You are on page 1of 23

INSTITUTO FEDERAL DE EDUCAÇÃO CIÊNCIA E TECNOLOGIA DE SÃO PAULO CAMPUS BRAGANÇA PAULISTA

TRABALHO 2 - SEGURANÇA E AUDITORIA DE SISTEMAS ENGENHARIA SOCIAL

Bruno Marafante - 116237-3 Felipe Porcino de Oliveira - 116224-1

CURSO DE ANÁLISE E DESENVOLVIMENTO DE SISTEMAS Bragança Paulista novembro de 2013

Sumario
1 - Introdução ________________________________________________________ 4 2 - Engenharia Social __________________________________________________ 5 2.1 - Exemplos de Engenharia Social ___________________________________ 6 3 - O Poder da Persuasão _______________________________________________ 7 4 - Evitando ataques de Engenharia Social ________________________________ 10 4.1 - Segurança da conexão e criptografia ______________________________ 10 4.2 - Sites e certificados digitais _______________________________________ 10 4.3 - Bom senso e atenção aos detalhes _________________________________ 10 4.4 - Uso de senhas fortes ____________________________________________ 11 5 – Kevin Mitnick _____________________________________________________ 11 5.1 - Prisão ________________________________________________________ 11 5.2 – Fugitivo ______________________________________________________ 12 5.3 – Armadilha ___________________________________________________ 12 6 - Golpes ___________________________________________________________ 13 6.1 - Primeiros alvos ao telefone ______________________________________ 13 6.2 - Falar a mesma língua ___________________________________________ 13 6.3 - Músicas de espera ______________________________________________ 14 6.4 - Telefones falsos ________________________________________________ 14 6.5 - Notícias e SPAMs ______________________________________________ 14 6.6 - Redes sociais __________________________________________________ 15 6.7 - Erros de digitação _____________________________________________ 15 6.8 - Boatos = queda ________________________________________________ 15 6.9 - “Somos da equipe de suporte da Microsoft – queremos ajudar” ("This is Microsoft support – we want to help") _________________________________ 16 6.10 - “Faça uma doação para ajudar as vítimas do (alguma tragédia)!” ("Donate to the hurricane recovery efforts!"). __________________________ 16

13 .Prejuízos _________________________________________________________ 21 9 . o que você pensa sobre o que a Dilma disse sobre #desemprego? http://shar.Conclusão ________________________________________________________ 22 10 – Referências ______________________________________________________ 22 .es/HNGAt” ("@Twitterguy.6.12 .“@pessoanoTwitter.“Saiba como ter mais seguidores no Twitter!” ("Get more Twitter followers!") _______________________________________________________ 19 7 .A Nova Profissão __________________________________________________ 20 8 .11 .“Sobre sua inscrição para a vaga de emprego..” ("About your job application... what do you think about what Obama said on #cybersecurity? http://shar..") ____________________________________________________ 17 6.es/HNGAt") _____________ 18 6.

Cada vez mais as inovações tecnológicas nos apresentam um mundo no qual o entendimento entre o tempo e o espaço é recriado a cada nova experiência. o incentivo para obtê-la. precaver-se da ação dos invasores virtuais. visando. capacidade intrínseca ao bom Engenheiro Social. o ser humano. Seguindo essa linha de raciocínio. através da abordagem de conceitos pesquisados. sendo esta a essência que caracteriza a Engenharia Social. principalmente. para quem a possui. é evidente a crescente valorização da informação. este trabalho. e para quem a quer. considerando a importância e o quanto isto influência em todos os meios. o elo mais fraco da gestão da informação. . Desta forma.Engenharia Social 1 . A crescente demanda de informações afeta tanto a sociedade. investindo na capacitação e no treinamento dos recursos humanos. nota-se que na busca por informações importantes. capazes de levar a algum ganho pessoal ou organizacional. Com tudo isso.Introdução O termo Sociedade da Informação designa o contexto atual no qual vivemos. as relações de trabalho e o próprio indivíduo em suas relações. causando. hackers e engenheiros sociais. explorando. alguns exemplos de como ela pode ser aplicada. O trabalho traz. algumas conjecturas sobre o poder da persuasão. em que contexto ela causa maiores estragos e a necessidade da adoção de medidas preventivas de proteção e preservação do capital intelectual das organizações. A informação e o conhecimento são peças chaves para entendermos o andamento e as transformações no mundo de hoje. os hackers utilizam técnica persuasiva na tentativa de alcançar o êxito. na maioria das vezes. a economia. também. expõe as definições do termo Engenharia Social. a preocupação em mantê-la segura.

