You are on page 1of 23

INSTITUTO FEDERAL DE EDUCAÇÃO CIÊNCIA E TECNOLOGIA DE SÃO PAULO CAMPUS BRAGANÇA PAULISTA

TRABALHO 2 - SEGURANÇA E AUDITORIA DE SISTEMAS ENGENHARIA SOCIAL

CURSO DE ANÁLISE E DESENVOLVIMENTO DE SISTEMAS Bragança Paulista novembro de 2013

Sumario
1 - Introdução ________________________________________________________ 4 2 - Engenharia Social __________________________________________________ 4

2.1 - Exemplos de Engenharia Social ___________________________________ 6 3 - O Poder da Persuasão _______________________________________________ 7 4 - Evitando ataques de Engenharia Social _________________________________ 9 4.1 - Segurança da conexão e criptografia _______________________________ 9 4.2 - Sites e certificados digitais _______________________________________ 10 4.3 - Bom senso e atenção aos detalhes _________________________________ 10 4.4 - Uso de senhas fortes ____________________________________________ 10 5 – Kevin Mitnick _____________________________________________________ 11 5.1 - Prisão ________________________________________________________ 11 5.2 – Fugitivo ______________________________________________________ 11 5.3 – Armadilha ___________________________________________________ 12 6 - Golpes ___________________________________________________________ 13 6.1 - Primeiros alvos ao telefone ______________________________________ 13 6.2 - Falar a mesma língua ___________________________________________ 13 6.3 - Músicas de espera ______________________________________________ 14 6.4 - Telefones falsos ________________________________________________ 14 6.5 - Notícias e SPAMs ______________________________________________ 14 6.6 - Redes sociais __________________________________________________ 15 6.7 - Erros de digitação _____________________________________________ 15 6.8 - Boatos = queda ________________________________________________ 15 6.9 - “Somos da equipe de suporte da Microsoft – queremos ajudar” ("This is Microsoft support – we want to help") _________________________________ 16 6.10 - “Faça uma doação para ajudar as vítimas do (alguma tragédia)!” ("Donate to the hurricane recovery efforts!"). __________________________ 16 6.11 - “Sobre sua inscrição para a vaga de emprego...” ("About your job application...") ____________________________________________________ 17

A Nova Profissão __________________________________________________ 20 8 .“Saiba como ter mais seguidores no Twitter!” ("Get more Twitter followers!") _______________________________________________________ 19 7 . o que você pensa sobre o que a Dilma disse sobre #desemprego? http://shar.12 .es/HNGAt") _____________ 18 6. what do you think about what Obama said on #cybersecurity? http://shar.es/HNGAt” ("@Twitterguy.13 .6.Conclusão ________________________________________________________ 22 10 – Referências ______________________________________________________ 22 Engenharia Social .Prejuízos _________________________________________________________ 21 9 .“@pessoanoTwitter.

precaver-se da ação dos invasores virtuais. o elo mais fraco da gestão da informação. Seguindo essa linha de raciocínio. capazes de levar a algum ganho pessoal ou organizacional. capacidade intrínseca ao bom Engenheiro Social. nota-se que na busca por informações importantes. o incentivo para obtê-la. explorando. muitas vezes abusando da ingenuidade ou confiança do . para quem a possui. Cada vez mais as inovações tecnológicas nos apresentam um mundo no qual o entendimento entre o tempo e o espaço é recriado a cada nova experiência. em que contexto ela causa maiores estragos e a necessidade da adoção de medidas preventivas de proteção e preservação do capital intelectual das organizações. sendo esta a essência que caracteriza a Engenharia Social. Com tudo isso. investindo na capacitação e no treinamento dos recursos humanos. a preocupação em mantê-la segura. A crescente demanda de informações afeta tanto a sociedade. na maioria das vezes. expõe as definições do termo Engenharia Social. os hackers utilizam técnica persuasiva na tentativa de alcançar o êxito. a economia. O trabalho traz.Introdução O termo Sociedade da Informação designa o contexto atual no qual vivemos. considerando a importância e o quanto isto influência em todos os meios. visando. alguns exemplos de como ela pode ser aplicada. o ser humano. as relações de trabalho e o próprio indivíduo em suas relações. e para quem a quer. através da abordagem de conceitos pesquisados. hackers e engenheiros sociais. é evidente a crescente valorização da informação. este trabalho. 2 – A Engenharia Social Engenharia social é termo utilizado para descrever um método de ataque. principalmente. onde alguém faz uso da persuasão. também. causando. Desta forma. A informação e o conhecimento são peças chaves para entendermos o andamento e as transformações no mundo de hoje.1 . algumas conjecturas sobre o poder da persuasão.

