Engenharia Social e Estelionato Eletrônico

O presente trabalho procurará servir de introdução a uma das mais terríveis formas de invasão de sistema e de descoberta de dados sigilosos e fraudes. A Engenharia Social explora o elo mais fraco do sistema de segurança de informação, as pessoas.

Autor: Marcelo Coradassi Eiras

Trabalho de monografia do cursos de Graduação “Lato Sensu” em Segurança de Informações na Internet.

[IBPI] / fevereiro de 2004

Introdução

Introdução

Este trabalho mostra que por mais poderosos e bem configurados firewalls, IDSs,
passaportes biométricos e toda gama de tecnologias, tudo se mostra ineficaz a um
ataque de engenharia social bem feito. Serão mostradas outras formas de
engenharia social como o SPAM, SCAM, métodos persuasivos de todo tipo.
Por mais extraordinário que possa parecer, o método mais simples, mais usado e,
infelizmente o mais eficiente de se descobrir uma senha é... adivinha?
Perguntando!!! É sério... Basta alguém de boa lábia perguntar a um funcionário
despreparado que ele solta a língua. Pode até não ser a senha, mas ele vai contar o
tipo de sistema, o tipo de computador, e o que mais ele vir pela frente. Tudo vai
depender de quão bom é o "Engenheiro Social" e quantos conhecimentos sobre a
empresa ele possui.

Abordagem

Engenharia Social

Engenharia Social é o termo utilizado para a obtenção de informações
importantes de uma organização, através de seus funcionários e colaboradores.
Essas informações podem ser obtidas por ingenuidade ou confiança. Os ataques
dessa natureza podem ser realizados através de telefonemas, envio de mensagens
por correio eletrônico, salas de bate-papo e até mesmo pessoalmente.
Já foram identificados casos em que, alguém se passando por um analista de
suporte técnico de um provedor de acesso Internet, telefonou para um usuário
informando que a conexão estava com algum tipo de problema e que para
consertar necessitava da sua senha.
O usuário, na sua ingenuidade, fornece a senha e depois vai verificar no extrato
mensal do provedor que utilizou muito mais recursos do que realmente o tinha
feito, além da utilização de sua conta, para propagação de spam, scam e de vírus.
Uma técnica bastante utilizada atualmente é a de se passar por grandes bancos ou
provedores de Internet chamando os usuários para preencherem formulários on
line.

  • Engenharia Social é o termo utilizado para a obtenção de informações importantes de uma organização
  • As informações importantes são obtidas em jornais e revistas.
  • As informações são fornecidas propositadamente.
  • Meios usados para conseguir dados por Engenharia Social são por meio de telefonemas, mensagens, e-mails, chats e até em um happy-hour.
  • Nunca foi observado um caso de engenharia social em contato de equipe de suporte para o usuário.
  • Pessoas se passando por funcionários de grandes bancos e provedores de internet solicitam o usuário a preencher formulários na internet.
Assinale as afirmações totalmente corretas com relação ao conceito de Engenharia Social:

Glossário

CAVALO DE TROIA (Trojan Horse)

Programa que além de executar funções para as quais foi aparentemente projetado, também executa outras funções normalmente maliciosas e sem o conhecimento do usuário. Ele geralmente abre uma porta TCP para futuras invasões.

CRACKERS

Possuem as mesmas habilidades e conhecimentos do hacker, acrescentando alguns detalhes:

  • Destroem e/ou roubam dados, podendo inclusive travar um sistema, como um provedor;
  • Contribuem com a pirataria, uma vez que desenvolvem programas cracks;
  • São desenvolvedores de vírus e trojan horses;

Em geral, um cracker também prefere atacar sistemas mais seguros a um simples usuário da internet, logo a chance de um internauta comum ter o computador invadido por um cracker também é muito pequena.
Por serem desenvolvedores de trojan horses, os crackers são os grandes responsáveis pelo surgimento de um outro tipo de internauta: O Lamer.

DoS ou DDoS

Ataque que consiste em sobrecarregar um servidor com quantidades excessivas de solicitações de serviço. Há muitas variantes, como os ataques distribuídos de negação de serviço (DDoS), que paralisam sites. O DDoS se utiliza geralmente de computadores zombies que foram infectados com um software zombie como o Tribal Flood Network ou o Trinoo, recebem a ordem de iniciar o ataque quando todos os micros simultaneamente bombardeiam o servidor tirando do ar.
 

HACKERS

Pessoas que se dedicam a explorar profundamente o potencial mais alto de sistemas computacionais. Por outro lado, a representação e imagem dos hackers passadas pela mídia atualmente (notícias e filmes) é em sua maior parte negativa (crackers). As principais características dos hachers são:

  • Extremamente inteligente;
  • Conhecedor profundo de Sistemas Operacionais, sistemas de rede e linguagens de programação;
  • Jamais se identificam, entretanto podem se organizar em clãs;
  • Desenvolvem suas próprias ferramentas de invasão;
  • Em geral, quando invadem um sistema, não danificam e não roubam os dados;
  • São muito raros, se comparados ao número de internautas existentes;
  • Não suportam Lamers.

