nos Estados Unidos, no somostreinados para suspeitarmos uns dos outros. Somos ensinados a "amar o prximo" e ter confiana e funs nos outros. Veja como difcil para as organizaes de vigilncia de vizinhana fazer com que aspessoas tranquem suas casas e seus carros. Esse tipo de vulnerabilidade bvio, e mesmo assim pareceser ignorado por muitas pessoas que preferem viver em um mundo de sonhos at se queimarem.Sabemos que nem todas as pessoas so gentis e honestas, mas vivemos como se elas fossem.Essa adorvel inocncia tem sido a estrutura da vida americana e doloroso desistir dela, Como umanao, incorporamos ao nosso conceito de liberdade a idia de que o melhor lugar para viver aquelesem cadeados e chaves,A maioria das pessoas supe que no ser enganada, com base na crena de que a probabilidade deser enganada muito baixa; o atacante, entendendo isso como uma crena comum, faz a sua solicita-o soar to razovel que no levanta suspeita enquanto explora a confiana da vtima.Inocncia organizacionalEssa inocncia que faz parte do nosso carter nacional ficou evidente quando os computadores foramconectados remotamente pela primeira vez. Lembre-se de que a ARPANet (a Rede da Agncia deProjetos de Pesquisa Avanada do Departamento de Defesa), a antecessora da Internet, foi criadacomo um modo de compartilhar informaes de pesquisa entre o governo e as instituies de pesquisae educacionais. O objetivo era a liberdade de informaes, bem como o avano tecnolgico. Muitasinstituies educacionais, portanto, configuraram os primeiros sistemas de computadores com poucaou nenhuma segurana, Um libertrio famoso dos computadores, Richard Stallman, at se recusou aproteger a sua conta com uma senha.Mas com a Internet sendo usada para o comrcio eletrnico, os perigos da pouca segurana donosso mundo eletrnico mudaram muito. O emprego de mais tecnologia no vai solucionar o proble-ma da segurana humana,Basta dar uma olhada em nossos aeroportos hoje, A segurana tornou-se imperativa e mesmoassim somos surpreendidos com notcias de passageiros que conseguiram burlar a segurana e passarcom armas pelos pontos de checagem. Como isso possvel em uma poca na qual os nossos aero-portos esto em tal estado de alerta? Os detectores de metal esto falhando? No. O problema no soas mquinas, mas o fator humano: as pessoas que operam a mquina. Os funcionrios dos aeroportospodem dirigir a Guarda Nacional e instalar detectores de metal e sistemas de reconhecimento facial,mas a educao da equipe de frente da segurana sobre como examinar adequadamente os passageirospode ajudar muito mais,O mesmo problema existe dentro do governo, das empresas e das instituies educacionais detodo o mundo, Apesar dos esforos dos profissionais de segurana, as informaes em toda a parte7
  20. 20. 8 A Arte de Enganarpermanecem vulnerveis e continuaro sendo vistas como um alvo pelos atacantes que tm habilida-des de engenharia, at que o elo mais fraco da cadeia de segurana, o elo humano, seja fortalecido,Agora mais do que nunca devemos aprender a parar de ser otimistas e nos tornarmos maisconscientes das tcnicas que esto sendo usadas por aqueles que tentam atacar a confidencialidade,integridade e disponibilidade das informaes dos nossos sistemas e redes de computadores. Nsacostumamo-nos a aceitar a necessidade da direo segura; agora est na hora de aceitar e aprender aprtica da computao defensiva.A ameaa de uma invaso que viola a nossa privacidade, a nossa mente ou os sistemas de in-formaes da nossa empresa pode no parecer real at que acontea. Para evitar tamanha dose derealidade precisamos nos conscientizar, educar, vigiar e proteger os nossos ativos de informaes,as nossas informaes pessoais e as infra-estruturas crticas da nossa nao. E devemos implementaressas precaues hoje mesmo.TERRORISTAS E FRAUDEE bvio que a fraude no uma ferramenta exclusiva do engenheiro social. O terrorismo fsico maisnoticiado e tivemos de reconhecer como nunca antes que o mundo um lugar perigoso. Afinal decontas, a civilizao apenas um verniz superficial.Os ataques a Nova York e Washington, D.C, em setembro de 2001, infundiram tristeza e medonos coraes de cada um de ns no apenas nos americanos, mas tambm em todas as pessoas bem-intencionadas de todas as naes. Agora estamos alertas para o fato de que h terroristas obcecadoslocalizados em todo o planeta, bem treinados e aguardando para lanar outros ataques contra ns.O esforo recentemente intensificado do nosso governo aumentou os nveis de nossa conscin-cia de segurana. Precisamos permanecer alertas, em guarda contra todas as formas de terrorismo eentender como os terroristas criam identidades falsas, como assumem os papis de alunos e vizinhose se misturam multido. Eles mascaram suas crenas verdadeiras enquanto conspiram contra ns praticando truques de fraude semelhantes queles que voc ver nestas pginas.Embora at onde eu saiba os terroristas ainda no usaram as artimanhas da engenharia socialpara se infiltrarem nas corporaes, nas estaes de tratamento de gua, nas instalaes de gerao deeletricidade ou em outros componentes vitais da nossa infra-estrutura nacional, o potencial para issoexiste. E isso muito fcil. A conscincia de segurana e as polticas de segurana que espero sejamcolocadas em prtica e implantadas pelo gerenciamento corporativo de primeiro escalo por causadeste livro no viro cedo demais.SOBRE ESTE LIVROA segurana corporativa uma questo de equilbrio. Pouca ou nenhuma segurana deixa a sua em-presa vulnervel, mas uma nfase exagerada atrapalha a realizao dos negcios e inibe o crescimentoe a prosperidade da empresa. O desafio atingir um equilbrio entre a segurana e a produtividade.Outros livros sobre segurana corporativa concentram-se na tecnologia de hardware e software eno abordam adequadamente a ameaa mais sria de todas: a fraude humana. A finalidade aqui aju-d-lo a entender como voc, seus colegas e as outras pessoas da sua empresa esto sendo manipuladose ensin-lo a erguer as barreiras para pararem de ser vtimas. O livro concentra-se principalmente nosmtodos no tcnicos que os invasores hostis usam para roubar informaes, comprometer a integri-
  21. 21. Captulo 1 O Elo Mais Fraco Da Seguranadade das informaes que se acredita estarem seguras, mas que no esto, ou para destruir o produtode trabalho da empresa.A minha tarefa torna-se mais difcil por causa de uma nica verdade; cada leitor ter sido manipu-lado pelos maiores especialistas de todos os tempos da engenharia social seus pais. Eles encontra-ram maneiras de fazer com que voc "para o seu prprio bem" fizesse aquilo que achavam sero melhor Os pais tomam-se os grandes contadores de histrias da mesma forma que os engenheirossociais desenvolvem com habilidade cada uma das histrias plausveis, dos motivos e das justificati-vas para atingir seus objetivos. Sim, todos fomos moldados por nossos pais: benevolentes (e, s vezes,nem tanto) engenheiros sociais.Condicionados por aquele treinamento, tornamo-nos vulnerveis manipulao. Teramos umavida difcil se tivssemos de estar sempre em guarda e desconfiando dos outros, preocupados como fato de sermos feitos de bobos por algum que est tentando se aproveitar de ns. Em um mundoperfeito, confiaramos implicitamente nos outros, certos de que as pessoas que encontramos sero ho-nestas e confiveis. Mas no vivemos em um mundo perfeito e, portanto, temos de exercer um padrode vigilncia para repelir os esforos fraudulentos dos nossos adversrios.As principais partes deste livro, as Partes 2 e 3, so formadas por histrias que mostram os enge-nheiros sociais em ao. Nessas sees, voc ler sobre: O que os phreaks (hackers da telefonia) descobriram h anos: um mtodo simples para obterum nmero de telefone no relacionado na empresa de telefonia. Vrios mtodos diferentes usados pelos atacantes para convencer at mesmo os empregadosalertas e desconfiados a revelarem seus nomes de usurio e as senhas de computador Como um gerente do Centro de Operaes cooperou para permitir que um atacante roubasseas informaes de produto mais secretas da sua empresa. Os mtodos de um atacante que enganou uma senhora para baixar software que espia cadatecla que ela digita e envia os detalhes por e-mail para ele. Como