ENTENDENDO O QUE ENGENHARIA SOCIAL - Autor: Guilherme Junior <domguilherme at gmail.

com>

INTRODUO: Engenharia social consiste em tcnicas utilizadas por pessoas com o objetivo de obter acesso e informaes importantes e/ou
sigilosas em organizaes ou sistemas por meio da iluso ou explorao da confiana das pessoas.
Para isso o Engenheiro Social (atacante) pode se passar por outra pessoa, assumir outra personalidade, fingir que profissional de
determinada rea, dentre outros. Esta uma forma de entrar em organizaes muito facilmente, pois no necessita da fora bruta ou de erros
em mquinas, a engenharia social explora sofisticadamente as falhas de segurana humanas, que por falta de treinamento para esses ataques,
podem ser facilmente manipuladas.
AS VTIMAS DE ENGENHARIA SOCIAL: importante ressaltar que, independente do hardware, software e plataforma utilizada, o elemento de
maior vulnerabilidade em qualquer sistema o ser humano, por possuir traos comportamentais e psicolgicos que o torna susceptvel a
ataques de engenharia social. Dentre essas caractersticas, podem-se destacar:
Vontade de ser til: O ser humano, comumente, procura agir com cortesia, bem como ajudar outros quando necessrio.
Busca por novas amizades: O ser humano costuma se agradar e sentir-se bem quando elogiado, ficando mais vulnervel e aberto a fornecer
informaes.
Propagao de responsabilidade: Trata-se da situao na qual o ser humano considera que ele no o nico responsvel por um conjunto de
atividades.
Persuaso: Compreende quase uma arte a capacidade de convencer pessoas, onde se busca obter respostas especficas. Isto possvel porque
as pessoas tm caractersticas comportamentais que as tornam vulnerveis manipulao.
TCNICAS: Praticamente todas as tcnicas de engenharia social consistem em obter informaes privilegiadas iludindo os usurios de um
determinado sistema atravs de identificaes falsas, aquisio de carisma e confiana da vtima. Ao realizar o ataque, o atacante pode fazer
uso de qualquer meio de comunicao. Tendo-se destaque para telefonemas, conversas diretas com a vtima, e-mail e WWW. Algumas dessas
tcnicas so:
E-MAILS QUE CONTENHAM VRUS: Neste caso a engenharia social atua atravs do assunto contido nos e-mails, cuja funo iludir os
receptores, o assunto pode estar relacionado amizade, sexo, amor, dentre outros. Quando a vtima recebe este e-mail ela torna-se
vulnervel por acreditar que a mensagem realmente contenha algo sobre tal assunto, vindo assim a abrir e executar o anexo que ento
contm o vrus.
A funo do engenheiro social neste caso ser criar uma mensagem capaz de convencer o receptor sobre sua veracidade despertando assim
sua curiosidade fazendo-o executar o anexo (vrus).
E-MAILS FALSOS: Este tipo de ataque envolve a engenharia social, pois explora a confiana dos receptores de tais e-mails. Estes na maioria das
vezes visam obter informaes financeiras, como por exemplo, senhas, nmeros de contas e etc.
O trabalho do engenheiro social neste caso , como dito no exemplo acima, clonar um site de uma instituio financeira e fazer com que a
pessoa receptora digite ali as informaes que lhe so necessrias.
Muitas vezes o engenheiro social faz uso de artifcios como, por exemplo, promoes, premiaes e etc, que na verdade nunca vieram a
existir.
O atacante por meio de e-mail envia como contedo estes artifcios juntamente com um link direcionando pessoa atacada para um site falso,
e ser neste site que ele obter as informaes desejadas, caso obtenha sucesso no seu ataque.
QUALIFICAO DOS ATAQUES: Abordaremos aqui os tipos de ataques realizados pelo engenheiro social. Basicamente so dois os tipos de
ataques desenvolvidos, os denominados ataques diretos e os ataques indiretos.
ATAQUES DIRETOS: O ataque direto caracterizado pelo contato pessoal, este geralmente realizado por fax, telefone ou at mesmo
pessoalmente, o que exige do atacante um plano antecipado e detalhado, um plano de emergncia, caso algo venha a dar errado, alm de um
pouco de dom artstico, pois o engenheiro social deve acima de tudo ser bem articulado para evitar que seu plano seja desmascarado.
ATAQUES INDIRETOS: Caracteriza-se ataque indireto aquele que utiliza-se de ferramentas de invaso (trojans, vrus) e de impostura (spam,
sites falsos) para obter as informaes necessrias.
MTODOS UTILIZADOS PELO ATACANTE: Os principais mtodos utilizados pelos engenheiros sociais para realizarem seus ataques so:
pesquisa e impostura.
PESQUISA: O mtodo pesquisa refere-se coleta de materiais, como relatrios, listas de pagamentos e etc. A finalidade deste mtodo
descobrir quem guarda as informaes e quais so elas. Sabendo-se disso o prximo passo elaborar meios para extrair tais dados de tais
pessoas, neste momento que surge a impostura.
IMPOSTURA: Este mtodo visa realizar um ataque direto, fazendo-se passar por outras pessoas, como funcionrio da prpria empresa,
clientes, fornecedores e etc.

