kevin mitnick a arte de enganar

1. Ataques de Hackers: Controlando o Fator Humano na Segurana da Informao Prefcio de Steve Wozniak MAKRON Books Education Digitalizado e revisado por DIVONCIR

2. As aventuras de Kevin Mitnick como cibercriminoso e fugitivo de uma das caadas mais exaustivas da histria do FBI deram origem a dezenas de artigos, livros, filmes e documentrios. Desde que foi solto de uma priso federal, Mitnick deu uma virada na sua vida e estabeleceu-se como um dos especialistas em segurana de computadores mais requisitados de todo o mundo. Neste livro, o hacker mais famoso do mundo fornece orientaes especficas para o desenvolvimento de protocolos, programas de treinamento e manuais para garantir que o investimento em segurana tcnica sofisticada de uma empresa no seja em vo. Ele d conselhos sobre como evitar vulnerabilidades de segurana e espera que as pessoas estejam sempre preparadas para um ataque vindo do risco mais srio de todos a natureza humana. 3. A ARTE DE ENGANAR Ataques de Hackers: Controlando o Fator Humano na Segurana da Informao Traduo: Ktia Aparecida Roque Reviso Tcnica: Olavo Jos Anchieschi Gomes Coordenador de projetos de segurana em informaes. Especialista em segurana de redes e ethical hacking. Atua no desenvolvimento de polticas de segurana e anlise de vulnerabilidades em redes LAN/WAN. So Paulo Brasil Argentina Colmbia Costa Rica Chile Espanha Guatemala Mxico Peru Porto Rico Venezuela MITNICK PEARSON Education Kevin D. Mitnick & William L. Simon 4. 2003 by Pearson Education do Brasil Ltda 2002 by Kevin D. Mitnick Traduo autorizada da edio em lngua inglesa, publicada pela John Wiley & Sons. Inc. Todos os direitos reservados. Nenhuma parte desta publicao poder ser reproduzida ou transmitida de qualquer modo ou por qualquer outro meio, eletrnico ou mecnico, incluindo fotocpia, gravao ou qualquer outro tipo de sistema de armazenamento e transmisso de informao, sem prvia autorizao, por escrito, da Pearson Education do Brasil. Diretor Editorial: Jos Martins Braga Editora: Gislia Costa Editora de Texto: Marileide Gomes Preparao: Carla Montagner Reviso: Marise Goulart e Gina Monteiro de Barros Designer de capa: Marcelo da Silva Franozo Fotografia do autor: Monty Brinton Editorao Eletrnica: Marco Zero/ Denise D'Amaro Chiara Dados Internacionais de Catalogao na Publicao (CIP) (Cmara Brasileira do Livro, SP, Brasil) Mitnick. Kevin D., (1963) MITNICK - A arte de enganar/ Kevin D. Mitnick; William L. Simon; Traduo: Ktia Aparecida Roque; reviso tcnica: Olavo Jos Anchieschi Gomes Titulo original: The art of deception : controlling the human element of security ISBN: 85-346-1516-0 1. Computadores segurana 2. Engenharia social 3. Segurana interna I.Simon, William L., 1930 -. II. Ttulo. III. Ttulo : ataques de hackers: controlando o fator humano na segurana da informao 03-1639 CDD-005.8 ndices para catlogo sistemtico: 1. Computadores: segurana: Processamento de dados 005.8 2. Segurana de computadores: Processamento de dados 005.8 2003 Direitos exclusivos para a lngua portuguesa cedidos Pearson Education do Brasil Ltda., uma empresa do grupo Pearson Education Av. Ermano Marchetti, 1435 Cep: 05038-001 Lapa - So Paulo - SP Tel: (11)3613-1222 Fax: (11) 3611-0851 e-mail: [email protected] 5. Para Shelly Jaffe, Reba Vartanian, Chickie Leventhal e Mitchell Mitnick e para os falecidos Alan Mitnick, Adam Mitnick e Jack Biello Para Arynne, Victoria e David, Sheldon, Vincent e Elena 6. Engenharia social A engenharia social usa a influncia e a persuaso para enganar as pessoas e convenc-las de que o engenheiro social algum que na verdade ele no e, ou pela manipulao. Como re- sultado, o engenheiro social pode aproveitar-se das pessoas para obter as informaes com ou sem o uso da tecnologia. 7. Apresentao ix Prefcio xi Introduo xv Parte Bastidores 1 Captulo 1 O Elo Mais Fraco da Segurana 3 Parte A Arte do Atacante 11 Captulo 2 Quando as Informaes No So Inofensivas 1 3 Captulo 3 O Ataque Direto: Simplesmente Pedindo 25 Captulo 4 Criando a Confiana 33 Captulo 5 "Posso Ajudar?" 45 Captulo 6 "Voc Pode Me Ajudar?" 63 Captulo 7 Sites Falsos e Anexos Perigosos 75 Captulo 8 Usando a Simpatia, a Culpa e a Intimidao 85 Captulo 9 O Golpe Inverso 107 Parte Alerta de Invaso 119 Captulo 10 Entrando nas Instalaes 121 Capitulo 11 Combinando a Tecnologia e a Engenharia Social 1 39 Captulo 12 Ataques aos Empregados Iniciantes 155 Capitulo 13 Trapaas Inteligentes 167 Capitulo 14 A Espionagem Industrial 179 Parte Eliminando as Barreiras 193 Captulo 1 5 Conscientizao e Treinamento em Segurana da Informao 195 Captulo 16 Recomendaes de polticas de segurana das informaes corporativas 207 Um exame rpido da segurana 265 Fontes 273 Agradecimentos 275 ndice 279 8. Ns nascemos com um impulso interno de explorar a natureza daquilo que nos cerca. Como todos os jovens, Kevin Mitnick e eu ramos muito curiosos sobre o mundo e ansiosos para testar a ns mesmos. Quase sempre fomos recompensados pelas nossas tentativas de aprender coisas novas, solucionar quebra-cabeas e ganhar jogos. Mas ao mesmo tempo, o mundo ao nosso redor nos ensinou regras de comportamento que restringiam nossa necessidade de explorao livre. Para os nossos ousados cientistas e empreendedores tecnolgicos, bem como para pessoas como Kevin Mitnick, seguir essa vontade traz as maiores emoes e permite que realizemos coisas que os outros acreditam que no podem ser feitas. Kevin Mitnick uma das melhores pessoas que conheo. Pergunte e ele responder de forma di- reta que aquilo que ele fazia a engenharia social era trapacear as pessoas. Mas Kevin no mais um engenheiro social. E mesmo quando o era, o seu motivo nunca foi enriquecer ou causar danos s outras pessoas. Isso no quer dizer que no existam criminosos perigosos e destrutivos que usam a engenharia social para causar danos reais. Na verdade, foi exatamente por esse motivo que Kevin escreveu este livro para avis-los sobre eles. Este livro mostra como somos vulnerveis o governo, as empresas e cada um de ns s invases do engenheiro social. Nessa era de conscientizao sobre a segurana, gastamos somas imensas em tecnologia para proteger nossas redes de computadores e nossos dados. Este livro mostra como fcil enganar quem trabalha nessas reas e burlar toda essa proteo tecnolgica. Trabalhando em empresas ou no governo, forneo aqui um mapa para ajud-lo a entender como os engenheiros sociais trabalham e o que voc pode fazer para frustr-los. Usando histrias fictcias que so divertidas e elucidativas, Kevin e Bill Simon do vida a tcnicas do submundo da engenharia social. Aps cada uma das histrias, h orientaes prticas que o ajudam a se proteger contra as invases e ameaas descritas. A segurana tecnolgica deixa grandes lacunas que pessoas como Kevin podem nos ajudar a fechar. Leia este livro e voc finalmente perceber que todos ns precisamos recorrer aos Mitnicks que h entre ns para obter orientao. Steve Wozniak 9. A lguns hackers destroem os arquivos ou unidades de disco inteiras das pessoas. Eles so chamados de Crackers ou vndalos. Alguns hackers novatos no se preocupam em aprender a tecnologia; eles apenas querem baixar as ferramentas dos hackers para entrar nos sistemas de computadores, Esses so chamados de script kiddies. Os hackers mais experientes, com habilidades em programao, desenvolvem programas para hackers e os postam na Web e nos sistemas de bulletin board. Em seguida, temos os indivduos que no tm nenhum interesse em tecnologia, mas que usam o computador apenas como uma ferramenta que os ajuda a roubar dinheiro, bens ou servios. Apesar do mito que a mdia criou sobre Kevin Mitnick, no sou um hacker malicioso. Mas estou me adiantando na histria. O INCIO O meu caminho provavelmente foi definido no incio da minha vida. Eu era uma criana bonita e feliz, mas chateada. Aps meu pai sair de casa quando eu tinha trs anos, a minha me trabalhou como garonete para nos sustentar Naquela poca apenas uma criana criada por uma me que trabalhava muito, sem um horrio fixo eu era um jovem que me cuidava por conta prpria quase que de manh at a noite. Eu era a minha prpria bab. Cresci em uma comunidade do Vale de So Fernando e tinha toda a Los Angeles para explorar; com doze anos j havia descoberto um meio de viajar de graa em toda a rea da Grande Los Angeles. Percebi certo dia que o bilhete de baldeao de nibus que havia comprado baseava-se em um padro incomum de furos em papel que os motoristas usavam para marcar o dia, a hora e o itinerrio nos bi- lhetes. Um motorista amigo, ao responder minhas perguntas cuidadosamente formuladas, contou-me onde eu poderia comprar aquele tipo especial de furador de papel. As baldeaes permitem que voc troque de nibus e continue a viagem at o seu destino, mas eu havia descoberto como us-las para viajar para qualquer lugar que quisesse de graa. A obteno das passagens em branco foi como passear no parque: as lixeiras dos terminais de nibus estavam cheias de blocos de passagens parcialmente usados, os quais eram jogados pelos motoristas no final de seus turnos. Com um bloco de passagens em branco e o furador, podia marcar minhas prprias baldeaes e viajar para qualquer parte aonde fossem os nibus de Los Angeles. Em pouco tempo, j tinha feito tudo, menos decorar os horrios dos nibus de todo o sistema. Esse foi um exemplo precoce da minha surpreendente memria para determinados tipos de informaes; ainda hoje consigo decorar nmeros de telefone, senhas e outras coisas. 10. A Arte de Enganar Outro interesse pessoal que surgiu logo cedo foi o meu fascnio pela mgica. Aps aprender como um truque novo funcionava, no parava de praticar at domin-lo bem. De certa forma, foi pela mgica que descobri como bom enganar as pessoas. Do phreaking ao hacking O meu primeiro encontro com aquilo que aprenderia a chamar de engenharia social deu-se durante meus anos no ginsio, quando conheci outro aluno que foi pego com um hobby chamado phone phreaking. Esse um tipo de hacking que permite que voc vasculhe a rede telefnica explorando os sistemas de telefone e os empregados da empresa de telefonia. Ele me mostrou os truques que podia fazer com um telefone, como conseguir todas as informaes que a empresa de telefonia tinha sobre um cliente e como usar um nmero de teste secreto para fazer ligaes interurbanas de graa (na verdade elas eram de graa para ns descobri bem mais tarde que aquele no era um nmero secreto de teste: as ligaes eram cobradas de alguma conta MCI da pobre empresa). Essa foi a minha apresentao engenharia social o meu jardim da infncia, por assim dizer. Ele garoto e outro phreaker que conheci pouco tempo depois me deixavam escutar as ligaes de pretexto para a empresa de telefonia. Eu ouvia as coisas que eles diziam para parecerem pessoas de credibilidade, aprendi sobre os diferentes escritrios das empresas de telefonia, o linguajar e os procedimentos. Mas esse "treinamento" no durou muito tempo; ele no precisava ser longo. Em breve estava aprendendo por conta prpria e me saindo melhor ainda do que aqueles primeiros professores. O curso que a minha vida tomaria nos prximos 15 anos j estava definido. Uma das minhas peas preferidas era conseguir o acesso no autorizado a uma central telefnica e mudar a classe de