Kevin Mitnick, hacker famoso, ajudou a tornar popular nos anos 1990 a expressão ‘engenharia social’. A idéia é simples e já existe há muito tempo: enganar alguém para que ela faça ou divulgue alguma informação sensível sem saber. Especialistas dizem que os hackers continuam a roubar senhas, instalar malware em busca de algum lucro empregando uma combinação de táticas novas e antigas.
Listamos a seguir uma série das mais importantes táticas de engenharia social utilizada, que chegam pelo telefone, por e-mail ou pela web.
Dez graus de separação
O objetivo número da engenharia social que utiliza o telefone como mecanismo de atuação é convencer seu alvo que ele é ou (1) um colega de trabalho ou (2) algum tipo de autoridade externa (tal como um auditor ou oficial de justiça). Caso o objetivo do criminoso seja obter informações a respeito de um determinado funcionário, é muito provável que os primeiros telefonemas ou e-mails sejam direcionados a uma pessoa diferente
O velho jogo dos seis graus de separação ganha algumas novas camadas quando se torna um crime. De acordo com Sal Lifrieri, podem existir até dez passos entre o alvo do criminoso e a pessoa primeiramente contatada dentro da organização.
Lifrieri trabalhou durante 20 anos no Departamento de Polícia da Cidade de Nova York e agora atua em uma organização denominada Protective Operations, treinando funcionários de empresas para que não sejam vítimas das táticas de engenharia social.
“Durante as sessões de treinamento, costumo dizer às pessoas que, de início, devem ser paranóicas ao extremo já que nunca é possível determinar o que um criminoso pode querer de você”, diz Lifrieri.
Segundo ele, a tática que tem como alvo funcionários em geral tem início com a recepcionista ou o guarda que comanda a cancela do estacionamento. “É por isso que o treinamento tem que atingir a todos já que a secretária ou recepcionista está, em geral, a menos de dez movimentos da pessoa que se deseja atingir”.
O especialista diz que a técnica dos criminosos é simples: eles utilizam pessoas menos importantes e mais acessíveis dentro das empresas para obter informações sobre outras, mais bem posicionadas na hierarquia empresarial.
“Eles [os criminosos] assumem uma postura amigável, mostram-se interessados pela vida das pessoas e em tudo que está relacionado a elas. Em pouco tempo, eles conseguem obter informações que não seriam obtidas de outra forma algumas semanas antes”, explica Lifrieri.
Linguagem corporativa
Toda indústria possui seus próprios códigos e a engenharia social criminosa irá estudar tal linguagem para que possa tirar o máximo proveito disso. Lifrieri diz: “Se alguém fala com você utilizando uma linguagem e expressões que se reconheça, é mais fácil transmitir segurança. As pessoas tendem a apresentar menos resistência e baixar a guarda quando conversam com outra que utilize os mesmos acrônimos e expressões ela esteja habituada a ouvir”.
O truque de música de espera
Lifrieri ressalta que ataques bem-sucedidos em geral exigem tempo, paciência e persistência. Segundo ele, os ataques normalmente são realizados com calma e de modo metódico.
A técnica consiste não só em coletar informações pessoais sobre as pessoas envolvidas, em incorporar hábitos sociais delas. O objetivo dos criminosos e transmitir confiança e, por vezes, conseguem até fazer-se passar por empregados também.
Outra técnica bem-sucedida envolve gravar a música que as empresas utilizam para deixar as pessoas esperando ao telefone. Lifrieri diz que, então, os criminosos ligam para uma vítima potencial e quando são atendidas dizem: “Podem esperar um momento, por favor, tenho outra linha para atender”.
Lifrieri diz que colocam a pessoa na espera, que então ouve a música. “Ao ouvir uma música a que estão habituados, tendem a concluir que a pessoa que está do outro lado da linha trabalha na mesma empresa que elas, e acaba por baixar a guarda. Esta é só mais uma pista tecnológica”, diz.
Spoofing do número telefônico
Uma técnica diferente e que começa a ser usada pelos criminosos é a que simula o número telefônico de uma determinada empresa. Denominada spoofing do número telefônico ele faz com que o identificador de chamadas da pessoa que recebe a ligação veja um número diferente daquele que realmente originou a ligação.
“O criminoso pode estar confortavelmente sentado em seu apartamento ligando para você, mas o número que aparece no identificador sugere que a ligação provém de dentro da própria empresa”, diz o especialista.
