terça-feira, dezembro 14, 2004

Cuidado com a Engenharia Social: entrevista com Frank W. Abagnale




Fonte:


Por Luis Fernando Rocha

Medo, vaidade, ambição, cobiça, ira. Essas são algumas características humanas das quais sistema algum de segurança do mundo consegue prevenir que sejam exploradas. E são justamente essas características que muitos invasores se aproveitam para conseguirem acesso a informações corporativas críticas.

Para se ter uma idéia do nível dessas ameaças, análise recente divulgada pelo instituto americano Gartner prevê que a Engenharia Social será a principal ameaça para os sistemas tecnológicos de defesas das grandes corporações e usuários de internet daqui a dez anos.

Para entendermos melhor o que vem a ser a Engenharia Social, a Módulo Security Magazine traz nesta semana uma entrevista exclusiva com um dos principais especialistas no assunto: Frank W. Abagnale, ex-fraudador e especialista em combate à falsificação, desfalques e documentos seguros. Sua história ficou famosa e serviu de inspiração para o sucesso hollywoodiano "Prenda-me se for capaz", filme dirigido por Steven Spielberg e estrelado por Tom Hanks e Leonardo Di Caprio.

Nesta entrevista, Abagnale conta um pouco de sua história, fala sobre os problemas envolvendo a Engenharia Social, além de sugerir soluções que combatam a fraude mais explorada na internet atualmente, o phishing scam. Agradecemos a colaboração dos profissionais Augusto Paes de Barros, Haroldo Gamal, Marcos Machado e Rafael Cardoso, que formularam algumas perguntas desta entrevista. Confira a seguir.



Módulo Security Magazine: Quais mudanças o filme "Prenda-me se for capaz", de Steven Spielberg, trouxe para sua vida (profissional e pessoal)?
Frank W. Abagnale: O filme não trouxe muitas mudanças para minha vida. Venho ministrando palestras e prestando consultoria para meus clientes há mais de 30 anos. Continuo fazendo as mesmas coisas que sempre fiz. Já trabalho há muitos anos com a maioria dos meus clientes corporativos. Não estou na posição de pegar novos negócios, pois meus clientes atuais já me mantêm extremamente ocupado.

Módulo Security Magazine: Por que motivo, após tantos anos executando fraudes, o senhor passou a trabalhar no combate a elas? (Por Marcos Machado)
Frank W. Abagnale: Como o filme mostrou, fui liberado da prisão há 30 anos para trabalhar com o governo americano. Tenho trabalhado em conjunto com o FBI nesse período e ainda hoje dou aulas na Academia do FBI em Quantico, VA. Tive muita sorte de viver em um país onde uma pessoa má pode se tornar boa e se redimir na vida. Sou afortunado, pois essa América é um país onde todos conseguem ter uma segunda oportunidade.

Certamente essa segunda chance, o fato de que estou casado há mais de 28 anos e ser pai de três filhos ajudaram a mudar minhas perspectivas e minha atitude na vida. Hoje, sinto que o que eu fiz há quase 40 anos era ilegal, sem ética e imoral. E minha felicidade é justamente ter conseguido essa segunda oportunidade.

Módulo Security Magazine: Como o senhor preparava suas ações em relação à análise e escolha do cenário-alvo; coleta de informações; estudo de rotinas etc?
Frank W. Abagnale: Sinto verdadeiramente que não era brilhante, como muitos já apontaram. Além disso, tinha apenas 16 anos. O que eu era? Um oportunista e um empreendedor muito novo. Era extremamente observador e aprendi muito cedo que essa percepção era real e muito importante para compreender as brechas em cada transação. Até hoje é surpreendente o que uma pessoa pode descobrir apenas através de um simples telefonema.

Módulo Security Magazine: Qual o perfil de pessoa mais visada para aplicação de golpes?
Frank W. Abagnale: Infelizmente, sempre teremos pessoas, em toda parte no mundo, que estão procurando alguma coisa por nada... de maneira fácil. Um trapaceiro pode sempre explorar esses indivíduos.

Módulo Security Magazine: Quais são as vulnerabilidades humanas (vaidade, medo, paixão etc) mais exploradas em uma ação de Engenharia Social?
Frank W. Abagnale: Geralmente, as vítimas confiam demais e são muito ingênuas. No ambiente de hoje, seja em seus negócios e na sua vida pessoal, você tem que ser um consumidor e um homem de negócios um pouco mais esperto do que você teria que ser a 20 anos atrás.

Módulo Security Magazine: Atualmente, as organizações vêm investindo muitos recursos em tecnologias de segurança, principalmente as instituições financeiras. O senhor acha que toda essa tecnologia será capaz de evitar a ação de criminosos?
Frank W. Abagnale: Realmente, a tecnologia produz o crime. Sempre foi e sempre será assim. Há sempre pessoas que querem usar a tecnologia em seu benefício próprio e de forma negativa. Por exemplo, para eu falsificar um cheque há 40 anos, necessitava de uma máquina de impressão Heidelberg de um milhão de dólares. Tive que aprender a fazer as separações de cor, negativos, clichês etc. Hoje, posso sentar com um laptop em qualquer lugar no mundo, extrair uma logo em um website de uma das 500 maiores companhias listadas pela Revista Fortune, fazer uma cópia de um talão de cheques em uma impressora colorida e ter um "incrível" cheque com a mesma aparência em apenas dez minutos.

