engenharia social - pequenas informações de grande importância
DESCRIPTION
Constantes golpes de Engenharia social a empresas no mundo todo nos fazem questionar os investimentos pesados apenas em tecnologia, esquecendo-se das pessoas.TRANSCRIPT
Engenharia SocialInformações simples que podem impactar na segurança
Consultoria Pesquisa Educação Executiva
Copy
right
© 2
011
Qua
lyto
ol. A
ll rig
hts
rese
rved
.
Constantes golpes de Engenharia social a empresas no mundo todo nos fazem questionar os investimentos pesados apenas em tecnologia, esquecendo-se das pessoas.
Atualmente temos visto os grandes investimentos tecnológicos das empresas para mitigar riscos e garantir assim uma melhor segurança de suas informações e ativos de informação. O que as empresas têm esquecido é do investimento em pessoas e cultura. Este investimento é in�nitamente menor do que o investimento em tecnologia, pois os recursos mais importantes são as pes-soas, e elas já estão na empresa. A falta da cultura de segurança, e até mesmo o sentimento de “isso nunca vai acon-tecer comigo” é o grande culpado pela falta de investimento preventivo das empresas em Segurança da Informação. A informação hoje é o ativo de maior valor das organizações. Uma das maiores vulnerabilidade explorada pelo Engenheiro Social é a velha máxima “Não tenho nada de con�dencial ou importante em minha empresa”, pois ele usa esse pensamento para extrair informações. Mal sabemos que às vezes uma informação isoladamente pode ser inofensiva, mas cinco ou seis juntas podem fazer uma empresa fechar, ou então ter um grande impacto negativo em seu negócio.
O Engenheiro Social:
O termo “Engenheiro Social” é uma forma mais simpática, e até pro�ssional de chamar pessoas que usam habili-dades de comunicação, análise e muita simpatia para, na maioria das vezes, atacar empresas e acessar informações importantes de forma enganosa, explo-rando a con�ança das pessoas e cau-sando danos ou obtendo lucro com isso. Algumas fontes citam os Engs. Sociais do “Bem”, que seriam pessoas que usam seus dons e técnicas para ações positivas como entrevistar pessoas, vender produ-tos e outros benefícios. Bom, nós não vamos falar deles neste artigo, meu foco aqui são fraudadores, ladrões e aproveitadores. A engenharia social só é possível quando as pessoas não estão prepara-das, pois a base dela é a desatualização das pessoas em relação a Segurança da Informação, o não entendimento sobre a importância das informações e ativos da empresa, assim como a ingenuidade e o instinto de ajuda em relação a pessoas desconhecidas, mas com grande simpa-tia.
www.qualytool.com
2
Copyright © 2011 Qualytool. All rights reserved.
“Uma das maiores brechas da segu-rança em pessoas é uma secretária
extremamente prestativa”
Há alguns anos atrás me encontrei em Curitiba com um cliente e amigo que estava realizando a venda de sua em-presa para um grupo de São Paulo. Eu o encontrei no aeroporto e perguntei com qual grupo seria essa negociação. Ele me respondeu prontamente que a informa-ção era con�dencial, pois essa informa-ção antes do fechamento poderia colocar em risco a negociação. Pedi a ele se pode-ria tentar descobrir e já que somos muito amigos e tínhamos um contrato de con�-dencialidade com a sua empresa, não teria problema se eu tivesse sucesso. Perguntei a ele se a secretária dele sabia os horários dos voos dele e se sabia da informação. Ele me disse que sim.Liguei ao escritório dele e simplesmente disse:- Sra. Fulana, meu nome é João e estou com o Sr. Ciclano embarcando agora em nosso voo, ele me pediu em situação de emergência qual o endereço do local que ele vai visitar em São Paulo e o nome da pessoa, pois não está acessando a inter-net.
www.qualytool.com
Engenharia Social não é Pro�ssãoApesar do nome, a Engenharia Social não é ligada as ciências exatas ou sociologia. Na ver-dade, trata-se de uma antiga técnica para roubo de informações importantes de pessoas descuidadas, através da criação de laços e amizade e de uma boa conversa.
case I Mais rápida que um piscar de olhos ela me disse: - Ok, aguarde um segundo por favor. Me passando o endereço, o nome completo do contato e somando isso ao meu acesso ao Google foi muito rápido ter a informação. Falha da Secretária? Não, ela fez exatamente o que as secretárias são trei-nadas para fazer, resolver problemas de seus chefes e facilitar a vida. Ela não tinha idéia de que a infor-mação era con�dencial, e mesmo se tivesse que mal tem passar a informação para um operador da empresa aérea para ajudar seu chefe? Bom, a brincadeira deu um grande susto em meu amigo, que não pensou duas vezes em treinar seu pes-soal.