os detetives particulares obtm as informaes sobre a sua empresa e sobre voc, eposso garantir que isso far voc sentir um arrepio na espinha.Voc pode achar que as histrias das Partes 2 e 3 no so possveis, que ningum poderia tersucesso com as mentiras, com os truques sujos e os esquemas descritos. A verdade que, em cada umdesses casos, as histrias descrevem eventos que podem acontecer e acontecem; muitas delas estoacontecendo todos os dias em algum lugar do planeta, talvez at mesmo estejam acontecendo na suaempresa enquanto voc est lendo.Essas informaes abriro seus olhos para que voc proteja a sua empresa, rebata os avanos deum engenheiro social e proteja a integridade das informaes na sua vida privada.Na Parte 4, mudo de assunto. O meu objetivo aqui ajudar voc a criar as polticas de negciose o treinamento em conscientizao necessrios para minimizar as chances de seus empregados se-rem enganados por um engenheiro social. O entendimento das estratgias, dos mtodos e das tticasdo engenheiro social o ajudar a preparar-se para empregar controles razoveis que salvaguardam osseus ativos de TI, sem afetar a produtividade da sua empresa.Em resumo, escrevi este livro para aumentar a sua conscientizao sobre a sria ameaa repre-sentada pela engenharia social e para ajud-lo a ter certeza de que a sua empresa e seus empregadostm menos chances de serem explorados dessa maneira.Ou, quem sabe, devesse dizer bem menos chances de serem explorados novamente,9
  22. 22. A Arte doAtacante
  23. 23. Quando as Informaes No SoInofensivasDe acordo com a maioria das pessoas, qual a verdadeira ameaa dos engenheiros sociais? O quevoc deve fazer para se proteger?Se o objetivo capturar algum prmio altamente valioso digamos um componente vital docapital intelectual da empresa , ento talvez voc precise, no sentido figurado, apenas de um cofremais forte e de guardas mais armados. Certo?Mas na verdade a invaso da segurana de uma empresa quase sempre comea com o cara mauobtendo alguma informao ou algum documento que parece ser muito inocente, to comum e semimportncia que a maioria das pessoas da organizao no v nenhum motivo pelo qual ele deva serprotegido e restrito.O VALOR OCULTO DAS INFORMAESGrande parte das informaes aparentemente incuas de posse de uma empresa cobiada por uraatacante da engenharia social porque ela pode ter um papel vital em seu esforo de se revestir decredibilidade.Em todas estas pginas, mostro como os engenheiros sociais fazem o que fazem permitindo quevoc "testemunhe" os ataques por si mesmo apresentando a ao sob o ponto de vista das vtimase permitindo que voc coloque-se em seu lugar e mea como voc mesmo (ou talvez um dos seusempregados ou colegas) teria respondido. Em muitos casos, voc tambm experimentar os mesmoseventos sob a perspectiva do engenheiro social.A primeira histria examina a vulnerabilidade na indstria financeira.CREDITCHEXDurante muito tempo, os britnicos conviveram com um sistema bancrio muito conservador, Comoum cidado comum, voc no podia atravessar a rua e abrir uma conta no banco. No, o banco nempensaria em aceit-lo como cliente, a menos que algum cliente j bem estabelecido lhe fornecesseuma carta de recomendao.Isso muito diferente do aparentemente igualitrio sistema bancrio de hoje. Em nenhum outrolugar a nossa moderna facilidade de fazer negcios est em mais evidncia do que na Amrica demo-
  24. 24. 14 A Arte de Enganarcrtica e amistosa, na qual quase todos podem entrar em um banco e abrir facilmente uma conta cor-rente, certo? Bom, as coisas no so bem assim. A verdade que os bancos tem uma compreensvelrelutncia natural em abrir uma conta para algum que pode ter um histrico de emitir cheques semfundo isso seria como dar as boas-vindas a uma folha corrida de roubos a banco e condenaes pordesfalques. Assim sendo, muitos bancos adotam a prtica padro de atribuir polegares para cima oupara baixo para um possvel novo cliente.Uma das principais empresas que os bancos contratam para obter essas informaes um localque chamaremos de CreditChex. Elas fornecem um servio valioso a seus clientes, mas, assim comomuitas empresas, tambm podem fornecer sem querer um servio til para os engenheiros sociaisbem informados.A primeira ligao: Kim Andrews"National Bank, Kim. Voc quer abrir uma conta hoje?""Ol, Kim. Eu quero fazer uma pergunta. Vocs usam a CreditChex?""Sim.""Quando vocs ligam para a CreditChex, como voc chama o nmero que fornece umMD do Comerciante"?H uma pausa; ela est pensando na pergunta, perguntando-se do que se trata e se eladeve responder.O interlocutor continua rapidamente sem perder o ritmo: "Sabe, Kim. estou escrevendoum livro. Ele trata de investigaes particulares.""Sim", ela diz, respondendo pergunta com confiana e feliz em ajudar um escritor."Ento vocs chamam esse nmero de ID do comerciante, no ?""Hum, hum.""timo, porque eu queria ter certeza de que estava usando a linguagem certa no livro.Obrigado pela sua ajuda. At logo, Kim."A segunda ligao: Chris Talbert"National Bank, Contas Novas, Chris"."Ol, Chris. Aqui o Alex", o interlocutor diz. "Eu sou um representante do servio aocliente da CreditChex. Estamos fazendo uma pesquisa para melhorar os nossosservios. Voc tem alguns minutos?"Ela concordou e o interlocutor continua:"Muito bem qual o horrio de funcionamento da sua filial?" Ela respondeu e continuourespondendo s suas perguntas."Quantos empregados da sua filial usam o nosso servio?""Com que freqncia voc liga para ns com uma consulta?""Qual dos nossos nmeros 800 ns designamos para vocs usarem ao ligar para ns?""Os nossos representantes so sempre educados?""Qual o nosso tempo de resposta?"
  25. 25. Captulo 2 Quando as informaes No So Inofensivas"H quanto tempo voc trabalha no banco?""Qual ID de Comerciante voc est usando no momento?""Voc j encontrou alguma impreciso nas informaes que fornecemos?""Se voc tivesse alguma sugesto para melhorar o nosso servio, qual seria?"E finalmente:"Voc se importaria em preencher questionrios peridicos se os envissemos para asua filial?"Ela concordou, eles conversaram um pouco, o interlocutor desligou e Chris voltou aotrabalho.A terceira ligao: Henry McKinsey"CreditChex, Henry McKinsey, posso ajudar?"O interlocutor disse que ele era do National Bank, Ele deu o ID de Comerciante adequadoe. em seguida, o nome e o nmero do seguro social da pessoa de quem ele queria infor-maes. Henry pediu a data de nascimento e o interlocutor forneceu-a tambm.Aps alguns instantes, Harry leu a listagem na tela do seu computador.Wells Fargo informou NSF em 1998, uma vez, valor de US$ 2.066." NSF fundosinsuficientes a linguagem conhecida para os cheques que foram passados semque houvesse dinheiro em conta para a sua compensao."Alguma atividade desde ento?""Nenhuma atividade.""Houve outras consultas?""Vejamos. Sim, duas e ambas no ltimo ms. A terceira no United Credit Union, deChicago." Ele parou no prximo nome, Schenectady Mutual Investments, e teve de so-letr-lo. "Isso no Estado de Nova York", ele acrescentou.O detetive particular em aoTodas aquelas trs ligaes foram feitas pela mesma pessoa: um detetive particular que chamaremosde Oscar Grace. Grace tinha um cliente novo, um de seus primeiros clientes. Ele era tira h algunsmeses e descobriu que parte desse novo trabalho veio naturalmente, mas outra parte representava umdesafio para os seus recursos e a sua criatividade.Esse cliente classificava-se sem dvida na categoria do desafio. Os insensveis olhos privados dafico os Sam Spades e os Philip Marlowes passaram madrugadas sentados em carros obser-vando uma esposa infiel. Os detetives da vida real fazem o mesmo. Eles tambm fazem coisas sobreas quais no se escreve tanto, mas um tipo no menos importante de espionagem de esposas, ummtodo que depende mais das habilidades de engenharia social do que da luta contra o aborrecimentodas viglias na madrugada.O novo cliente de Grace era uma senhora que parecia ter um oramento bastante grande para rou-pas e jias. Ela entrou certo dia no seu escritrio e sentou-se na cadeira de couro, a nica que no tinhapapis empilhados. Ela colocou a sua bolsa Gucci na mesa com o logotipo virado para ele e anunciouque pretendia dizer ao marido que queria se divorciar, mas admitia ter "apenas um probleminha".15
