Apesar deste assunto ter sido citado no artigo "Sobre ataques na Informática: Tipos de ataque", vamos desenvolvê-lo um pouco mais. O termo "Engenharia Social" é designado para descrever um método de obtenção de informações críticas sobre o sistema computacional de uma empresa ou mesmo sobre um indivíduo através da persuasão, geralmente abusando da ingenuidade da vítima. Informações essas, que possibilitariam a uma pessoa mal-intencionada identificar vulnerabilidades críticas numa instituição alvo ou seus colaboradores, vindo a resultar num ataque bem sucedido. Essa prática também é aplicada em pessoas físicas, não apenas em instituições.
Os ataques de ES podem surgir por exemplo, como falsas pesquisas de empresas. É possível que você já tenha se deparado com uma ligação de uma pessoa que se identifica como representante da empresa "Y", argumenta estar fazendo uma pesquisa de mercado "X" e lhe solicita "n" informações sobre o seu ambiente, como a quantidade de servidores que a empresa utiliza, sistemas operacionais que rodam nesses servidores e etc. Esse tipo de pesquisa existe? Sim, e é até muito comum, mas em todo o caso é sempre bom confirmar quem está do outro lado da linha e certificar-se quanto idoneidade da empresa e da pesquisa. Peça telefones, endereços, nomes dos responsáveis e certifique-se de que a empresa existe antes de responder a qualquer pergunta.
Quer outro exemplo? Há algum tempo, difundiu-se muito um tipo de crime onde presidiários dotados de aparelhos celulares(???) ligam para a vítima informando o suposto rapto de um familiar, exigindo resgate para liberação do mesmo. A vítima, aterrorizada, pagava um valor "x" pelo resgate para depois descobrir que o familiar estava bem e que exerceu suas atividades regulares o dia inteiro; o sequestro era uma fraude. Nesse processo, houve ES pois o infrator abusou da ingenuidade da vítima para obter uma vantagem financeira (e note que nesse caso, não houve nenhum uso de tecnologia de última geração, senão um telefone). Para o caso acima citado, uma dica: combine com seus familiares uma "palavra-chave", por exemplo: "BATATA". No caso de seu filho/pai/mãe realmente ter sido sequestrado, solicite ao suposto sequestrador que pergunte a palavra-chave ao ente sequestrado. Ele têm a intenção de receber um resgate e se realmente está mantendo a pessoa em cativeiro, não haverá problema algum de ela revelar-lhe a palavra-chave, pelo contrário, o seu ente querido terá absoluta iniciativa de passar a palavra-chave ao sequestrador e provar que realmente foi sequestrado. Porém se o sequestrador disser "CENOURA", não se preocupe, pois você já sabe tratar-se de um trote ou de um velho golpe de ES.
Além disso, é comum a prática de confirmação de dados em telefonemas, onde alguém faz-se passar por um colaborador do seu provedor de acesso, por exemplo e lhe solicita informações críticas como senhas de contas de e-mail, números de cartões de crédito etc. Outra situação bastante complicada no que tange a ES são os casos de pedófilos em web-chats. Eles entram em salas de bate-papo de crianças e adolescentes (sabidamente mais ingênuos e com pouca experiência) e utilizando-se de ES, as vezes prometendo mundos e fundos, podem chegar a marcar encontros reais sem que os pais tomem conhecimento.
Veja que nos casos acima citados, excluindo-se a questão da pedofilia, boa parte acontece no mundo real e não no virtual. Mas a ES também acontece muito na Internet. No dia 04 de maio de 2000, por exemplo, o filipino Osnel de Guzman criou um worm batizado pelos grandes fabricantes de antivírus como "Vírus I love you". O ataque consistia em enviar um e-mail para a vítima com o título "I love you" e um arquivo anexo infectado. Alguns dados sobre esse vírus:
- enviava e-mail com o anexo: Love-letter-for-you.txt.vbs (carta de amor para você);
- o remetente do e-mail era alguém da sua lista de contatos que já havia sido infectado;
- infectou 3 milhões de computadores no mundo todo em 4 horas;
- o prejuízo causado pelo vírus foi de cerca de U$10 bilhões (os estragos levam em conta os dados perdidos, lentidão das redes e o tempo que os sistemas ficaram parados, além dos custos de correção e limpeza de falhas).
O vírus "I love you" utilizava de ES pois convencia o usuário a abrir um arquivo anexado por e-mail, apresentando-se como uma pessoa apaixonada (quanta gente precisando urgentemente ser amada hein?! ;o)).
E como se proteger? Já bati nessa tecla "n" vezes, e continuarei batendo até que o mundo todo me ouça (tarefa árdua hein ;o)): BOM SENSO. O bom senso é a melhor maneira de proteger-se desse tipo de ataque, pois muitas pessoas ainda acreditam que o maior bem de uma organização são seus equipamentos / veículos / prédios, esquecendo-se que o maior bem que uma empresa pode ter é a INFORMAÇÃO, e toda e qualquer informação relevante sobre determinado processo ou negócio deve ser fornecida com muita parcimônia. Equipamentos são substituíveis. Pessoas, em geral, também o são. Mas a informação, é insubstituível, e você deve ter atenção especial na maneira que a trata, até porque, uma vez de posse de determinada informação ela também é responsabilidade sua. Se o computador estragar, pode ser substituído. Se o responsável por tirar notas fiscais for demitido, outro colaborador pode ser treinado no seu lugar. Mas já pensou se as informações de até 3 anos anteriores dos bancos de dados da sua empresa forem perdidos? Quem são seus clientes? Qual é o seu volume de venda? O que você tem para pagar? O que tem para receber? Quem matou Odethe Roitmann? ;o) A informação é tudo.
Logo, tenha bom senso no tipo de informação que você dá a terceiros, por mais bem intencionados que eles possam parecer. Não precisa ser paranóico, mas as vezes convém verificar determinadas situações antes de passar uma informação adiante. Desenvolva essa habilidade e você verá que muitos problemas poderão ser evitados.
Nenhum comentário:
Postar um comentário