3
Copyright © 2011 Qualytool. All rights reserved.
O Golpe da Lista Telefônica Depois de ler tudo isso, tenho certeza que muitas pessoas ainda pensam que di�-cilmente as suas empresas cairiam em um golpe desses, mas só no ano de 2010 mil-hares de pequenas e médias empresas caíram no golpe da lista telefônica.Como funciona: “Tudo começa com uma ligação a pequenos empresários, comerciantes e pro-�ssionais liberais. Quem liga faz uma pro-posta tentadora: divulgar o nome da em-
presa gratuitamente numa lista telefônica. Foi assim com seu Jorge Conto, dono de uma imobiliária em Fortaleza. “Eles dizem que é um novo cadastro e citam o nome da Anatel”, conta. Ele acreditou que o serviço sairia de graça e recebeu por fax um contrato já preenchido com os dados da imobiliária dele. Os negociadores pediram que Jorge devolvesse o papel assinado e carimbado; daí para frente, o serviço gra-tuito virou uma dívida de mais de R$ 3.500. A lista telefônica impressa nunca apa-rece; as empresas ganham apenas anúncios numa página na Internet. As cobranças começam a ser feitas em telefonemas ameaçadores, pouco depois de as vitimas assinarem o documento enviado por fax. "Diariamente, eu recebo ligações de supos-tos cartórios de São Paulo e da empresa, exigindo que eu faça um depósito", reclama Jorge Conto.” g1.globo.com
case II
Fishing Scan Outro exemplo com uma mistura de Eng. Social e Tecnologia são os Fishing Scan. Basta sair algum escândalo na mídia e nossas caixas de correio enchem com e-mails do tipo: - “Vejam as fotos do Aci-dente na cidade de X” bobagem, certo? Não, infelizmente o número de pes-soas que clicam para ver as fotos ainda é muito grande. Mas o grande impacto é quando o Eng. Social estuda a empresa, as pessoas que ela se relaciona, e acessa infor-mações como: Quem são os fornecedores da empresa, seus gerentes, funcionários, datas de aniversário, informações das redes sociais e outros. Quando se tem acesso a essa gama de informações direcionadas, a capacidade de um ataque de sucesso é muito grande, por isso é muito importante que pessoas e empresas entendam que a exposição de números de celular, datas de aniversário e outras informações aparentemente inocen-tes ao grande público, podem ser utilizadas para um ataque.
case III
4
www.qualytool.com
Copyright © 2011 Qualytool. All rights reserved.
4
3
A EMERGÊNCIA Quem não vai ajudar um conhecido que está em uma emergência? Essa é uma das situações mais difíceis de discernir o certo do errado, e aqui entra a secretária prestativa, ou o colega de trabalho que não quer deixar o amigo em uma situação ruim. O atacante liga dizendo que alguém conhecido está em algum tipo de emergência, e assim coleta informações repas-sadas para ajudar o suposto amigo. A pessoa liga para você dizendo ser da Policia Rodoviária, e seu amigo que saiu de férias, sofreu um acidente, para isso precisa do telefone dos pais e do endereço dele. Essas informações podem ser usadas para simulação de sequestro e diversas outras.
1
Ações mais comuns de Engenharia Social Existem diversas técnicas e meios para aplicar a engenharia social, então, irei me dedicar àquelas que eu considero as mais comuns e impactantes.
2 AUTORIADE INQUESTIONÁVEL Uma pergunta que eu faço frequentemente às Auditorias de Segurança quando alguém me diz que tal informação é restrita ou con�dencial, como por exem-plo o No. de CPF, celular ou salário: - Se se o vice-presidente da em-presa ligar pedindo, você revela a informação? Normalmente a resposta é: Pois é, se ele pedir tem que passar! Mas a questão é, quem disse que a pessoa que ligou é o Vice-presidente da empresa?Em grandes corporações as pes-soas não se conhecem, basta o engenheiro social conhecer as pessoas da empresa e ameaçar a entregar para o Sr. Gerente Fulano de Tal se ela não falar, assim como colocar uma secre-tária a ligar antes e fazer demorar a ligação para criar expectativa e medo.