  26. 26. 16 A Arte de EnganarParece que o seu marido estava um passo adiante. Ele j havia sacado o dinheiro de sua contapoupana e uma soma maior ainda da sua conta em uma corretora. Ela queria saber o destino do seupatrimnio e o advogado do seu divrcio no estava ajudando muito. Grace conjecturou que o ad-vogado era um daqueles conselheiros de altos salrios que no queriam sujar as mos com algo tocomplicado quanto saber aonde foi parar o dinheiro.Ser que Grace poderia ajudar?Ele garantiu que isso seria fcil, fez uma cotao para o servio, fora as despesas, e recebeu umcheque como primeiro pagamento.Em seguida, ele enfrentou o seu problema. O que voc faria se nunca tivesse feito um trabalhoassim antes e no soubesse muito bem por onde comear a rastrear o dinheiro? Voc avana a passosde beb. Aqui, de acordo com a nossa fonte, est a histria de Grace.Eu conhecia o CreditChex e o modo como os bancos o usavam a minha ex-mulher trabalha-va em um banco. Mas no sabia qual era o jargo e os procedimentos e seria perda de tempo tentarperguntar isso a ela.Etapa um: Aprenda a terminologia e descubra como fazer a solicitao para que parea que vocsabe do que est falando. No banco para o qual liguei, a primeira jovem, Kim, desconfiou quandoperguntei sobre como eles se identificavam quando ligavam para o CreditChex. Ela hesitou; no sabiase devia contar isso para mim. Fui derrotado por isso? Nem um pouco. Na verdade, a hesitao medeu uma pista importante, um sinal de que eu tinha de fornecer um motivo para que ela acreditasse.Quando apliquei a mentira de que estava fazendo pesquisas para um livro, ela relaxou. Voc diz que um escritor ou roteirista e todas as portas se abrem.Ela tinha outro conhecimento que teria ajudado coisas como quais informaes o CreditChexrequer para identificar a pessoa sobre a qual voc est querendo as informaes, quais informaesvoc pode pedir e a maior delas: qual era o nmero de ID de Comerciante do banco de Kim. Eu estavapronto para fazer aquelas perguntas, mas a sua hesitao enviou um sinal vermelho. Ela acreditouna histria da pesquisa para um livro, mas j tinha algumas suspeitas. Se tivesse sido mais receptivadesde o incio, eu teria pedido para que ela revelasse mais detalhes sobre seus procedimentos.Voc tem de confiar em seus instintos, ouvir com ateno o que o Mark est dizendo e comoele est dizendo isso. Essa moa parecia ser bastante inteligente para ouvir o alarme quando fizessemuitas perguntas incomuns. E embora ela no soubesse quem eu era e de qual nmero eu estavafalando, mesmo assim nesse negcio voc nunca quer que algum espalhe que est procurando al-gum e liga para obter informaes sobre os negcios. Isso acontece porque voc no quer queimara fonte voc pode ligar novamente para o mesmo escritrio em outra ocasio.JargoMARK A vtima de uma conspirao.QUEIMAR A FONTE Diz-se que um atacante queimou a fonte quando ele permite queuma vitima reconhea que ocorreu um ataque. Aps a vtima tomar conhecimento e no-tificar os outros empregados ou a direo sobre a tentativa, fica muito difcil explorara mesma fonte em ataques futuros.
  27. 27. Captulo 2 Quando as Informaes No So Inofensivas 17Sempre observo os pequenos sinais que me do uma leitura da cooperao de uma pessoa, emuma escala que vai desde "Voc parece uma boa pessoa e acredito em tudo que voc est dizendo" at"Ligue para a polcia, chame a Polcia Federal, essa pessoa no est querendo boa coisa".Entendi que Kim estava um pouco em dvida, assim, liguei para algum de uma filial diferente. Naminha segunda ligao com Chris, o truque da pesquisa a encantou. A ttica aqui incluir as perguntasimportantes entre aquelas sem conseqncias que so usadas para criar uma idia de credibilidade.Antes de entrar com a pergunta sobre o nmero do ID de Comerciante do CreditChex, fiz um pequenoteste de ltima hora fazendo uma pergunta pessoal sobre h quanto tempo ela trabalhava no banco.Uma pergunta pessoal e como um campo minado algumas pessoas pisam sobre uma mina enunca percebem; no caso de outras pessoas, a mina explode e faz com que elas saiam correndo embusca de segurana. Assim sendo, se eu fizer uma pergunta pessoal, ela responder a pergunta e o tomda sua voz no mudar, isso significa que provavelmente ela no ctica sobre a natureza da solicita-o. Posso seguramente fazer a pergunta que estou querendo sem levantar suas suspeitas, e ela talvezme dar a resposta que desejo.Mais uma coisa que um bom detetive particular sabe: nunca encerre uma conversao aps obtera informao-chave. Outras duas ou trs perguntas, um pouco de bate-papo e ento pode dizer adeus.Mais tarde, se a vtima se lembrar de alguma coisa que voc perguntou, provavelmente ela se lembra-r das ltimas perguntas. O restante em geral ser esquecido.Assim, Chris me deu o seu nmero de ID de Comerciante e o nmero de telefone que eles ligampara fazer as solicitaes, Eu ficaria mais feliz se tivesse feito algumas perguntas sobre quantas infor-maes possvel obter da CreditChex. Mas achei melhor no abusar da minha sorte.Isso era como ter um cheque em branco da CreditChex. Agora eu podia ligar e obter informaessempre que quisesse. E nem tinha de pagar pelo servio. O representante da CreditChex ficou satis-feito em compartilhar exatamente das informaes que eu queria; os dois lugares nos quais o maridoda minha cliente havia se inscrito recentemente para abrir uma conta. Assim sendo, onde estavam osbens que a sua futura ex-mulher estava procurando? Onde mais alm das instituies bancrias que ofuncionrio da CreditChex relacionou?Um ID de Comerciante nessa situao como uma senha. Se o pessoal do banco o tra-tasse como uma senha de caixa eletrnico, eles poderiam apreciar a natureza delicadadas informaes. H algum cdigo interno ou um nmero na sua organizao que noesteja sendo tratado com cuidado suficiente pelas pessoas?Analisando a trapaaTodo esse ardil baseou-se em uma das tticas fundamentais da engenharia social: ganhar acesso s in-formaes que o empregado de uma empresa trata como inofensivas, quando na verdade elas no so.A primeira funcionria do banco confirmou a terminologia para descrever o nmero de identifica-o usado ao ligar para o CreditChex: o ID de Comerciante. A segunda forneceu o nmero de telefonepara ligar para o CreditChex e a informao mais vital: o nmero de ID de Comerciante. Todas essasinformaes pareciam ser inofensivas para a funcionria. Afinal de contas, ela achou que estava falandocom algum do CreditChex e assim, qual seria o mal de divulgar o nmero?MitnickRecado do
  28. 28. A Arte de EnganarTudo isso criou a base para a terceira ligao. Grace tinha tudo o que precisava para ligar para aCreditChex, para se passar como representante de um de seus bancos clientes, o National, e simples-mente pedir as informaes que estava querendo.Com habilidades para roubar informaes to boas quanto aquelas que um trapaceiro tem pararoubar o seu dinheiro, Grace tinha talentos bem treinados para ler as pessoas. Ele conhecia a tticacomum de esconder as principais perguntas entre aquelas mais inocentes. Ele sabia que uma perguntapessoal testaria a disposio da segunda funcionria em cooperar antes de pedir inocentemente onmero do ID de Comerciante.O erro do primeiro funcionrio ao confirmar a terminologia para o nmero do ID do CreditChexfoi um erro quase impossvel de ser evitado. As informaes so to conhecidas dentro da indstriabancria que elas parecem no ter importncia o prprio modelo da inocncia. Mas a segundafuncionria, Chris, no deveria ter sido to disposta a responder perguntas sem verificar se o interlo-cutor era de fato quem dizia ser Ela deveria pelo menos ter anotado seu nome e nmero e ter ligadonovamente. Dessa forma, se mais tarde surgisse alguma dvida, ela teria um registro do nmero dotelefone usado pela pessoa. Neste caso, uma ligao como essa tomaria muito mais difcil para oatacante disfarar-se de representante do CreditChex.Teria sido melhor ainda ligar para o CreditChex usando um nmero que o banco j tinha em seusregistros no um nmero fornecido pelo interlocutor para verificar se a pessoa realmente traba-lhava l, e se a empresa eslava realmente fazendo uma pesquisa com