Para isso.usuário. A engenharia social é um dos meios mais utilizados de obtenção de informações sigilosas e importantes.  Autoconfiança: O ser humano busca transmitir em diálogos individuais ou coletivos o ato de fazer algo bem. a engenharia social é aplicada em diversos setores da segurança da informação independente de sistemas computacionais. não só na Internet. Outra definição possível é: Engenharia Social é qualquer método usado para enganação ou exploração da confiança das pessoas para a obtenção de informações sigilosas e importantes. pode-se destacar:  Vaidade pessoal e/ou profissional: O ser humano costuma ser mais receptivo a avaliações positivas e favoráveis aos seus objetivos. não terem preocupação em proteger essa informação conscientemente. portanto. Engenharia social compreende a inaptidão dos indivíduos manterem-se atualizados com diversas questões pertinentes a tecnologia da informação. buscando transmitir segurança. Dentre essas características. É importante salientar que. o elemento mais vulnerável de qualquer sistema de segurança da informação é o ser humano. o engenheiro social pode se passar por outra pessoa. etc. software e plataforma utilizada. mas no dia-adia das pessoas. buscando criar uma estrutura . A questão se torna mais séria quando usuários domésticos e que não trabalham com informática são envolvidos. As empresas investem fortunas em tecnologias de segurança de informações e protegem fisicamente seus sistemas. conhecimento e eficiência. aceitando com mias facilidade argumentos favoráveis a sua avaliação pessoal ou profissional ligada diretamente ao benefício próprio ou coletivo de forma demonstrativa. Isso porque explora com muita sofisticação as "falhas de segurança dos humanos". fingir que é um profissional de determinada área. para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações. assumir outra personalidade. Os ataques de engenharia social são muito frequentes. coletivamente ou individualmente. o qual possui traços comportamentais e psicológicos que o torna susceptível a ataques de engenharia social. mas a maioria não possui métodos que protejam seus funcionários das armadilhas de engenharia social. além de não estarem conscientes do valor da informação que eles possuem e.

execução ou apresentação seja ela profissional ou pessoal buscando o reconhecimento pessoal inconscientemente em primeiro plano. Propagação de responsabilidade: Trata-se da situação na qual o ser humano considera que ele não é o único responsável por um conjunto de atividades. onde o remetente é o gerente ou alguém em nome do departamento de suporte do seu banco.     Vontade de ser útil: O ser humano. A real . buscando o controle em uma comunicação. dizendo que seu computador está infectado por um vírus. bem como ajudar outros quando necessário. aguardando que você digite sua senha. A mensagem sugere que você instale uma ferramenta disponível em um site da internet. Exemplo 2: você recebe uma mensagem de e-mail. ficando mais vulnerável e aberto a dar informações. Exemplo 1: você recebe uma mensagem e-mail. Os dois primeiros exemplos apresentam casos onde foram utilizadas mensagens de e-mail. Na verdade.base para o início de uma comunicação ou ação favorável a uma organização ou individuo. onde se busca obter respostas específicas. Vontade de ser útil: O ser humano costuma se agradar e sentir-se bem quando elogiado. procura agir com cortesia. comumente. Na mensagem ele diz que o serviço de internet Banking está apresentando algum problema e que tal problema pode ser corrigido se você executar o aplicativo que está anexado à mensagem. Isto é possível porque as pessoas possuem características comportamentais que as tornam vulneráveis a manipulação.1 . A execução deste aplicativo apresenta uma tela análoga àquela que você utiliza para ter acesso a conta bancária. O último exemplo apresenta um ataque realizado por telefone.  Formação profissional: O ser humano busca valorizar sua formação e suas habilidades adquiridas nesta faculdade.Exemplos de Engenharia Social. Persuasão: Compreende quase uma arte a capacidade de persuadir pessoas. para eliminar o vírus de seu computador. 2. este aplicativo está preparado para furtar sua senha de acesso a conta bancária e enviá-la para o atacante.