Os ataques de engenharia social são muito frequentes. o qual possui traços comportamentais e psicológicos que o torna susceptível a ataques de engenharia social. a engenharia social é aplicada em diversos setores da segurança da informação independente de sistemas computacionais. etc. Engenharia social compreende a inaptidão dos indivíduos manterem-se atualizados com diversas questões pertinentes a tecnologia da informação. não terem preocupação em proteger essa informação conscientemente. fingir que é um profissional de determinada área. não só na Internet. É importante salientar que. portanto. mas no dia-adia das pessoas. mas a maioria não possui métodos que protejam seus funcionários das armadilhas de engenharia social. onde alguém faz uso da persuasão. Dentre essas características. assumir outra personalidade. Isso porque explora com muita sofisticação as "falhas de segurança dos humanos". As empresas investem fortunas em tecnologias de segurança de informações e protegem fisicamente seus sistemas. Outra definição possível é: Engenharia Social é qualquer método usado para enganação ou exploração da confiança das pessoas para a obtenção de informações sigilosas e importantes. o elemento mais vulnerável de qualquer sistema de segurança da informação é o ser humano. A questão se torna mais séria quando usuários domésticos e que não trabalham com informática são envolvidos. o engenheiro social pode se passar por outra pessoa. A engenharia social é um dos meios mais utilizados de obtenção de informações sigilosas e importantes. muitas vezes abusando da ingenuidade ou confiança do usuário. além de não estarem conscientes do valor da informação que eles possuem e. Para isso. para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações.2 – A Engenharia Social Engenharia social é termo utilizado para descrever um método de ataque. software e plataforma utilizada. pode-se destacar: .

A execução deste aplicativo apresenta uma tela análoga àquela que você utiliza para ter acesso a . procura agir com cortesia. ficando mais vulnerável e aberto a dar informações. comumente. O último exemplo apresenta um ataque realizado por telefone. aceitando com mias facilidade argumentos favoráveis a sua avaliação pessoal ou profissional ligada diretamente ao benefício próprio ou coletivo de forma demonstrativa. Persuasão: Compreende quase uma arte a capacidade de persuadir pessoas.  Formação profissional: O ser humano busca valorizar sua formação e suas habilidades adquiridas nesta faculdade. buscando transmitir segurança. Propagação de responsabilidade: Trata-se da situação na qual o ser humano considera que ele não é o único responsável por um conjunto de atividades. Vaidade pessoal e/ou profissional: O ser humano costuma ser mais receptivo a avaliações positivas e favoráveis aos seus objetivos. Isto é possível porque as pessoas possuem características comportamentais que as tornam vulneráveis a manipulação. Exemplo 1: você recebe uma mensagem e-mail. Vontade de ser útil: O ser humano costuma se agradar e sentir-se bem quando elogiado. bem como ajudar outros quando necessário. coletivamente ou individualmente.     Vontade de ser útil: O ser humano. buscando o controle em uma comunicação. onde se busca obter respostas específicas. 2. conhecimento e eficiência.  Autoconfiança: O ser humano busca transmitir em diálogos individuais ou coletivos o ato de fazer algo bem. buscando criar uma estrutura base para o início de uma comunicação ou ação favorável a uma organização ou individuo. Na mensagem ele diz que o serviço de internet Banking está apresentando algum problema e que tal problema pode ser corrigido se você executar o aplicativo que está anexado à mensagem. execução ou apresentação seja ela profissional ou pessoal buscando o reconhecimento pessoal inconscientemente em primeiro plano.1 . Os dois primeiros exemplos apresentam casos onde foram utilizadas mensagens de e-mail.Exemplos de Engenharia Social. onde o remetente é o gerente ou alguém em nome do departamento de suporte do seu banco.

constrói relacionamentos e permite que o comunicador influencie o ouvinte. mas sim permitir que alguém tenha acesso ao seu computador e a todos os dados nele armazenados. este aplicativo está preparado para furtar sua senha de acesso a conta bancária e enviá-la para o atacante. A real função desta ferramenta não é eliminar um vírus. Caso você entregue sua senha. inata. de falar aquilo que deve ser dito. inteligentes ou trabalhadoras. que passa a respeitá-lo. admirá-lo e até apoiá-lo na consecução dos seus objetivos. talvez possamos identificar nelas uma incrível capacidade. E o mais estranho é que. mas estão sempre alcançando seus propósitos. dizendo que seu computador está infectado por um vírus. relacionando tais atividades ao seu nome. elas nem parecem ser tão competentes. este suposto técnico poderá realizar uma infinidade de atividades maliciosas. surpreendentemente. . São aquelas pessoas para as quais tudo parece sempre “dar certo”. 3 . da maneira mais agradável. Se observarmos um pouco mais atentamente a conduta de vida dessas pessoas.O Poder da Persuasão Todos nós conhecemos ou já ouvimos relatos sobre pessoas que se destacam por conseguirem. utilizando a sua conta de acesso a internet e. pois os discursos apresentados nos exemplos procuram induzir o usuário a realizar alguma tarefa e o sucesso do ataque depende única e exclusivamente da decisão do usuário em fornecer informações sensíveis ou executar programas. portanto. para eliminar o vírus de seu computador. no momento oportuno e para a pessoa certa. Exemplo 3: algum desconhecido liga para a sua casa e diz ser do suporte técnico do seu provedor.conta bancária. então. Essa capacidade conquista pessoas. muitas vezes natural. tudo o que desejam. Nesta ligação ele diz que sua conexão com a internet está apresentando algum problema e. Exemplo 2: você recebe uma mensagem de e-mail. Estes casos mostram ataques típicos de engenharia social. aguardando que você digite sua senha. Na verdade. A mensagem sugere que você instale uma ferramenta disponível em um site da internet. em muitos casos. pede sua senha para corrigi-lo.