os clientes. Dados os detalhesprticos do mundo real e as presses de tempo sob as quais a maioria das pessoas trabalha hoje emdia. seria muito esperar esse tipo de ligao telefnica de verificao, exceto quando um empregadosuspeita de que algum tipo de ataque est sendo realizado,A ARMADILHA DE ENGENHEIROE de conhecimento geral que as empresas caa-talentos usam as tticas da engenharia social pararecrutar talentos corporativos. Este um exemplo de como isso pode acontecer.No final dos anos de 1990, uma agncia de empregos no muito tica conseguiu um cliente novo,uma empresa que estava procurando engenheiros eltricos com experincia na indstria de telefonia,O piv do projeto era uma senhora dotada de uma voz rouca e um modo sexy que ela havia aprendidoa usar para desenvolver a confiana inicial e afinidade pelo telefone.A senhora resolveu atacar um provedor de servios de telefonia celular para saber se ela pode-ria localizar alguns engenheiros que estivessem tentados a atravessar a rua e ir trabalhar para umconcorrente. Ela no podia ligar para a telefonista e dizer "Quero falar com algum que tenha cincoanos de experincia como engenheiro". Em vez disso, por motivos que ficaro claros em algunsinstantes, ela comeou o assalto aos talentos buscando uma informao que parecia no ser nadasigilosa, uma informao que a empresa d para quase todas as pessoas que a pedem.A primeira ligao: a recepcionistaUsando o nome Didi Sands, a atacante fez uma ligao para os escritrios da empresade telefonia celular. Esta foi parte da conversao:Recepcionista: Boa tarde. Sou Marie. posso ajudar?Didi: Voc pode me passar para o Departamento de Transportes?18
  29. 29. Capitulo 2 Quando as Informaes No So InofensivasR: Eu no sei se temos um, vou procurar na minha listagem. Com quem falo?D: Aqui Didi.R: Voc est ligando do prdio ou.,.?D: No, eu estou fora do prdio.R: Didi de qu?D: Didi Sands. Eu tinha o ramal de Transportes, mas esqueci.R: Um momento.Para evitar suspeitas, nesse ponto Didi fez uma pergunta casual s para manter a conver-sao, com a inteno de estabelecer o fato de que ela estava "por dentro" e familiarizadacom as localizaes da empresa.D: Em qual prdio voc est Lakeview ou Main Place?R: Main Place. (pausa) O nmero 805 555 6469.Para ter um backup caso a ligao para Transportes no fornecesse aquilo que ela estavaprocurando, Didi disse que ela tambm queria falar com Imveis. A recepcionista deu essenmero tambm. Quando Didi pediu para ser transferida para Transportes, a recepcionis-ta tentou, mas a linha estava ocupada.Nesse ponto, Didi pediu um terceiro nmero de telefone, o de Contas a Receber, o qualestava localizado em um prdio corporativo em Austin, no Texas. A recepcionista pediupara ela aguardar um momento e saiu da linha. Ela estava consultando a Segurana dizen-do que estava com uma ligao telefnica suspeita e achou que havia algo de estranho.De forma alguma, responderam, e Didi no teve a menor preocupao. Ela estava fican-do meio aborrecida, mas para a recepcionista isso tudo fazia parte de um dia normal detrabalho. Aps cerca de um minuto, a recepcionista voltou linha procurou o nmerode Contas a Receber, fez a transferncia e colocou Didi na linha.A segunda ligao: PeggyA prxima conversao foi assim:Peggy: Contas a Receber, Peggy.Didi: Oi, Peggy. Aqui Didi, de Thousand Oaks.P: Oi, Didi.D: Como vai?P: Tudo bem.Em seguida, Didi usou um termo familiar no mundo corporativo que descreve o cdigode cobrana para designar as despesas no oramento de uma organizao ou grupo detrabalho especfico:D; Excelente. Tenho uma pergunta. Como encontro o centro de custo de determinadodepartamento?P; Voc tem de falar com o analista de oramento do departamento.D: Voc sabe quem o analista de oramento para Thousand Oaks a sede? Eu estoutentando preencher um formulrio e no sei qual o centro de custo apropriado.P: S sei que quando voc precisa do nmero do centro de custo, voc liga para o seuanalista de oramento.19
  30. 30. A Arte de EnganarD: Voc tem um centro de custo no seu departamento ai no Texas?P: Temos o nosso prprio centro de custo, mas eles no nos do a lista com todoseles.D: Quantos dgitos tem o centro de custo? Por exemplo, qual o seu centro de custo?P: Bem, voc trabalha no 9WC ou no SAT?Didi no tinha a menor idia de quais eram esses departamentos ou grupos, mas isso noimportava. Ela respondeu:D: 9WC.P: Ento em geral so quatro dgitos. Onde voc disse que trabalhava?D: Na sede em Thousand Oaks.P: Bem, aqui tem um para Thousand Oaks, 1A5N, com N de Nancy.Falando apenas o tempo suficiente com algum que estava disposto a ajudar, Didi con-seguiu o nmero do centro de custo de que precisava uma daquelas informaes queningum pensa em proteger, porque parece algo que nunca ter valor para uma pessoade fora.A terceira ligao: um nmero errado tilA prxima etapa para Didi seria explorar o nmero do centro de custo e transform-loem algo de valor verdadeiro, usando-o como uma ficha de pquer.Ela comeou ligando para o departamento de Imveis fingindo ter ligado para umnmero errado. Comeando com um "Desculpe incomodar, mas...", ela disse que erauma funcionria que havia perdido a lista de telefones da empresa e perguntou paraquem ela deveria ligar para conseguir uma outra cpia. O homem disse que a cpiaimpressa estava desatualizada, porque ela estava disponvel no site da intranet daempresa.Didi disse que preferia usar uma cpia impressa e o homem disse para ela ligar para Pu-blicaes e, em seguida, sem que ela pedisse talvez s para manter a senhora com vozsexy mais um pouco na linha procurou o nmero e o forneceu para ela.A quarta ligao: Bart, em PublicaesEm Publicaes, ela falou com um homem chamado Bart. Didi disse que era deThousand Oaks e que eles tinham um consultor novo que precisava de uma cpia dalista de telefones da empresa. Ela disse que uma cpia impressa funcionaria melhorpara o consultor, mesmo que estivesse meio desatualizada. Bart disse que ela teria depreencher um formulrio de requisio e envi-lo para ele.Didi disse que estava sem formulrios e com muita pressa, e perguntou se Bart no pode-ria fazer o favor de preencher o formulrio para ela. Ele concordou, no muito entusiasma-do, e Didi forneceu os detalhes. Como endereo da contratada fictcia, ela deu o nmerodaquilo que os engenheiros sociais chamam de rnail drop, o qual, nesse caso, era umaempresa de caixas postais na qual a sua empresa alugava caixas postais para situaescomo aquela.A preliminar anterior tornou-se til agora: seria cobrada uma taxa pelo custo e envio dalista. Muito bem Didi deu o centro de custo de Thousand Oaks:"1A5N, com N de Nancy".20
  31. 31. Captulo 2 Quando as Informaes No So Inofensivas 21Alguns dias depois, quando chegou a lista de telefones corporativos, Didi descobriu queisso valia mais a pena do que ela havia imaginado: ela no apenas tinha os nomes e n-meros de telefones, mas tambm quem trabalhava para quem a estrutura corporativade toda a organizao.A senhora de voz forte estava pronta para comear a caar o seu talento e fazer ligaestelefnicas em busca de pessoas. Ela havia trapaceado as informaes que precisava terpara iniciar o seu ataque usando o dom da palavra lapidado ao mximo que cada enge-nheiro social habilidoso tem. Agora ela estava pronta para receber a recompensa.Assim como as peas de um quebra-cabea, cada informao parece irrelevante sozi-nha. Porm, quando as peas so juntadas, uma figura aparece. Neste caso, a figura doengenheiro social mostrou toda a estrutura interna da empresa.Analisando a trapaaNeste ataque da engenharia social, Didi comeou conseguindo os telefones dos trs departamentosda empresa-alvo. Isso foi fcil, os nmeros que ela queria no eram segredo, particularmente para osempregados. Um engenheiro social aprende a se fazer passar por algum de dentro da empresa e Didifazia isso com habilidade,Um dos nmeros de telefone a levaram a um nmero de centro de custo, o qual foi usado emseguida para obter uma cpia da lista de telefones dos funcionrios da empresa.As principais ferramentas que ela precisava ter: parecer amistosa, usar um pouco do jargo cor-porativo e, com a ltima vtima, jogar um pouco de areia nos olhos dos outros.E mais uma ferramenta, um elemento essencial que no pode ser adquirido facilmente as ha-bilidades de manipulao do engenheiro social refinadas por meio de extensa prtica e as lies noescritas pelas geraes de homens de confiana.MAIS INFORMAES "VALIOSAS"Alem de um nmero de centro de custo e dos ramais dos telefones internos, quais outras informaesaparentemente inteis podem ser valiosssimas para o seu inimigo?Ligao telefnica para Peter Abel"Oi", a voz no outro lado da linha diz. "Sou Tom. da Parkhurst Travel. As suas passagenspara So Francisco esto prontas. Voc quer que as entreguemos ou vai retir-las?"MAIL DROP O termo do engenheiro social para uma caixa postal alugada, em geralcom um nome fictcio, a qual usada para o recebimento de documentos ou pacotesque a vtima foi convencida a enviar.JargoMitnickRecado do