constrói relacionamentos e permite que o comunicador influencie o ouvinte. da maneira mais agradável. de falar aquilo que deve ser dito. inteligentes ou trabalhadoras. Se observarmos um pouco mais atentamente a conduta de vida dessas pessoas. que passa a respeitá-lo. São aquelas pessoas para as quais tudo parece sempre “dar certo”. A persuasão pode ser definida como “uma estratégia de comunicação que consiste em utilizar recursos lógico-racionais ou simbólicos para induzir alguém a aceitar uma ideia. então. Nesta ligação ele diz que sua conexão com a internet está apresentando algum problema e. relacionando tais atividades ao seu nome. tudo o que desejam. no momento oportuno e para a pessoa certa. portanto. em muitos casos. Essa capacidade conquista pessoas. pois os discursos apresentados nos exemplos procuram induzir o usuário a realizar alguma tarefa e o sucesso do ataque depende única e exclusivamente da decisão do usuário em fornecer informações sensíveis ou executar programas. “o emprego de . surpreendentemente. 3 .função desta ferramenta não é eliminar um vírus. Exemplo 3: algum desconhecido liga para a sua casa e diz ser do suporte técnico do seu provedor. E o mais estranho é que. Caso você entregue sua senha. ou realizar uma ação”. elas nem parecem ser tão competentes. muitas vezes natural. admirá-lo e até apoiá-lo na consecução dos seus objetivos. talvez possamos identificar nelas uma incrível capacidade. uma atitude. utilizando a sua conta de acesso a internet e. inata. Essa capacidade é denominada persuasão e representa a principal ferramenta de ataque dos engenheiros sociais na maioria das situações. pede sua senha para corrigi-lo. mas estão sempre alcançando seus propósitos. este suposto técnico poderá realizar uma infinidade de atividades maliciosas. Estes casos mostram ataques típicos de engenharia social. ou ainda.O Poder da Persuasão Todos nós conhecemos ou já ouvimos relatos sobre pessoas que se destacam por conseguirem. mas sim permitir que alguém tenha acesso ao seu computador e a todos os dados nele armazenados.

como as acima enumeradas. legítimos ou não. fruto de atração física ou de similaridade (semelhança como destinatário da mensagem transmitida). Da mesma forma. de forma específica. a receptividade e a reação da plateia. o sexo e a inteligência. Vejamos algumas considerações básicas sobre cada um desses elementos:  o comunicador – ao bom comunicador (comunicador persuasivo) são atribuídas as qualidades da credibilidade. estudando o seu comportamento e verificando se se trata de uma pessoa que pensa nos argumentos apresentados ou age impulsivamente. e da atratividade ou simpatia. Isso lhe permitirá adotar a atitude mais “convincente”. ele fará.  a audiência – são três os determinantes que definem o tipo de plateia a qual nos dirigimos: a idade. Falar rapidamente. provavelmente.  a mensagem – ao conteúdo da mensagem. ainda demonstra que mensagens associadas a bons sentimentos são mais persuasivas.argumentos. teoria(s) ou crença(s)”. com o propósito de conseguir que outro(s) indivíduo(s) adote(m) certa(s) linha(s) de conduta. O destaque fica por conta de três dos elementos constitutivos da persuasão: o comunicador. . Se houver competência técnica por parte do invasor. Pessoas instruídas reagem mais aos apelos racionais do que pessoas menos instruídas. Pode-se entender que o engenheiro social fará uso de todo seu poder de argumentação. Dessa forma. para convencer a lhe franquear o acesso às informações que ele deseja. uma análise da personalidade do seu alvo. a mensagem e a audiência. é possível inferir que a persuasão é resultado dinâmico de uma atividade de comunicação interpessoal e que a capacidade de persuadir pode ser desenvolvida mediante a observância e a adoção de certas técnicas. E cada um deles condiciona. é atribuído maior ou menor poder de influência quando se associa os aspectos racionalidade e/ou emotividade da mensagem ao tipo de assistência a que ela é dirigida. com convicção e encarando o “alvo” pode ajudar na persuasão. consciente ou intuitivamente. algumas delas bem definidas pela psicologia social. decorrente da sua especialização e fidedignidade.

Evitando ataques de Engenharia Social 4.Segurança da conexão e criptografia. E são justamente os aspectos culturais e comportamentais que o Engenheiro Social procurará manipular para atingir seu intento de “conduzir” as ações do seu “alvo”. e a habilidade de se relacionar. para isso. ou em outras palavras o oportunismo. precisa estabelecer relacionamentos e. Para auxiliar o usuário a maioria dos navegadores atuais mostra se a conexão é criptografada e. Logo.1 . contínuo e colaborador de troca. mas eficiente no combate à Engenharia Social é a atenção a segurança da conexão e o não envio de dados sigilosos em uma conexão insegura. o bom aproveitamento das circunstâncias.De um ponto de vista um pouco mais abrangente podemos entender que a comunicação é um processo transacional. O processo perceptivo sofre influência direta de aspectos fisiológicos. então são características importantes de uma comunicação eficiente. Também é recomendado o uso de protocolos . a fim de obter livre acesso às informações desejadas. Um comportamento simples. Uma conexão criptografada impede que um terceiro obtenha dados de uma vítima e use-os contra ela em um posterior ataque de Engenharia Social. caso positivo. utiliza-se desse processo. que se constitui em necessidade básica da humanidade. culturais e comportamentais. No processo de comunicação nem sempre o que se transmite é o percebido pelo receptor. se a comunicação é uma necessidade do ser humano e a persuasão decorre da capacidade do locutor de usar a comunicação para influenciar ou convencer seus ouvintes. e isso se deve a estrutura de percepção do mesmo. que frequentemente conduzem a erros de percepção. a flexibilidade do comunicador. O ser humano. informações e/ou conhecimentos. transmissão ou transferência de dados. por se tratar de um ser social. 4 . o tipo da criptografia empregado.

