Ataques de Hackers: Controlando
o Fator Humano na
Segurança da Informação

Engenharia social

Aengenharia social usa a influência e a persuasão para enganar as pessoas e convencê-las de
que o engenheiro social é alguém que na verdade ele não e, ou pela manipulação. Como resultado,
o engenheiro social pode aproveitar-se das pessoas para obter as informações com
ou sem o uso da tecnologia.

O Elo Mais Fraco da Segurança
Uma empresa pode ter adquirido as melhores tecnologias de segurança que o dinheiro pode comprar,
pode ter treinado seu pessoal tão bem que eles trancam todos os segredos antes de ir embora
e pode ter contratado guardas para o prédio na melhor empresa de segurança que existe.
Mesmo assim essa empresa ainda estará vulnerável.
Os indivíduos podem seguir cada uma das melhores práticas de segurança recomendadas pelos
especialistas, podem instalar cada produto de segurança recomendado e vigiar muito bem a configuração
adequada do sistema e a aplicação das correções de segurança.
Esses indivíduos ainda estarão completamente vulneráveis.

O FATOR HUMANO

E natural querer se sentir seguro e isso leva muitas pessoas a buscarem uma falsa idéia de segurança.
Veja o caso do responsável e carinhoso proprietário de uma casa que tem um Médico, um cadeado
de fechadura conhecido como sendo à prova de roubo, o qual foi instalado na porta da frente para
proteger sua esposa, seus filhos e sua casa. Agora ele está certo de que tornou sua família muito mais
segura com relação a intrusos. Mas e o intruso que quebra uma janela ou descobre o código que abre a
porta da garagem? Que tal instalar um sistema de segurança resistente? Isso é melhor, mas não garante
nada. Com cadeados caros ou não, o proprietário da casa permanece vulnerável
Por quê? Porque o fator humano é o elo mais fraco da segurança.
Com freqüência, a segurança é apenas uma ilusão, que às vezes fica pior ainda quando entram em
jogo a credulidade, a inocência ou a ignorância. O cientista mais respeitado do mundo no século XX,
Albert Einstein, disse: "Apenas duas coisas são infinitas: o universo e a estupidez humana, e eu não tenho certeza se isso é verdadeiro sobre o primeiro". No final, os ataques da engenharia social podem ter
sucesso quando as pessoas são estúpidas ou, em geral, apenas desconhecem as boas práticas da segurança.
Com a mesma atitude do nosso proprietário de casa consciente sobre a segurança, muitos profissionais
da tecnologia da informação (TI) conservam a idéia errada de que tomaram suas empresas imunes
ao ataque porque usaram produtos de segurança padrão — firewalls, sistemas de detecção de intrusos
(Intrusion Detection Systems) ou dispositivos avançados de autenticação, tais como tokens baseados
no tempo ou cartões biométricos inteligentes. Todos que acham que os produtos de segurança sozinhos
oferecem a verdadeira segurança estão fadados a sofrer da ilusão da segurança, Esse é o caso de viver
em um mundo de fantasia: mais cedo ou mais tarde eles serão vítimas de um incidente de segurança.
Como observou o consultor de segurança Bruce Schneier, "a segurança não é um produto, ela é
um processo". Além disso, a segurança não é um problema para a tecnologia — ela é um problema
para as pessoas e a direção.
A medida que os especialistas contribuem para o desenvolvimento contínuo de melhores tecnologias
de segurança, tornando ainda mais difícil a exploração de vulnerabilidades técnicas, os atacantes
se voltarão cada vez mais para a exploração do elemento humano. Quebrar a "firewall humana" quase
sempre é fácil, não exige nenhum investimento além do custo de uma ligação telefônica e envolve
um risco mínimo.

UM CASO CLÁSSICO DE FRAUDE

Qual e a maior ameaça à segurança dos bens da sua empresa? Isso é fácil: o engenheiro social, um mágico inescrupuloso que faz você olhar a sua mão esquerda enquanto com a mão direita rouba seus
segredos. Esse personagem quase sempre é tão amistoso, desembaraçado e prestativo que você sesente feliz por tê-lo encontrado.
Dê uma olhada em um exemplo da engenharia social. Não há muitas pessoas hoje que ainda se lembram
do jovem chamado Stanley Mark Rifkin e de sua pequena aventura com o agora extinto Security
Pacific National Bank, de Los Angeles. Os relatos dessa invasão variam e Rifkin (assim como eu) nunca
contou a sua própria versão. Assim sendo, o que vem a seguir se baseia nos relatórios publicados.

Descoberta do código

Certo dia em 1978, Rifkin perambulou pela sala de transferência eletrônica com acesso autorizado
apenas para os funcionários do Security Pacific, na qual a equipe enviava e transferia vários bilhões
de dólares todos os dias.
Ele trabalhava como contratado de uma empresa que desenvolvia um sistema de backup para os
dados da sala de transferência para o caso de seu computador principal ficar paralisado. Essa função
deu-lhe acesso aos procedimentos de transferência, incluindo o modo como os funcionários do banco
organizavam o envio de uma transferência. Ele aprendeu que os funcionários do banco que estavam
autorizados a pedir as transferências eletrônicas recebiam um código diário secreto a cada manhã, o
qual era usado quando ligavam para a sala de transferência.
Na sala de transferência, os funcionários nem se davam ao trabalho de memorizar o código de
cada dia. Eles escreviam o código em um pedaço de papel e o colocavam em um lugar no qual podiam
vê-lo facilmente. Nesse dia de novembro em particular, Rifkin tinha um motivo específico para a sua
visita. Ele queria dar uma olhada naquele papel.
Ao chegar à sala de transferência, anotou os procedimentos operacionais, supostamente para ter
certeza de que o sistema de backup se combinaria com os sistemas normais. Nesse meio tempo, leu
discretamente o código de segurança no pedaço de papel e o memorizou. Alguns minutos depois foi
embora. Como declarou mais tarde, ele se sentiu como se houvesse ganhado na loteria.