servios de um colega phreaker. Quando tentava fazer uma ligao de casa, ele ouvia uma mensagem pedindo para depositar vinte e cinco centavos, porque a central da empresa de telefonia havia recebido informaes de que ele estava ligando de um telefone pblico. Fiquei interessado em tudo que dissesse respeito a telefones no apenas a eletrnica, s centrais e aos computadores, mas tambm a organizao corporativa, aos procedimentos e a terminologia. Aps algum tempo, talvez j soubesse mais sobre o sistema de telefones do que qualquer empregado da empresa. E havia desenvolvido as minhas habilidades em engenharia social at o ponto de com 17 anos poder falar com a maioria dos empregados da empresa de telefonia sobre quase tudo, fosse pessoalmente ou por telefone. A minha carreira to divulgada de hacker, na verdade, comeou quando eu estava no colgio. Embora no possa descrever aqui os detalhes, basta dizer que um dos principais incentivos para as minhas primeiras aes foi ser aceito pelos caras do grupo de hackers. Naquela poca usvamos o termo hacker para descrever uma pessoa que passava grande parte do tempo mexendo com hardware e software, seja para o desenvolvimento de programas mais eficientes, seja para eliminar etapas desnecessrias e fazer um trabalho mais rapidamente. O termo agora se tornou pejorativo com o significado de "criminoso malicioso". Uso o termo como sempre o usei --- no seu sentido mais antigo e benigno. Terminado o colgio, fiz um curso sobre computadores no Computer Learning Center, em Los Angeles. Em alguns meses, o gerente de computadores da escola percebeu que eu havia descoberto uma vulnerabilidade no sistema operacional e havia ganhado privilgios administrativos totais sobre seu minicomputador IBM. Os melhores especialistas em computadores do seu corpo docente no conseguiram descobrir como eu havia feito aquilo. Este deve ter sido um dos primeiros exemplos de "contrate o hacker", pois recebi uma oferta irrecusvel: criar um projeto honors (dentro dos padres e xii 11. Prefcio normas) para melhorar a segurana dos computadores da escola, ou enfrentar a suspenso por ter inva- dido o sistema. claro que preferi criar o projeto e acabei me formando Cum Laude with Honors, Tomando-me um engenheiro social Algumas pessoas acordam de manh temendo a sua rotina de trabalho nas proverbiais minas de sal. Tive sorte e gosto do meu trabalho. Voc no pode imaginar o desafio, a gratificao e o prazer que sentia no perodo em que trabalhei como detetive particular. Eu estava aperfeioando meus talentos na arte teatral chamada engenharia social fazer com que as pessoas faam coisas que normalmente no fariam para um estranho e sendo pago para fazer isso. Para mim no foi difcil tornar-me proficiente em engenharia social. O lado paterno da minha famlia trabalhava com vendas h geraes, de modo que a arte da influncia e persuaso pode ter sido um trao que herdei. Quando voc combina uma inclinao para enganar as pessoas com os talentos da influncia e persuaso, voc chega ao perfil de um engenheiro social Pode-se dizer que h duas especialidades dentro da classificao do cargo de artista da trapaa. Algum que faz falcatruas e engana as pessoas para tirar o seu dinheiro pertence a uma subespecialidade chamada grifter. Algum que usa a fraude, a influncia e a persuaso contra as empresas, em geral visando suas informaes, pertence a outra subespecialidade: o engenheiro social. Desde a poca do meu truque com a baldeao de nibus, quando era jovem demais para saber que era errado aquilo que estava fazendo, eu havia comeado a reconhecer um talento para descobrir os segredos que eu no deveria saber, Aproveitei aquele talento usando a fraude, conhecendo o jargo e desenvolvendo uma habilidade de manipulao bem lapidada. Uma forma que descobri para desenvolver as habilidades da minha arte, se que posso cham-la de arte, foi escolher algumas informaes com as quais no me importava e ver se poderia convencer algum do outro lado do telefone a me fornec-las, s para melhorar as minhas habilidades. Da mesma forma que costumava praticar meus truques de mgica, pratiquei a criao de pretextos. Por meio de todos esses ensaios, logo descobri que poderia adquirir praticamente quaisquer informaes que desejasse. Como descrevi em meu testemunho no Congresso perante os Senadores Lieberman e Thompson anos depois: Tive acesso no autorizado aos sistemas de computadores de algumas das maiores corporaes do planeta, e consegui entrar com sucesso em alguns dos sistemas de computadores mais protegidos que j foram desenvolvidos. Usei meios tcnicos e no tcnicos para obter o cdigo-fonte de diversos sistemas operacionais e dispositivos de telecomunicaes para estudar suas vulnerabilidades e seu funcionamento interno. Toda essa atividade visava satisfazer minha prpria curiosidade, ver o que eu poderia fazer e descobrir informaes secretas sobre os sistemas operacionais, telefones celulares e tudo o que chamasse minha ateno. LTIMAS IDIAS Reconheci desde a minha priso que minhas aes eram ilegais e que cometi invases de privacidade. Meus crimes foram motivados pela curiosidade. Eu queria saber o mximo possvel sobre o modo como funcionavam as redes de telefonia e os prs e Contras da segurana de computadores. xiii 12. Arte de Enganar Passei de uma criana que adorava fazer truques de mgica para o hacker mais conhecido do mundo, temido pelas corporaes e pelo governo. Ao pensar nesses ltimos 30 anos, tenho de admitir que tomei algumas decises ruins, motivadas pela minha curiosidade, pelo desejo de aprender sobre a tecnologia e pela necessidade de um bom desafio intelectual. Hoje sou outra pessoa. Estou transformando meus talentos e o extenso conhecimento que reuni sobre a segurana das informaes e sobre as tticas da engenharia social para ajudar o governo, as empresas e os indivduos a evitar, detectar e responder s ameaas da segurana da informao. Este livro mais uma forma pela qual posso usar a minha experincia para ajudar os outros a evitarem os esforos dos ladres mal-intencionados de informaes de todo o mundo. Creio que o leitor achar as histrias agradveis, elucidativas e educativas. xiv 13. Este livro contm inmeras informaes sobre a segurana das informaes e a engenharia social. Para ajud-lo a encontrar o seu caminho, apresento a sua organizao: Na Parte 1, revelo o elo mais fraco da segurana e mostro o motivo pelo qual voc e a sua empresa esto arriscados a sofrer ataques da engenharia social Na Parte 2, voc ver como os engenheiros sociais brincam com a sua confiana, com o seu desejo de ser til, com a sua simpatia e com a sua credulidade para obter aquilo que eles querem. As histrias fictcias de ataques tpicos demonstraro que os engenheiros sociais podem assumir muitos Se acha que nunca encontrou um, provavelmente est errado. Voc reconheceria um cenrio no qual j esteve nessas histrias e se perguntaria seja teve um contato com a engenharia social? Isso bem possvel. Mas depois de ler os Captulos 2 a 9, voc saber como ter a palavra final quando o prximo engenheiro social ligar. Na Parte 3, voc v como o engenheiro social faz as suas apostas em histrias criadas para mos trar como ele pode entrar nas instalaes da sua corporao, roubar o tipo de segredo que pode criar ou destruir a sua empresa e frustrar as suas medidas de segurana de alta tecnologia. Os cenrios desta seo o conscientizaro sobre as ameaas que variam da simples vingana de um empregado ate o ciberterrorismo. Se voc valoriza as informaes que mantm a sua empresa funcionando e a privacidade dos seus dados, vai querer ler os Captulos 10 a 14 do incio ao final. importante observar que a menos que seja declarado o contrrio, as piadas deste livro so pu- ramente fictcias. Na Parte 4, falo em linguagem corporativa sobre como evitar ataques bem-sucedidos da engenharia social na sua organizao. O Captulo 15 fornece um roteiro de um programa de treinamento em segurana bem-sucedido. E o Captulo 16 pode salvar o seu pescoo ele traz uma poltica de segurana completa que voc pode personalizar para a sua organizao e implementar imediatamente para manter seguras a sua empresa e as suas informaes. Finalmente, forneci uma seo Segurana Rpida, que inclui listas de verificao, tabelas e grfi- cos que resumem as principais informaes que voc pode usar para ajudar seus empregados a frustrar um ataque da engenharia social no trabalho. Essas ferramentas tambm fornecem informaes valiosas que voc pode usar para criar seu prprio programa de treinamento em segurana. Voc tambm encontra diversos elementos teis: as caixas de texto "Jargo" fornecem as defini- es da engenharia social e a terminologia dos hackers de computadores, os "Recados do Mitnick" oferecem em poucas palavras o conhecimento para ajudar a fortalecer a sua estratgia de segurana, e as notas e quadros fornecem informaes prticas ou adicionais. 14. Bastidores 15. O Elo Mais Fraco da Segurana Uma empresa pode ter adquirido as melhores tecnologias de segurana que o dinheiro pode comprar, pode ter treinado seu pessoal to bem que eles trancam todos os segredos antes de ir embora e pode ter contratado guardas para o prdio na melhor empresa de segurana que existe. Mesmo assim essa empresa ainda estar vulnervel. Os indivduos podem seguir cada uma das melhores prticas de segurana recomendadas pelos especialistas, podem instalar cada produto de segurana recomendado e vigiar muito bem a configu- rao adequada do sistema e a aplicao das correes de segurana. Esses indivduos ainda estaro completamente vulnerveis. O FATOR HUMANO Ao testemunhar no Congresso h pouco tempo, expliquei que poderia conseguir senhas e outras informaes sigilosas nas empresas fingindo ser outra pessoa e simplesmente pedindo essas informaes. E natural querer se sentir seguro e isso leva muitas pessoas a buscarem uma falsa idia de seguran- a. Veja o caso do responsvel e carinhoso proprietrio de uma casa que tem um Medico, um cadeado de fechadura conhecido como sendo prova de roubo, o qual foi instalado na porta da frente para proteger sua esposa, seus filhos e sua casa. Agora ele est certo de que tornou sua famlia muito mais segura com relao a intrusos. Mas e o intruso que quebra uma janela ou descobre o cdigo que abre a porta da garagem? Que tal instalar um sistema de segurana resistente? Isso melhor, mas no garante nada. Com cadeados caros ou no, o proprietrio da casa permanece vulnervel Por qu? Porque o fator humano o elo mais fraco da segurana. Com freqncia, a segurana apenas uma iluso, que s vezes fica pior ainda quando entram em jogo a credulidade, a inocncia ou a ignorncia. O cientista mais respeitado do mundo no sculo XX, Albert Einstein, disse: "Apenas duas coisas so infinitas: o universo e a estupidez humana, e eu no tenho certeza se isso verdadeiro sobre o primeiro". No final, os ataques da engenharia social podem ter sucesso quando as pessoas so estpidas ou, em geral, apenas desconhecem as boas prticas da seguran- a. Com a mesma atitude do nosso proprietrio de casa consciente sobre a segurana, muitos profissionais da tecnologia da informao (TI) conservam a idia errada de que tomaram suas empresas imunes ao ataque porque usaram produtos de segurana padro firewalls, sistemas de deteco de intrusos (Intrusion Detection Systems) ou dispositivos avanados de autenticao, tais como tokens baseados no tempo ou cartes biomtricos inteligentes. Todos que acham que os produtos de segurana sozinhos oferecem a verdadeira segurana esto fadados a sofrer da iluso da segurana, Esse o caso de viver em um mundo de fantasia: mais cedo ou mais tarde eles sero vtimas de um incidente de segurana. 