Conferindo as informações recebidas e não acreditando em tudo a primeira vista. Prefira senhas extensas. o usuário consegue escapar de diversos ataques de Engenharia Social. caso não possua. com letras em caixa-alta e baixa.2 . Isto é devido ao emprego de tradutores para passar a mensagem de sua língua original para outras. Além disso outros detalhes podem expor um ataque: o domínio de um site.Sites e certificados digitais. Números de CPF ou RG.4 . uma vez que esse último não garante por padrão a segurança da conexão. à chave pública existente no certificado. Em grande parte dos ataques de Engenharia Social ocorrem erros de escrita. Jamais use senhas constituídas de informações pessoais que possam ser descobertas por um engenheiro social. e portanto da chave privada. nomes de amigos ou familiares. entre outros. Entidades certificadoras são instituições responsáveis pela emissão de certificados digitais que identificam sites na Internet e seus respectivos proprietários. Ao assinar digitalmente os certificados que emite. A maioria dos navegadores exibem se a página visitada possui um certificado digital válido. 4. endereços.3 .seguros no referente ao acesso remoto. 4.Uso de senhas fortes. dados conflitantes na mensagem. 4. o nome de um time de futebol e o próprio login são exemplos de senhas que um atacante descobrirá rapidamente. datas de aniversário.Bom senso e atenção aos detalhes. números e caracteres especiais. a entidade certificadora relaciona a identidade do portador do certificado. como por exemplo o uso do SSH em detrimento do TELNET. o site provavelmente é uma fraude. .

Então. violando sua condicional. chegou a invadir as instalações da Pacific Bell para furtar manuais técnicos. Entretanto. Kevin David Mitnick (Van Nuys. Sem autorização. . conhecido mundialmente a partir dos anos 90. 5. Kevin Mitnick cometeu os primeiros delitos em 1990. Foi preso em 1995 e libertado em 2000. quando invadiu o computador da sua escola e alterou algumas notas. A persistência em invadir sistemas o levou à prisão pela primeira vez aos 32 anos de idade. sem poder conectar-se à internet. acabou não sendo condenado. Mitnick resolveu desaparecer. Sua história começa na adolescência em Los Angeles. utilizou uma identidade falsa. quando invadiu vários computadores. Califórnia. dentre os quais estavam computadores de operadora de celulares. de empresas de tecnologia e provedores de internet.1 – Prisão. Para isso. 5. Quando ele saiu da prisão. Atualmente trabalha como gerente de uma empresa de segurança. como fugitivo da polícia sua atividade cracker continuou cada vez mais intensa. Pouco tempo depois. como ele tinha apenas 17 anos. 6 de agosto de 1963) foi um cracker norte americano. Kevin viajou a Israel para encontrar amigos crackers. durante os anos 70. quando ele foi condenado a um ano de prisão por invasão de sistema e furto de software da DEC. Haydan S. passou a interessar-se pela pirataria de sistemas telefônicos. seu telefone passou a ser monitorado. assim como suas atividades.5 – Kevin Mitnick. aumentando o interesse pela sua captura. Mitnick ficou três anos em liberdade condicional. Hoje trabalha como consultor de segurança na Web.2 – Fugitivo. Invasões em sistemas de telefonia celular e furto online de softwares foram atribuídos a Mitnick. Como a polícia suspeitava que ele continuasse invadindo sistemas.A foi o hacker que ajudou Kevin a atualizar-se sobre os conceitos de informática atuais. Para isso.