Naturalmente, as pessoas que menos esperam ser vítimas de golpes são as que mais facilmente fornecem informações privilegiadas como senhas, caso o número do telefone que aparece no identificador seja o de um telefone conhecido. E, claro, o crime passa indetectável porque, depois, se você fizer uma chamada para o número, ela será encaminhada para o número falso, ou seja, um provável ramal da própria empresa.
Uso das notícias contra você
“Não importa o que digam as manchetes, os caras maus irão usar tal informação com iscas de engenharia social em spam, phishing e outros tipos de ataques”, avalia Dave Marcus, diretor de pesquisas em segurança e comunicações da McAfee Aver Labs.
Segundo ele, recentemente foi detectado um aumento significativo no número de spams relacionados às eleições presidenciais nos Estados Unidos e também com relação os problemas econômico globais.
“Constatamos um enorme volume de phishings relacionados a bancos que estariam sendo comprados por outros”, diz o pesquisador, afirmando que em geral as mensagens dizem algo como: ‘Seu banco está sendo comprado por esta instituição financeira. Clique aqui para atualizar suas informações antes que a negociação se concretize’.
Marcus diz tratar-se de caso típico de tentativa de fazer os usuários mais desavisados fornecer informações para que os criminosos possam, então, entrar na conta corrente, efetuar saques ou vender tais informações para outros criminosos.
Abuso da fé em sites de redes sociais
Orkut, Facebook, Myspace e Linked In são redes sociais extremamente populares. E muitas pessoas confiam cegamente nas informações que encontram nelas, diz Marcus, da McAfee Aver Labs. Recentemente, lembra, um ataque de phishing tinha como alvo usuários do Linked In e surpreendeu um grande número de pessoas.
Marcus diz está aumentando significativamente o número de adeptos de redes sociais que são enganados por e-mails que supostamente vêm de sites como o Facebook, mas que não realidade vêm de scammers.
“As mensagens trazem algo como ‘Este site está em manutenção; clique aqui para atualizar suas informações’. Ao clicar em tais links, você é levado a sites mal intencionados”.
O pesquisador do Aver Laber recomenda que se advirta os funcionários para que digitem os endereços das páginas que desejam visitar em vez de aceitar links que recebam pelo correio eletrônico. “Também é importante lembrar que é muito difícil tais sites enviarem mensagens solicitando mudanças de senhas ou atualizações cadastrais”, completa
Erros de digitação
Na Internet, os caras maus de aproveitam de qualquer deslize do usuário para tirar proveito. E Marcus chama a atenção para uma prática muito comum: o erro de digitação no endereço de sites; uma única letra errada ou faltando e, de repente, você vai parar em um lugar com conseqüências imprevisíveis.
“Criminosos preparam sites muito parecidos com os que você costuma visitar e cujas URLs são ligeiramente diferentes do endereço verdadeiro. Fazem isso para que você pense estar onde queria estar”, explica Marcus.
Caso o usuário não perceba que está em um lugar errado, nada impede que digite, por exemplo, o nome de usuário e senha, que tentem vender algo ou roubar alguma informação sua ou instalar um malware em seu computador.
Dispersão de boatos para atingir empresas
A segurança e a vulnerabilidade de produtos, ou mesmo empresas inteiras podem impactar pesquisas de mercado, segundo levantamento realizado pelo Avert Labs.
Os pesquisadores avaliaram o impacto de eventos tais como o Patch Tuesday da Microsoft sobre as ações da empresa e descobriram que o preço dos papéis costuma cair cada vez que uma vulnerabilidade é anunciada.
“Outro exemplo recente foi a circulação – semanas atrás – da suposta morte de Steve Jobs. As ações da Apple sofreram. Este é um claro exemplo do que um boato [cuja sigla em inglês é FUD – Fear, Uncertainty and Doubt] pode acarretar no mercado financeiro”, analisa Marcus. Acredita-se que os responsáveis por essa ação tenham conseguido lucrar algum dinheiro com este boato.
Tal método é conhecido no mercado financeiro como “pump-and-dump”. O scammer adquire um grande volume de ações baratas de uma determinada empresa. Depois, espalha e-mails com informações que sugerem que tal empresa tem um grande potencial (é o chamado ‘pump’).
Caso a tática surta efeito, com muitas pessoas correndo atrás dos papéis dessa empresa com o objetivo de se aproveitar dessa suposta barbada, o preço dos papéis tende a subir. Então o scammer rapidamente se desfaz (‘dump’) das ações que comprou, obtendo um grande lucro.