segunda-feira, novembro 29, 2004

Engenharia social, atacando o elo mais fraco - Parte 1

Fonte:


Definições e exemplos
Rafael Cardoso dos Santos


Nesta série de artigos, gostaria de exemplificar um pouco a Engenharia Social, mostrando seu amplo espectro de ataque e seu poder de ação. Logo em seguida gostaria de mostrar algumas ações que podem ser tomadas para defesa das informações pessoais e corporativas.

Enquanto escrevia minha monografia sobre este tema, já em fase de conclusão, resolvi fazer uma pequena pesquisa entre os profissionais de TI da minha rede de contatos. Nesta pesquisa, fiz várias perguntas e uma delas foi: você sabe o que é Engenharia Social?

Muitos deles nunca tinham ouvido falar do assunto, principalmente a turma de desenvolvimento, embora quase todos tenham demonstrado conhecimentos quanto a alguns tipos de ameaças que utilizam técnicas de Engenharia Social, como Phishing Scam, por exemplo. Mas o que seria Engenharia Social?

Na minha definição, Engenharia Social seria a técnica de influenciar pessoas pelo poder da persuasão. Essa influência tem como objetivo conseguir que as pessoas façam alguma coisa ou forneçam determinada informação a pedido de alguém não autorizado.

Para conseguir persuadir as pessoas, o Engenheiro Social utiliza artimanhas com a finalidade de explorar algumas características humanas, tais como Solidariedade, Instinto de Sobrevivência, Ambição, Curiosidade e Confiança, exercendo a influência acima de tudo, enganando muitas vezes, misturando pequenas mentiras em grandes verdades. O objetivo do Engenheiro Social é alcançado após conquistar a confiança do usuário.

Na sua grande maioria, a Engenharia Social é empregada para conseguir acessos indevidos de forma mais rápida, com auxílio de alguém autorizado. Deste modo não seriam necessários muitos apetrechos tecnológicos e o tempo gasto para alcançar um objetivo seria menor.

Pegando como exemplo as últimas notícias de golpes bancários, e a recente onda de ataques de "pescaria" (Phishing Scam), vamos imaginar uma quadrilha que queira dar um golpe em correntistas de diversos bancos. Seu objetivo é conseguir números de contas, agências, senhas, dados pessoais e até cartões de crédito. Estas informações podem ser conseguidas em duas fontes principais: nos bancos ou nos clientes. Qual seria a origem mais propícia a entregar as informações para a quadrilha? De qual fonte a quadrilha teria mais facilidades para obter as informações? Seria do banco?

Vejamos: quantos milhões de dólares as instituições financeiras gastam por ano para proteger suas informações? Quantos mecanismos de defesa são empregados? Chaves criptográficas, firewalls, cofres, salas cofres, vigilância 24h, CFTV etc. Talvez o ambiente de uma instituição financeira seja atualmente o mais seguro no mundo corporativo, pelo menos no quesito tecnologia.

Acho então que a pergunta começa a ser respondida. Parece que o mais fácil seria conseguir as informações diretamente com o cliente. Como? Utilizando tecnologia? Para isso seria necessário varrer a internet a procura de computadores com vulnerabilidades conhecidas e depois com a lista de computadores em mãos, explorar estas vulnerabilidades.

Mas e os computadores conectados via dial-up que hoje têm um IP e amanhã outro? Seriam estes a maioria? Acho que sim. Então o que fazer? Os ataques de "pescaria" fazem este trabalho. Aliando tecnologias disponíveis à Engenharia Social, o cliente é influenciado a ceder suas informações de forma voluntária.

Vejamos um exemplo recente: a Serasa. Quem entrar em contato com a Serasa verá que essa instituição não envia e-mails informando que seu nome foi incluído na lista dos maus pagadores. Nem muito menos pedindo informações pessoais.

Porém recentemente começou a circular na internet um e-mail (spam) informando que o destinatário deste estava com pendências na Serasa e que para "limpar" seu nome era preciso preencher um formulário. Ao clicar no link para preencher o formulário, um programa cavalo de tróia é instalado no computador do usuário. Este programa vasculha o computador onde ele está, procurando informações pessoais, senhas, dados financeiros e envia tudo que foi coletado para um e-mail ou site ftp na internet.

Assim, se as informações concedidas tão gentilmente pelo usuário não forem suficientes, o atacante pode acessar o e-mail ou ftp e procurar o que mais lhe for útil. Alguns "cavalos de tróia" podem, inclusive, permitir que o atacante acesse o computador do usuário remotamente. E o atacante só precisou enviar um e-mail, todo o restante foi feito pelo próprio usuário. Desde o preenchimento do formulário até a instalação do "cavalo de tróia".