dessa forma. colocou a mensagem da secretária eletrônica na Internet. o computador de Shimomura passou a ser monitorado 24 horas por dia em busca de qualquer indício de invasão na tentativa de pegar Mitnick. . as autoridades com a colaboração de técnicos da Sprint Cellular concluíram que o suspeito estava operando na Carolina do Norte. Além disso. preparou uma armadilha para Mitnick. Ela dizia mais ou menos o seguinte: "Ah Tsutomu. celulares e telefones portáteis pelo período de três anos. Tsutomu Shimomura era um grande especialista em segurança do Centro Nacional de Supercomputacão em San Diego. Da mesma forma. o seu telefone passou a ser rastreado. Você pôs minha voz na Internet. meu discípulo aprendiz. Estou muito desgostoso com isso". em 27 de dezembro daquele ano. com sua reputação técnica abalada. eles verificaram um sinal suspeito vindo de um edifício de apartamentos em Players Court. Califórnia. Em primeiro lugar. Kevin Mitnick foi libertado em 2000 com a condição de manter-se longe de computadores. Com o FBI acionado e com a colaboração da National Security Agency. Essa ligação foi rastreada e em 15 de fevereiro de 1995.5. Algum tempo depois.3 – Armadilha. Ele imaginou que. seu computador pessoal . Com scanners de frequência. Liberdade longe dos computadores . Em 1994. Tsutomu Shimomura. tornado-a pública.fora invadido. uma pessoa deixou uma mensagem na caixa postal do telefone de Shimomura.após cinco anos preso. Com uma ordem judicial. Durante suas férias. uma outra mensagem atribuída a Mitnick foi deixada na caixa postal de Tsutomu Shimomura. outra mensagem atribuída a Mitnick foi deixada na caixa postal de Shimomura. Kevin entraria novamente em contato. Kevin foi finalmente preso. Algum tempo depois.que estava conectado via Internet com aquele centro .

Primeiros alvos ao telefone. os verdadeiros alvos. Os primeiros alvos são secretárias. Assim. recepcionistas e seguranças. ou algum tipo de autoridade externa.2 .Falar a mesma língua. profere palestras em diversos países e trabalha como consultor em segurança de sistemas. O motivo é simples: se alguém fala com você utilizando uma linguagem que se reconheça é mais simples sentir-se seguro e a facilitar. Kevin Mitnick escreve livros e artigos sobre segurança de informações. .1 .Atualmente. através de pessoas mais acessíveis e com cargos menores é possível obter informações sobre aquelas mais bem posicionadas na hierarquia. falando o que o golpista quer ouvir. 6. A engenharia social criminosa estuda tal linguagem para tirar o máximo proveito disso. passado o período em que deveria manter-se longe dos computadores.Golpes 6. Cada corporação possui sua própria linguagem e expressões que são usadas pelos funcionários. como auditor por exemplo. Engenheiros sociais que utilizam o telefone para obter informações possuem como objetivo ou passar-se por algum funcionário e colega de trabalho. pois esses funcionários estão sempre em contato (direto ou indireto) com as pessoas que detém cargos de poder dentro da empresa. 6 .

etc.6. número do cartão de crédito. Uma nova técnica está sendo usada pela engenharia social criminosa para burlar o sistema de identificador de chamada das empresas. como número de conta.Telefones falsos. É o chamado spoofing do número telefônico. Ataques bem-sucedidos exigem paciência. 6. Ao ouvi a música à qual está habituado. Este é um dos ataques mais comuns e é utilizado principalmente para obter dados bancários e financeiros das pessoas.3 . contas de e-mail. tempo e persistência. Ao entrar com os dados .Notícias e SPAMs. o funcionário conclui que quem está do outro lado da linha realmente trabalha na mesma corporação que ele e acaba facilitando e fornecendo todas as informações solicitadas.4 . seja pelo jornal. Uma abordagem que está sendo muito utilizada é utilizar a música que as empresas utilizam para deixar as pessoas esperando ao telefone.Músicas de espera. A maioria dos textos contém um link que encaminha o usuário para uma página falsa de banco. senha. que faz com que o identificador de chamadas mostre um número diferente daquele que realmente originou a ligação. rádio ou Internet. sites de relacionamento. Os assuntos dos e-mails normalmente são pertinentes a notícias divulgadas na mídia. 6. etc. televisão.5 .

Erros de digitação.6 . endereço.7 . Antes de enviar qualquer dado. o usuário está. Por isso. que teve queda em suas ações depois que o boato sobre a suposta morte de Steve Jobs circulou por e-mails. empresa na qual trabalha e qualquer tipo de informação pessoal em seu perfil. o que facilita a engenharia social criminosa. como são conhecidos. cuidado ao digitar o endereço de qualquer página na barra de endereços do seu navegador. Não é aconselhável colocar telefones. Uma das novas técnicas empregadas é aproveitar-se dos erros de digitação cometidos. Boa parte das pessoas possui perfis e contas em redes sociais.Boatos = queda. Pessoas que praticam a engenharia social criminosa se aproveitam de qualquer deslize dos usuários para tirar informações. é o conhecemos por phishing. pois muitas vezes eles podem ser usados para prejudicar você.8 . Os boatos que circulam pela Internet podem refletir diretamente na empresa sobre a qual se fala. . 6. Sites falsos são criados com endereços muito semelhantes aos do site original. Ao criar perfis em sites de relacionamento é preciso ter cautela com os dados ali fornecidos. mas estes sites falsos. na verdade. 6. tenha certeza que está no site correto.. na verdade enviam os dados digitados diretamente para a mão dos criminosos.Redes sociais.solicitados. Um bom exemplo dessa situação é a Apple. enviando o login e a senha para o criminoso sem perceber. 6.