Falar rapidamente. consciente ou intuitivamente. estudando o seu comportamento e verificando se se trata de uma pessoa que pensa nos argumentos apresentados ou age impulsivamente. uma análise da personalidade do seu alvo. decorrente da sua especialização e fidedignidade. é atribuído maior ou menor poder de influência quando se associa os aspectos racionalidade e/ou emotividade da mensagem ao tipo de assistência a que ela é dirigida. teoria(s) ou crença(s)”.Essa capacidade é denominada persuasão e representa a principal ferramenta de ataque dos engenheiros sociais na maioria das situações. legítimos ou não. Vejamos algumas considerações básicas sobre cada um desses elementos:  o comunicador – ao bom comunicador (comunicador persuasivo) são atribuídas as qualidades da credibilidade. e da atratividade ou simpatia. Se houver competência técnica por parte do invasor. com o propósito de conseguir que outro(s) indivíduo(s) adote(m) certa(s) linha(s) de conduta. ele fará. Pode-se entender que o engenheiro social fará uso de todo seu poder de argumentação. ainda demonstra que mensagens associadas a bons sentimentos são mais persuasivas. Da mesma forma. A persuasão pode ser definida como “uma estratégia de comunicação que consiste em utilizar recursos lógico-racionais ou simbólicos para induzir alguém a aceitar uma ideia. fruto de atração física ou de similaridade (semelhança como destinatário da mensagem transmitida).  a mensagem – ao conteúdo da mensagem. para convencer a lhe franquear o acesso às informações que ele deseja. ou ainda. com convicção e encarando o “alvo” pode ajudar na persuasão. Isso lhe permitirá adotar a atitude mais “convincente”. Pessoas instruídas reagem mais aos apelos racionais do que pessoas menos instruídas. “o emprego de argumentos. a mensagem e a audiência. O destaque fica por conta de três dos elementos constitutivos da persuasão: o comunicador. . uma atitude. ou realizar uma ação”. provavelmente.

o bom aproveitamento das circunstâncias. que frequentemente conduzem a erros de percepção. como as acima enumeradas. e isso se deve a estrutura de percepção do mesmo. então são características importantes de uma comunicação eficiente. a fim de obter livre acesso às informações desejadas. e a habilidade de se relacionar. o sexo e a inteligência. é possível inferir que a persuasão é resultado dinâmico de uma atividade de comunicação interpessoal e que a capacidade de persuadir pode ser desenvolvida mediante a observância e a adoção de certas técnicas. ou em outras palavras o oportunismo. se a comunicação é uma necessidade do ser humano e a persuasão decorre da capacidade do locutor de usar a comunicação para influenciar ou convencer seus ouvintes. culturais e comportamentais. O processo perceptivo sofre influência direta de aspectos fisiológicos. contínuo e colaborador de troca. a audiência – são três os determinantes que definem o tipo de plateia a qual nos dirigimos: a idade. a flexibilidade do comunicador. Logo. a receptividade e a reação da plateia. transmissão ou transferência de dados. para isso. informações e/ou conhecimentos. que se constitui em necessidade básica da humanidade. precisa estabelecer relacionamentos e. O ser humano. E são justamente os aspectos culturais e comportamentais que o Engenheiro Social procurará manipular para atingir seu intento de “conduzir” as ações do seu “alvo”. . de forma específica. E cada um deles condiciona. No processo de comunicação nem sempre o que se transmite é o percebido pelo receptor. por se tratar de um ser social. algumas delas bem definidas pela psicologia social. De um ponto de vista um pouco mais abrangente podemos entender que a comunicação é um processo transacional. Dessa forma. utiliza-se desse processo.