16. A Arte de Enganar Como observou o consultor de segurana Bruce Schneier, "a segurana no um produto, ela um processo". Alm disso, a segurana no um problema para a tecnologia ela um problema para as pessoas e a direo. A medida que os especialistas contribuem para o desenvolvimento contnuo de melhores tecnologias de segurana, tornando ainda mais difcil a explorao de vulnerabilidades tcnicas, os atacantes se voltaro cada vez mais para a explorao do elemento humano. Quebrar a "firewall humana" quase sempre fcil, no exige nenhum investimento alm do custo de uma ligao telefnica e envolve um risco mnimo. UM CASO CLSSICO DE FRAUDE Qual e a maior ameaa segurana dos bens da sua empresa? Isso fcil: o engenheiro social, um mgico inescrupuloso que faz voc olhar a sua mo esquerda enquanto com a mo direita rouba seus segredos. Esse personagem quase sempre to amistoso, desembaraado e prestativo que voc se sente feliz por t-lo encontrado. D uma olhada em um exemplo da engenharia social. No h muitas pessoas hoje que ainda se lem- bram do jovem chamado Stanley Mark Rifkin e de sua pequena aventura com o agora extinto Security Pacific National Bank, de Los Angeles. Os relatos dessa invaso variam e Rifkin (assim como eu) nunca contou a sua prpria verso. Assim sendo, o que vem a seguir se baseia nos relatrios publicados. Descoberta do cdigo Certo dia em 1978, Rifkin perambulou pela sala de transferncia eletrnica com acesso autorizado apenas para os funcionrios do Security Pacific, na qual a equipe enviava e transferia vrios bilhes de dlares todos os dias. Ele trabalhava como contratado de uma empresa que desenvolvia um sistema de backup para os dados da sala de transferncia para o caso de seu computador principal ficar paralisado. Essa funo deu-lhe acesso aos procedimentos de transferncia, incluindo o modo como os funcionrios do banco organizavam o envio de uma transferncia. Ele aprendeu que os funcionrios do banco que estavam autorizados a pedir as transferncias eletrnicas recebiam um cdigo dirio secreto a cada manh, o qual era usado quando ligavam para a sala de transferncia. Na sala de transferncia, os funcionrios nem se davam ao trabalho de memorizar o cdigo de cada dia. Eles escreviam o cdigo em um pedao de papel e o colocavam em um lugar no qual podiam v-lo facilmente. Nesse dia de novembro em particular, Rifkin tinha um motivo especfico para a sua visita. Ele queria dar uma olhada naquele papel. Ao chegar sala de transferncia, anotou os procedimentos operacionais, supostamente para ter certeza de que o sistema de backup se combinaria com os sistemas normais. Nesse meio tempo, leu discretamente o cdigo de segurana no pedao de papel e o memorizou. Alguns minutos depois foi embora. Como declarou mais tarde, ele se sentiu como se houvesse ganhado na loteria. H essa conta no banco suo... Ao sair da sala l pelas 3 horas da tarde, ele foi direto para o telefone pblico no saguo de mrmore do prdio, no qual depositou uma ficha e discou para a sala de transferncia eletrnica. Em seguida, transformou-se de Stanley Rifkin. consultor do banco, em Mike Hansen, um membro do Departa- mento Internacional do banco. 4 17. Captulo 1 O Elo Mais Fraco da Segurana Segundo uma fonte, a conversao foi mais ou menos esta: "Ol, aqui quem fala Mike Hansen, do Internacional", ele disse para a jovem que atendeu ao telefone. Ela pediu o nmero do escritrio. Esse era um procedimento padro e ele estava preparado. "286", respondeu. A garota continuou, "Muito bem, qual o cdigo?" Rifkin disse que nesse ponto o seu corao disparado pela adrenalina "retomou o ritmo". Ele respondeu com calma "4789". Em seguida, deu as instrues para a transferncia de "dez milhes e duzentos mil dlares exatamente" para o Irving Trust Company de Nova York, a crdito do Wozchod Handels Bank de Zurique, Sua, onde ele j havia aberto uma conta. Em seguida, a garota retrucou: "Muito bem, entendi. Agora preciso do nmero de estabelecimen- to entre escritrios."' Rifkin comeou a suar frio; essa era uma pergunta que ele no havia previsto, algo que havia esquecido nos detalhes da sua pesquisa. Mas conseguiu permanecer calmo, agiu como se tudo estivesse bem e respondeu rapidamente: "Eu vou verificar e ligo logo em seguida." Ele ligou para outro departamento do banco, s que desta vez alegou ser um empregado da sala de transferncia eletrnica. Ele conseguiu o nmero de estabelecimento e ligou novamente para a garota. Ela anotou o nmero e agradeceu. (Nessas circunstancias o seu agradecimento tem de ser consi- derado como algo altamente irnico.) Conseguindo o fechamento Alguns dias depois, Rifkin voou para a Sua, pegou o seu dinheiro e trocou mais de US$ 8 milhes com uma agncia russa por diamantes. Ele voou de volta e passou pela alfndega americana com as pedras ocultas no cinto de carregar dinheiro. Ele havia dado o maior desfalque bancrio da histria e fez isso sem usar uma arma, sequer um computador. O curioso que sua travessura chegou s pginas do Guiness Book na categoria de "a maior fraude de computadores". Stanley Rifkin usou a arte da fraude as habilidades e as tcnicas que hoje so chamadas de engenharia social. Um planejamento cuidadoso e uma boa conversa foram tudo do que precisou. E este livro fala disso das tcnicas da engenharia social (nas quais sou especializado) e como se defender contra o seu uso na sua empresa. A NATUREZA DA AMEAA A histria de Rifkin deixa bastante claro como a sua sensao de segurana pode ser enganosa. Inci- dentes como esse muito bem, eles podem no ser desfalques de US$ 10 milhes, mas so sempre prejudiciais acontecem todos os dias. Voc pode estar perdendo dinheiro agora mesmo, ou algum pode estar roubando os planos de novos produtos e voc nem sabe disso. Se isso ainda no aconteceu na sua empresa, o problema no se isso acontecer, mas sim quando acontecer. Uma preocupao crescente O Computer Security Institute, em sua pesquisa de 2001 sobre os crimes de computadores relatou que 85% das organizaes entrevistadas detectaram quebras na segurana dos computadores nos 12 5 18. A Arte de Enganar meses anteriores. Esse um nmero assustador: apenas 15 entre cem organizaes responderam que podiam dizer que no haviam tido uma quebra de segurana durante o ano. Igualmente assustador foi o nmero de organizaes que informaram terem tido prejuzos financeiros devido a quebras na segurana dos computadores: 64%. Bem mais do que metade das organizaes havia tido prejuzos financeiros. Tudo isso em um nico ano. Por experincia prpria, acredito que os nmeros dos relatrios como esse so um pouco exa- gerados. Suspeito da agenda das pessoas que realizam uma pesquisa. Mas isso no quer dizer que o dano no seja extenso. Ele , sim. Aqueles que no planejam um incidente de segurana esto plane- jando o fracasso. Os produtos comerciais de segurana empregados na maioria das empresas visam principalmente o fornecimento da proteo contra o intruso amador de computadores, assim como as crianas que so conhecidas como script kiddies. Na verdade, esses pretendentes a hackers com software baixa- do so mais um aborrecimento. Quanto maiores as perdas, mais reais as ameaas vindas de atacantes sofisticados com alvos bem-definidos e motivados pelo ganho financeiro. Essas pessoas concentram- se em um alvo de cada vez e no so como os amadores, que tentam se infiltrar no maior nmero possvel de sistemas. Enquanto os intrusos amadores de computadores apenas buscam a quantidade, os profissionais visam as informaes de qualidade e valor As tecnologias como os dispositivos de autenticao (para fornecer a identidade), o controle de acesso (para gerenciar o acesso aos arquivos e recursos do sistema) e os sistemas de deteco de intrusos (o equivalente eletrnico dos alarmes contra arrombamento) so necessrias para um programa corporativo de segurana. Mesmo assim, hoje em dia tpico de uma empresa gastar mais dinheiro em caf do que em medidas de contra-ataque para proteger-se dos ataques segurana. Assim como uma mente criminosa no resiste tentao, a mente do hacker orientada para encontrar maneiras de burlar as poderosas salvaguardas da tecnologia de segurana. E em muitos casos, eles fazem isso visando s pessoas que usam a tecnologia. Prticas fraudulentas H um ditado popular que diz que um computador seguro aquele que est desligado. Isso inteligente, mas falso: o hacker convence algum a entrar no escritrio e ligar aquele computador Um adversrio que quer as suas informaes pode obt-las, em geral, usando uma de vrias maneiras. Tudo uma ques- to de tempo, pacincia, personalidade e persistncia. nesse ponto que entra a arte da fraude. Para anular as medidas de segurana, um atacante, um invasor ou um engenheiro social deve encontrar um modo de enganar um usurio de confiana para que ele revele as informaes, ou deve enganar algum importante para que ele fornea o acesso. Quando os empregados de confiana so enganados, influenciados ou manipulados para revelar informaes sigilosas ou para executar aes que criem um buraco na segurana para que o atacante se infiltre, nenhuma tecnologia do mundo pode proteger uma empresa. Assim como os analistas de criptografia podem revelar o texto simples de uma mensagem codificada encontrando um ponto fraco que permita que desviem da tecnologia da criptografia, os engenheiros sociais enganam os seus empregados para desviar da tecnologia da segurana. ABUSO DE CONFIANA Na maioria dos casos, os engenheiros sociais bem-sucedidos tm uma habilidade muito boa em lidar com as pessoas. Eles so charmosos, educados e agradam facilmente os traos sociais necessrios 6 19. Capitulo 1 O Elo Mais Fraco da Segurana para estabelecer a afinidade e confiana. Um engenheiro social experiente pode ter acesso a praticamente qualquer informao-alvo usando as estratgias e tticas da sua habilidade. Os tecnologistas experientes tm desenvolvido solues de segurana da informao para minimizar os riscos ligados ao uso dos computadores, mas mesmo assim deixaram de fora a vulnerabilidade mais significativa: o fator humano, Apesar do nosso intelecto, ns humanos voc, eu e todas as outras pessoas continuamos sendo a ameaa mais sria segurana do outro. O nosso carter nacional No temos conscincia da ameaa, em particular no mundo ocidental, Nos Estados Unidos, no somos treinados para suspeitarmos uns dos outros. Somos ensinados a "amar o prximo" e ter confiana e f uns nos outros. Veja como difcil para as organizaes de vigilncia de vizinhana fazer com que as pessoas tranquem suas casas e seus carros. Esse tipo de vulnerabilidade bvio, e mesmo assim parece ser ignorado por muitas pessoas que preferem viver em um mundo de sonhos at se queimarem. Sabemos que nem todas as pessoas so gentis e honestas, mas vivemos como se elas fossem. Essa adorvel inocncia tem sido a estrutura da vida americana e doloroso desistir dela, Como uma nao, incorporamos ao nosso conceito de liberdade a idia de que o