um serviço trava. algo não inicializa. 6. ele pode então instalar algum tipo de rootkit ou outro tipo de malware que permitirá a ele ter acesso contínuo ao sistema. afirma Hadnagy.blogs e fóruns. 6. Golpes de doações para caridade tem sido um problema há anos. O engenheiro social então aconselha-os a ir até o site Teamviewer. você é um usuário licenciado do Windows. “A pessoa do outro lado da linha diz que quer ajudar na solução porque há uma falha e eles têm feito ligações para usuários licenciados do Windows”.” A pessoa que ligou diz para a vítima ir até o event log (visualizador de eventos) da máquina e a acompanha pelos passos até chegar ao log do sistema. “Todo usuário do Windows terá dezenas de erros neste log. simplesmente porque acontecem pequenas coisas. parece assustador.10 . “Faz sentido. explica Hadnagy. tem uma máquina com Windows e ela quer provar isso para você.“Faça uma doação para ajudar as vítimas do (alguma tragédia)!” ("Donate to the hurricane recovery efforts!"). “Mas quando um usuário sem experiência abre isso e vê todos esses erros.” Nesse ponto.com.“Somos da equipe de suporte da Microsoft – queremos ajudar” ("This is Microsoft support – we want to help") . afirma Hadnagy.9 . como o terremoto no Haiti . A todo o momento temos desastres de grandes proporções no mundo. a vítima está desesperadamente pronta para fazer qualquer coisa que o suposto funcionário do “suporte” pedir. um serviço de acesso remoto que dá a ele controle da máquina. Ele começa com uma ligação telefônica em que alguém afirma ser do serviço de suporte da Microsoft e diz que está ligando por causa de um número anormal de erros que teriam origem no seu computador. Hadnagy afirma que um novo tipo de ataque tem atingido muitas pessoas ultimamente. Tal método é conhecido no mercado financeiro como “pump-anddump”. Sempre existem erros”. Uma vez que o cracker tiver acesso à máquina por meio do Teamviewer.

No entanto. Secretamente. Basicamente todas as informações que eles precisam para cometer um roubo de identidade”.“Sobre sua inscrição para a vaga de emprego. “A pessoa da suposta instituição de caridade normalmente vai iniciar uma conversa e dizer que está coletando contribuições porque tem uma relação mais passional com a causa porque perdeu um membro da família em um desastre parecido. A melhor maneira de evitar isso é indo a uma organização conhecida e de boa reputação.. endereços e informações de contato. como a Cruz Vermelha. “Esse é um golpe perigoso. a vítima então oferece um número de cartão de crédito pelo telefone para fazer a doação para "caridade".. e iniciar o contato por conta própria se quiser fazer uma doação. Hadnagy diz que. explica Hadnagy. Tanto pessoas buscando empregos quanto empresas de recrutamento estão sendo atacadas por engenheiros sociais. “Enquanto você está esperando para ouvir sobre a pessoa. Neste exemplo. e isso ajuda a criar uma suposta camaradagem. afirma Hadnagy. Normalmente os engenheiros não pedem por informações financeiras.11 . seu nome. Eles alegam ter acesso às bases de dados do governo e informações de recuperação..” Tocada pela pessoa que entrou em contato. o site aparece dizendo ajudar a encontrar pessoas que possam ter desaparecido no desastre.” . recebe um pedido de doação para caridade”. mas exigem nomes. e os criminosos rapidamente entram no jogo e lançam sites falsos de doações. “Agora eles tem seu endereço."). 6. eles sabem que a pessoa que contataram também já perdeu alguém. ambas as partes estão dizendo „estou disposto a aceitar arquivos anexos e informações de estranhos.. “Seja a pessoa buscando trabalho ou a companhia postando novas vagas.ou tsunami no Japão. entre 8 e 10 horas após o incidentes. para os dois lados”. Hadnagy afirma que surgiu há pouco tempo um tipo particularmente desprezível de golpe de engenharia social direcionado para pessoas que possam ter perdido parentes ou amigos em desastres naturais. como números de telefone e e-mail. nome do seu parente e também do seu cartão de crédito.” ("About your job application. diz Hadnagy.