Sites e certificados digitais. mas eficiente no combate à Engenharia Social é a atenção a segurança da conexão e o não envio de dados sigilosos em uma conexão insegura.Evitando ataques de Engenharia Social 4. Entidades certificadoras são instituições responsáveis pela emissão de certificados digitais que identificam sites na Internet e seus respectivos proprietários. caso não possua.2 .1 . uma vez que esse último não garante por padrão a segurança da conexão. A maioria dos navegadores exibem se a página visitada possui um certificado digital válido.Bom senso e atenção aos detalhes. como por exemplo o uso do SSH em detrimento do TELNET.3 . o site provavelmente é uma fraude. a entidade certificadora relaciona a identidade do portador do certificado. entre outros. Ao assinar digitalmente os certificados que emite. dados conflitantes na mensagem. Também é recomendado o uso de protocolos seguros no referente ao acesso remoto. e portanto da chave privada.4 . . 4. Uma conexão criptografada impede que um terceiro obtenha dados de uma vítima e use-os contra ela em um posterior ataque de Engenharia Social. caso positivo. à chave pública existente no certificado. Para auxiliar o usuário a maioria dos navegadores atuais mostra se a conexão é criptografada e. Conferindo as informações recebidas e não acreditando em tudo a primeira vista. Além disso outros detalhes podem expor um ataque: o domínio de um site. o tipo da criptografia empregado. Um comportamento simples. Isto é devido ao emprego de tradutores para passar a mensagem de sua língua original para outras. o usuário consegue escapar de diversos ataques de Engenharia Social.Segurança da conexão e criptografia. Em grande parte dos ataques de Engenharia Social ocorrem erros de escrita. 4.

endereços. 6 de agosto de 1963) foi um cracker norte americano. Jamais use senhas constituídas de informações pessoais que possam ser descobertas por um engenheiro social. Prefira senhas extensas. 5 – Kevin Mitnick.Uso de senhas fortes. durante os anos 70. Quando ele saiu da prisão.4. o nome de um time de futebol e o próprio login são exemplos de senhas que um atacante descobrirá rapidamente. A persistência em invadir sistemas o levou à prisão pela primeira vez aos 32 anos de idade. Números de CPF ou RG. passou a interessar-se pela pirataria de sistemas telefônicos. Entretanto. Sua história começa na adolescência em Los Angeles. como ele tinha apenas 17 anos. Kevin David Mitnick (Van Nuys. Pouco tempo depois. de empresas de tecnologia e provedores de internet. conhecido mundialmente a partir dos anos 90.A foi o hacker que ajudou Kevin a atualizar-se sobre os conceitos de informática atuais. acabou não sendo condenado.1 – Prisão. números e caracteres especiais. Foi preso em 1995 e libertado em 2000. 5. Hoje trabalha como consultor de segurança na Web. nomes de amigos ou familiares. quando invadiu vários computadores. quando ele foi condenado a um ano de prisão por invasão de sistema e furto de software da DEC. Atualmente trabalha como gerente de uma empresa de segurança. dentre os quais estavam computadores de operadora de celulares. Kevin Mitnick cometeu os primeiros delitos em 1990. sem poder conectar-se à internet. . assim como suas atividades. datas de aniversário. Mitnick ficou três anos em liberdade condicional. Haydan S. Califórnia. seu telefone passou a ser monitorado.4 . chegou a invadir as instalações da Pacific Bell para furtar manuais técnicos. com letras em caixa-alta e baixa. quando invadiu o computador da sua escola e alterou algumas notas. Para isso.

Ele imaginou que. Essa ligação foi rastreada e em 15 de fevereiro de 1995. seu computador pessoal .fora invadido. Mitnick resolveu desaparecer. outra mensagem atribuída a Mitnick foi deixada na caixa postal de Shimomura. Você pôs minha voz na Internet. utilizou uma identidade falsa. dessa forma. Com o FBI acionado e com a colaboração da National Security Agency. meu discípulo aprendiz. as autoridades com a colaboração de técnicos da Sprint Cellular concluíram que o suspeito estava operando . Kevin viajou a Israel para encontrar amigos crackers. tornado-a pública. Kevin entraria novamente em contato.5. Da mesma forma. como fugitivo da polícia sua atividade cracker continuou cada vez mais intensa. colocou a mensagem da secretária eletrônica na Internet. Estou muito desgostoso com isso". uma pessoa deixou uma mensagem na caixa postal do telefone de Shimomura. o seu telefone passou a ser rastreado. 5. Tsutomu Shimomura. Então. Sem autorização. preparou uma armadilha para Mitnick.2 – Fugitivo. o computador de Shimomura passou a ser monitorado 24 horas por dia em busca de qualquer indício de invasão na tentativa de pegar Mitnick. Durante suas férias. Em 1994. aumentando o interesse pela sua captura. Como a polícia suspeitava que ele continuasse invadindo sistemas. Tsutomu Shimomura era um grande especialista em segurança do Centro Nacional de Supercomputacão em San Diego. uma outra mensagem atribuída a Mitnick foi deixada na caixa postal de Tsutomu Shimomura.que estava conectado via Internet com aquele centro . em 27 de dezembro daquele ano. Para isso.3 – Armadilha. Califórnia. Algum tempo depois. Ela dizia mais ou menos o seguinte: "Ah Tsutomu. com sua reputação técnica abalada. Além disso. Em primeiro lugar. Algum tempo depois. violando sua condicional. Invasões em sistemas de telefonia celular e furto online de softwares foram atribuídos a Mitnick.