Acredito que nós temos que usar a tecnologia para derrotar a tecnologia que nos está causando tais danos. Hoje, ajudo a desenvolver software, hardware e tecnologia de impressão para combater justamente isso. Entretanto, é uma batalha constante porque sempre haverá alguém para descobrir uma maneira de burlá-las. Digo sempre em minhas apresentações: se você acreditar que tem um sistema infalível, você falhou em considerar a criatividade dos tolos. Lembre-se, o que um inventa, outro poderá descobrir.

Módulo Security Magazine: O senhor é considerado um mestre da Engenharia Social. Qual seria a melhor maneira de se definir a Engenharia Social?
Frank W. Abagnale: Basicamente, a Engenharia Social é a arte e a ciência de induzir pessoas a agirem de acordo com seus desejos. Não é uma maneira de controle da mente, não permitirá que você consiga fazer as pessoas a realizarem descontroladamente tarefas fora de seu comportamento normal e é longe de ser infalível. Envolve também mais do que simplesmente pensar rápido e uma variedade de sotaques divertidos.

A Engenharia Social pode envolver muitos "fundamentos", acúmulo de informação e perda de tempo com conversa fiada, sempre antes que uma tentativa em ganhar a informação seja feita. Como na prática hacking, a maioria do trabalho nessa área está na preparação, mais do que na tentativa em si.

Módulo Security Magazine: No filme o vimos utilizando várias técnicas para executar suas fraudes. Uma delas foi a Engenharia Social. Na sua opinião, qual a melhor arma para se combatê-la? (Por Rafael Cardoso)
Frank W. Abagnale: As pessoas precisam estar cientes dos perigos de se passar muitas informações. Vivo sob uma regra muito simples: se não solicitei o recebimento de um telefonema, um e-mail ou uma carta, não vou passar qualquer informação sobre mim, meus clientes, minha companhia, minha família, meus contatos etc.

Módulo Security Magazine: O senhor é um dos maiores especialistas do mundo em fraudes bancárias, principalmente através de documentos forjados. Qual a melhor maneira de prevenir o novo tipo de fraude que vem sendo aplicado nos sistemas de banco por internet, o "phishing scam", onde os fraudadores enviam mensagens eletrônicas para clientes dos bancos fazendo com que eles executem arquivos que roubam senhas ou até mesmo forneçam seus dados em sites falsos? (Por Augusto Paes de Barros)
Frank W. Abagnale: A essência deste crime é chamada de controle de contas e o objetivo é roubar a identidade ou as "credenciais" da vítima para tomar o controle de seu domínio financeiro. Em outras palavras, se nós pararmos cada e-mail de phishing, há ainda uma abundância de oportunidades para se conseguir essas "credenciais".

Penso que uma boa estratégia para resolver esse problema é, de início, aperfeiçoar a autenticação da página de login, sabendo que apenas o nome e a senha do usuário não são suficientes para ganhar o acesso a uma conta. Há soluções que ajudam a proteger os bancos assim como seus clientes, através da inclusão de camadas adicionais de autenticação, sem mudar o comportamento do cliente no todo. Essas soluções "afiadas" em parâmetros adicionais, que seriam controlados durante uma tentativa de login, podem ajudar na identificação de quem é "amigo" e quem é "inimigo".

Módulo Security Magazine: No mercado de Segurança da Informação, há uma discussão ética sobre a contratação de hackers. Qual a sua opinião sobre este assunto? Você acha que seu caso foi um caso especial de mudança de time ou que essa é uma tendência natural? (Por Rafael Cardoso)
Frank W. Abagnale: Levou anos para que eu conseguisse ganhar a credibilidade que tenho hoje. Trabalho para alguns dos maiores bancos e corporações do mundo porque eles confiam em mim. Pessoalmente, ficaria muito receoso em empregar alguém que se tornou um ex-hacker há apenas um ano e que diz que agora mudou sua vida e quer trabalhar no mercado da Segurança da Informação.

Todos podem mudar, mas você tem que provar essa mudança. Esse processo exige muito trabalho duro, anos de confiança e comportamento ético. Você tem que reconstruir seu caráter e isso não acontece da noite para o dia. Na ocasião, me deram uma rara oportunidade, mas levei anos e anos para fazer com que as pessoas confiassem em mim. Ainda assim até hoje há algumas pessoas que não confiam.

Módulo Security Magazine: Como o senhor gostaria de ser lembrado: como o homem que aplicou a mais fantástica série de golpes ou como um exemplo de resignação e combate ao crime? (Por Haroldo Gamal)
Frank W. Abagnale: A verdade é: gostaria de ser lembrado como um bom marido, um ótimo pai e um homem que ama sua família e os coloca sempre em primeiro plano em sua vida. De resto, qualquer rótulo não tem importância para mim.

Módulo Security Magazine: O senhor conhece do Brasil? E o mercado brasileiro de Segurança da Informação?
Frank W. Abagnale: Tenho uma sobrinha que vive no Brasil. Sei que é um país maravilhoso e bonito, mas nunca tive a oportunidade de fazer uma apresentação ou trabalhar com um banco brasileiro, empresas especializadas em impressões ou em Segurança da Informação. Entretanto, como o Brasil é ainda uma sociedade de cheque em papel, e o país está tentando se colocar como um líder no mercado de Segurança da Informação, estou certo que terei a oportunidade de visitar o país em breve.


Links:
- "Greatest security risk: Social engineering, says Gartner"
- Site de Frank W. Abagnale

Nenhum comentário:

Postar um comentário

Aúncio