  32. 32. 22 A Arte de Enganar"So Francisco?", diz Peter. "Eu no vou para So Francisco.""O senhor Peter Abeis?""Sim, mas eu no tenho nenhuma viagem programada.""Bem", disse o interlocutor com uma risada amistosa, Voc tem certeza de que no querir a So Francisco?","Se voc acha que pode convencer o meu chefe... ", retruca Peter, brincando com aconversa amistosa."Parece que houve alguma confuso", salienta o interlocutor, "No nosso sistema, tomamosas providncias de viagem pelo nmero de empregado. Talvez algum tenha usado onmero errado. Qual o seu nmero de empregado?"Peter informa o seu nmero. E por que no? Ele aparece em quase todos os formul-rios pessoais que preenche, muitas pessoas da empresa tm acesso a ele recursoshumanos, folha de pagamento e, obviamente, a agncia externa de viagens. Ningumtrata um nmero de empregado como um segredo. Que diferena faria?A resposta no difcil de descobrir. Duas ou trs informaes seriam o suficiente paramontar uma farsa efetiva o engenheiro social usando a identidade de outra pessoa.Consiga o nome de um empregado, o seu nmero de telefone, o seu nmero de emprega-do, e quem sabe tambm o nome e nmero de telefone do seu gerente, e um engenheirosocial a caminho de ser competente tem a maior parte daquilo que ele precisa para pare-cer autntico para o prximo alvo.Se algum dizendo que era de outro departamento dentro da sua empresa ligasse ontem,desse um motivo plausvel e pedisse o seu nmero de empregado, voc relutaria em dar-lhe a informao?E por falar nisso, qual o seu nmero de seguro social?A moral da histria : no d nenhuma informao pessoal ou interna da empresa, nemidentificadores para ningum, a menos que a sua voz seja conhecida e o solicitantetenha necessidade de saber a informao.EVITANDO A TRAPAAA sua empresa tem a responsabilidade de informar os empregados sobre como pode ocorrer um errosrio quando informaes no pblicas so tratadas da forma errada. Uma poltica de seguranabem desenvolvida, combinada educao e treinamento adequados, aumenta bastante a conscinciado empregado sobre o tratamento correto das informaes comerciais corporativas. Uma polticade classificao de dados ajuda voc a implementar os controles adequados para a divulgao dasinformaes. Sem uma poltica de classificao de dados, todas as informaes internas devem serconsideradas confidenciais, a menos que seja especificado o contrrio.Use estas etapas para proteger a sua empresa contra a divulgao de informaes aparentementeinofensivas: O Departamento de Segurana das Informaes precisa realizar o treinamento da conscien-tizao, o qual detalha os mtodos usados pelos engenheiros sociais. O mtodo descrito an-MitnickRecado do
  33. 33. Captulo 2 Quando as Informaes No So Inofensivas 23teriormente 3 obteno de informaes aparentemente no sigilosas e o seu uso como umaficha de pquer para ganhar a confiana de curto prazo. Cada um dos empregados precisa terconscincia de que o falo de um interlocutor ter conhecimento dos procedimentos da empresa,da linguagem e dos identificadores internos no d de maneira nenhuma a forma ou a auten-ticao para o solicitante, nem o autoriza a ter a necessidade de saber as informaes. Uminterlocutor pode ser um ex-empregado ou contratado com as informaes internas requisitas.Da mesma forma, cada corporao tem a responsabilidade de determinar o mtodo apropriadode autenticao a ser usado quando os empregados interagem com as pessoas que eles noconhecem pessoalmente ou pelo telefone.A pessoa ou as pessoas que tm o papel e a responsabilidade de criar uma poltica de classi-ficao de dados devem examinar os tipos de detalhes que parecem inofensivos e podem serusados para obter o acesso dos empregados legtimos, mas esses detalhes podem levar a in-formaes sigilosas. Embora voc nunca daria os cdigos de acesso do seu carto eletrnico,diria a algum qual servidor voc usa para desenvolver produtos de software para a empresa?Essas informaes poderiam ser usadas por uma pessoa que finge ser outra que tem acessolegtimo a rede corporativa?O simples conhecimento da terminologia interna pode fazer com que um engenheiro socialparea assumir autoridade e conhecimento. O atacante quase sempre usa esse erro comum deconceito para fazer com que suas vtimas colaborem. Por exemplo, um ID de Comerciante umidentificador que as pessoas do departamento de Contas Novas de um banco usam todos os dias.Mas tal identificador exatamente igual a uma senha. Se cada um dos empregados entender anatureza desse identificador o qual usado para autenticar positivamente um solicitante ,eles podero trat-lo com mais respeito.Nenhuma empresa bem, pelo menos muito poucas d os nmeros dos telefones diretosde seus CEOs ou diretores. A maioria das empresas, porm, no se preocupa em dar os nme-ros de telefones da maioria dos departamentos e grupos de trabalho da organizao parti-cularmente para algum que ou parece ser um empregado. Uma medida de contra-ataquepossvel seria implementar uma poltica que probe a divulgao dos nmeros internos defuncionrios, contratados, consultores e temporrios para as pessoas que no so da empresa.O mais importante desenvolver um procedimento passo a passo para identificar positiva-mente se um interlocutor que est pedindo os nmeros de telefone de fato um empregado.Como diz o ditado; at mesmo os verdadeiros paranicos provavelmente tm inimigos.Devemos assumir que cada empresa tambm tem os seus os atacantes que visam ainfra-estrutura da rede para comprometer os segredos da empresa. No acabe sendouma estatstica nos crimes de computadores; est mais do que na hora de armazenaras defesas necessrias implementando controles adequados por meio de polticas desegurana e procedimentos bem planejados.Os cdigos contbeis dos grupos de trabalho e departamentos, bem como as cpias do diret-rio corporativo (uma cpia impressa, um arquivo de dados ou uma lista eletrnica de telefo-nes na intranet) so alvos freqentes dos engenheiros sociais. Cada empresa precisa ter umapoltica escrita e bem divulgada sobre a revelao desse tipo de informao. As salvaguardasMitnickRecado do
  34. 34. 24 A Arte de Enganardevem incluir a manuteno de um registro de auditoria que estabelece os casos em que asinformaes sigilosas so divulgadas para as pessoas de fora da empresa. Informaes, tais como um nmero de empregado, por si s, no devem ser usadas comonenhum tipo de autenticao. Todo empregado deve ser treinado para verificar no apenas aidentidade do solicitante, como tambm a necessidade que o requisitante tem de saber No seu treinamento de segurana, voc deve pensar em ensinar essa abordagem aos funcio-nrios: sempre que um estranho pedir um favor, saiba primeiro como negar educadamente atque a solicitao possa ser verificada. Em seguida, antes de ceder ao desejo natural de ser o Srou a Sra. Ajuda, siga as polticas e os procedimentos da empresa com relao a verificao edivulgao das informaes no pblicas. Esse estilo pode ir contra a nossa tendncia naturalde ajudar os outros, mas um pouco de parania saudvel pode ser necessria para evitar ser aprxima vtima do engenheiro social.Como mostraram as histrias deste captulo, as informaes aparentemente inofensivas podemser a chave para os segredos mais valiosos da sua empresa.