KEYLOGER ou KEYKATCHER

Programa que captura dados digitados no teclado podendo retransmiti-lo para outro endereço. Existe também o keyloger físico que é conectado entre a porta ps/2 e o teclado.

Lamers (Lammers)

São similares aos script kiddies, neste momento é possível que as portas de comunicação do seu computador estejam sendo rastreadas por um lamer, sem que você possa perceber. Aqui estão as principais características do lamer:

  • Não passa de um usuário comum, na maioria das vezes sem conhecimentos de linguagem de programação. Em geral manipula bem o Windows;
  • Gostam de aparecer, quase sempre se identificando como hacker
  • Comuns em salas de chat, IRC e ICQ, gostam de fazer ameaças tipo "Sou um hacker e vou detonar o seu computador";
  • Seus mecanismos de ataque são os Programas Clientes dos famosos trojans, os rastreadores de endereço IP e os escaneadores de portas. Os lamers, por não possuírem conhecimentos profundos, utilizam programas prontos, tipo "receita de bolo, confeccionados por crackers ou mesmo hackers";
  • Quando atacam, são facilmente identificáveis através do endereço IP, desde que se estejam utilizando mecanismos de proteção adequados.

MAILBOMB

Técnica que usa um programa SMTP que manda um quantidade gigantesca de email para um determinado endereço com o objetivo de atormentar determinado usuário ou derrubar o servidor de correio eletrônico.

PASSWORD CRACKER

Programa usado para descobrir uma senha de um sistema ou programa protegido por senha. O método mais comum consiste em testar sucessivamente as palavras de um dicionário para encontrar a senha

PHREAKING

É o uso indevido de linhas telefônicas ou celulares para fins ilícitos como fazer chamadas sem identificação, não pagar a ligação entre outros. No passado os phreakers empregavam gravadores de fita cassete e outros dispositivos para produzir sinais de controle e enganar o sistema de telefonia. Conforme as companhias telefônicas foram reforçando sua segurança, as técnicas se tornaram mais complexas, que poucos dominam.

SCANNERS DE PORTA

São programas que buscam portas TCP ou UDP abertas por onde podem ser feitas invasões. Um dos scanners mais conhecidos é o NMAP

São programas que buscam vulnerabilidades, portas abertas, bugs conhecidos para fazer um levantamento de vulnerabilidade de um sistema a ataques. Podem ser usado tanto para auditorias de seguranças como para planejamentos de ataques.
Exemplos conhecidos são o Languard Netork Security Scanner e o Nessus.

SCAM

É similar ao spam, mas tem como objetivo passar se por outra pessoa ou instituição a fim de levar o incauto internauta a preencher fichas e acabar liberando dados confidenciais, como senhas de bancos e cartão de credito.

SCRIPTKIDDIE

Pessoa com poucos conhecimentos técnicos que lança mão de scipties prontos ou ferramentas específicos para tentar invadir sistemas sem possuir conhecimentos técnicos para tal. Em suma, não sabem exatamente o que estão fazendo mas, algumas vezes conseguem sucesso.

SPAM

E-mails não solicitados, que geralmente são enviados para um grande número de pessoas. Quando o conteúdo é exclusivamente comercial, este tipo de mensagem também é referenciada como UCE (do inglês Unsolicited Commercial Email).
Os golpes são bem elaborados, porém basta um pouco de atenção para verificar uma série de incoerências. Em geral, as mensagens são similares às originais enviadas pelas empresas, e muitas delas têm links para sites que também são cópias dos verdadeiros. Mas, nos dois casos, é possível ver imagens quebradas, textos fora de formatação e erros de português - algo difícil de ocorrer com empresas que investem tanto em marketing para atrair clientes.
Outras mensagens pedem apenas que o usuário baixe um arquivo que na verdade, é um programa que envia os dados pessoais e financeiros por meio da Internet (spyware).

SPYWARE (Programa Espião)

É um programa que garimpa informações na máquina do usuário por meio de sua própria conexão a Internet. Posteriormente este programa envia essas informações em segundo plano de forma transparente para os usuários

BACKDOOR (Porta dos fundos)

Como o nome sugere são programas que criam uma “porta dos fundos”. Abre uma porta TCP ou UDP em determinado sistema para futuras invasões. Pode também ser uma forma não-documentada de acesso a um sistema, deixada por programadores.