celulares e telefones portáteis pelo período de três anos. Assim.Falar a mesma língua. profere palestras em diversos países e trabalha como consultor em segurança de sistemas. 6. Cada corporação possui sua própria linguagem e expressões que são usadas pelos funcionários. Com scanners de frequência. pois esses funcionários estão sempre em contato (direto ou indireto) com as pessoas que detém cargos de poder dentro da empresa. Engenheiros sociais que utilizam o telefone para obter informações possuem como objetivo ou passar-se por algum funcionário e colega de trabalho. O motivo é simples: se alguém fala com você utilizando uma linguagem que se reconheça é mais simples sentir-se seguro e a facilitar. Com uma ordem judicial. . ou algum tipo de autoridade externa.após cinco anos preso. Atualmente. através de pessoas mais acessíveis e com cargos menores é possível obter informações sobre aquelas mais bem posicionadas na hierarquia. Kevin Mitnick foi libertado em 2000 com a condição de manter-se longe de computadores.Golpes 6. os verdadeiros alvos.1 . 6 . falando o que o golpista quer ouvir. recepcionistas e seguranças. Os primeiros alvos são secretárias.na Carolina do Norte. Liberdade longe dos computadores .2 .Primeiros alvos ao telefone. A engenharia social criminosa estuda tal linguagem para tirar o máximo proveito disso. passado o período em que deveria manter-se longe dos computadores. Kevin foi finalmente preso. eles verificaram um sinal suspeito vindo de um edifício de apartamentos em Players Court. como auditor por exemplo. Kevin Mitnick escreve livros e artigos sobre segurança de informações.

como número de conta. televisão.Telefones falsos. Ao ouvi a música à qual está habituado. 6. senha. 6. Uma nova técnica está sendo usada pela engenharia social criminosa para burlar o sistema de identificador de chamada das empresas. Os assuntos dos e-mails normalmente são pertinentes a notícias divulgadas na mídia. Ao entrar com os dados . etc. o funcionário conclui que quem está do outro lado da linha realmente trabalha na mesma corporação que ele e acaba facilitando e fornecendo todas as informações solicitadas. A maioria dos textos contém um link que encaminha o usuário para uma página falsa de banco. seja pelo jornal. rádio ou Internet.Músicas de espera. Uma abordagem que está sendo muito utilizada é utilizar a música que as empresas utilizam para deixar as pessoas esperando ao telefone. É o chamado spoofing do número telefônico.4 . Ataques bem-sucedidos exigem paciência. número do cartão de crédito. tempo e persistência.Notícias e SPAMs. contas de e-mail.3 . que faz com que o identificador de chamadas mostre um número diferente daquele que realmente originou a ligação.5 .6. Este é um dos ataques mais comuns e é utilizado principalmente para obter dados bancários e financeiros das pessoas. sites de relacionamento. etc.

8 .solicitados. cuidado ao digitar o endereço de qualquer página na barra de endereços do seu navegador. Ao criar perfis em sites de relacionamento é preciso ter cautela com os dados ali fornecidos.Boatos = queda. pois muitas vezes eles podem ser usados para prejudicar você.. na verdade. o que facilita a engenharia social criminosa. Uma das novas técnicas empregadas é aproveitar-se dos erros de digitação cometidos. mas estes sites falsos. Pessoas que praticam a engenharia social criminosa se aproveitam de qualquer deslize dos usuários para tirar informações. Não é aconselhável colocar telefones. enviando o login e a senha para o criminoso sem perceber. Antes de enviar qualquer dado. Os boatos que circulam pela Internet podem refletir diretamente na empresa sobre a qual se fala. tenha certeza que está no site correto.6 .Redes sociais. 6. é o conhecemos por phishing. na verdade enviam os dados digitados diretamente para a mão dos criminosos. Um bom exemplo dessa situação é a Apple. endereço. 6. 6.Erros de digitação. . Boa parte das pessoas possui perfis e contas em redes sociais.7 . que teve queda em suas ações depois que o boato sobre a suposta morte de Steve Jobs circulou por e-mails. Sites falsos são criados com endereços muito semelhantes aos do site original. Por isso. como são conhecidos. o usuário está. empresa na qual trabalha e qualquer tipo de informação pessoal em seu perfil.