Há essa conta no banco suíço...

Ao sair da sala lá pelas 3 horas da tarde, ele foi direto para o telefone público no saguão de mármore
do prédio, no qual depositou uma ficha e discou para a sala de transferência eletrônica. Em seguida,
transformou-se de Stanley Rifkin. consultor do banco, em Mike Hansen, um membro do Departamento
Internacional do banco.

 O Elo Mais Fraco da Segurança

Segundo uma fonte, a conversação foi mais ou menos esta:
"Olá, aqui quem fala é Mike Hansen, do Internacional", ele disse para a jovem que atendeu ao
telefone.
Ela pediu o número do escritório. Esse era um procedimento padrão e ele estava preparado.
"286", respondeu.
A garota continuou, "Muito bem, qual é o código?"
Rifkin disse que nesse ponto o seu coração disparado pela adrenalina "retomou o ritmo". Ele
respondeu com calma "4789". Em seguida, deu as instruções para a transferência de "dez milhões e
duzentos mil dólares exatamente" para o Irving Trust Company de Nova York, a crédito do Wozchod
Handels Bank de Zurique, Suíça, onde ele já havia aberto uma conta.
Em seguida, a garota retrucou: "Muito bem, entendi. Agora preciso do número de estabelecimento
entre escritórios."'
Rifkin começou a suar frio; essa era uma pergunta que ele não havia previsto, algo que havia esquecido
nos detalhes da sua pesquisa. Mas conseguiu permanecer calmo, agiu como se tudo estivesse
bem e respondeu rapidamente: "Eu vou verificar e ligo logo em seguida." Ele ligou para outro departamento
do banco, só que desta vez alegou ser um empregado da sala de transferência eletrônica. Ele
conseguiu o número de estabelecimento e ligou novamente para a garota.
Ela anotou o número e agradeceu. (Nessas circunstancias o seu agradecimento tem de ser considerado
como algo altamente irônico.)

Conseguindo o fechamento

Alguns dias depois, Rifkin voou para a Suíça, pegou o seu dinheiro e trocou mais de US$ 8 milhões
com uma agência russa por diamantes. Ele voou de volta e passou pela alfândega americana com as
pedras ocultas no cinto de carregar dinheiro. Ele havia dado o maior desfalque bancário da história
— e fez isso sem usar uma arma, sequer um computador. O curioso é que sua travessura chegou às
páginas do Guiness Book na categoria de "a maior fraude de computadores".
Stanley Rifkin usou a arte da fraude — as habilidades e as técnicas que hoje são chamadas de
engenharia social. Um planejamento cuidadoso e uma boa conversa foram tudo do que precisou.
E este livro fala disso — das técnicas da engenharia social (nas quais sou especializado) e como
se defender contra o seu uso na sua empresa.

A NATUREZA DA AMEAÇA

A história de Rifkin deixa bastante claro como a sua sensação de segurança pode ser enganosa. Incidentes
como esse — muito bem, eles podem não ser desfalques de US$ 10 milhões, mas são sempre
prejudiciais — acontecem todos os dias. Você pode estar perdendo dinheiro agora mesmo, ou alguém
pode estar roubando os planos de novos produtos e você nem sabe disso. Se isso ainda não aconteceu
na sua empresa, o problema não é se isso acontecerá, mas sim quando acontecerá.

Uma preocupação crescente

O Computer Security Institute, em sua pesquisa de 2001 sobre os crimes de computadores relatou
que 85% das organizações entrevistadas detectaram quebras na segurança dos computadores nos 12
meses anteriores. Esse é um número assustador: apenas 15 entre cem organizações responderam que
podiam dizer que não haviam tido uma quebra de segurança durante o ano. Igualmente assustador
foi o número de organizações que informaram terem tido prejuízos financeiros devido a quebras na
segurança dos computadores: 64%. Bem mais do que metade das organizações havia tido prejuízos
financeiros. Tudo isso em um único ano.
Os produtos comerciais de segurança empregados na maioria das empresas visam principalmente
o fornecimento da proteção contra o intruso amador de computadores, assim como as crianças que
são conhecidas como script kiddies. Na verdade, esses pretendentes a hackers com software baixado
são mais um aborrecimento. Quanto maiores as perdas, mais reais as ameaças vindas de atacantes
sofisticados com alvos bem-definidos e motivados pelo ganho financeiro. Essas pessoas concentram-se
em um alvo de cada vez e não são como os amadores, que tentam se infiltrar no maior número
possível de sistemas. Enquanto os intrusos amadores de computadores apenas buscam a quantidade,
os profissionais visam as informações de qualidade e valor
As tecnologias como os dispositivos de autenticação (para fornecer a identidade), o controle de
acesso (para gerenciar o acesso aos arquivos e recursos do sistema) e os sistemas de detecção de intrusos
(o equivalente eletrônico dos alarmes contra arrombamento) são necessárias para um programa
corporativo de segurança. Mesmo assim, hoje em dia é típico de uma empresa gastar mais dinheiro em
café do que em medidas de contra-ataque para proteger-se dos ataques à segurança.
Assim como uma mente criminosa não resiste à tentação, a mente do hacker é orientada para encontrar
maneiras de burlar as poderosas salvaguardas da tecnologia de segurança. E em muitos casos,
eles fazem isso visando às pessoas que usam a tecnologia.