melhor lugar para viver aquele sem cadeados e chaves, A maioria das pessoas supe que no ser enganada, com base na crena de que a probabilidade de ser enganada muito baixa; o atacante, entendendo isso como uma crena comum, faz a sua solicita- o soar to razovel que no levanta suspeita enquanto explora a confiana da vtima. Inocncia organizacional Essa inocncia que faz parte do nosso carter nacional ficou evidente quando os computadores foram conectados remotamente pela primeira vez. Lembre-se de que a ARPANet (a Rede da Agncia de Projetos de Pesquisa Avanada do Departamento de Defesa), a antecessora da Internet, foi criada como um modo de compartilhar informaes de pesquisa entre o governo e as instituies de pesquisa e educacionais. O objetivo era a liberdade de informaes, bem como o avano tecnolgico. Muitas instituies educacionais, portanto, configuraram os primeiros sistemas de computadores com pouca ou nenhuma segurana, Um libertrio famoso dos computadores, Richard Stallman, at se recusou a proteger a sua conta com uma senha. Mas com a Internet sendo usada para o comrcio eletrnico, os perigos da pouca segurana do nosso mundo eletrnico mudaram muito. O emprego de mais tecnologia no vai solucionar o problema da segurana humana, Basta dar uma olhada em nossos aeroportos hoje, A segurana tornou-se imperativa e mesmo assim somos surpreendidos com notcias de passageiros que conseguiram burlar a segurana e passar com armas pelos pontos de checagem. Como isso possvel em uma poca na qual os nossos aeroportos esto em tal estado de alerta? Os detectores de metal esto falhando? No. O problema no so as mquinas, mas o fator humano: as pessoas que operam a mquina. Os funcionrios dos aeroportos podem dirigir a Guarda Nacional e instalar detectores de metal e sistemas de reconhecimento facial, mas a educao da equipe de frente da segurana sobre como examinar adequadamente os passageiros pode ajudar muito mais, O mesmo problema existe dentro do governo, das empresas e das instituies educacionais de todo o mundo, Apesar dos esforos dos profissionais de segurana, as informaes em toda a parte 7 20. 8 A Arte de Enganar permanecem vulnerveis e continuaro sendo vistas como um alvo pelos atacantes que tm habilidades de engenharia, at que o elo mais fraco da cadeia de segurana, o elo humano, seja fortalecido, Agora mais do que nunca devemos aprender a parar de ser otimistas e nos tornarmos mais conscientes das tcnicas que esto sendo usadas por aqueles que tentam atacar a confidencialidade, integridade e disponibilidade das informaes dos nossos sistemas e redes de computadores. Ns acostumamo-nos a aceitar a necessidade da direo segura; agora est na hora de aceitar e aprender a prtica da computao defensiva. A ameaa de uma invaso que viola a nossa privacidade, a nossa mente ou os sistemas de informaes da nossa empresa pode no parecer real at que acontea. Para evitar tamanha dose de realidade precisamos nos conscientizar, educar, vigiar e proteger os nossos ativos de informaes, as nossas informaes pessoais e as infra-estruturas crticas da nossa nao. E devemos implementar essas precaues hoje mesmo. TERRORISTAS E FRAUDE E bvio que a fraude no uma ferramenta exclusiva do engenheiro social. O terrorismo fsico mais noticiado e tivemos de reconhecer como nunca antes que o mundo um lugar perigoso. Afinal de contas, a civilizao apenas um verniz superficial. Os ataques a Nova York e Washington, D.C, em setembro de 2001, infundiram tristeza e medo nos coraes de cada um de ns no apenas nos americanos, mas tambm em todas as pessoas bem- intencionadas de todas as naes. Agora estamos alertas para o fato de que h terroristas obcecados localizados em todo o planeta, bem treinados e aguardando para lanar outros ataques contra ns. O esforo recentemente intensificado do nosso governo aumentou os nveis de nossa conscincia de segurana. Precisamos permanecer alertas, em guarda contra todas as formas de terrorismo e entender como os terroristas criam identidades falsas, como assumem os papis de alunos e vizinhos e se misturam multido. Eles mascaram suas crenas verdadeiras enquanto conspiram contra ns praticando truques de fraude semelhantes queles que voc ver nestas pginas. Embora at onde eu saiba os terroristas ainda no usaram as artimanhas da engenharia social para se infiltrarem nas corporaes, nas estaes de tratamento de gua, nas instalaes de gerao de eletricidade ou em outros componentes vitais da nossa infra-estrutura nacional, o potencial para isso existe. E isso muito fcil. A conscincia de segurana e as polticas de segurana que espero sejam colocadas em prtica e implantadas pelo gerenciamento corporativo de primeiro escalo por causa deste livro no viro cedo demais. SOBRE ESTE LIVRO A segurana corporativa uma questo de equilbrio. Pouca ou nenhuma segurana deixa a sua empresa vulnervel, mas uma nfase exagerada atrapalha a realizao dos negcios e inibe o crescimento e a prosperidade da empresa. O desafio atingir um equilbrio entre a segurana e a produtividade. Outros livros sobre segurana corporativa concentram-se na tecnologia de hardware e software e no abordam adequadamente a ameaa mais sria de todas: a fraude humana. A finalidade aqui aju- d-lo a entender como voc, seus colegas e as outras pessoas da sua empresa esto sendo manipulados e ensin-lo a erguer as barreiras para pararem de ser vtimas. O livro concentra-se principalmente nos mtodos no tcnicos que os invasores hostis usam para roubar informaes, comprometer a integri- 21. Captulo 1 O Elo Mais Fraco Da Segurana dade das informaes que se acredita estarem seguras, mas que no esto, ou para destruir o produto de trabalho da empresa. A minha tarefa torna-se mais difcil por causa de uma nica verdade; cada leitor ter sido manipu- lado pelos maiores especialistas de todos os tempos da engenharia social seus pais. Eles encontra- ram maneiras de fazer com que voc "para o seu prprio bem" fizesse aquilo que achavam ser o melhor Os pais tomam-se os grandes contadores de histrias da mesma forma que os engenheiros sociais desenvolvem com habilidade cada uma das histrias plausveis, dos motivos e das justificati- vas para atingir seus objetivos. Sim, todos fomos moldados por nossos pais: benevolentes (e, s vezes, nem tanto) engenheiros sociais. Condicionados por aquele treinamento, tornamo-nos vulnerveis manipulao. Teramos uma vida difcil se tivssemos de estar sempre em guarda e desconfiando dos outros, preocupados com o fato de sermos feitos de bobos por algum que est tentando se aproveitar de ns. Em um mundo perfeito, confiaramos implicitamente nos outros, certos de que as pessoas que encontramos sero honestas e confiveis. Mas no vivemos em um mundo perfeito e, portanto, temos de exercer um padro de vigilncia para repelir os esforos fraudulentos dos nossos adversrios. As principais partes deste livro, as Partes 2 e 3, so formadas por histrias que mostram os engenheiros sociais em ao. Nessas sees, voc ler sobre: O que os phreaks (hackers da telefonia) descobriram h anos: um mtodo simples para obter um nmero de telefone no relacionado na empresa de telefonia. Vrios mtodos diferentes usados pelos atacantes para convencer at mesmo os empregados alertas e desconfiados a revelarem seus nomes de usurio e as senhas de computador Como um gerente do Centro de Operaes cooperou para permitir que um atacante roubasse as informaes de produto mais secretas da sua empresa. Os mtodos de um atacante que enganou uma senhora para baixar software que espia cada tecla que ela digita e envia os detalhes por e-mail para ele. Como os detetives particulares obtm as informaes sobre a sua empresa e sobre voc, e posso garantir que isso far voc sentir um arrepio na espinha. Voc pode achar que as histrias das Partes 2 e 3 no so possveis, que ningum poderia ter sucesso com as mentiras, com os truques sujos e os esquemas descritos. A verdade que, em cada um desses casos, as histrias descrevem eventos que podem acontecer e acontecem; muitas delas esto acontecendo todos os dias em algum lugar do planeta, talvez at mesmo estejam acontecendo na sua empresa enquanto voc est lendo. Essas informaes abriro seus olhos para que voc proteja a sua empresa, rebata os avanos de um engenheiro social e proteja a integridade das informaes na sua vida privada. Na Parte 4, mudo de assunto. O meu objetivo aqui ajudar voc a criar as polticas de negcios e o treinamento em conscientizao necessrios para minimizar as chances de seus empregados serem enganados por um engenheiro social. O entendimento das estratgias, dos mtodos e das tticas do engenheiro social o ajudar a preparar-se para empregar controles razoveis que salvaguardam os seus ativos de TI, sem afetar a produtividade da sua empresa. Em resumo, escrevi este livro para aumentar a sua conscientizao sobre a sria ameaa repre- sentada pela engenharia social e para ajud-lo a ter certeza de que a sua empresa e seus empregados tm menos chances de serem explorados dessa maneira. Ou, quem sabe, devesse dizer bem menos chances de serem explorados novamente, 9 22. A Arte do Atacante 23. Quando as Informaes No So Inofensivas De acordo com a maioria das pessoas, qual a verdadeira ameaa dos engenheiros sociais? O que voc deve fazer para se proteger? Se o objetivo capturar algum prmio altamente valioso digamos um componente vital do capital intelectual da empresa , ento talvez voc precise, no sentido figurado, apenas de um cofre mais forte e de guardas mais armados. Certo? Mas na verdade a invaso da segurana de uma empresa quase sempre comea com o cara mau obtendo alguma informao ou algum documento que parece ser muito inocente, to comum e sem importncia que a maioria das pessoas da organizao no v nenhum motivo pelo qual ele deva ser protegido e restrito. O VALOR OCULTO DAS INFORMAES Grande parte das informaes aparentemente incuas de posse de uma empresa cobiada por ura atacante da engenharia social porque ela pode ter um papel vital em seu esforo de se revestir de credibilidade. Em todas estas pginas, mostro como os engenheiros sociais fazem o que fazem permitindo que voc "testemunhe" os ataques por si mesmo apresentando a ao sob o ponto de vista das vtimas e permitindo que voc coloque-se em seu lugar e mea como voc mesmo (ou talvez um dos seus empregados ou colegas) teria respondido. Em muitos casos, voc tambm experimentar os mesmos eventos sob a perspectiva do engenheiro social. A primeira histria examina a vulnerabilidade na indstria financeira. CREDITCHEX Durante muito tempo, os britnicos conviveram com um sistema bancrio muito conservador, Como um cidado comum, voc no podia atravessar a rua e abrir uma conta no banco. No, o banco nem pensaria em aceit-lo como cliente, a menos que algum cliente j bem estabelecido lhe fornecesse uma carta de recomendao. Isso muito diferente do aparentemente igualitrio sistema bancrio de hoje. Em nenhum outro lugar a nossa moderna facilidade de fazer negcios est em mais evidncia do que na Amrica demo- 24. 