um serviço trava. Uma vez que o cracker tiver acesso à máquina por meio do Teamviewer.9 . um serviço de acesso remoto que dá a ele controle da máquina. afirma Hadnagy.“Somos da equipe de suporte da Microsoft – queremos ajudar” ("This is Microsoft support – we want to help") . “Faz sentido. “Mas quando um usuário sem experiência abre isso e vê todos esses erros. 6.com. Sempre existem erros”.“Faça uma doação para ajudar as vítimas do (alguma tragédia)!” ("Donate to the hurricane recovery efforts!").blogs e fóruns. afirma Hadnagy.” Nesse ponto. O engenheiro social então aconselha-os a ir até o site Teamviewer. tem uma máquina com Windows e ela quer provar isso para você.” A pessoa que ligou diz para a vítima ir até o event log (visualizador de eventos) da máquina e a acompanha pelos passos até chegar ao log do sistema. você é um usuário licenciado do Windows. como o terremoto no Haiti . Tal método é conhecido no mercado financeiro como “pump-anddump”. Golpes de doações para caridade tem sido um problema há anos. explica Hadnagy. parece assustador. ele pode então instalar algum tipo de rootkit ou outro tipo de malware que permitirá a ele ter acesso contínuo ao sistema. Hadnagy afirma que um novo tipo de ataque tem atingido muitas pessoas ultimamente. “Todo usuário do Windows terá dezenas de erros neste log. simplesmente porque acontecem pequenas coisas. algo não inicializa. A todo o momento temos desastres de grandes proporções no mundo. 6.10 . a vítima está desesperadamente pronta para fazer qualquer coisa que o suposto funcionário do “suporte” pedir. Ele começa com uma ligação telefônica em que alguém afirma ser do serviço de suporte da Microsoft e diz que está ligando por causa de um número anormal de erros que teriam origem no seu computador. “A pessoa do outro lado da linha diz que quer ajudar na solução porque há uma falha e eles têm feito ligações para usuários licenciados do Windows”.

e isso ajuda a criar uma suposta camaradagem. Secretamente. Tanto pessoas buscando empregos quanto empresas de recrutamento estão sendo atacadas por engenheiros sociais. “Esse é um golpe perigoso. e iniciar o contato por conta própria se quiser fazer uma doação. “Enquanto você está esperando para ouvir sobre a pessoa. “Agora eles tem seu endereço. Hadnagy diz que.“Sobre sua inscrição para a vaga de emprego.” . como números de telefone e e-mail. Hadnagy afirma que surgiu há pouco tempo um tipo particularmente desprezível de golpe de engenharia social direcionado para pessoas que possam ter perdido parentes ou amigos em desastres naturais. recebe um pedido de doação para caridade”. para os dois lados”. “Seja a pessoa buscando trabalho ou a companhia postando novas vagas.. Basicamente todas as informações que eles precisam para cometer um roubo de identidade”. “A pessoa da suposta instituição de caridade normalmente vai iniciar uma conversa e dizer que está coletando contribuições porque tem uma relação mais passional com a causa porque perdeu um membro da família em um desastre parecido. No entanto.ou tsunami no Japão. como a Cruz Vermelha. entre 8 e 10 horas após o incidentes. seu nome. eles sabem que a pessoa que contataram também já perdeu alguém. afirma Hadnagy. e os criminosos rapidamente entram no jogo e lançam sites falsos de doações.. Neste exemplo. 6. mas exigem nomes. endereços e informações de contato..").. diz Hadnagy. A melhor maneira de evitar isso é indo a uma organização conhecida e de boa reputação.” Tocada pela pessoa que entrou em contato. Eles alegam ter acesso às bases de dados do governo e informações de recuperação. a vítima então oferece um número de cartão de crédito pelo telefone para fazer a doação para "caridade". Normalmente os engenheiros não pedem por informações financeiras. nome do seu parente e também do seu cartão de crédito.” ("About your job application. ambas as partes estão dizendo „estou disposto a aceitar arquivos anexos e informações de estranhos.11 . o site aparece dizendo ajudar a encontrar pessoas que possam ter desaparecido no desastre. explica Hadnagy.