Práticas fraudulentas

Há um ditado popular que diz que um computador seguro é aquele que está desligado. Isso é inteligente,
mas é falso: o hacker convence alguém a entrar no escritório e ligar aquele computador. Um adversário
que quer as suas informações pode obtê-las, em geral, usando uma de várias maneiras. Tudo é uma questão
de tempo, paciência, personalidade e persistência. É nesse ponto que entra a arte da fraude.
Para anular as medidas de segurança, um atacante, um invasor ou um engenheiro social deve
encontrar um modo de enganar um usuário de confiança para que ele revele as informações, ou deve
enganar alguém importante para que ele forneça o acesso. Quando os empregados de confiança são
enganados, influenciados ou manipulados para revelar informações sigilosas ou para executar ações
que criem um buraco na segurança para que o atacante se infiltre, nenhuma tecnologia do mundo pode
proteger uma empresa. Assim como os analistas de criptografia podem revelar o texto simples de uma
mensagem codificada encontrando um ponto fraco que permita que desviem da tecnologia da criptografia,
os engenheiros sociais enganam os seus empregados para desviar da tecnologia da segurança.

ABUSO DE CONFIANÇA

• Na maioria dos casos, os engenheiros sociais bem-sucedidos têm uma habilidade muito boa em lidar

com as pessoas. Eles são charmosos, educados e agradam facilmente — os traços sociais necessários
para estabelecer a afinidade e confiança. Um engenheiro social experiente pode ter acesso a praticamente
qualquer informação alvo usando as estratégias e táticas da sua habilidade.

• Os tecnologistas experientes têm desenvolvido soluções de segurança da informação para minimizar

os riscos ligados ao uso dos computadores, mas mesmo assim deixaram de fora a vulnerabilidade
mais significativa: o fator humano, Apesar do nosso intelecto, nós humanos — você, eu e todas
as outras pessoas — continuamos sendo a ameaça mais séria à segurança do outro.

O nosso caráter nacional

Não temos consciência da ameaça, em particular no mundo ocidental, Nos Estados Unidos, não somos treinados para suspeitarmos uns dos outros. Somos ensinados a "amar o próximo" e ter confiança e fé
uns nos outros. Veja como é difícil para as organizações de vigilância de vizinhança fazer com que as pessoas tranquem suas casas e seus carros. Esse tipo de vulnerabilidade é óbvio, e mesmo assim parece
ser ignorado por muitas pessoas que preferem viver em um mundo de sonhos — até se queimarem. Sabemos que nem todas as pessoas são gentis e honestas, mas vivemos como se elas fossem.
Essa adorável inocência tem sido a estrutura da vida americana e é doloroso desistir dela, Como uma nação, incorporamos ao nosso conceito de liberdade a idéia de que o melhor lugar para viver é aquele
sem cadeados e chaves,
A maioria das pessoas supõe que não será enganada, com base na crença de que a probabilidade de ser enganada é muito baixa; o atacante, entendendo isso como uma crença comum, faz a sua solicitação soar tão razoável que não levanta suspeita enquanto explora a confiança da vítima.

Inocência organizacional

Muitas
instituições educacionais, portanto, configuraram os primeiros sistemas de computadores com pouca
ou nenhuma segurança, Um libertário famoso dos computadores, Richard Stallman, até se recusou a
proteger a sua conta com uma senha.
Mas com a Internet sendo usada para o comércio eletrônico, os perigos da pouca segurança do
nosso mundo eletrônico mudaram muito. O emprego de mais tecnologia não vai solucionar o problema da segurança humana, Basta dar uma olhada em nossos aeroportos hoje, A segurança tornou-se imperativa e mesmo assim somos surpreendidos com notícias de passageiros que conseguiram burlar a segurança e passar com armas pelos pontos de checagem. Como isso é possível em uma época na qual os nossos aeroportos estão em tal estado de alerta? Os detectores de metal estão falhando? Não. O problema não são as máquinas, mas o fator humano: as pessoas que operam a máquina. Os funcionários dos aeroportos
podem dirigir a Guarda Nacional e instalar detectores de metal e sistemas de reconhecimento facial, mas a educação da equipe de frente da segurança sobre como examinar adequadamente os passageiros pode ajudar muito mais, O mesmo problema existe dentro do governo, das empresas e das instituições educacionais de todo o mundo, Apesar dos esforços dos profissionais de segurança, as informações em toda a parte permanecem vulneráveis e continuarão sendo vistas como um alvo pelos atacantes que têm habilidades de engenharia, até que o elo mais fraco da cadeia de segurança, o elo humano, seja fortalecido, Agora mais do que nunca devemos aprender a parar de ser otimistas e nos tornarmos mais conscientes das técnicas que estão sendo usadas por aqueles que tentam atacar a confidencialidade, integridade e disponibilidade das informações dos nossos sistemas e redes de computadores.
Nós acostumamo-nos a aceitar a necessidade da direção segura; agora está na hora de aceitar e aprender a prática da computação defensiva.
A ameaça de uma invasão que viola a nossa privacidade, a nossa mente ou os sistemas de informações da nossa empresa pode não parecer real até que aconteça. Para evitar tamanha dose de realidade precisamos nos conscientizar, educar, vigiar e proteger os nossos ativos de informações, as nossas informações pessoais e as infra-estruturas críticas da nossa nação. E devemos implementar essas precauções hoje mesmo.