Então, para nossa quadrilha imaginária, a solução para alcançar seu objetivo está na Engenharia Social aliada a algumas tecnologias disponíveis como ferramentas para envio automático de spam, cavalos de tróia para acesso remoto à informações, keyloggers etc.

Como vemos, se pensarmos na figura consagrada da corrente para a Segurança da Informação, certamente o elo mais fraco é o fator humano. As pessoas são imprevisíveis e passíveis de serem influenciadas. Os Engenheiros Sociais sempre vão existir enquanto o homem estiver presente no processo.

Este foi um exemplo de ataque combinado de "Spam + Engenharia Social". Neste ataque os resultados são aleatórios e o alvo indefinido. Assim não foi necessário contato direto do atacante com a vítima.

A Engenharia Social também é muito utilizada em ataques com alvos definidos. Nestes ataques existe o contato direto entre o atacante e a vítima. O Engenheiro Social faz uso de contatos via telefone, e-mail ou até mesmo pessoal com a vítima. Os passos para a realização de um ataque após a identificação do alvo são geralmente os seguintes:

Estudo da vítima

Neste primeiro estágio, o atacante observa, escuta e colhe o máximo número de informações possíveis. No caso do alvo ser uma empresa, vários funcionários são observados a fim de identificar características exploráveis.

Além de observar muito bem o procedimento de acesso físico à empresa. Quem libera acesso, quem recebe visitas, quais horários de mais movimento. A coleta de informações pode ser via telefone, via internet ou até pessoalmente. Vamos imaginar um cenário genérico: o alvo do nosso atacante seria a empresa xyz LTDA e o site da empresa é www.xyz.com.br. Seu objetivo é conseguir informações sobre a contabilidade da empresa. Todas as informações quanto for possível.

Com base nestas informações, nosso atacante acessa o Registro.br e verifica que o Sr. Fulano de tal, telefone 1234-5678 e e-mail fulano@xyz.com.br é o responsável pelo domínio da empresa.

Entrando em contato

Em seguida nosso atacante liga para o Sr. Fulano de tal e descobre que ele é o Gerente de TI. Sua secretária atende e diz que o mesmo está em reunião. Muito solícita, D. xxx explica que o melhor horário para falar com o Sr. Fulano é a tarde, pois todas as manhãs ele está em reunião.

Aproveitando a boa vontade da secretária, nosso atacante, dizendo ser o representante de uma consultoria de sistemas que desenvolve aplicativos contábeis, pergunta quem seria o responsável pela contabilidade da empresa.

Conversa vai, conversa vem e nosso atacante descobre que são três funcionários na contabilidade, sendo uma estagiária, um contador e o supervisor. Consegue também seus telefones. O alvo agora é o computador da estagiária. Nosso atacante liga e descobre que o supervisor também está em reunião. Quanta reunião! (alguma semelhança com a empresa onde trabalha?)

Finalizando o golpe

Ao falar com a estagiária, a mesma conversa e o atacante diz que vai encaminhar a ela uma apresentação sobre a empresa e uma demonstração de seu sistema. Diz a ela o quanto seu sistema poderá ajuda-la no dia-a-dia e como a apresentação desta solução pode alavancar sua carreira dentro da xyz.

Agora "N" possibilidades surgirão. O atacante pode mandar um trojan para acesso remoto escondido no suposto sistema, pode mandar keyloggers, pode criar um sistema para coleta de informações, pode mandar um sistema com problema para que um segundo contato seja estabelecido...

Depois da Engenharia Social, surge agora a parte tecnológica, mas não entraremos neste mérito. Porém já é o suficiente para exemplificarmos os perigos a que as corporações estão expostas.

No caso hipotético acima foram exploradas como vulnerabilidades, algumas características humanas como o desejo de ajudar e a vontade de crescer profissionalmente: Solidariedade e Ambição.

Pelo que pudemos ver, de pouco adiantam as barreiras tecnológicas e ferramentas de alta tecnologia se o usuário ceder as informações. Veja que no exemplo acima, o atacante, após se identificar como um possível fornecedor e dizer que foi indicado a ela pela D. xxx secretária do Gerente de TI, facilmente ganhou a confiança da estagiária e poderia inclusive fazer perguntas sobre seu trabalho cotidiano para customizar a ferramenta.

Poderia pedir exemplos de relatórios, nomes de clientes, suas rotinas e, quem sabe, a estagiária não mandaria para o e-mail dele algumas planilhas para exemplificar seu dia-a-dia? A pergunta então é: como se defender? Confira o próximo artigo!

Observação: os exemplos citados são puramente lúdicos. Não havendo em minha opinião nada que desabone Gerentes de TI, Secretárias ou estagiários.


Saiba mais:

- Artigo - Policiais Corporativos

Nenhum comentário:

Postar um comentário

Aúncio