  35. 35. O Ataque Direto: SimplesmentePedindoMuitos ataques de engenharia social so complicados e envolvem diversas etapas e planeja-mento elaborado, alm de combinar o conhecimento da manipulao e tecnologia.Sempre achei incrvel como um engenheiro social habilidoso pode atingir esse objetivo com umataque simples e direto. Como voc ver, s vezes tudo o que ele precisa simplesmente pedir asinformaes.UM MLAC RPIDOVoc quer saber o telefone de algum que no est na lista? Um engenheiro social pode lhe dar meiadzia de maneiras (e voc encontrar algumas delas descritas nas histrias deste livro), mas provavel-mente o cenrio mais simples aquele que usa uma nica ligao telefnica como esta, a seguirO nmero, por favorO atacante discou para o nmero particular da empresa de telefonia do MLAC, o Centro Mecanizadode Designao de Linhas. Uma mulher respondeu e ele disse:"Ol, aqui e Paul Anthony. Eu sou um tcnico de cabos. Oua, uma caixa de terminal aqui foi queima-da em um incndio. Os policiais acham que algum maluco tentou queimar sua prpria casa para receber oseguro. Eles me mandaram aqui sozinho para tentar refazer a fiao de todo este terminal de duzentos pa-res. Eu estou precisando de ajuda. Quais instalaes deveriam estar funcionando na South Main, 6723?".Em outras empresas de telefonia, a pessoa chamada deveria saber que as informaes de pesquisainversa sobre os nmeros no publicados devem ser fornecidas apenas para o pessoal autorizado daprpria empresa de telefonia. Mas o MLAC s conhecido dos empregados da empresa de telefonia. Eembora eles nunca dem informaes para o pblico, quem iria se recusar a ajudar um homem da em-presa que est tentando dar conta de uma tarefa difcil? Ela lamentou o fato, porque ela mesma j haviatido dias ruins no trabalho e poderia quebrar um pouco as regras para ajudar um colega com problemas.Ela forneceu o cabo, os pares e cada nmero em funcionamento designado para aquele endereo.Analisando a trapaaComo voc vai notar em todas essas histrias, o conhecimento da linguagem de uma empresa e de suaestrutura corporativa seus vrios escritrios e departamentos, o que cada um deles faz e as informa-es que tem faz parte da bagagem essencial de truques de um engenheiro social bem-sucedido.
  36. 36. da natureza humana confiar em nossos colegas, particularmente quando a solicitaopassa no teste como sendo razovel. Os engenheiros sociais usam esse conhecimentopara explorar suas vitimas e atingir seus objetivos.UM JOVEM EM FUGAUm homem que chamaremos de Frank Parsons estava foragido h anos, e ainda era procurado pelogoverno federal por fazer parte de um grupo antiguerra nos anos de 1960. Nos restaurantes, ele sesentava de frente para a porta e tinha um jeito desconcertante de sempre estar olhando para trs. Elese mudava de tempos em tempos.Certa vez Frank chegou em uma cidade que no conhecia e comeou a procurar emprego. Paraalgum como Frank, com as suas habilidades bem desenvolvidas com computadores (e tambmcom habilidades de engenharia social, embora ele nunca tenha relacionado isso em uma propostade emprego), encontrar um bom trabalho em geral no era problema. Exceto nas pocas em que aeconomia estava muito difcil, o talento das pessoas com um bom conhecimento tcnico de compu-tadores estava em alta e elas no tinham muitos problemas para dar um jeito. Frank rapidamenteencontrou uma oportunidade de emprego com um bom salrio em uma empresa grande perto deonde ele estava morando.Isso perfeito, pensou. Mas quando comeou a preencher os formulrios para o emprego, encon-trou um empecilho: o empregador exigia que o candidato fornecesse uma cpia da sua ficha criminal,a qual ele teria de obter na polcia estadual. A pilha de documentos do emprego inclua um formulriopara solicitar esse documento, e o formulrio tinha um quadradinho para uma impresso digital.Embora eles estivessem pedindo uma digital apenas do indicador direito, se eles a comparassem comuma do banco de dados do FBI, ele provavelmente em breve estaria trabalhando na cozinha de umresort financiado pelo governo federal.Ocorreu a Frank que talvez, apenas talvez, ele ainda pudesse contornar esse problema. Talvez oestado no enviasse aquelas amostras de digitais para o FBI. Como descobriria isso?Como? Ele era um engenheiro social como voc acha que ele descobriu? Ele fez uma li-gao telefnica para a polcia estadual: "Ol. Estamos fazendo um estudo para o Departamentode Justia do Estado. Estamos pesquisando os requisitos para implementar um novo sistema deidentificao de digitais. Posso falar com algum que conhea aquilo que estamos fazendo e quepossa nos ajudar?"Quando o especialista local veio ao telefone, Frank fez uma srie de perguntas sobre quais siste-mas eles usavam e as capacidades de pesquisa e armazenamento de dados das digitais. Eles haviamtido algum problema com o equipamento? Eles estavam ligados Pesquisa de Digitais do CentroNacional de Informaes sobre o Crime (NCIC) ou a jurisdio era apenas dentro do estado? O equi-pamento era fcil e todos poderiam aprender a usar?Astuciosamente, ele incluiu a pergunta-chave entre as outras.A resposta soou como msica para seus ouvidos: no, eles no estavam ligados ao NCIC, elesverificavam apenas no ndice de Informaes Criminais (CII).MitnickA Arte de Enganar26Recado do
  37. 37. Capitulo 3 O Ataque Direto: Simplesmente PedindoMitnickOs trapaceiros de informaes experientes no tm escrpulos em ligar para os gover-nos federal, estadual ou municipal para saber os procedimentos da aplicao das leis.Com tais informaes em mos, o engenheiro social pode contornar as verificaes desegurana padro da sua empresa.Isso era tudo que Frank precisava saber Ele no linha nenhum registro naquele estado, de modoque enviou o pedido de emprego, foi contratado e ningum jamais apareceu na sua mesa um dia comesta conversa "Estes senhores so do FBI e gostariam de conversar com voc".DEIXE NA PORTAApesar do mito do escritrio sem papelada, as empresas continuam imprimindo uma quantidadeimensa de papel todos os dias. As informaes impressas da sua empresa podem ser vulnerveis,mesmo que voc use as precaues de segurana e coloque um carimbo de confidencialEsta uma histria que mostra como os engenheiros sociais podem obter os seus documentosmais secretos.A trapaa do loop-aroundTodos os anos a empresa de telefonia publica uma lista chamada Lista de Nmeros de Teste (ou pelomenos costumavam fazer isso, mas como eu ainda estou na condicional no vou perguntar se aindaa publicam). Esse documento era muito cobiado pelos phreakers porque ele trazia uma lista de to-dos os nmeros de telefone guardados a sete chaves e usados pelos funcionrios, tcnicos e outrosempregados da empresa de telefonia para coisas como teste de tronco ou verificao de nmeros quesempre esto ocupados.Um desses nmeros de teste, conhecido pelo jargo de loop-around, era particularmente til. Osphreakers o usavam como um modo de entrar em contato com outros phreakers para conversar sempagar pela ligao. Tambm costumavam us-lo como um modo de criar um nmero de retorno paradar, por exemplo, a um banco. Um engenheiro social diria a algum do banco o nmero de telefonedo seu escritrio? claro que no. Quando o banco ligava de volta para o nmero de teste (loop-around), o phreaker podia receber a ligao, mas tinha a proteo de usar um nmero que no poderiaser rastreado e ele no seria encontrado.Uma Lista de Nmeros de Teste fornecia muitas informaes boas que poderiam ser usadaspor qualquer phreaker faminto por informaes. Assim sendo, quando as novas listas eram publi-cadas todos os anos, elas eram cobiadas por muitas crianas cujo hobby era explorar a rede detelefonia.O golpe de Stevie claro que as empresas de telefonia no deixam que essas listas sejam conseguidas facilmente e osphreakers tm de ser criativos para conseguir uma. Como eles podem fazer isso? Uma criana ansiosacom uma mente determinada a conseguir a lista poderia criar um cenrio como este.27Recado do