TERRORISTAS E FRAUDE

E óbvio que a fraude não é uma ferramenta exclusiva do engenheiro social. O terrorismo físico é mais noticiado e tivemos de reconhecer como nunca antes que o mundo é um lugar perigoso. Afinal de
contas, a civilização é apenas um verniz superficial.
Os ataques a Nova York e Washington, D.C, em setembro de 2001, infundiram tristeza e medo nos corações de cada um de nós — não apenas nos americanos, mas também em todas as pessoas bem intencionadas de todas as nações. Agora estamos alertas para o fato de que há terroristas obcecados localizados em todo o planeta, bem treinados e aguardando para lançar outros ataques contra nós.
O esforço recentemente intensificado do nosso governo aumentou os níveis de nossa consciência de segurança. Precisamos permanecer alertas, em guarda contra todas as formas de terrorismo e entender como os terroristas criam identidades falsas, como assumem os papéis  crenças verdadeiras enquanto conspiram contra nós praticando truques de fraude semelhantes àqueles que você verá nestas páginas.
Embora até onde eu saiba os terroristas ainda não usaram as artimanhas da engenharia social para se infiltrarem nas corporações, nas estações de tratamento de água, nas instalações de geração de
eletricidade ou em outros componentes vitais da nossa infra-estrutura nacional, o potencial para isso existe. E isso é muito fácil. A consciência de segurança e as políticas de segurança que espero sejam
colocadas em prática e implantadas pelo gerenciamento corporativo de primeiro escalão por causa deste livro não virão cedo demais.

A Arte do
Atacante

Quando as Informações Não São Inofensivas

De acordo com a maioria das pessoas, qual é a verdadeira ameaça dos engenheiros sociais? O que você deve fazer para se proteger?
Mas na verdade a invasão da segurança de uma empresa quase sempre começa com o cara mau obtendo alguma informação ou algum documento que parece ser muito inocente, tão comum e sem importância que a maioria das pessoas da organização não vê nenhum motivo pelo qual ele deva ser protegido e restrito.

O VALOR OCULTO DAS INFORMAÇÕES

Grande parte das informações aparentemente inocentes de posse de uma empresa é cobiçada por ura atacante da engenharia social porque ela pode ter um papel vital em seu esforço de se revestir de credibilidade.
 Mostro como os engenheiros sociais fazem o que fazem permitindo que você "testemunhe" os ataques por si mesmo — apresentando a ação sob o ponto de vista das vítimas e permitindo que você coloque-se em seu lugar e meça como você mesmo (ou talvez um dos seus
empregados ou colegas) teria respondido. Em muitos casos, você também experimentará os mesmos eventos sob a perspectiva do engenheiro social.
A primeira história examina a vulnerabilidade na indústria financeira.

CREDITCHEX

Durante muito tempo, os britânicos conviveram com um sistema bancário muito conservador, Como um cidadão comum, você não podia atravessar a rua e abrir uma conta no banco. Não, o banco nem
pensaria em aceitá-lo como cliente, a menos que algum cliente já bem estabelecido lhe fornecesse uma carta de recomendação.
Isso é muito diferente do aparentemente igualitário sistema bancário de hoje. Em nenhum outro lugar a nossa moderna facilidade de fazer negócios está em mais evidência do que na América democrática e amistosa, na qual quase todos podem entrar em um banco e abrir facilmente uma conta corrente,
certo? Bom, as coisas não são bem assim. A verdade é que os bancos tem uma compreensível relutância natural em abrir uma conta para alguém que pode ter um histórico de emitir cheques sem fundo — isso seria como dar as boas-vindas a uma folha corrida de roubos a banco e condenações por desfalques. Assim sendo, muitos bancos adotam a prática padrão de atribuir polegares para cima ou para baixo para um possível novo cliente.
Uma das principais empresas que os bancos contratam para obter essas informações é um local que chamaremos de CreditChex. Elas fornecem um serviço valioso a seus clientes, mas, assim como
muitas empresas, também podem fornecer sem querer um serviço útil para os engenheiros sociais bem informados.

A primeira ligação: Kim Andrews

• "National Bank, Kim. Você quer abrir uma conta hoje?"
  • "Olá, Kim. Eu quero fazer uma pergunta. Vocês usam a CreditChex?"
  • "Sim."
  • "Quando vocês ligam para a CreditChex, como você chama o número que fornece — um MD do Comerciante'"?

Há uma pausa; ela está pensando na pergunta, perguntando-se do que se trata e se ela deve responder.

• O interlocutor continua rapidamente sem perder o ritmo: "Sabe, Kim. estou escrevendo um livro. Ele trata de investigações particulares."
• "Sim", ela diz, respondendo à pergunta com confiança e feliz em ajudar um escritor.
• "Então vocês chamam esse número de ID do comerciante, não é?"