14 A Arte de Enganar crtica e amistosa, na qual quase todos podem entrar em um banco e abrir facilmente uma conta cor- rente, certo? Bom, as coisas no so bem assim. A verdade que os bancos tem uma compreensvel relutncia natural em abrir uma conta para algum que pode ter um histrico de emitir cheques sem fundo isso seria como dar as boas-vindas a uma folha corrida de roubos a banco e condenaes por desfalques. Assim sendo, muitos bancos adotam a prtica padro de atribuir polegares para cima ou para baixo para um possvel novo cliente. Uma das principais empresas que os bancos contratam para obter essas informaes um local que chamaremos de CreditChex. Elas fornecem um servio valioso a seus clientes, mas, assim como muitas empresas, tambm podem fornecer sem querer um servio til para os engenheiros sociais bem informados. A primeira ligao: Kim Andrews "National Bank, Kim. Voc quer abrir uma conta hoje?" "Ol, Kim. Eu quero fazer uma pergunta. Vocs usam a CreditChex?" "Sim." "Quando vocs ligam para a CreditChex, como voc chama o nmero que fornece um MD do Comerciante'"? H uma pausa; ela est pensando na pergunta, perguntando-se do que se trata e se ela deve responder. O interlocutor continua rapidamente sem perder o ritmo: "Sabe, Kim. estou escrevendo um livro. Ele trata de investigaes particulares." "Sim", ela diz, respondendo pergunta com confiana e feliz em ajudar um escritor. "Ento vocs chamam esse nmero de ID do comerciante, no ?" "Hum, hum." "timo, porque eu queria ter certeza de que estava usando a linguagem certa no livro. Obrigado pela sua ajuda. At logo, Kim." A segunda ligao: Chris Talbert "National Bank, Contas Novas, Chris". "Ol, Chris. Aqui o Alex", o interlocutor diz. "Eu sou um representante do servio ao cliente da CreditChex. Estamos fazendo uma pesquisa para melhorar os nossos servios. Voc tem alguns minutos?" Ela concordou e o interlocutor continua: "Muito bem qual o horrio de funcionamento da sua filial?" Ela respondeu e continuou respondendo s suas perguntas. "Quantos empregados da sua filial usam o nosso servio?" "Com que freqncia voc liga para ns com uma consulta?" "Qual dos nossos nmeros 800 ns designamos para vocs usarem ao ligar para ns?" "Os nossos representantes so sempre educados?" "Qual o nosso tempo de resposta?" 25. Captulo 2 Quando as informaes No So Inofensivas "H quanto tempo voc trabalha no banco?" "Qual ID de Comerciante voc est usando no momento?" "Voc j encontrou alguma impreciso nas informaes que fornecemos?" "Se voc tivesse alguma sugesto para melhorar o nosso servio, qual seria?" E finalmente: "Voc se importaria em preencher questionrios peridicos se os envissemos para a sua filial?" Ela concordou, eles conversaram um pouco, o interlocutor desligou e Chris voltou ao trabalho. A terceira ligao: Henry McKinsey "CreditChex, Henry McKinsey, posso ajudar?" O interlocutor disse que ele era do National Bank, Ele deu o ID de Comerciante adequado e. em seguida, o nome e o nmero do seguro social da pessoa de quem ele queria informaes. Henry pediu a data de nascimento e o interlocutor forneceu-a tambm. Aps alguns instantes, Harry leu a listagem na tela do seu computador. 'Wells Fargo informou NSF em 1998, uma vez, valor de US$ 2.066." NSF fundos insuficientes a linguagem conhecida para os cheques que foram passados sem que houvesse dinheiro em conta para a sua compensao. "Alguma atividade desde ento?" "Nenhuma atividade." "Houve outras consultas?" "Vejamos. Sim, duas e ambas no ltimo ms. A terceira no United Credit Union, de Chicago." Ele parou no prximo nome, Schenectady Mutual Investments, e teve de so- letr-lo. "Isso no Estado de Nova York", ele acrescentou. O detetive particular em ao Todas aquelas trs ligaes foram feitas pela mesma pessoa: um detetive particular que chamaremos de Oscar Grace. Grace tinha um cliente novo, um de seus primeiros clientes. Ele era tira h alguns meses e descobriu que parte desse novo trabalho veio naturalmente, mas outra parte representava um desafio para os seus recursos e a sua criatividade. Esse cliente classificava-se sem dvida na categoria do desafio. Os insensveis olhos privados da fico os Sam Spades e os Philip Marlowes passaram madrugadas sentados em carros observando uma esposa infiel. Os detetives da vida real fazem o mesmo. Eles tambm fazem coisas sobre as quais no se escreve tanto, mas um tipo no menos importante de espionagem de esposas, um mtodo que depende mais das habilidades de engenharia social do que da luta contra o aborrecimento das viglias na madrugada. O novo cliente de Grace era uma senhora que parecia ter um oramento bastante grande para rou- pas e jias. Ela entrou certo dia no seu escritrio e sentou-se na cadeira de couro, a nica que no tinha papis empilhados. Ela colocou a sua bolsa Gucci na mesa com o logotipo virado para ele e anunciou que pretendia dizer ao marido que queria se divorciar, mas admitia ter "apenas um probleminha". 15 26. 16 A Arte de Enganar Parece que o seu marido estava um passo adiante. Ele j havia sacado o dinheiro de sua conta poupana e uma soma maior ainda da sua conta em uma corretora. Ela queria saber o destino do seu patrimnio e o advogado do seu divrcio no estava ajudando muito. Grace conjecturou que o advogado era um daqueles conselheiros de altos salrios que no queriam sujar as mos com algo to complicado quanto saber aonde foi parar o dinheiro. Ser que Grace poderia ajudar? Ele garantiu que isso seria fcil, fez uma cotao para o servio, fora as despesas, e recebeu um cheque como primeiro pagamento. Em seguida, ele enfrentou o seu problema. O que voc faria se nunca tivesse feito um trabalho assim antes e no soubesse muito bem por onde comear a rastrear o dinheiro? Voc avana a passos de beb. Aqui, de acordo com a nossa fonte, est a histria de Grace. Eu conhecia o CreditChex e o modo como os bancos o usavam a minha ex-mulher trabalhava em um banco. Mas no sabia qual era o jargo e os procedimentos e seria perda de tempo tentar perguntar isso a ela. Etapa um: Aprenda a terminologia e descubra como fazer a solicitao para que parea que voc sabe do que est falando. No banco para o qual liguei, a primeira jovem, Kim, desconfiou quando perguntei sobre como eles se identificavam quando ligavam para o CreditChex. Ela hesitou; no sabia se devia contar isso para mim. Fui derrotado por isso? Nem um pouco. Na verdade, a hesitao me deu uma pista importante, um sinal de que eu tinha de fornecer um motivo para que ela acreditasse. Quando apliquei a mentira de que estava fazendo pesquisas para um livro, ela relaxou. Voc diz que um escritor ou roteirista e todas as portas se abrem. Ela tinha outro conhecimento que teria ajudado coisas como quais informaes o CreditChex requer para identificar a pessoa sobre a qual voc est querendo as informaes, quais informaes voc pode pedir e a maior delas: qual era o nmero de ID de Comerciante do banco de Kim. Eu estava pronto para fazer aquelas perguntas, mas a sua hesitao enviou um sinal vermelho. Ela acreditou na histria da pesquisa para um livro, mas j tinha algumas suspeitas. Se tivesse sido mais receptiva desde o incio, eu teria pedido para que ela revelasse mais detalhes sobre seus procedimentos. Voc tem de confiar em seus instintos, ouvir com ateno o que o Mark est dizendo e como ele est dizendo isso. Essa moa parecia ser bastante inteligente para ouvir o alarme quando fizesse muitas perguntas incomuns. E embora ela no soubesse quem eu era e de qual nmero eu estava falando, mesmo assim nesse negcio voc nunca quer que algum espalhe que est procurando algum e liga para obter informaes sobre os negcios. Isso acontece porque voc no quer queimar a fonte voc pode ligar novamente para o mesmo escritrio em outra ocasio. Jargo MARK A vtima de uma conspirao. QUEIMAR A FONTE Diz-se que um atacante queimou a fonte quando ele permite que uma vitima reconhea que ocorreu um ataque. Aps a vtima tomar conhecimento e no- tificar os outros empregados ou a direo sobre a tentativa, fica muito difcil explorar a mesma fonte em ataques futuros. 27. Captulo 2 Quando as Informaes No So Inofensivas 17 Sempre observo os pequenos sinais que me do uma leitura da cooperao de uma pessoa, em uma escala que vai desde "Voc parece uma boa pessoa e acredito em tudo que voc est dizendo" at "Ligue para a polcia, chame a Polcia Federal, essa pessoa no est querendo boa coisa". Entendi que Kim estava um pouco em dvida, assim, liguei para algum de uma filial diferente. Na minha segunda ligao com Chris, o truque da pesquisa a encantou. A ttica aqui incluir as perguntas importantes entre aquelas sem conseqncias que so usadas para criar uma idia de credibilidade. Antes de entrar com a pergunta sobre o nmero do ID de Comerciante do CreditChex, fiz um pequeno teste de ltima hora fazendo uma pergunta pessoal sobre h quanto tempo ela trabalhava no banco. Uma pergunta pessoal e como um campo minado algumas pessoas pisam sobre uma mina e nunca percebem; no caso de outras pessoas, a mina explode e faz com que elas saiam correndo em busca de segurana. Assim sendo, se eu fizer uma pergunta pessoal, ela responder a pergunta e o tom da sua voz no mudar, isso significa que provavelmente ela no ctica sobre a natureza da solicita- o. Posso seguramente fazer a pergunta que estou querendo sem levantar suas suspeitas, e ela talvez me dar a resposta que desejo. Mais uma coisa que um bom detetive particular sabe: nunca encerre uma conversao aps obter a informao-chave. Outras duas ou trs perguntas, um pouco de bate-papo e ento pode dizer adeus. Mais tarde, se a vtima se lembrar de alguma coisa que voc perguntou, provavelmente ela se lembra- r das ltimas perguntas. O restante em geral ser esquecido. Assim, Chris me deu o seu nmero de ID de Comerciante e o nmero de telefone que eles ligam para fazer as solicitaes, Eu ficaria mais feliz se tivesse feito algumas perguntas sobre quantas informaes possvel obter da CreditChex. Mas achei melhor no abusar da minha sorte. Isso era como ter um cheque em branco da CreditChex. Agora eu podia ligar e obter informaes sempre que quisesse. E nem tinha de pagar pelo servio. O representante da CreditChex ficou satis- feito em compartilhar exatamente das informaes que eu queria; os dois lugares nos quais o marido da minha cliente havia se inscrito recentemente para abrir uma conta. Assim sendo, onde estavam os bens que a sua futura ex-mulher estava procurando? Onde mais alm das instituies bancrias que o funcionrio da CreditChex relacionou? Um ID de Comerciante nessa situao como uma senha. Se o pessoal do banco o tra- tasse como uma senha de caixa eletrnico, eles poderiam apreciar a natureza delicada das informaes. H algum cdigo interno ou um nmero na sua organizao que no esteja sendo tratado com cuidado suficiente pelas pessoas? Analisando a trapaa Todo esse ardil baseou-se em uma das tticas fundamentais da engenharia social: ganhar acesso s informaes que o empregado de uma empresa trata como inofensivas, quando na verdade elas no so. A primeira funcionria do banco confirmou a terminologia para descrever o nmero de identifica- o usado ao ligar para o CreditChex: o ID de Comerciante. A segunda forneceu o nmero de telefone para ligar para o CreditChex e a informao mais vital: o nmero de ID de Comerciante. Todas essas informaes pareciam ser inofensivas para a funcionria. Afinal de contas, ela achou que estava falando com algum do CreditChex e assim, qual seria o mal de divulgar o nmero? Mitnick Recado do 28. A Arte de Enganar Tudo isso criou