” “Acho que veremos ainda mais ataques desse tipo em mídias sociais por causa da maneira como as pessoas clicam nesses links”. o que você pensa sobre o que a Dilma disse sobre #desemprego? http://shar. “O invasor alterou as configurações da conta para permitir o envio de transferências protegidas. afirma o aviso do FBI.” 6. “Obviamente que os spammers podem escolher redirecionar para qualquer site que quiserem uma vez que você tenha clicado no link”. afirma o consultor sênior de tecnologia da Sophos. . what do you think about what Obama said on #cybersecurity? http://shar. afirma Hadnagy. mais de US$ 150 mil foram roubados de uma empresa americana por meio de uma transferência não autorizada como resultado de um e-mail com malware que a companhia recebeu a partir de uma oferta de emprego. Na verdade.es/HNGAt"). de acordo com a companhia de segurança Sophos. uma farmácia falsa ou um site pornográfico.12 . “Poderia ser um site de phishing desenvolvido para roubar suas credenciais no Twitter. Graham Cluley. “O malware estava incorporado em um e-mail de resposta a uma vaga de emprego que a companhia colocou em um site de recrutamento e permitiu ao cracker conseguir as credenciais bancárias online da pessoa que estava autorizada a realizar transações financeiras na companhia”. mas os spammers tomaram conta dela rapidamente e começaram a incorporar links maliciosos nos tuítes com o termo. o início da nova temporada da série “Glee” no começo deste mês na Inglaterra fez com que os cibercriminosos “sequestrassem” a hashtag #gleeonsky por várias horas. Os engenheiros sociais estão observando o que as pessoas estão tuitando e usando essa informação para realizar ataques que parecem mais críveis.es/HNGAt” ("@Twitterguy. Uma maneira disso acontecer é na forma de hashtags populares. sendo uma para a Ucrânia e duas para contas domésticas. A operadora de TV por assinatura Sky pagou para usar a hashtag como uma forme de divulgar a nova temporada.“@pessoanoTwitter.De acordo com um alerta do FBI.

13 . e que para usar o serviço. De acordo com Cluley. todas as garantias de segurança e uso ético já eram. Clicar nesse link leva o usuário para um serviço na web que promete conseguir muitos novos seguidores. serão cada vez mais comuns mensagens como “QUEREM MAIS SEGUIDORES? EU VOU TE SEGUIR DE VOLTA SE VOCÊ ME SEGUIR – (LINK)”. “Isso deveria fazer você sair correndo – por que um site de terceiros deveria pedir suas credenciais? O que os donos dessas páginas estão planejando fazer com seu nome de usuário e senha? É possível confiar neles?” Cluley também colocou que o serviço admite não ser apoiado ou afiliado ao Twitter. venda de nomes de usuários e senhas e golpes de phishing.6. não forneça seu nome de usuário e senha para aplicativos de terceiros que você não conheça ou tenha pesquisado com cuidado antes. explica uma das regras do Twitter. “Elas podem então postar atualizações e links duplicados. enviar mensagens diretas não desejadas.O próprio Cluley criou uma conta teste para ver o que acontecia.” . está passando o controle da sua conta para outra pessoa”. A essa altura. seguir outros usuários de modo agressivo. “Quando você fornece seu nome de usuário e senha para outro site ou aplicativo. fraude. Por favor. maliciosos ou spam. você precisar autorizar o aplicativo a acessar sua conta. afirma Cluley em um post no blog sobre o experimento. “As páginas pedem para você digitar seu nome de usuário e senha do Twitter”. ou violar outras regras do Twitter com a sua conta. Alguns aplicativos de terceiros já foram implicados em atos de comportamento de spam. afirma o especialista. A Sophos também faz um alerta sobre serviços que dizem conseguir mais seguidores no Twitter. O próprio Twitter avisa aos usuários para tomarem cuidado com esses serviços em sua página de informações de ajuda.“Saiba como ter mais seguidores no Twitter!” ("Get more Twitter followers!").

