O que é Engenharia Social?

A Engenharia Social e seus usos fraudulentos

Uma tendência mundial nas técnicas para iniciar, estruturar ou executar fraudes, é o uso da dita "Engenharia Social".
Uma boa definição é a seguinte: Engenharia social é aquele conjunto de métodos e técnicas que tem como objetivo obter informações sigilosas e importantes através da exploração da confiança das pessoas, de técnicas investigativas, de técnicas psicológicas, de enganação etc.... Para isso, o "engenheiro social" pode se passar por outra pessoa, assumir outra personalidade, vasculhar lixo ou outras fontes de informações, fazer contato com parentes e amigos da vítima etc.
Por mais incrível que possa parecer, o método mais simples, mais usado e, infelizmente, mais eficiente para descobrir informações confidenciais (tipo uma senha ou dados sensíveis que possam ser usados na montagem de algum tipo de golpe) é... adivinha ? Perguntar !!
Para isso é preciso alguém com bom papo, com habilidades na comunicação, voz profissional ou simpática conforme os casos, poucos escrúpulos, fantasia, reação rápida e bom domínio de algumas técnicas psicológicas. Aí basta esta pessoa perguntar a um funcionário ou outro interlocutor despreparado que ele contará tudo o que precisar. Tudo vai depender de quão bom é o "Engenheiro Social", e quantas informações sobre a vítima ele já possui na hora da pergunta. Quanto mais melhor, uma das bases da engenharia social é justamente juntar informações aos poucos, explorando o que já se sabe para se chegar a saber tudo. O engenheiro social precisa se preparar bem para os seus ataques, precisa saber quem tem as informações que ele quer, como chegar até tal pessoa, como ter informações que façam com que esta pessoa acredite nele e lhe passe o que quer saber etc. Por isso muitas vezes os "engenheiros sociais" vão por etapas. Primeiro usam suas técnicas para coletar informações, muitas vezes aparentemente inocentes (tipo número do RG/CPF, data de nascimento, endereço, nome dos pais...), sobre a vítima de maneira a se preparar para quando for a hora de perguntar algo mais pesado (e/ou tiverem que se passar pela vítima com terceiros). Nesta hora um dos golpistas, por exemplo, vai ligar alegando ser alguém que tem "direito" a fazer perguntas por alguma razão e mostrando que já conhece muitas informações sobre a vítima para comprovar que ele é realmente quem afirma ser.

Um exemplo prático de como tudo pode acontecer

Um telefonema típico vai ser algo do seguinte tipo (G.: golpista V.: vítima):

G. - Bom dia, sou Fulano gerente de relacionamento do banco X, falo com o senhor Cicrano titular da conta n° 123456 ? (o número da conta pode ter pego de mil maneiras, por exemplo numa fila de banco ou por alguém ter deixado algum papelzinho num dos caixas de atendimento automático ou com a cumplicidade de algum funcionário de lojas onde foram feitas compras com cheque).
V. - Sim sou eu ...
G. - Estamos recadastrando os clientes no novo sistema do banco por razões de segurança e estou ligando para confirmar seus dados ... o senhor nasceu em DD/MM/AAAA (existem várias maneiras para se ter este dado, mas não vou sugerir aqui), mora na rua YYY (pegou esta informação na lista telefônica, ou em documentos que estavam em suas mãos na fila do banco ou novamente de algum funcionário de loja, por exemplo), o seu telefone é ainda o 123456 (idem como antes), o seu CPF é o 98765443 (também existem várias maneiras para terem conseguido isso, num cheque por exemplo) e o RG é 456789 (idem) ??
V. - Sim os dados são corretos. (nesta altura, tendo visto quanta coisa o interlocutor já sabe sobre ele, a vítima não duvida que se trate mesmo do gerente do banco).
G. - Pode me confirmar o número do seu cartão de crédito (ou do banco) ?
V. - Sim, o número é 123456789 ...
G.- Correto, muito bem os seus dados foram atualizados. Só falta o senhor confirmar tudo através das suas senhas. Vou lhe passar a central de autenticação onde o senhor poderá digitar as senhas diretamente no seu aparelho de telefone. (aí passa uma espécie de sistema automático com voz registrada que pede, para confirmar o cadastro, primeiro para digitar no aparelho a senha do cartão e depois a senha do "internet banking").

Pronto, a vítima terá fornecido a um golpista hábil, usando técnicas de "engenharia social", todas as informações e senhas necessárias para esvaziar a sua conta. De quebra, o golpista ainda poderá usar as informações obtidas para criar cheques e documentos falsos, em nome da vítima, e sair aplicando outros golpes, sujando o nome dela.
Se você já ligou para uma central de atendimento (de cartão de crédito, telefone, banco etc...), já deve ter percebido que freqüentemente o método usado por estas centrais, para se certificar de quem está do outro lado do telefone, é extremamente falho. Preste atenção no tipo de informação que sai da sua casa ou empresa, nos papéis jogados no lixo, nos telefonemas estranhos, no comportamento de funcionários de lojas ou outras empresas aos quais está passando seus dados, assim como em eventuais visitas ou acessos aos seus locais de pessoas estranhas. Um prato cheio para se praticar a engenharia social contra uma empresa é encontrar um organograma da mesma. A partir daí, o intruso vai saber exatamente com quem está falando ou com quem precisa falar.

As diferentes modalidades de ataque
Existem dois tipos de ataques de engenharia social, os ataques diretos e indiretos.

Diretos
São aqueles em que o atacante entra diretamente em contato com a vítima por e-mail, telefone, ou pessoalmente, diferentemente dos ataques indiretos os ataques diretos tem alvo fixo ou seja o engenheiro social sabe exatamente quem atacar, como e porque.

Indiretos
São aqueles que não tem um alvo específico, um ótimo exemplo é um trecho retirado do livro "A arte de enganar" de Kevin Mitinick: "Você está em um elevador quando de repente um disquete cai no chão, você olha tem um logotipo de uma grande empresa e a frase "histórico salarial", movido pela curiosidade você abre o disquete em sua casa e talvez haja um ícone para o Word então ao clicar aparece a frase 'ocorreu um erro ao tentar abrir o arquivo', você não sabe mas um backdoor foi instalado em sua máquina. Você imediatamente leva o disquete até o setor responsável em devolvê-lo ou guardá-lo, o setor por sua vez também abrirá o disquete, agora o hacker tem acesso a dois computadores"... esse é um exemplo de ataque indireto, ou seja, não teve uma vítima definida desde o início.

***

Quando falamos do assunto em questão ficamos sempre procurando a forma mais fácil de entendimento e como muito tem sido escrito e falado sobre o assunto no meio da tecnologia nos últimos 6 anos julgamos mais coerente manter o texto original a partir do site da empresa, complementando com alguma informação adicional que aproxime o usuário desta "realidade". Este artigo, que publicamos na íntegra - por seu formato limpo e bem explicado - foi postado a partir de uma das maiores e mais bem qualificadas empresas de segurança da América Latina, e expressa uma forma de atuação que está presente em todos os níveis da sociedade, em todos os países. Se fossemos resumir Engenharia Social, seria inteligente dizer que é pura malandragem.

Conhecimento é poder!

Comentários

Postagens mais visitadas