a base para a terceira ligao. Grace tinha tudo o que precisava para ligar para a CreditChex, para se passar como representante de um de seus bancos clientes, o National, e simplesmente pedir as informaes que estava querendo. Com habilidades para roubar informaes to boas quanto aquelas que um trapaceiro tem para roubar o seu dinheiro, Grace tinha talentos bem treinados para ler as pessoas. Ele conhecia a ttica comum de esconder as principais perguntas entre aquelas mais inocentes. Ele sabia que uma pergunta pessoal testaria a disposio da segunda funcionria em cooperar antes de pedir inocentemente o nmero do ID de Comerciante. O erro do primeiro funcionrio ao confirmar a terminologia para o nmero do ID do CreditChex foi um erro quase impossvel de ser evitado. As informaes so to conhecidas dentro da indstria bancria que elas parecem no ter importncia o prprio modelo da inocncia. Mas a segunda funcionria, Chris, no deveria ter sido to disposta a responder perguntas sem verificar se o interlocutor era de fato quem dizia ser Ela deveria pelo menos ter anotado seu nome e nmero e ter ligado novamente. Dessa forma, se mais tarde surgisse alguma dvida, ela teria um registro do nmero do telefone usado pela pessoa. Neste caso, uma ligao como essa tomaria muito mais difcil para o atacante disfarar-se de representante do CreditChex. Teria sido melhor ainda ligar para o CreditChex usando um nmero que o banco j tinha em seus registros no um nmero fornecido pelo interlocutor para verificar se a pessoa realmente trabalhava l, e se a empresa eslava realmente fazendo uma pesquisa com os clientes. Dados os detalhes prticos do mundo real e as presses de tempo sob as quais a maioria das pessoas trabalha hoje em dia. seria muito esperar esse tipo de ligao telefnica de verificao, exceto quando um empregado suspeita de que algum tipo de ataque est sendo realizado, A ARMADILHA DE ENGENHEIRO E de conhecimento geral que as empresas caa-talentos usam as tticas da engenharia social para recrutar talentos corporativos. Este um exemplo de como isso pode acontecer. No final dos anos de 1990, uma agncia de empregos no muito tica conseguiu um cliente novo, uma empresa que estava procurando engenheiros eltricos com experincia na indstria de telefonia, O piv do projeto era uma senhora dotada de uma voz rouca e um modo sexy que ela havia aprendido a usar para desenvolver a confiana inicial e afinidade pelo telefone. A senhora resolveu atacar um provedor de servios de telefonia celular para saber se ela poderia localizar alguns engenheiros que estivessem tentados a atravessar a rua e ir trabalhar para um concorrente. Ela no podia ligar para a telefonista e dizer "Quero falar com algum que tenha cinco anos de experincia como engenheiro". Em vez disso, por motivos que ficaro claros em alguns instantes, ela comeou o assalto aos talentos buscando uma informao que parecia no ser nada sigilosa, uma informao que a empresa d para quase todas as pessoas que a pedem. A primeira ligao: a recepcionista Usando o nome Didi Sands, a atacante fez uma ligao para os escritrios da empresa de telefonia celular. Esta foi parte da conversao: Recepcionista: Boa tarde. Sou Marie. posso ajudar? Didi: Voc pode me passar para o Departamento de Transportes? 18 29. Capitulo 2 Quando as Informaes No So Inofensivas R: Eu no sei se temos um, vou procurar na minha listagem. Com quem falo? D: Aqui Didi. R: Voc est ligando do prdio ou.,.? D: No, eu estou fora do prdio. R: Didi de qu? D: Didi Sands. Eu tinha o ramal de Transportes, mas esqueci. R: Um momento. Para evitar suspeitas, nesse ponto Didi fez uma pergunta casual s para manter a conversao, com a inteno de estabelecer o fato de que ela estava "por dentro" e familiarizada com as localizaes da empresa. D: Em qual prdio voc est Lakeview ou Main Place? R: Main Place. (pausa) O nmero 805 555 6469. Para ter um backup caso a ligao para Transportes no fornecesse aquilo que ela estava procurando, Didi disse que ela tambm queria falar com Imveis. A recepcionista deu esse nmero tambm. Quando Didi pediu para ser transferida para Transportes, a recepcionista tentou, mas a linha estava ocupada. Nesse ponto, Didi pediu um terceiro nmero de telefone, o de Contas a Receber, o qual estava localizado em um prdio corporativo em Austin, no Texas. A recepcionista pediu para ela aguardar um momento e saiu da linha. Ela estava consultando a Segurana dizendo que estava com uma ligao telefnica suspeita e achou que havia algo de estranho. De forma alguma, responderam, e Didi no teve a menor preocupao. Ela estava fican- do meio aborrecida, mas para a recepcionista isso tudo fazia parte de um dia normal de trabalho. Aps cerca de um minuto, a recepcionista voltou linha procurou o nmero de Contas a Receber, fez a transferncia e colocou Didi na linha. A segunda ligao: Peggy A prxima conversao foi assim: Peggy: Contas a Receber, Peggy. Didi: Oi, Peggy. Aqui Didi, de Thousand Oaks. P: Oi, Didi. D: Como vai? P: Tudo bem. Em seguida, Didi usou um termo familiar no mundo corporativo que descreve o cdigo de cobrana para designar as despesas no oramento de uma organizao ou grupo de trabalho especfico: D; Excelente. Tenho uma pergunta. Como encontro o centro de custo de determinado departamento? P; Voc tem de falar com o analista de oramento do departamento. D: Voc sabe quem o analista de oramento para Thousand Oaks a sede? Eu estou tentando preencher um formulrio e no sei qual o centro de custo apropriado. P: S sei que quando voc precisa do nmero do centro de custo, voc liga para o seu analista de oramento. 19 30. A Arte de Enganar D: Voc tem um centro de custo no seu departamento ai no Texas? P: Temos o nosso prprio centro de custo, mas eles no nos do a lista com todos eles. D: Quantos dgitos tem o centro de custo? Por exemplo, qual o seu centro de custo? P: Bem, voc trabalha no 9WC ou no SAT? Didi no tinha a menor idia de quais eram esses departamentos ou grupos, mas isso no importava. Ela respondeu: D: 9WC. P: Ento em geral so quatro dgitos. Onde voc disse que trabalhava? D: Na sede em Thousand Oaks. P: Bem, aqui tem um para Thousand Oaks, 1A5N, com N de Nancy. Falando apenas o tempo suficiente com algum que estava disposto a ajudar, Didi conseguiu o nmero do centro de custo de que precisava uma daquelas informaes que ningum pensa em proteger, porque parece algo que nunca ter valor para uma pessoa de fora. A terceira ligao: um nmero errado til A prxima etapa para Didi seria explorar o nmero do centro de custo e transform-lo em algo de valor verdadeiro, usando-o como uma ficha de pquer. Ela comeou ligando para o departamento de Imveis fingindo ter ligado para um nmero errado. Comeando com um "Desculpe incomodar, mas...", ela disse que era uma funcionria que havia perdido a lista de telefones da empresa e perguntou para quem ela deveria ligar para conseguir uma outra cpia. O homem disse que a cpia impressa estava desatualizada, porque ela estava disponvel no site da intranet da empresa. Didi disse que preferia usar uma cpia impressa e o homem disse para ela ligar para Pu- blicaes e, em seguida, sem que ela pedisse talvez s para manter a senhora com voz sexy mais um pouco na linha procurou o nmero e o forneceu para ela. A quarta ligao: Bart, em Publicaes Em Publicaes, ela falou com um homem chamado Bart. Didi disse que era de Thousand Oaks e que eles tinham um consultor novo que precisava de uma cpia da lista de telefones da empresa. Ela disse que uma cpia impressa funcionaria melhor para o consultor, mesmo que estivesse meio desatualizada. Bart disse que ela teria de preencher um formulrio de requisio e envi-lo para ele. Didi disse que estava sem formulrios e com muita pressa, e perguntou se Bart no poderia fazer o favor de preencher o formulrio para ela. Ele concordou, no muito entusiasma- do, e Didi forneceu os detalhes. Como endereo da contratada fictcia, ela deu o nmero daquilo que os engenheiros sociais chamam de rnail drop, o qual, nesse caso, era uma empresa de caixas postais na qual a sua empresa alugava caixas postais para situaes como aquela. A preliminar anterior tornou-se til agora: seria cobrada uma taxa pelo custo e envio da lista. Muito bem Didi deu o centro de custo de Thousand Oaks: "1A5N, com N de Nancy". 20 31. Captulo 2 Quando as Informaes No So Inofensivas 21 Alguns dias depois, quando chegou a lista de telefones corporativos, Didi descobriu que isso valia mais a pena do que ela havia imaginado: ela no apenas tinha os nomes e n- meros de telefones, mas tambm quem trabalhava para quem a estrutura corporativa de toda a organizao. A senhora de voz forte estava pronta para comear a caar o seu talento e fazer ligaes telefnicas em busca de pessoas. Ela havia trapaceado as informaes que precisava ter para iniciar o seu ataque usando o dom da palavra lapidado ao mximo que cada engenheiro social habilidoso tem. Agora ela estava pronta para receber a recompensa. Assim como as peas de um quebra-cabea, cada informao parece irrelevante sozi- nha. Porm, quando as peas so juntadas, uma figura aparece. Neste caso, a figura do engenheiro social mostrou toda a estrutura interna da empresa. Analisando a trapaa Neste ataque da engenharia social, Didi comeou conseguindo os telefones dos trs departamentos da empresa-alvo. Isso foi fcil, os nmeros que ela queria no eram segredo, particularmente para os empregados. Um engenheiro social aprende a se fazer passar por algum de dentro da empresa e Didi fazia isso com habilidade, Um dos nmeros de telefone a levaram a um nmero de centro de custo, o qual foi usado em seguida para obter uma cpia da lista de telefones dos funcionrios da empresa. As principais ferramentas que ela precisava ter: parecer amistosa, usar um pouco do jargo corporativo e, com a ltima vtima, jogar um pouco de areia nos olhos dos outros. E mais uma ferramenta, um elemento essencial que no pode ser adquirido facilmente as habilidades de manipulao do engenheiro social refinadas por meio de extensa prtica e as lies no escritas pelas geraes de homens de confiana. MAIS INFORMAES "VALIOSAS" Alem de um nmero de centro de custo e dos ramais dos telefones internos, quais outras informaes aparentemente inteis podem ser valiosssimas para o seu inimigo? Ligao telefnica para Peter Abel "Oi", a voz no outro lado da linha diz. "Sou Tom. da Parkhurst Travel. As suas passagens para So Francisco esto prontas. Voc quer que as entreguemos ou vai retir-las?" MAIL DROP O termo do engenheiro social para uma caixa postal alugada, em geral com um nome fictcio, a qual usada para o recebimento de documentos ou pacotes que a vtima foi convencida a enviar. Jargo Mitnick Recado do 32. 