"Hum, hum."

• "Ótimo, porque eu queria ter certeza de que estava usando a linguagem certa no livro.
• Obrigado pela sua ajuda. Até logo, Kim."

A segunda ligação: Chris Talbert

• "National Bank, Contas Novas, Chris".
• "Olá, Chris. Aqui é o Alex", o interlocutor diz. "Eu sou um representante do serviço ao cliente da CreditChex. Estamos fazendo uma pesquisa para melhorar os nossos serviços. Você tem alguns minutos?" Ela concordou e o interlocutor continua:
• "Muito bem — qual o horário de funcionamento da sua filial?" Ela respondeu e continuou respondendo às suas perguntas.
• "Quantos empregados da sua filial usam o nosso serviço?"
• "Com que freqüência você liga para nós com uma consulta?"
• "Qual dos nossos números 800 nós designamos para vocês usarem ao ligar para nós?"
• "Os nossos representantes são sempre educados?"
• "Qual é o nosso tempo de resposta?"
• "Há quanto tempo você trabalha no banco?"
• "Qual ID de Comerciante você está usando no momento?"
• "Você já encontrou alguma imprecisão nas informações que fornecemos?"
• "Se você tivesse alguma sugestão para melhorar o nosso serviço, qual seria?"

E finalmente:

• "Você se importaria em preencher questionários periódicos se os enviássemos para a sua filial?"

Ela concordou, eles conversaram um pouco, o interlocutor desligou e Chris voltou ao trabalho.

A terceira ligação: Henry McKinsey

• "CreditChex, Henry McKinsey, posso ajudar?"
• O interlocutor disse que ele era do National Bank, Ele deu o ID de Comerciante adequado e em seguida, o nome e o número do seguro social da pessoa de quem ele queria informações.
• Henry pediu a data de nascimento e o interlocutor forneceu-a também.

Após alguns instantes, Harry leu a listagem na tela do seu computador.
'Wells Fargo informou NSF em 1998, uma vez, valor de US$ 2.066." NSF — fundos insuficientes — é a linguagem conhecida para os cheques que foram passados sem que houvesse dinheiro em conta para a sua compensação.

• "Alguma atividade desde então?"
• "Nenhuma atividade."
• "Houve outras consultas?"
• "Vejamos. Sim, duas e ambas no último mês. A terceira no United Credit Union, de Chicago." Ele parou no próximo nome, Schenectady Mutual Investments, e teve de soletrá-lo. "Isso

 EVITANDO A TRAPAÇA

A sua empresa tem a responsabilidade de informar os empregados sobre como pode ocorrer um erro
sério quando informações não públicas são tratadas da forma errada. Uma política de segurança
bem desenvolvida, combinada à educação e treinamento adequados, aumenta bastante a consciência
do empregado sobre o tratamento correto das informações comerciais corporativas. Uma política
de classificação de dados ajuda você a implementar os controles adequados para a divulgação das
informações. Sem uma política de classificação de dados, todas as informações internas devem ser
consideradas confidenciais, a menos que seja especificado o contrário.
Use estas etapas para proteger a sua empresa contra a divulgação de informações aparentemente
inofensivas:
• O Departamento de Segurança das Informações precisa realizar o treinamento da conscientização,
o qual detalha os métodos usados pelos engenheiros sociais. O método descrito anteriormente é 3 obtenção de informações aparentemente não sigilosas e o seu uso como uma
ficha de pôquer para ganhar a confiança de curto prazo. Cada um dos empregados precisa ter
consciência de que o falo de um interlocutor ter conhecimento dos procedimentos da empresa,
da linguagem e dos identificadores internos não dá de maneira nenhuma a forma ou a autenticação
para o solicitante, nem o autoriza a ter a necessidade de saber as informações. Um
interlocutor pode ser um ex-empregado ou contratado com as informações internas requisitas.
Da mesma forma, cada corporação tem a responsabilidade de determinar o método apropriado de autenticação a ser usado quando os empregados interagem com as pessoas que eles não conhecem pessoalmente ou pelo telefone.
A pessoa ou as pessoas que têm o papel e a responsabilidade de criar uma política de classificação de dados devem examinar os tipos de detalhes que parecem inofensivos e podem ser usados para obter o acesso dos empregados legítimos, mas esses detalhes podem levar a informações
sigilosas. Embora você nunca daria os códigos de acesso do seu cartão eletrônico, diria a alguém qual servidor você usa para desenvolver produtos de software para a empresa?
Essas informações poderiam ser usadas por uma pessoa que finge ser outra que tem acesso legítimo a rede corporativa?
O simples conhecimento da terminologia interna pode fazer com que um engenheiro social pareça assumir autoridade e conhecimento. O atacante quase sempre usa esse erro comum de conceito para fazer com que suas vítimas colaborem. Por exemplo, um ID de Comerciante é um
identificador que as pessoas do departamento de Contas Novas de um banco usam todos os dias.
Mas tal identificador é exatamente igual a uma senha. Se cada um dos empregados entender a natureza desse identificador — o qual é usado para autenticar positivamente um solicitante —,eles poderão tratá-lo com mais respeito.
Nenhuma empresa — bem, pelo menos muito poucas — dá os números dos telefones diretos de seus CEOs ou diretores. A maioria das empresas, porém, não se preocupa em dar os números de telefones da maioria dos departamentos e grupos de trabalho da organização — particularmente para alguém que é ou parece ser um empregado. Uma medida de contra-ataque possível seria implementar uma política que proíbe a divulgação dos números internos de funcionários, contratados, consultores e temporários para as pessoas que não são da empresa.
O mais importante é desenvolver um procedimento passo a passo para identificar positivamente se um interlocutor que está pedindo os números de telefone é de fato um empregado.
Como diz o ditado; até mesmo os verdadeiros paranóicos provavelmente têm inimigos.
Devemos assumir que cada empresa também tem os seus — os atacantes que visam a infra-estrutura da rede para comprometer os segredos da empresa. Não acabe sendo uma estatística nos crimes de computadores; está mais do que na hora de armazenar as defesas necessárias implementando controles adequados por meio de políticas de segurança e procedimentos bem planejados.
Os códigos contábeis dos grupos de trabalho e departamentos, bem como as cópias do diretório corporativo (uma cópia impressa, um arquivo de dados ou uma lista eletrônica de telefones na intranet) são alvos freqüentes dos engenheiros sociais. Cada empresa precisa ter uma política escrita e bem divulgada sobre a revelação desse tipo de informação. As salvaguardas devem incluir a manutenção de um registro de auditoria que estabelece os casos em que as
informações sigilosas são divulgadas para as pessoas de fora da empresa.
• Informações, tais como um número de empregado, por si só, não devem ser usadas como
nenhum tipo de autenticação. Todo empregado deve ser treinado para verificar não apenas a
identidade do solicitante, como também a necessidade que o requisitante tem de saber
• No seu treinamento de segurança, você deve pensar em ensinar essa abordagem aos funcionários:
sempre que um estranho pedir um favor, saiba primeiro como negar educadamente até
que a solicitação possa ser verificada. Em seguida, antes de ceder ao desejo natural de ser o Sr ou a Sra. Ajuda, siga as políticas e os procedimentos da empresa com relação a verificação e divulgação das informações não públicas. Esse estilo pode ir contra a nossa tendência natural de ajudar os outros, mas um pouco de paranóia saudável pode ser necessária para evitar ser a próxima vítima do engenheiro social.
Como mostraram as histórias deste capítulo, as informações aparentemente inofensivas podem ser a chave para os segredos mais valiosos da sua empresa.é no Estado de Nova York", ele acrescentou.