afirma o aviso do FBI. de acordo com a companhia de segurança Sophos. uma farmácia falsa ou um site pornográfico.es/HNGAt” ("@Twitterguy. Uma maneira disso acontecer é na forma de hashtags populares. o que você pensa sobre o que a Dilma disse sobre #desemprego? http://shar. .” 6. Na verdade.12 . “O invasor alterou as configurações da conta para permitir o envio de transferências protegidas. sendo uma para a Ucrânia e duas para contas domésticas. afirma o consultor sênior de tecnologia da Sophos.“@pessoanoTwitter. what do you think about what Obama said on #cybersecurity? http://shar. o início da nova temporada da série “Glee” no começo deste mês na Inglaterra fez com que os cibercriminosos “sequestrassem” a hashtag #gleeonsky por várias horas. mas os spammers tomaram conta dela rapidamente e começaram a incorporar links maliciosos nos tuítes com o termo. mais de US$ 150 mil foram roubados de uma empresa americana por meio de uma transferência não autorizada como resultado de um e-mail com malware que a companhia recebeu a partir de uma oferta de emprego.” “Acho que veremos ainda mais ataques desse tipo em mídias sociais por causa da maneira como as pessoas clicam nesses links”. Graham Cluley. “Obviamente que os spammers podem escolher redirecionar para qualquer site que quiserem uma vez que você tenha clicado no link”. A operadora de TV por assinatura Sky pagou para usar a hashtag como uma forme de divulgar a nova temporada.es/HNGAt").De acordo com um alerta do FBI. Os engenheiros sociais estão observando o que as pessoas estão tuitando e usando essa informação para realizar ataques que parecem mais críveis. “O malware estava incorporado em um e-mail de resposta a uma vaga de emprego que a companhia colocou em um site de recrutamento e permitiu ao cracker conseguir as credenciais bancárias online da pessoa que estava autorizada a realizar transações financeiras na companhia”. “Poderia ser um site de phishing desenvolvido para roubar suas credenciais no Twitter. afirma Hadnagy.

está passando o controle da sua conta para outra pessoa”. seguir outros usuários de modo agressivo.6. “As páginas pedem para você digitar seu nome de usuário e senha do Twitter”. A Sophos também faz um alerta sobre serviços que dizem conseguir mais seguidores no Twitter. venda de nomes de usuários e senhas e golpes de phishing. afirma Cluley em um post no blog sobre o experimento. Clicar nesse link leva o usuário para um serviço na web que promete conseguir muitos novos seguidores. A essa altura. explica uma das regras do Twitter. O próprio Twitter avisa aos usuários para tomarem cuidado com esses serviços em sua página de informações de ajuda. não forneça seu nome de usuário e senha para aplicativos de terceiros que você não conheça ou tenha pesquisado com cuidado antes. “Isso deveria fazer você sair correndo – por que um site de terceiros deveria pedir suas credenciais? O que os donos dessas páginas estão planejando fazer com seu nome de usuário e senha? É possível confiar neles?” Cluley também colocou que o serviço admite não ser apoiado ou afiliado ao Twitter. enviar mensagens diretas não desejadas. serão cada vez mais comuns mensagens como “QUEREM MAIS SEGUIDORES? EU VOU TE SEGUIR DE VOLTA SE VOCÊ ME SEGUIR – (LINK)”. maliciosos ou spam. ou violar outras regras do Twitter com a sua conta.“Saiba como ter mais seguidores no Twitter!” ("Get more Twitter followers!"). fraude.O próprio Cluley criou uma conta teste para ver o que acontecia. “Elas podem então postar atualizações e links duplicados. afirma o especialista. todas as garantias de segurança e uso ético já eram. De acordo com Cluley. Alguns aplicativos de terceiros já foram implicados em atos de comportamento de spam. “Quando você fornece seu nome de usuário e senha para outro site ou aplicativo. você precisar autorizar o aplicativo a acessar sua conta. Por favor.” .13 . e que para usar o serviço.