pois sua divulgação pode gerar publicidade negativa para a empresa e causar enormes prejuízos por suas posições nos voláteis mercados financeiros. são frequentemente chamadas para investigar os incidentes e mantê-los em sigilo. é aluno da Xtreme Hacking e responsável pela segurança de um grande hospital. uma das maiores empresas privadas de investigação dos Estados Unidos. Eles são contratados pelas grandes empresas para testar o grau de segurança seus sistemas. que 70% dos ataques não são reportados a polícia. podendo vir a provocar até mesmo sua falência. Passandose por funcionário da equipe de TI da empresa. Com as bênçãos da alta direção da empresa. a credibilidade do hospital seria seriamente afetada. como a Xtreme Hacking recebem estudantes de todas as partes do país. que mesmo tendo descoberto o ataque. transforma-se no hacker Will Rogers.7 . Se as informações sobre os pacientes viessem a publico. Brian Holyfield.A Nova Profissão Nesse cenário de guerra. não divulgam com medo de perderem seus empregos. Pete White. Estima-se. conseguindo inúmeras senhas. . Empresas especializadas em treinamento. Empresas como Kroll Associates. Muitos ataques sequer chegam aos conhecimentos da alta direção. que surpreendentemente ainda funciona até hoje. entretanto. surge uma nova categoria de profissionais para atuar nos grandes centros financeiros e corporativos: o Ethical Hacker. por exemplo. pois não são notificados pelos administradores de rede. que os funcionários lhe forneçam suas senhas para verificar se estão dentro dos padrões para atender as mudanças da rede. da Tiger Team – Ernst & Young é um desses profissionais. pede por telefone. É o uso da antiga técnica de Engenharia Social. para ensiná-los as técnicas usadas pelos hackers e com isso ajudá-los a defender as empresas em que trabalham.

.51% . segundo pesquisa recente da empresa de segurança Check Point Software Technologies. No entanto. 86% reconhecem a engenharia social como uma grande preocupação. Esses ataques custaram às vítimas de 25 mil a 100 mil dólares por incidente. ou quase a metade.8 . Em seguida aparecem os terceirizados (44%). assistentes executivos (38%). Reino Unido.citou o ganho financeiro como a principal motivação dos ataques. Uma pesquisa de 850 profissionais de segurança em TI que atuam nos Estados Unidos. Novos empregados são mais propensos a caírem em golpes de engenharia social. explica a Check Point. líderes de negócio (32%) e pessoal de TI (23%). destacou a Check Point. são frequentes e custam às organizações milhares de dólares por ano. Canadá. segundo o relatório. no relatório. Entre os pesquisados. Outras razões seriam a obtenção de vantagem competitiva e vingança. A maioria dos entrevistados . quase um terço das organizações afirmou não ter programas de alerta e prevenção de engenharia social. seguidos de sites de rede social (39%). "Os hackers hoje utilizam uma variedade de técnicas e aplicações de redes sociais para obter informações pessoais e profissionais sobre uma pessoa.Prejuízos Os ataques de engenharia social ocorrem em todo lugar. Os vetores de ataque mais comuns em casos de engenharia social são e-mails de phishing (47% dos incidentes). Austrália e Nova Zelândia revela que 48%. para encontrar o elo mais fraco dentro de uma organização. Alemanha. "Os ataques de engenharia social têm como alvo pessoas com conhecimento implícito ou acesso a informações sigilosas". recursos humanos (33%). foram vítimas de engenharia social e tiveram 25 ou mais ataques nos últimos dois anos. 19% afirmaram ter planos de implantá-los. Contudo." Entre os que responderam à pesquisa. 34% não têm qualquer treinamento de funcionários ou políticas de segurança para prevenir técnicas de engenharia social.

com.9 . é mais do que necessário.br/seguranca/2011/09/16/homem-e-condenado-por-roubar-dadosde-rede-p2p-do-governo-dos-eua/ . Com isso.htm#ixzz2jdNavKOT Ataques de engenharia social custam caro às empresas.com.uol.uol. tanto as pessoas que estão em posições mais baixas em uma hierarquia empresarial quanto as que ocupam o alto escalão estão suscetíveis a serem enganadas com esses tipos de golpes provenientes da Engenharia Social.uol. percebemos que tanto os usuários leigos como também os usuários mais avançados de informática. um processo lento.com. muitas vezes. 10 – Referências Cuidado com a Engenharia Social Disponível em: http://www. os humanos. a melhor forma pra combater e evitar este risco é através de treinamento e conscientização do elo mais fraco desse sistema.tecmundo. Investir em treinamento contra a engenharia social é um investimento alto e.br/seguranca/2011/09/21/ataques-de-engenharia-social-custamcaro-as-empresas-diz-estudo/ Soldado americano rouba mais de US$ 15 mil de co-fundador da Microsoft Disponível em: http://idgnow.br/msn-messenger/1078-cuidado-com-a-engenhariasocial.Conclusão Com este trabalho. diz estudo Disponível em: http://idgnow. porém.br/seguranca/2012/04/20/soldado-americano-rouba-mais-de-us15-mil-de-co-fundador-da-microsoft/ Homem é condenado por roubar dados de rede P2P do governo dos EUA Disponível em: http://idgnow.com. levando em consideração o valor das informações para determinada empresa ou pessoa.

org/wiki/Engenharia_social_%28seguran%C3%A7a_da_informa%C 3%A7%C3%A3o%29 .Entendendo a engenharia social Disponível em: http://pt.wikipedia.