O detetive particular em ação

Todas aquelas três ligações foram feitas pela mesma pessoa: um detetive particular que chamaremos de Oscar Grace. Grace tinha um cliente novo, um de seus primeiros clientes. Ele era recorte há alguns meses e descobriu que parte desse novo trabalho veio naturalmente, mas outra parte representava um desafio para os seus recursos e a sua criatividade.
O novo cliente de Grace era uma senhora que parecia ter um orçamento bastante grande para roupas e jóias. Ela colocou a sua bolsa Gucci na mesa com o logotipo virado para ele e anunciou que pretendia dizer ao marido que queria se divorciar, mas admitia ter "apenas um probleminha".
Parece que o seu marido estava um passo adiante. Ele já havia sacado o dinheiro de sua conta poupança e uma soma maior ainda da sua conta em uma corretora. Ela queria saber o destino do seu patrimônio e o advogado do seu divórcio não estava ajudando muito. Grace conjecturou que o advogado era um daqueles conselheiros de altos salários que não queriam sujar as mãos com algo tão
complicado quanto saber aonde foi parar o dinheiro.
Será que Grace poderia ajudar?
Ele garantiu que isso seria fácil, fez uma cotação para o serviço, fora as despesas, e recebeu um cheque como primeiro pagamento.
Em seguida, ele enfrentou o seu problema. O que você faria se nunca tivesse feito um trabalho assim antes e não soubesse muito bem por onde começar a rastrear o dinheiro? Você avança a passos de bebê. Aqui, de acordo com a nossa fonte, está a história de Grace.
Etapa um: Aprenda a terminologia e descubra como fazer a solicitação para que pareça que você sabe do que está falando. No banco para o qual liguei, a primeira jovem, Kim, desconfiou quando perguntei sobre como eles se identificavam quando ligavam para o CreditChex. Ela hesitou; não sabia se devia contar isso para mim. Fui derrotado por isso? Nem um pouco. Na verdade, a hesitação me deu uma pista importante, um sinal de que eu tinha de fornecer um motivo para que ela acreditasse. Quando apliquei a mentira de que estava fazendo pesquisas para um livro, ela relaxou. Você diz que é um escritor ou roteirista e todas as portas se abrem. Ela tinha outro conhecimento que teria ajudado — coisas como quais informações o CreditChex requer para identificar a pessoa sobre a qual você está querendo as informações, quais informações você pode pedir e a maior delas: qual era o número de ID de Comerciante do banco de Kim. Eu estava pronto para fazer aquelas perguntas, mas a sua hesitação enviou um sinal vermelho. Ela acreditou na história da pesquisa para um livro, mas já tinha algumas suspeitas. Se tivesse sido mais receptiva desde o início, eu teria pedido para que ela revelasse mais detalhes sobre seus procedimentos.
Você tem de confiar em seus instintos, ouvir com atenção o que o Mark está dizendo e como ele está dizendo isso. Essa moça parecia ser bastante inteligente para ouvir o alarme quando fizesse muitas perguntas incomuns. E embora ela não soubesse quem eu era e de qual número eu estava falando, mesmo assim nesse negócio você nunca quer que alguém espalhe que está procurando alguém e liga para obter informações sobre os negócios. Isso acontece porque você não quer queimar a fonte— você pode ligar novamente para o mesmo escritório em outra ocasião.
Sempre observo os pequenos sinais que me dão uma leitura da cooperação de uma pessoa, em uma escala que vai desde "Você parece uma boa pessoa e acredito em tudo que você está dizendo" até "Ligue para a polícia, chame a Polícia, essa pessoa não está querendo boa coisa".
Entendi que Kim estava um pouco em dúvida, assim, liguei para alguém de uma filial diferente. Na minha segunda ligação com Chris, o truque da pesquisa a encantou. A tática aqui é incluir as perguntas
importantes entre aquelas sem conseqüências que são usadas para criar uma idéia de credibilidade.
Antes de entrar com a pergunta sobre o número do ID de Comerciante do CreditChex, fiz um pequeno teste de última hora fazendo uma pergunta pessoal sobre há quanto tempo ela trabalhava no banco.
Uma pergunta pessoal e como um campo minado — algumas pessoas pisam sobre uma mina e nunca percebem; no caso de outras pessoas, a mina explode e faz com que elas saiam correndo em busca de segurança. Assim sendo, se eu fizer uma pergunta pessoal, ela responder a pergunta e o tom da sua voz não mudar, isso significa que provavelmente ela não é cética sobre a natureza da solicitação.