22 A Arte de Enganar "So Francisco?", diz Peter. "Eu no vou para So Francisco." "O senhor Peter Abeis?" "Sim, mas eu no tenho nenhuma viagem programada." "Bem", disse o interlocutor com uma risada amistosa, Voc tem certeza de que no quer ir a So Francisco?", "Se voc acha que pode convencer o meu chefe... ", retruca Peter, brincando com a conversa amistosa. "Parece que houve alguma confuso", salienta o interlocutor, "No nosso sistema, tomamos as providncias de viagem pelo nmero de empregado. Talvez algum tenha usado o nmero errado. Qual o seu nmero de empregado?" Peter informa o seu nmero. E por que no? Ele aparece em quase todos os formulrios pessoais que preenche, muitas pessoas da empresa tm acesso a ele recursos humanos, folha de pagamento e, obviamente, a agncia externa de viagens. Ningum trata um nmero de empregado como um segredo. Que diferena faria? A resposta no difcil de descobrir. Duas ou trs informaes seriam o suficiente para montar uma farsa efetiva o engenheiro social usando a identidade de outra pessoa. Consiga o nome de um empregado, o seu nmero de telefone, o seu nmero de empregado, e quem sabe tambm o nome e nmero de telefone do seu gerente, e um engenheiro social a caminho de ser competente tem a maior parte daquilo que ele precisa para parecer autntico para o prximo alvo. Se algum dizendo que era de outro departamento dentro da sua empresa ligasse ontem, desse um motivo plausvel e pedisse o seu nmero de empregado, voc relutaria em dar- lhe a informao? E por falar nisso, qual o seu nmero de seguro social? A moral da histria : no d nenhuma informao pessoal ou interna da empresa, nem identificadores para ningum, a menos que a sua voz seja conhecida e o solicitante tenha necessidade de saber a informao. EVITANDO A TRAPAA A sua empresa tem a responsabilidade de informar os empregados sobre como pode ocorrer um erro srio quando informaes no pblicas so tratadas da forma errada. Uma poltica de segurana bem desenvolvida, combinada educao e treinamento adequados, aumenta bastante a conscincia do empregado sobre o tratamento correto das informaes comerciais corporativas. Uma poltica de classificao de dados ajuda voc a implementar os controles adequados para a divulgao das informaes. Sem uma poltica de classificao de dados, todas as informaes internas devem ser consideradas confidenciais, a menos que seja especificado o contrrio. Use estas etapas para proteger a sua empresa contra a divulgao de informaes aparentemente inofensivas: O Departamento de Segurana das Informaes precisa realizar o treinamento da conscientizao, o qual detalha os mtodos usados pelos engenheiros sociais. O mtodo descrito an- Mitnick Recado do 33. Captulo 2 Quando as Informaes No So Inofensivas 23 teriormente 3 obteno de informaes aparentemente no sigilosas e o seu uso como uma ficha de pquer para ganhar a confiana de curto prazo. Cada um dos empregados precisa ter conscincia de que o falo de um interlocutor ter conhecimento dos procedimentos da empresa, da linguagem e dos identificadores internos no d de maneira nenhuma a forma ou a autenticao para o solicitante, nem o autoriza a ter a necessidade de saber as informaes. Um interlocutor pode ser um ex-empregado ou contratado com as informaes internas requisitas. Da mesma forma, cada corporao tem a responsabilidade de determinar o mtodo apropriado de autenticao a ser usado quando os empregados interagem com as pessoas que eles no conhecem pessoalmente ou pelo telefone. A pessoa ou as pessoas que tm o papel e a responsabilidade de criar uma poltica de classificao de dados devem examinar os tipos de detalhes que parecem inofensivos e podem ser usados para obter o acesso dos empregados legtimos, mas esses detalhes podem levar a informaes sigilosas. Embora voc nunca daria os cdigos de acesso do seu carto eletrnico, diria a algum qual servidor voc usa para desenvolver produtos de software para a empresa? Essas informaes poderiam ser usadas por uma pessoa que finge ser outra que tem acesso legtimo a rede corporativa? O simples conhecimento da terminologia interna pode fazer com que um engenheiro social parea assumir autoridade e conhecimento. O atacante quase sempre usa esse erro comum de conceito para fazer com que suas vtimas colaborem. Por exemplo, um ID de Comerciante um identificador que as pessoas do departamento de Contas Novas de um banco usam todos os dias. Mas tal identificador exatamente igual a uma senha. Se cada um dos empregados entender a natureza desse identificador o qual usado para autenticar positivamente um solicitante , eles podero trat-lo com mais respeito. Nenhuma empresa bem, pelo menos muito poucas d os nmeros dos telefones diretos de seus CEOs ou diretores. A maioria das empresas, porm, no se preocupa em dar os nmeros de telefones da maioria dos departamentos e grupos de trabalho da organizao particularmente para algum que ou parece ser um empregado. Uma medida de contra-ataque possvel seria implementar uma poltica que probe a divulgao dos nmeros internos de funcionrios, contratados, consultores e temporrios para as pessoas que no so da empresa. O mais importante desenvolver um procedimento passo a passo para identificar positivamente se um interlocutor que est pedindo os nmeros de telefone de fato um empregado. Como diz o ditado; at mesmo os verdadeiros paranicos provavelmente tm inimigos. Devemos assumir que cada empresa tambm tem os seus os atacantes que visam a infra-estrutura da rede para comprometer os segredos da empresa. No acabe sendo uma estatstica nos crimes de computadores; est mais do que na hora de armazenar as defesas necessrias implementando controles adequados por meio de polticas de segurana e procedimentos bem planejados. Os cdigos contbeis dos grupos de trabalho e departamentos, bem como as cpias do diret- rio corporativo (uma cpia impressa, um arquivo de dados ou uma lista eletrnica de telefones na intranet) so alvos freqentes dos engenheiros sociais. Cada empresa precisa ter uma poltica escrita e bem divulgada sobre a revelao desse tipo de informao. As salvaguardas Mitnick Recado do 34. 24 A Arte de Enganar devem incluir a manuteno de um registro de auditoria que estabelece os casos em que as informaes sigilosas so divulgadas para as pessoas de fora da empresa. Informaes, tais como um nmero de empregado, por si s, no devem ser usadas como nenhum tipo de autenticao. Todo empregado deve ser treinado para verificar no apenas a identidade do solicitante, como tambm a necessidade que o requisitante tem de saber No seu treinamento de segurana, voc deve pensar em ensinar essa abordagem aos funcionrios: sempre que um estranho pedir um favor, saiba primeiro como negar educadamente at que a solicitao possa ser verificada. Em seguida, antes de ceder ao desejo natural de ser o Sr ou a Sra. Ajuda, siga as polticas e os procedimentos da empresa com relao a verificao e divulgao das informaes no pblicas. Esse estilo pode ir contra a nossa tendncia natural de ajudar os outros, mas um pouco de parania saudvel pode ser necessria para evitar ser a prxima vtima do engenheiro social. Como mostraram as histrias deste captulo, as informaes aparentemente inofensivas podem ser a chave para os segredos mais valiosos da sua empresa. 35. O Ataque Direto: Simplesmente Pedindo Muitos ataques de engenharia social so complicados e envolvem diversas etapas e planejamento elaborado, alm de combinar o conhecimento da manipulao e tecnologia. Sempre achei incrvel como um engenheiro social habilidoso pode atingir esse objetivo com um ataque simples e direto. Como voc ver, s vezes tudo o que ele precisa simplesmente pedir as informaes. UM MLAC RPIDO Voc quer saber o telefone de algum que no est na lista? Um engenheiro social pode lhe dar meia dzia de maneiras (e voc encontrar algumas delas descritas nas histrias deste livro), mas provavelmente o cenrio mais simples aquele que usa uma nica ligao telefnica como esta, a seguir O nmero, por favor O atacante discou para o nmero particular da empresa de telefonia do MLAC, o Centro Mecanizado de Designao de Linhas. Uma mulher respondeu e ele disse: "Ol, aqui e Paul Anthony. Eu sou um tcnico de cabos. Oua, uma caixa de terminal aqui foi queima- da em um incndio. Os policiais acham que algum maluco tentou queimar sua prpria casa para receber o seguro. Eles me mandaram aqui sozinho para tentar refazer a fiao de todo este terminal de duzentos pares. Eu estou precisando de ajuda. Quais instalaes deveriam estar funcionando na South Main, 6723?". Em outras empresas de telefonia, a pessoa chamada deveria saber que as informaes de pesquisa inversa sobre os nmeros no publicados devem ser fornecidas apenas para o pessoal autorizado da prpria empresa de telefonia. Mas o MLAC s conhecido dos empregados da empresa de telefonia. E embora eles nunca dem informaes para o pblico, quem iria se recusar a ajudar um homem da empresa que est tentando dar conta de uma tarefa difcil? Ela lamentou o fato, porque ela mesma j havia tido dias ruins no trabalho e poderia quebrar um pouco as regras para ajudar um colega com problemas. Ela forneceu o cabo, os pares e cada nmero em funcionamento designado para aquele endereo. Analisando a trapaa Como voc vai notar em todas essas histrias, o conhecimento da linguagem de uma empresa e de sua estrutura corporativa seus vrios escritrios e departamentos, o que cada um deles faz e as informaes que tem faz parte da bagagem essencial de truques de um engenheiro social bem-sucedido. 36. da natureza humana confiar em nossos colegas, particularmente quando a solicitao passa no teste como sendo razovel. Os engenheiros sociais usam esse conhecimento para explorar suas vitimas e atingir seus objetivos. UM JOVEM EM FUGA Um homem que chamaremos de Frank Parsons estava foragido h anos, e ainda era procurado pelo governo federal por fazer parte de um grupo antiguerra nos anos de 1960. Nos restaurantes, ele se sentava de frente para a porta e tinha um jeito desconcertante de sempre estar olhando para trs. Ele se mudava de tempos em tempos. Certa vez Frank chegou em uma cidade que no conhecia e comeou a procurar emprego. Para algum como Frank, com as suas habilidades bem desenvolvidas com computadores (e tambm com habilidades de engenharia social, embora ele nunca tenha relacionado isso em uma proposta de emprego), encontrar um bom trabalho em geral no era problema. Exceto nas pocas em que a economia estava muito difcil, o talento das pessoas com um bom conhecimento tcnico de computadores estava em alta e elas no tinham muitos problemas para dar um jeito. Frank rapidamente encontrou uma oportunidade de emprego com um bom salrio em uma empresa grande perto de onde ele estava morando. Isso perfeito, pensou. Mas quando comeou a preencher os formulrios para o emprego, encontrou um empecilho: o empregador exigia que o candidato fornecesse uma cpia da sua ficha criminal, a qual ele teria de obter na polcia estadual. A pilha de documentos do emprego inclua um formulrio para solicitar esse documento, e o formulrio tinha um quadradinho para uma impresso digital. Embora eles estivessem pedindo uma digital apenas do indicador direito, se eles a comparassem com uma do banco de dados do FBI, ele provavelmente em breve estaria trabalhando na cozinha de um resort financiado pelo governo federal. Ocorreu a Frank que talvez, apenas talvez, ele ainda pudesse contornar esse problema. Talvez o estado no enviasse aquelas amostras de digitais para o FBI. Como descobriria isso? Como? Ele era um engenheiro social como voc acha que ele descobriu? Ele fez uma ligao telefnica para a polcia estadual: "Ol. Estamos fazendo um estudo para o Departamento de Justia do Estado. Estamos pesquisando os requisitos para implementar um novo sistema de identificao de digitais. Posso falar com algum que conhea