AJUDA Aqui é utilizado o seu lado humano para ajudar um colega, um parente de amigo, namorado(a) ou alguém que possa ter um mínimo de laços de amizade e que você não gostaria de ver passando por problemas. As pessoas tendem a se sensibilizar com as outras quando estas são educadas, amáveis, agradáveis. Da mesma forma, quando se iden-ti�cam com estas mesmas qualidades.
www.qualytool.com
55
Copy
right
© 2
011
Qua
lyto
ol. A
ll rig
hts
rese
rved
.
4 PRESENTE OU PRÊMIO Por mais comum que possa parecer o atacante liga para você a�rmando que você ganhou algo em uma loja, ou shopping ou qualquer lugar que você frequente ou tenha relação. Neste caso os atacantes mais preparados não falam de grandes prêmios, mas sim de pequenos prêmios que você também não deixaria de querer, como duas revisões do seu carro, ou 4 tanques de gasolina ou ainda uma camisa de marca X. Esses pequenos prêmios fazem com que a gente queira retirar eles, e como não são expressivos, como “ Você Ganhou uma Mercedes”, são mais críveis e, sendo assim você passa informações necessárias para retirar o prêmio.
FALSO IDEALISMO Muito usado em pessoas que aderem a causas sociais, am-bientais ou outras (basta procurar no Facebook, Orkut, Twitter ou qualquer outra rede social que a vítima possa estar participando). Neste caso são feitas ligações que validam as informações e, após esta ação podem então ser envia-dos alguns e-mails inofensivos onde a vítima cria con�ança para acessar então o e-mail com o link falso.
5 6 TESTE As pessoas têm a tendência de atender a solicitação de alguém após ter se comprometido publicamente ou de ter adotado uma causa. Tentamos demonstrar que somos con�áveis. Neste caso o atacante liga se passando por alguém da segurança ou auditoria, ai faz algumas perguntas sobre segurança para saber se a pessoa conhece realmente do assunto. Após isso usa-se o elogio e até se ouve a opinião, criando assim uma laço para novas ligações e posteriormente per-guntar informações. Poderia, sem muita di�culdade, escrever mais vinte ou trinta páginas sobre tipos e formas de ataque, mas acredito que não seja necessário, pois com os exemplos acima já temos ideia da quantidade e tipos de ataques pos-síveis hoje.
www.qualytool.com
6
www.qualytool.com
Copyright © 2011 Qualytool. All rights reserved.
A avaliação de tudo que é ensi-nado é muito importante também, para manter vivas as informações pas-sadas, aconselho testes escritos e reais, sendo eles bem preparados e orga-nizados com toda a empresa antes. Pessoas críticas na organização como secretárias, estagiários, vigias, terceiros e outros, muitas vezes não tem acesso a treinamentos e quali�ca-ção. Não esqueçam que muitas vezes cargos e funções que parecem não ter impacto no negócio tem acesso a informações, pessoas e locais críticos. Para �nalizar, não se esqueçam de informar sempre as pessoas, e deixar claras as politicas da empresa sobre a segurança da informação.
Resolvendo a Equação Para reduzirmos os riscos de fraudes aplicadas por engenharia social, devemos focar em três ações: Conscientizar Treinar Avaliar As pessoas precisam entender o que são informações con�denciais e restritas, o que pode ser comunicado, o que fazer no caso do chefe ou presidente ligar pedindo algo e quais as formas de validação para saber se a pessoas são legítimas ou não. O foco deve ser treinar e conscientizar, esse processo deve ser contínuo, atualizado e sempre com uso de cases reais. Aqui em nossa empresa é costume sempre que algum golpe sai na mídia, escrever e repassar a informação a todas as áreas dizendo que tipo de golpe é, e como se pre-venir.
77
Copyright © 2011 Qualytool. All rights reserved.
www.qualytool.com
Caxias do Sul - RS / BrasilR. João Venzon Neto - 105
B. Santa CatarinaCEP: 95.032-200
Fone +55 54 3025 6363
Porto Alegre - RS / BrasilR. Dr. Possidonio Cunha - 641
B. Vila AssunçãoCEP: 91.900-140
Fone +55 51 3062 0639
Cassio Furtado [email protected]
Copy
right
© 2
011
Qua
lyto
ol. A
ll rig
hts
rese
rved
.