Posso seguramente fazer a pergunta que estou querendo sem levantar suas suspeitas, e ela talvez me dará a resposta que desejo.
Mais uma coisa que um bom detetive particular sabe: nunca encerre uma conversação após obter a informação-chave. Outras duas ou três perguntas, um pouco de bate-papo e então pode dizer adeus.
Mais tarde, se a vítima se lembrar de alguma coisa que você perguntou, provavelmente ela se lembrará das últimas perguntas. O restante em geral será esquecido.
Assim, Chris me deu o seu número de ID de Comerciante e o número de telefone que eles ligam para fazer as solicitações, Eu ficaria mais feliz se tivesse feito algumas perguntas sobre quantas informações é possível obter da CreditChex. Mas achei melhor não abusar da minha sorte.
Isso era como ter um cheque em branco da CreditChex. Agora eu podia ligar e obter informações sempre que quisesse. E nem tinha de pagar pelo serviço. O representante da CreditChex ficou satisfeito
em compartilhar exatamente das informações que eu queria; os dois lugares nos quais o marido da minha cliente havia se inscrito recentemente para abrir uma conta. Assim sendo, onde estavam os
bens que a sua futura ex-mulher estava procurando? Onde mais além das instituições bancárias que o funcionário da CreditChex relacionou?
Um ID de Comerciante nessa situação é como uma senha. Se o pessoal do banco o tratasse
como uma senha de caixa eletrônico, eles poderiam apreciar a natureza delicada
das informações. Há algum código interno ou um número na sua organização que não
esteja sendo tratado com cuidado suficiente pelas pessoas?

Analisando a trapaça

Toda essa armadilha baseou-se em uma das táticas fundamentais da engenharia social: ganhar acesso ás informações
que o empregado de uma empresa trata como inofensivas, quando na verdade elas não são.
A primeira funcionária do banco confirmou a terminologia para descrever o número de identificação
usado ao ligar para o CreditChex: o ID de Comerciante. A segunda forneceu o número de telefone para ligar para o CreditChex e a informação mais vital: o número de ID de Comerciante. Todas essas informações pareciam ser inofensivas para a funcionária. Afinal de contas, ela achou que estava falando
com alguém do CreditChex — e assim, qual seria o mal de divulgar o número?
Tudo isso criou a base para a terceira ligação. Grace tinha tudo o que precisava para ligar para a CreditChex, para se passar como representante de um de seus bancos clientes, o National, e simplesmente pedir as informações que estava querendo.
Com habilidades para roubar informações tão boas quanto aquelas que um trapaceiro tem para roubar o seu dinheiro, Grace tinha talentos bem treinados para ler as pessoas. Ele conhecia a tática comum de esconder as principais perguntas entre aquelas mais inocentes. Ele sabia que uma pergunta pessoal testaria a disposição da segunda funcionária em cooperar antes de pedir inocentemente o número do ID de Comerciante.
O erro do primeiro funcionário ao confirmar a terminologia para o número do ID do CreditChex foi um erro quase impossível de ser evitado. As informações são tão conhecidas dentro da indústria
bancária que elas parecem não ter importância — o próprio modelo da inocência. Mas a segunda funcionária, Chris, não deveria ter sido tão disposta a responder perguntas sem verificar se o interlocutor
era de fato quem dizia ser Ela deveria pelo menos ter anotado seu nome e número e ter ligado novamente. Dessa forma, se mais tarde surgisse alguma dúvida, ela teria um registro do número do
telefone usado pela pessoa. Neste caso, uma ligação como essa tomaria muito mais difícil para o atacante disfarçar-se de representante do CreditChex.
Teria sido melhor ainda ligar para o CreditChex usando um número que o banco já tinha em seus registros — não um número fornecido pelo interlocutor — para verificar se a pessoa realmente trabalhava
lá, e se a empresa eslava realmente fazendo uma pesquisa com os clientes. Dados os detalhes práticos do mundo real e as pressões de tempo sob as quais a maioria das pessoas trabalha hoje em
dia. seria muito esperar esse tipo de ligação telefônica de verificação, exceto quando um empregado suspeita de que algum tipo de ataque está sendo realizado.