Estudos de Caso

Caso Banco do Brasil 1

O truque é feito colocando-se, após o endereço do Banco do Brasil, o símbolo
arroba, o que faz o navegador ignorar tudo o que consta antes disso no endereço
(o site do BB) e chamar apenas a parte do endereço após essa arroba - uma
sucessão de números que na verdade é o endereço IP.

http://www.bb.com.br/appbb/portal/index.jsp@200.167.52.180/formulario.asp

Caso Banco do Brasil 2

O Banco do Brasil e outros bancos têm sido vítimas de vários ataques de SCAM

O que aumenta a credibilidade do e-mail é o fato de a página fraudulenta estar
hospedada em um site do próprio governo brasileiro - mais precisamente, do
Instituto Nacional de Tecnologia (http://www.int.gov.br),- dando a impressão de
ser uma página verdadeira. Em contato com a Ombudsman do Instituto, Henriette
M. Krutman, as 10h51 de segunda-feira, o relatório descobriu que o INT só
voltaria a funcionar na quarta-feira, provavelmente, a razão para que os e-mails
fossem distribuídos durante o carnaval. De qualquer forma, ela iria entrar em
contato com a webmaster do INT, de nome Carolina, para tirar a página do ar,
imediatamente.

Leia o conteúdo do e-mail fraudulento:
“Por determinação do Senhor Presidente da República, expressa através do
Decreto-Lei 143.002/2002, o Banco do Brasil vem junto aos seus clientes
informar que:
1) Em toda e qualquer movimentação IGUAL ou MAIOR que R$ 5.000,00 (Cinco
mil reais) deverá o Banco do Brasil notificar a Receita Federal.
2) O Banco do Brasil verificará a veracidade de CADA endereço fornecido por
seus clientes, a fim de verificar a autenticidade dos mesmos.
3) Visando também a segurança de seus clientes, o Banco do Brasil informa que,
contando 48h (Quarenta e oito horas) a partir do recebimento deste, seus
clientes devem confirmar seus dados.
4) Isso poderá ser feito imediatamente acessando sua conta através do endereço:
http://www.bancodobrasil.int.gov.br
5) Visando ainda aumentar a sua segurança, o novo endereco do Banco do
Brasil é http://www.bancodobrasil.int.gov.br subordinado a sistemas de
seguraça internacionais e com rígidas contra-medidas anti-fraude.”

Caso Terra

O Portal Terra está sendo usado como isca para um novo golpe que começou a circular por e-mail. Com o assunto (subject) "Parabéns Você Ganhou 50% de Desconto na Mensalidade!!!!", a mensagem traz links para baixar um arquivo executável maléfico. Ao receber, você deve ignorar e apagar a mensagem. O texto do golpe "parabeniza" o usuário por ter assinado o Kit Executivo, composto pelo Disco Virtual e pelo E-mail Protegido. Em seguida, sugere ao usuário clicar em dois links para ter acesso aos serviços. Os golpistas utilizaram como modelo a mensagem original, enviada aos usuários que assinaram os
serviços. No código do e-mail, eles substituíram os endereços reais (www.terra.com.br/discovirtual e www.emailprotegido.terra.com.br) por outro falso. Os usuários não conseguem perceber isso já que a mensagem está no formato HTML.

Os links, na verdade, estão direcionados para o download de um arquivo executável que, provavelmente, permite aos fraudadores roubar informações como senhas ou ter acesso ao micro do usuário - Terra está analisando a função do arquivo. Tanto o E-mail Protegido como o Disco Virtual funcionam totalmente online, ou seja, não é necessário baixar nenhum arquivo.
Fraudes como esta já usaram como isca empresas, bancos e programas de TV conhecidos pelo público, entre os quais Banco do Brasil, Banco Itaú, Editora Abril, Big Brother Brasil e Show do Milhão. Para saber mais sobre os golpes em circulação na Web, clique aqui.
Veja, em tamanho reduzido, uma reprodução da mensagem fraudulenta:

Cartão Virtual “Genérico”

No caso acima a pessoa recebe um cartão virtual que indica o usuário baixar um
programa que na verdade é um cartão com um trojan. Neste caso geralmente são
utilizados programas que agregam programas em outros como o conhecido
SENNASPY.

CASO CARTÃO BOL

No email acima é enviada uma mensagem idêntica a de uma mensagem real do
serviço de cartões do Bol, a “trapaça” esta no link que redireciona para outro
endereço, no caso para um endereço eletrônico onde existe um cartão em formato
flash executável e que esta incluso um trojan.

Onde você tende a clicar ao receber um e-mail destes?

CASO NET pay-per-view

André tinha 15 anos mas, estava querendo assinar o canal “Sexy Hot”. Ligou para
a operadora NET local e pediu a inclusão do canal. André se fez passar por seu pai,
Carlos apenas informando o CPF, identidade, data de nascimento e nome completo
do mesmo. Isso mostra que o sistema de identificação de assinante da NET é
bastante falho pois os dados pedidos são de fácil obtenção.

CASO PROVEDOR DE INTERNET (Simplesmente pedindo)

Mario liga para a vitima e diz ser do suporte técnico do seu provedor. Nesta
ligação ele diz que sua conexão com a Internet está apresentando algum problema
e, então, pede sua senha para corrigí-lo. Caso você entregue sua senha, este suposto
técnico poderá realizar uma infinidade de atividades maliciosas, utilizando a sua
conta de acesso à Internet e, portanto, relacionando tais atividades ao seu nome.

O maior engenheiro social de todos os tempos

KEVIN MITNICK