entretanto. transforma-se no hacker Will Rogers. Com as bênçãos da alta direção da empresa. da Tiger Team – Ernst & Young é um desses profissionais. Estima-se. Se as informações sobre os pacientes viessem a publico. não divulgam com medo de perderem seus empregos. pois não são notificados pelos administradores de rede. são frequentemente chamadas para investigar os incidentes e mantê-los em sigilo. . que os funcionários lhe forneçam suas senhas para verificar se estão dentro dos padrões para atender as mudanças da rede.7 . por exemplo. que 70% dos ataques não são reportados a polícia. Muitos ataques sequer chegam aos conhecimentos da alta direção. uma das maiores empresas privadas de investigação dos Estados Unidos. Passandose por funcionário da equipe de TI da empresa. conseguindo inúmeras senhas.A Nova Profissão Nesse cenário de guerra. Empresas especializadas em treinamento. Pete White. pede por telefone. que mesmo tendo descoberto o ataque. como a Xtreme Hacking recebem estudantes de todas as partes do país. Empresas como Kroll Associates. para ensiná-los as técnicas usadas pelos hackers e com isso ajudá-los a defender as empresas em que trabalham. É o uso da antiga técnica de Engenharia Social. Brian Holyfield. Eles são contratados pelas grandes empresas para testar o grau de segurança seus sistemas. a credibilidade do hospital seria seriamente afetada. surge uma nova categoria de profissionais para atuar nos grandes centros financeiros e corporativos: o Ethical Hacker. que surpreendentemente ainda funciona até hoje. pois sua divulgação pode gerar publicidade negativa para a empresa e causar enormes prejuízos por suas posições nos voláteis mercados financeiros. podendo vir a provocar até mesmo sua falência. é aluno da Xtreme Hacking e responsável pela segurança de um grande hospital.

34% não têm qualquer treinamento de funcionários ou políticas de segurança para prevenir técnicas de engenharia social. recursos humanos (33%).citou o ganho financeiro como a principal motivação dos ataques. . Esses ataques custaram às vítimas de 25 mil a 100 mil dólares por incidente. Contudo. destacou a Check Point. Entre os pesquisados. líderes de negócio (32%) e pessoal de TI (23%). Uma pesquisa de 850 profissionais de segurança em TI que atuam nos Estados Unidos. ou quase a metade. Reino Unido. Outras razões seriam a obtenção de vantagem competitiva e vingança. Alemanha. Austrália e Nova Zelândia revela que 48%. seguidos de sites de rede social (39%). No entanto. segundo o relatório. quase um terço das organizações afirmou não ter programas de alerta e prevenção de engenharia social. no relatório. Novos empregados são mais propensos a caírem em golpes de engenharia social.8 . 19% afirmaram ter planos de implantá-los.51% . foram vítimas de engenharia social e tiveram 25 ou mais ataques nos últimos dois anos. 86% reconhecem a engenharia social como uma grande preocupação.Prejuízos Os ataques de engenharia social ocorrem em todo lugar. segundo pesquisa recente da empresa de segurança Check Point Software Technologies. assistentes executivos (38%). explica a Check Point. "Os hackers hoje utilizam uma variedade de técnicas e aplicações de redes sociais para obter informações pessoais e profissionais sobre uma pessoa." Entre os que responderam à pesquisa. são frequentes e custam às organizações milhares de dólares por ano. "Os ataques de engenharia social têm como alvo pessoas com conhecimento implícito ou acesso a informações sigilosas". Em seguida aparecem os terceirizados (44%). Canadá. A maioria dos entrevistados . para encontrar o elo mais fraco dentro de uma organização. Os vetores de ataque mais comuns em casos de engenharia social são e-mails de phishing (47% dos incidentes).

com.br/msn-messenger/1078-cuidado-com-a-engenhariasocial. os humanos. diz estudo Disponível em: http://idgnow. a melhor forma pra combater e evitar este risco é através de treinamento e conscientização do elo mais fraco desse sistema.br/seguranca/2011/09/21/ataques-de-engenharia-social-custamcaro-as-empresas-diz-estudo/ Soldado americano rouba mais de US$ 15 mil de co-fundador da Microsoft Disponível em: http://idgnow. Investir em treinamento contra a engenharia social é um investimento alto e. percebemos que tanto os usuários leigos como também os usuários mais avançados de informática. um processo lento.br/seguranca/2012/04/20/soldado-americano-rouba-mais-de-us15-mil-de-co-fundador-da-microsoft/ Homem é condenado por roubar dados de rede P2P do governo dos EUA Disponível em: http://idgnow. muitas vezes.uol.com. é mais do que necessário.com.tecmundo.uol.br/seguranca/2011/09/16/homem-e-condenado-por-roubar-dadosde-rede-p2p-do-governo-dos-eua/ . Com isso.9 . levando em consideração o valor das informações para determinada empresa ou pessoa. porém.com.Conclusão Com este trabalho. tanto as pessoas que estão em posições mais baixas em uma hierarquia empresarial quanto as que ocupam o alto escalão estão suscetíveis a serem enganadas com esses tipos de golpes provenientes da Engenharia Social. 10 – Referências Cuidado com a Engenharia Social Disponível em: http://www.uol.htm#ixzz2jdNavKOT Ataques de engenharia social custam caro às empresas.

wikipedia.org/wiki/Engenharia_social_%28seguran%C3%A7a_da_informa%C 3%A7%C3%A3o%29 .Entendendo a engenharia social Disponível em: http://pt.