  38. 38. A Arte de EnganarMitnickO treinamento de segurana com relao poltica da empresa criada para proteger oativo de informaes precisa ser aplicado a todos que trabalham na empresa, e no ape-nas ao empregado que tem acesso eletrnico ou fsico ao ativo de IT da empresa.Em certa noite de outono no sudeste da Califrnia, Stevie liga para o escritrio central pequenoda empresa de telefonia, estabelecido no prdio no qual as linhas telefnicas vo para todas as resi-dncias e empresas da rea de servio estabelecida.Quando a telefonista de planto atende, Stevie anuncia que trabalha na diviso da empresa de te-lefonia que publica e distribui o material impresso. "Temos a nossa nova Lista de Nmeros de Teste",explica. "Mas por questes de segurana no podemos lhe entregar uma cpia antes de retirarmos aantiga. E o cara da entrega est atrasado. Se voc puder deixar a sua cpia do lado de fora da porta,ele pode passar por a, pegar a sua cpia, deixar a cpia nova e continuar o seu caminho."O desavisado telefonista parece achar que isso razovel. Ele faz exatamente o que foi pedido,coloca na porta do prdio a sua cpia da lista, a qual tem na capa um aviso em grandes letras vermelhas "CONFIDENCIAL DA EMPRESA --- QUANDO NO FOR MAIS NECESSRIO, ESTEDOCUMENTO DEVE SER DESTRUDO".Stevie estaciona o carro e olha em volta para saber se h policiais ou o pessoal da segurana daempresa de telefonia espreitando atrs das rvores ou observando em carros estacionados. Ningum vista. Ele pega calmamente a cobiada lista e vai embora.Este apenas mais um exemplo de como fcil para um engenheiro social conseguir o que querseguindo o princpio simples de "apenas pedir".ATAQUE DE GSEm um cenrio da engenharia social, os ativos da empresa no so os nicos que correm riscos. svezes, as vtimas so os clientes de uma empresa.O trabalho no servio ao cliente tem a sua parcela de frustrao, a sua parcela de risadas e asua parcela de erros inocentes sendo que alguns deles podem ter conseqncias infelizes para osclientes de uma empresa.A histria de Janie ActonJanie Acton era atendente do servio ao cliente da Hometown Electric Power, em Washington, D.C.,h pouco mais de trs anos. Ela era considerada como uma das melhores atendentes, inteligente econscienciosa.28Recado doEra a semana de Ao de Graas quando esta ligao foi recebida. O interlocutor disse: "Aqui Eduardo do Departamento de Faturamento. Tenho uma senhora na linha, ela uma secretria doescritrio executivo e trabalha para um dos vice-presidentes, Ela est pedindo algumas informaes e
  39. 39. Captulo 3 O Ataque Direto: Simplesmente Pedindo 29no posso usar o meu computador. Recebi um e-mail de uma garota de Recursos Humanos que dizia"ILOVEYOU" e quando abri o anexo, no consegui mais usar a minha mquina. Um vrus. Fui pegopor um vrus estpido. De qualquer forma, voc poderia procurar algumas informaes de clientepara mim?""E claro", Janie respondeu. "Ele destruiu o seu computador? Isso terrvel."Sim."Como posso ajudar?", Janie perguntou.Nesse ponto o atacante recorreu s informaes da sua pesquisa avanada para parecer maisautntico. Ele descobriu que as informaes que queria estavam armazenadas em algo chamado Sis-tema de Informaes de Faturamento do Cliente e descobriu como os empregados se referiam aosistema. Ele perguntou: "Voc pode abrir uma conta do CBIS?""Sim, qual o nmero da conta?""No tenho o nmero, preciso que voc a abra pelo nome.""Muito bem, qual o nome?""O nome Heather Marning". Ele soletrou o nome e Janie o digitou."Aqui est.""timo, a conta est atualizada?""Hum, hum, est sim.""Qual o nmero da conta?", ele perguntou."Voc tem um lpis?""Pronto para anotar.""Nmero de conta BAZ6573NR27Q."Ele releu o nmero e, em seguida, acrescentou: "E qual o endereo de servio?"Ela lhe deu o endereo."E qual e o telefone?"Janie gentilmente leu essa informao tambm.O interlocutor agradeceu, disse adeus e desligou. Janie foi para a prxima ligao e nunca maispensou nisso.O projeto de pesquisa de Art SealyArt Sealy desistiu de trabalhar como editor free lance para pequenas editoras quando descobriu quepoderia ganhar mais dinheiro realizando pesquisa para autores e empresas. Ele descobriu que a taxaque poderia cobrar aumentava na proporo em que a tarefa o levava mais perto da linha s vezesindistinta entre o que legal e o que ilegal. Sem nunca perceber e certamente sem nunca lhe dar estenome, Art tornou-se um engenheiro social e usava as tcnicas que so conhecidas de todo corretor deinformaes. Ele descobriu que tinha um talento nato para isso e aprendeu sozinho as tcnicas quea maioria dos engenheiros sociais tinha de aprender com os outros. Aps algum tempo, ele cruzou alinha sem o mnimo resqucio de culpa.
  40. 40. 30 A Arte de EnganarUm homem entrou em contato comigo. Ele estava escrevendo um livro sobre o Gabinete do go-verno Nixon e procurava um pesquisador que pudesse investigar William E. Simon, que havia sido osecretrio do Tesouro de Nixon. O Sr. Simon havia morrido, mas o autor tinha o nome de uma mulherque havia pertencido sua equipe. Ele estava certo de que ela ainda morava em D.C, mas no conse-guira encontrar o seu endereo. Ela no tinha um telefone em seu nome, ou pelo menos seu nome noestava na lista. Assim sendo, eles me ligaram. Eu disse a ele que no teria problema.Esse o tipo de trabalho que geralmente voc realiza em uma ou duas ligaes telefnicas, sesouber o que est fazendo. Toda empresa telefnica local pode dar as informaes. Obviamente, voctem de mentir um pouco. Mas uma mentirinha de vez em quando no faz mal a ningum, certo?Gosto de usar uma abordagem diferente de cada vez. s para que as coisas fiquem interessantes."Este fulano do escritrio executivo" sempre funcionou para mim. Assim como "tenho algum nalinha do escritrio do vice-presidente Fulano", que tambm funcionou desta vez.Nunca ache que os ataques da engenharia social precisem ter mentiras elaboradas tocomplexas que provavelmente sero reconhecidas antes de serem concludas. Algunsso ataques diretos, rpidos e muito simples, os quais nada mais so do que... bem.simplesmente pedir as informaes.Voc tem de desenvolver o instinto do engenheiro social, precisa ter uma idia da disposio dapessoa que est do outro lado em cooperar com voc. Desta vez tive a sorte de encontrar uma senhoraamistosa e til Em uma nica ligao telefnica consegui o endereo e o nmero de telefone. Missocumprida.Analisando a trapaaCertamente Janie sabia que as informaes de clientes so sigilosas. Ela nunca discutiria a conta deum cliente com outro cliente, nem daria informaes particulares para o pblico.Mas claro que para um interlocutor de dentro da empresa as regras so diferentes. Para um cole-ga de trabalho tudo se reduz a fazer parte da equipe e ajudar um ao outro a fazer o trabalho. O homemdo Departamento de Faturamento poderia ter ele mesmo procurado os detalhes se o seu computadorno tivesse sofrido um ataque de vrus, e ela ficou contente em poder ajudar um colega.O atacante chegou aos poucos s informaes principais que desejava fazendo perguntas sobrecoisas que no queria saber, tais como o nmero da conta. Mesmo assim, o nmero de conta forneceuuma segurana a mais. Se o atendente suspeitasse, ele ligaria uma segunda vez e teria mais chancesde sucesso, porque o conhecimento do nmero de conta faria com que ele parecesse mais autnticopara o atendente que ele ligasse.Nunca ocorreu a Janie que algum pudesse mentir sobre algo assim, que o interlocutor pudesseno estar no Departamento de Faturamento, E claro que a culpa no de Janie. Ela no dominava bema regra sobre ter certeza de que voc sabe com quem est falando antes de discutir as informaesdo arquivo de um cliente. Ningum jamais disse a ela sobre o perigo de uma ligao telefnica comoessa que ela recebeu, Isso no estava na poltica da empresa, no fazia parte do seu treinamento e oseu supervisor nunca mencionou algo semelhante.MitnickRecado do
  41. 41. Captulo 3 O Ataque Direto: Simplesmente PedindoEVITANDO A TRAPAAUm ponto a ser includo no seu treinamento de segurana: s porque um interlocutor ou visitanteconhece os nomes de algumas pessoas da empresa ou conhece alguns jarges ou procedimentoscorporativos, isso no quer dizer que ele quem alega ser E isso definitivamente no o estabelececomo algum que est autorizado a receber informaes internas, nem acessar o seu sistema ou redede computadores.O treinamento em segurana precisa enfatizar que quando estiver em dvida, voc precisa veri-ficar, verificar e verificar,Nos tempos antigos, o acesso s informaes dentro de uma empresa era uma marca de prestgioe privilgio. Os empregados abasteciam os fornos, faziam as mquinas funcionar, datilografavam