FIGURAS DA ENGENHARIA SOCIAL: So vrias as figuras encontradas em um ataque de engenharia social, algumas utilizadas apenas na fase
de coleta de informaes, outras utilizadas apenas na fase de ataque direto e por fim algumas que so utilizadas durante todo o processo de
realizao do ataque, dentre elas podemos destacar:
DISFARCES: Geralmente os disfarces so utilizados durante todo o processo de ataque, seja como faxineiro durante o processo de coleta das
informaes ou como consultor em visita durante um ataque direto.
LIXO: So poucas as empresas que se preocupam com o destino do lixo que gerado em seu ambiente, tornando-o assim uma fonte potencial
de informaes para os engenheiros sociais, pois nele podem ser encontrados relatrios, anotaes de senhas, informaes sobre o
patrimnio da empresa dentre outras.
FUNCIONRIOS DESCONTENTES E REDES DE CONTATOS: Por via das vezes essa uma das formas mais fceis de obter informaes dentro de
uma empresa. Funcionrios insatisfeitos na maioria das vezes acabam por fornecer informaes importantes, as quais podem prejudicar seus
superiores ou toda a organizao, alm de possurem uma rede de contatos dentro e fora (fornecedores) da organizao, o que torna-se vlido
pois estes podem fornecer informaes valiosas sobre outras pessoas e sobre caminhos para chegar a mais dados.
APELO SENTIMENTAL: Muitas vezes realizado no mundo virtual (chats), pois o atacante pode, por exemplo, transformar-se em homem ou
mulher para atrair e conquistar a confiana da pessoa atacada, subtraindo assim informaes importantes.
PROGRAMAO NEUROLINGUSTICA: Uma das tcnicas mais utilizadas nesta fase chama-se acompanha-acompanha-acompanha-comanda,
seu objetivo confundir a vtima. Neste mtodo, o atacante imita os trejeitos de seu interlocutor por um determinado tempo at que formese um elo de intimidade e a vtima imagine estar no comando, baixando a guarda. Deste momento em diante o atacante comanda a conversa
sem que a vtima perceba, sugando assim todas as informaes que ela detm.
A UTILIZAO DA INTERNET: Vrios atacantes formulam sites afim de obter dados pessoais e noes sobre o comportamento de suas futuras
vtimas. Para isso, oferecem para a realizao do cadastro brindes, participao em promoes e etc. Desta forma conseguem obter, por
exemplo, nmeros de CPF, RG e cartes de crdito.
COMO SE PROTEGER DA ENGENHARIA SOCIAL: BOM SENSO: A vtima deve ficar sempre bem atenta ao receber qualquer tipo de abordagem,
seja por telefone, e-mail, carta ou at mesmo pessoalmente, onde um pessoa (atacante) tenta o induzir a fornecer informaes confidenciais
pessoais e at mesmo sobre a empresa em que trabalha.
INFORMAES SENSVEIS: Deve-se sempre estar antenado quando lhe for solicitado informaes sensveis como, por exemplo, nmeros de
cartes de crdito, senhas e etc. por pessoas estranhas. A vtima antes de tudo deve verificar a autenticidade da ligao que esta recebendo,
do crach que o atacante apresentou e etc.
SOLICITAES PELA INTERNET: Nunca fornecer informaes pessoais, de empresas e etc antes de identificar e constatar a autenticidade do
pedido. Por vrias vezes, vtimas recebem e-mails contendo links falsos, informaes no verdadeiras ou at mesmo solicitaes de cadastro
em empresas fantasmas. Para no cair nestas armadilhas a vtima deve, por exemplo, entrar em contato com a instituio que lhe fez a
solicitao de cadastro, como por exemplo bancos, receita federal e etc, para garantir assim uma autenticidade do pedido, nunca clicar sobre
links recebidos atravs de spams e etc.
TREINAMENTO: Atualmente as empresas que querem evitar esse tipo de ataque, esto investindo alto em treinamento de funcionrios, afim
de evitar a vazo de informaes sobre a estrutura da empresa.
O treinamento, estabelecimento da poltica de segurana da informao na empresa, baseia-se em educar os funcionrios a sempre certificarse de que a pessoa a quem vai fornecer as informaes realmente quem diz ser, a tomarem cuidado com o lixo pois este uma grande fonte
de informaes, desconfiarem de pessoas em chats e etc.
Esta poltica de segurana da informao da empresa deve conter dentre outros tpicos, planos e aes de segurana como, por exemplo,
plano de proteo fsica, continuidade dos negcios, anlise de riscos, aes de engenharia, plano de contingncia, plano de conscientizao
de todos os colaboradores, mesmo os terceirizados e etc.
Basicamente tudo se resume em reeducar toda a corporao a fim de implantar uma nova cultura cem por cento abrangente, cem por cento,
pois qualquer falha pe novamente a corporao em risco iminente.