EVITANDO A TRAPAÇA

A sua empresa tem a responsabilidade de informar os empregados sobre como pode ocorrer um erro sério quando informações não públicas são tratadas da forma errada. Uma política de segurança bem desenvolvida, combinada à educação e treinamento adequados, aumenta bastante a consciência do empregado sobre o tratamento correto das informações comerciais corporativas. Uma política de classificação de dados ajuda você a implementar os controles adequados para a divulgação das informações. Sem uma política de classificação de dados, todas as informações internas devem ser consideradas confidenciais, a menos que seja especificado o contrário.
Use estas etapas para proteger a sua empresa contra a divulgação de informações aparentemente inofensivas:
• O Departamento de Segurança das Informações precisa realizar o treinamento da conscientização, o qual detalha os métodos usados pelos engenheiros sociais. O método descrito anteriormente é 3 obtenção de informações aparentemente não sigilosas e o seu uso como uma ficha de pôquer para ganhar a confiança de curto prazo. Cada um dos empregados precisa ter consciência de que o falo de um interlocutor ter conhecimento dos procedimentos da empresa, da linguagem e dos identificadores internos não dá de maneira nenhuma a forma ou a autenticação para o solicitante, nem o autoriza a ter a necessidade de saber as informações. Um interlocutor pode ser um ex-empregado ou contratado com as informações internas requisitas.
Da mesma forma, cada corporação tem a responsabilidade de determinar o método apropriado de autenticação a ser usado quando os empregados interagem com as pessoas que eles não conhecem pessoalmente ou pelo telefone.
A pessoa ou as pessoas que têm o papel e a responsabilidade de criar uma política de classificação de dados devem examinar os tipos de detalhes que parecem inofensivos e podem ser usados para obter o acesso dos empregados legítimos, mas esses detalhes podem levar a informações sigilosas. Embora você nunca daria os códigos de acesso do seu cartão eletrônico, diria a alguém qual servidor você usa para desenvolver produtos de software para a empresa?
Essas informações poderiam ser usadas por uma pessoa que finge ser outra que tem acesso legítimo a rede corporativa?
O simples conhecimento da terminologia interna pode fazer com que um engenheiro social pareça assumir autoridade e conhecimento. O atacante quase sempre usa esse erro comum de conceito para fazer com que suas vítimas colaborem. Por exemplo, um ID de Comerciante é um identificador que as pessoas do departamento de Contas Novas de um banco usam todos os dias.
Mas tal identificador é exatamente igual a uma senha. Se cada um dos empregados entender a natureza desse identificador — o qual é usado para autenticar positivamente um solicitante, eles poderão tratá-lo com mais respeito.
Nenhuma empresa — bem, pelo menos muito poucas — dá os números dos telefones diretos de seus CEOs ou diretores. A maioria das empresas, porém, não se preocupa em dar os números
de telefones da maioria dos departamentos e grupos de trabalho da organização — particularmente para alguém que é ou parece ser um empregado. Uma medida de contra-ataque possível seria implementar uma política que proíbe a divulgação dos números internos de funcionários, contratados, consultores e temporários para as pessoas que não são da empresa.
O mais importante é desenvolver um procedimento passo a passo para identificar positivamente se um interlocutor que está pedindo os números de telefone é de fato um empregado.

Como diz o ditado; até mesmo os verdadeiros paranóicos provavelmente têm inimigos.
Devemos assumir que cada empresa também tem os seus — os atacantes que visam a infra-estrutura da rede para comprometer os segredos da empresa. Não acabe sendo uma estatística nos crimes de computadores; está mais do que na hora de armazenar as defesas necessárias implementando controles adequados por meio de políticas de
segurança e procedimentos bem planejados.

Os códigos contábeis dos grupos de trabalho e departamentos, bem como as cópias do diretório corporativo (uma cópia impressa, um arquivo de dados ou uma lista eletrônica de telefones na intranet) são alvos freqüentes dos engenheiros sociais. Cada empresa precisa ter uma política escrita e bem divulgada sobre a revelação desse tipo de informação. As salvaguardas devem incluir a manutenção de um registro de auditoria que estabelece os casos em que as informações sigilosas são divulgadas para as pessoas de fora da empresa.
• Informações, tais como um número de empregado, por si só, não devem ser usadas como nenhum tipo de autenticação. Todo empregado deve ser treinado para verificar não apenas a identidade do solicitante, como também a necessidade que o requisitante tem de saber.
• No seu treinamento de segurança, você deve pensar em ensinar essa abordagem aos funcionários:
sempre que um estranho pedir um favor, saiba primeiro como negar educadamente até que a solicitação possa ser verificada. Em seguida, antes de ceder ao desejo natural de ser o Sr ou a Sra. Ajuda, siga as políticas e os procedimentos da empresa com relação a verificação e
divulgação das informações não públicas. Esse estilo pode ir contra a nossa tendência natural de ajudar os outros, mas um pouco de paranóia saudável pode ser necessária para evitar ser a próxima vítima do engenheiro social.
Como mostraram as histórias deste capítulo, as informações aparentemente inofensivas podem ser a chave para os segredos mais valiosos da sua empresa.