Segurança da Informação e Redes Sociais - dicas-l.com.br · jogos virtuais, mundos virtuais ... A Arte de Enganar: O que NÃO fazer Confiar em redes sem fios ... Não usar a mesma

Vendedor artificial A vendedora colocou um sorriso No rosto frio tentando agradar... Soou estranho, não era preciso. Agrada mais quem não tenta enganar

Três Técnicas Do FBI Para Detetar Se Alguém o Está a Enganar - Visao

Arte de ver a arte

Arte de enganar

Os números (não) mentem. Como a matemática pode ser usada para enganar você

Engenharia Social - A arte de enganar

Capas da veja. Ative sua memória e não se deixe enganar de novo

Didática: entre saberes e sabores · com a intenção de ajudar a enganar a fome antes de uma refeição. ... o álbum seriado, a escrever ade- ... Não há definição universal

Se for para esquentar, que seja o sol; Se for para enganar, que seja o estômago;

Há duas formas de nos deixarmos enganar

O Professor Coordenador Pedagógico e sua rotina de · PDF fileRomper com a divisão radical entre concepção e execução. ... Honestidade: não tentar enganar ninguém;

€¦  · Web view“Pode-se enganar todo mundo por algum tempo, e algumas pessoas durante o tempo todo, mas não se pode enganar todo o mundo por todo o tempo” (A. Lincoln)

Greenwashing planejamento estratégico de como enganar o

23 de Fevereiro de 2016 - marxismo.org.br · Se todos os líderes se vendem, por que precisa- ... eleitos para fazer. ... enganar a população. Na realidade,

A Arte de E enganar a Natureza

"Pode-se enganar a todos por algum tempo; Pode-se enganar alguns por todo o tempo; Mas não se pode enganar a todos todo o tempo..." - Bob Marley FRASES

ARTE, GAMEARTE E INDIE GAMES: SNAKE ENCHANTERanpap.org.br/anais/2015/comites/cpa/anelise_witt.pdf · vimento que parece ser de hipnose é, na verdade, um método de encarar e enganar

Arte e Raízes Sociais Da Arte Popular para a Arte Erúdita

Arte de enganar homens

A Arte do Amor Ester Carol Larissa Marlon Lucas. A Arte do amor A arte é amor a arte é carinho A arte é Deus a arte vem do filho! Olhe a arte passando

UNIVERSIDADE FEDERAL DE PERNAMBUCO CENTRO ... - … · exemplo, a capoeira angola, é um jogo lento mais no chão, e “mandigado”, (que seria a arte de enganar o oponente), ou

 · Levanta-TE: Tu podes ser mudança para ti próprio e para a realidade que te ... Pôr-se a caminho implica muitas vezes enganar-se, encontrar dificuldades,

Barroso - AOutraVoz · [email protected] A Barroso Noticias de A arte, Com Sabor, de nos enganar E NATAL! E NATAL! Os casos de insucesso da divulgação da Câmara ... ARTUR CARNEIRO

A ARTE DE VIVER DE ARTE

Não se deixe enganar

NÃO SE DEIXE ENGANAR PELAS NOVIDADES. · NÃO SE DEIXE ENGANAR PELAS NOVIDADES. Title: INC-cigarroeletronico-cartaz-041219#ld5 Created Date: 12/4/2019 4:14:38 PM

A ‘Europa’ está toda errada. É preciso passá-la a limpo.anunes/pdfs/plh_1.pdf · engenharia financeira necessários para falsificar as suas contas e enganar as autoridades

3 A Origem do Maldeptos.adventistas.org.s3.amazonaws.com/ministerial/portal-pastor/... · para enganar, se possível, os próprios eleitos. Mt 24:24 Irou-se o dragão contra a mulher

ARTE GREGA Enquanto a arte egípcia é uma arte ligada ao espírito, a arte grega liga-se à inteligência

Mensagens para Reflexão A Arte da Imagem, a Arte da Música e a Arte do Pensamento

Njinga a Mbande - UNESDOC Databaseunesdoc.unesco.org/images/0023/002309/230931por.pdf · ilustradas na história de África, ... Coroa de Portugal não são suficientes para enganar

74 ARTE-EDUCAÇÃO: A ARTE COMO METODOLOGIA

19 Dicas de Enganar o Cérebro

ARTE EGÍPCIA - a - ARTE MODERNA