aquilo que estamos fazendo e que possa nos ajudar?" Quando o especialista local veio ao telefone, Frank fez uma srie de perguntas sobre quais sistemas eles usavam e as capacidades de pesquisa e armazenamento de dados das digitais. Eles haviam tido algum problema com o equipamento? Eles estavam ligados Pesquisa de Digitais do Centro Nacional de Informaes sobre o Crime (NCIC) ou a jurisdio era apenas dentro do estado? O equipamento era fcil e todos poderiam aprender a usar? Astuciosamente, ele incluiu a pergunta-chave entre as outras. A resposta soou como msica para seus ouvidos: no, eles no estavam ligados ao NCIC, eles verificavam apenas no ndice de Informaes Criminais (CII). Mitnick A Arte de Enganar26 Recado do 37. Capitulo 3 O Ataque Direto: Simplesmente Pedindo Mitnick Os trapaceiros de informaes experientes no tm escrpulos em ligar para os gover- nos federal, estadual ou municipal para saber os procedimentos da aplicao das leis. Com tais informaes em mos, o engenheiro social pode contornar as verificaes de segurana padro da sua empresa. Isso era tudo que Frank precisava saber Ele no linha nenhum registro naquele estado, de modo que enviou o pedido de emprego, foi contratado e ningum jamais apareceu na sua mesa um dia com esta conversa "Estes senhores so do FBI e gostariam de conversar com voc". DEIXE NA PORTA Apesar do mito do escritrio sem papelada, as empresas continuam imprimindo uma quantidade imensa de papel todos os dias. As informaes impressas da sua empresa podem ser vulnerveis, mesmo que voc use as precaues de segurana e coloque um carimbo de confidencial Esta uma histria que mostra como os engenheiros sociais podem obter os seus documentos mais secretos. A trapaa do loop-around Todos os anos a empresa de telefonia publica uma lista chamada Lista de Nmeros de Teste (ou pelo menos costumavam fazer isso, mas como eu ainda estou na condicional no vou perguntar se ainda a publicam). Esse documento era muito cobiado pelos phreakers porque ele trazia uma lista de todos os nmeros de telefone guardados a sete chaves e usados pelos funcionrios, tcnicos e outros empregados da empresa de telefonia para coisas como teste de tronco ou verificao de nmeros que sempre esto ocupados. Um desses nmeros de teste, conhecido pelo jargo de loop-around, era particularmente til. Os phreakers o usavam como um modo de entrar em contato com outros phreakers para conversar sem pagar pela ligao. Tambm costumavam us-lo como um modo de criar um nmero de retorno para dar, por exemplo, a um banco. Um engenheiro social diria a algum do banco o nmero de telefone do seu escritrio? claro que no. Quando o banco ligava de volta para o nmero de teste (loop- around), o phreaker podia receber a ligao, mas tinha a proteo de usar um nmero que no poderia ser rastreado e ele no seria encontrado. Uma Lista de Nmeros de Teste fornecia muitas informaes boas que poderiam ser usadas por qualquer phreaker faminto por informaes. Assim sendo, quando as novas listas eram publi- cadas todos os anos, elas eram cobiadas por muitas crianas cujo hobby era explorar a rede de telefonia. O golpe de Stevie claro que as empresas de telefonia no deixam que essas listas sejam conseguidas facilmente e os phreakers tm de ser criativos para conseguir uma. Como eles podem fazer isso? Uma criana ansiosa com uma mente determinada a conseguir a lista poderia criar um cenrio como este. 27 Recado do 38. A Arte de Enganar Mitnick O treinamento de segurana com relao poltica da empresa criada para proteger o ativo de informaes precisa ser aplicado a todos que trabalham na empresa, e no apenas ao empregado que tem acesso eletrnico ou fsico ao ativo de IT da empresa. Em certa noite de outono no sudeste da Califrnia, Stevie liga para o escritrio central pequeno da empresa de telefonia, estabelecido no prdio no qual as linhas telefnicas vo para todas as resi- dncias e empresas da rea de servio estabelecida. Quando a telefonista de planto atende, Stevie anuncia que trabalha na diviso da empresa de telefonia que publica e distribui o material impresso. "Temos a nossa nova Lista de Nmeros de Teste", explica. "Mas por questes de segurana no podemos lhe entregar uma cpia antes de retirarmos a antiga. E o cara da entrega est atrasado. Se voc puder deixar a sua cpia do lado de fora da porta, ele pode passar por a, pegar a sua cpia, deixar a cpia nova e continuar o seu caminho." O desavisado telefonista parece achar que isso razovel. Ele faz exatamente o que foi pedido, coloca na porta do prdio a sua cpia da lista, a qual tem na capa um aviso em grandes letras verme lhas "CONFIDENCIAL DA EMPRESA --- QUANDO NO FOR MAIS NECESSRIO, ESTE DOCUMENTO DEVE SER DESTRUDO". Stevie estaciona o carro e olha em volta para saber se h policiais ou o pessoal da segurana da empresa de telefonia espreitando atrs das rvores ou observando em carros estacionados. Ningum vista. Ele pega calmamente a cobiada lista e vai embora. Este apenas mais um exemplo de como fcil para um engenheiro social conseguir o que quer seguindo o princpio simples de "apenas pedir". ATAQUE DE GS Em um cenrio da engenharia social, os ativos da empresa no so os nicos que correm riscos. s vezes, as vtimas so os clientes de uma empresa. O trabalho no servio ao cliente tem a sua parcela de frustrao, a sua parcela de risadas e a sua parcela de erros inocentes sendo que alguns deles podem ter conseqncias infelizes para os clientes de uma empresa. A histria de Janie Acton Janie Acton era atendente do servio ao cliente da Hometown Electric Power, em Washington, D.C., h pouco mais de trs anos. Ela era considerada como uma das melhores atendentes, inteligente e conscienciosa. 28 Recado do Era a semana de Ao de Graas quando esta ligao foi recebida. O interlocutor disse: "Aqui Eduardo do Departamento de Faturamento. Tenho uma senhora na linha, ela uma secretria do escritrio executivo e trabalha para um dos vice-presidentes, Ela est pedindo algumas informaes e 39. Captulo 3 O Ataque Direto: Simplesmente Pedindo 29 no posso usar o meu computador. Recebi um e-mail de uma garota de Recursos Humanos que dizia "ILOVEYOU" e quando abri o anexo, no consegui mais usar a minha mquina. Um vrus. Fui pego por um vrus estpido. De qualquer forma, voc poderia procurar algumas informaes de cliente para mim?" "E claro", Janie respondeu. "Ele destruiu o seu computador? Isso terrvel." 'Sim." 'Como posso ajudar?", Janie perguntou. Nesse ponto o atacante recorreu s informaes da sua pesquisa avanada para parecer mais autntico. Ele descobriu que as informaes que queria estavam armazenadas em algo chamado Sis- tema de Informaes de Faturamento do Cliente e descobriu como os empregados se referiam ao sistema. Ele perguntou: "Voc pode abrir uma conta do CBIS?" "Sim, qual o nmero da conta?" "No tenho o nmero, preciso que voc a abra pelo nome." "Muito bem, qual o nome?" "O nome Heather Marning". Ele soletrou o nome e Janie o digitou. "Aqui est." "timo, a conta est atualizada?" "Hum, hum, est sim." "Qual o nmero da conta?", ele perguntou. "Voc tem um lpis?" "Pronto para anotar." "Nmero de conta BAZ6573NR27Q." Ele releu o nmero e, em seguida, acrescentou: "E qual o endereo de servio?" Ela lhe deu o endereo. "E qual e o telefone?" Janie gentilmente leu essa informao tambm. O interlocutor agradeceu, disse adeus e desligou. Janie foi para a prxima ligao e nunca mais pensou nisso. O projeto de pesquisa de Art Sealy Art Sealy desistiu de trabalhar como editor free lance para pequenas editoras quando descobriu que poderia ganhar mais dinheiro realizando pesquisa para autores e empresas. Ele descobriu que a taxa que poderia cobrar aumentava na proporo em que a tarefa o levava mais perto da linha s vezes indistinta entre o que legal e o que ilegal. Sem nunca perceber e certamente sem nunca lhe dar este nome, Art tornou-se um engenheiro social e usava as tcnicas que so conhecidas de todo corretor de informaes. Ele descobriu que tinha um talento nato para isso e aprendeu sozinho as tcnicas que a maioria dos engenheiros sociais tinha de aprender com os outros. Aps algum tempo, ele cruzou a linha sem o mnimo resqucio de culpa. 40. 30 A Arte de Enganar Um homem entrou em contato comigo. Ele estava escrevendo um livro sobre o Gabinete do governo Nixon e procurava um pesquisador que pudesse investigar William E. Simon, que havia sido o secretrio do Tesouro de Nixon. O Sr. Simon havia morrido, mas o autor tinha o nome de uma mulher que havia pertencido sua equipe. Ele estava certo de que ela ainda morava em D.C, mas no conse- guira encontrar o seu endereo. Ela no tinha um telefone em seu nome, ou pelo menos seu nome no estava na lista. Assim sendo, eles me ligaram. Eu disse a ele que no teria problema. Esse o tipo de trabalho que geralmente voc realiza em uma ou duas ligaes telefnicas, se souber o que est fazendo. Toda empresa telefnica local pode dar as informaes. Obviamente, voc tem de mentir um pouco. Mas uma mentirinha de vez em quando no faz mal a ningum, certo? Gosto de usar uma abordagem diferente de cada vez. s para que as coisas fiquem interessantes. "Este fulano do escritrio executivo" sempre funcionou para mim. Assim como "tenho algum na linha do escritrio do vice-presidente Fulano", que tambm funcionou desta vez. Nunca ache que os ataques da engenharia social precisem ter mentiras elaboradas to complexas que provavelmente sero reconhecidas antes de serem concludas. Alguns so ataques diretos, rpidos e muito simples, os quais nada mais so do que... bem. simplesmente pedir as informaes. Voc tem de desenvolver o instinto do engenheiro social, precisa ter uma idia da disposio da pessoa que est do outro lado em cooperar com voc. Desta vez tive a sorte de encontrar uma senhora amistosa e til Em uma nica ligao telefnica consegui o endereo e o nmero de telefone. Misso cumprida. Analisando a trapaa Certamente Janie sabia que as informaes de clientes so sigilosas. Ela nunca discutiria a conta de um cliente com outro cliente, nem daria informaes particulares para o pblico. Mas claro que para um interlocutor de dentro da empresa as regras so diferentes. Para um colega de trabalho tudo se reduz a fazer parte da equipe e ajudar um ao outro a fazer o trabalho. O homem do Departamento de Faturamento poderia ter ele mesmo procurado os detalhes se o seu computador no tivesse sofrido um ataque de vrus, e ela ficou contente em poder ajudar um colega. O atacante chegou aos poucos s informaes principais que desejava fazendo perguntas sobre coisas que no queria saber, tais como o nmero da conta. Mesmo assim, o nmero de conta forneceu uma segurana a mais. Se o atendente suspeitasse, ele ligaria uma segunda vez e teria mais chances de sucesso, porque o conhecimento do nmero de conta faria com que ele parecesse mais autntico para o atendente que ele ligasse. Nunca ocorreu a Janie que algum pudesse mentir sobre algo assim, que o interlocutor pudesse no estar no Departamento de Faturamento, E claro que a culpa no de Janie. Ela no dominava bem a regra sobre ter certeza de que voc sabe com quem est falando antes de discutir as informaes do arquivo de um cliente. Ningum jamais disse a ela sobre o perigo de uma ligao telefnica como essa qu

kevin mitnick a arte de enganar

Documents