Texto - Engenharia Social

[Nêmesis]

O objetivo desse texto é passar os conceitos da engenharia social, uma "técnica" muito usada tanto para pegar informações de grandes empresas quanto de usuários domésticos. Não tenho a intenção de induzir ninguém a utilizar engenharia social para obter informações de ninguém, apenas estou alertando aos usuários de fatos que ocorreram e ainda ocorrem para que se previnam.

Mas o que é engenharia social? Engenharia social não consiste em um programa ou uma técnica mirabolante de invasão na qual é necessário grande conhecimento técnico, pelo contrario consiste em conseguir com o usuário do micro ou funcionários da empresa informações suficientes para realizar um ataque. Essas informações são obtidas por meio de confiança ou até mesmo de ingenuidade da pessoa de quem quer se obter alguma informação.

Informações detalhadas sobre a rede de uma empresa, sua política de segurança e seus clientes podem ser conseguidas através desse ataque que pode se dar por um e-mail, telefonema ou mesmo conversando pessoalmente com um funcionário, ou um colaborador da empresa.

Usuários domestico também sofrem desse tipo de ataque.

Acho que alguns que estão lendo esse texto já viram uma página que promete: Zerar suas horas desde que você passe seu e-mail e a senha do seu provedor, quando a maioria dos acessos era com limite de horas era mais comum ver páginas desse tipo. O usuário enviaria sua senha e login para o dono da página e ao ver seu extrato de horas percebe um aumento brusco no numero de horas utilizados. Afinal o dono da página conseguiu diminuir o numero de horas utilizadas, mas o numero de horas dele!

Usando as horas de outra pessoa...  Esse login e senha ficam guardados e o dono do site pode usar quando quiser a conta do usuário que por confiança ou ingenuidade passou sua senha.

Outro caso bastante comum de engenharia social é receber um e-mal do tipo mailto:suporte@provedor.com.br">suporte@provedor.com.br pedindo para alterar sua senha para abcdefg pois eles detectaram que um outro usuário está usando sua senha etc etc etc... Provedor nenhum tem direito a exigir que um usuário troque sua senha para uma que eles mesmo escolhem!!! isso não existe. Enviar um e-mail desse tipo é extremamente fácil, pode ser feito por telnet, programas de mail anônimo ou mesmo pelo seu leitor de e-mails mudando-se algumas configurações. Por motivos óbvios não vou passar aqui como se pode enviar um e-mail com remetente alterado.

Outra forma de se "roubar" a senha de um usuário utilizando esse método é ligando e se identificando como do suporte do seu provedor, pedindo sua senha para que sejam feitas algumas alterações na sua conta ou algo do tipo. Vale a regra anterior: A senha do usuário é confidencial, o suporte do seu provedor não pode exigir que você a envie, muito menos no caso de uma ligação do "alem", nunca passe sua senha para ninguém principalmente nessas condições... Pode parecer meio obvio, mas algumas pessoas acabam passando.

Tanto usuários coorporativos quanto usuários domésticos estão sujeitos a esse tipo de ataque, a única diferença é o que se perde.

Um usuário domestico pode ter seu e-mail invadido ou horas a mais no seu extrato utilizado por fraudadores, o que é muito ruim, mas, desde que não se tenha nenhuma informação muito importante na sua conta de e-mail o estrago não passa disso, agora usuários coorporativos podem expor uma grande quantidade de informação da empresa onde trabalha causando estragos realmente grandes. Podem sem perceber fornecer informação para a concorrência ou mesmo para um possível invasor do seu sistema. Documentos jogados no lixo ou em cima de uma mesa vazia, e-mail sempre educados de pessoas inteligente e de bom papo que começam com uma pergunta inocente ou mesmo com algum elogio pode ser uma estratégia para se conseguir alguma informação da empresa. Claro isso não é regra, nem sempre uma pergunta, um elogio ou um e-mail educado é uma tentativa de engenharia social, claro que pode ser apenas uma pessoa tentando manter contato, mas na duvida desconfie e pense duas vezes antes de passar qualquer tipo de informação da sua emprese para outras pessoas.

Algumas empresas investem uma quantia considerável em segurança, firewall, roteadores, IDS, sistemas bem configurados com todas as correções aplicadas, mas se esquecem de orientar seus funcionários com relação a informação que pode ou não ser divulgada, não se livra de arquivos ou papéis que podem conter informação importante sobre a empresa de forma adequada.

Uma política de segurança bem formulada deve prever também tentativas de ataque de engenharia social dando a devida orientação para seus funcionários.

Preserve a informação como se fosse um dos seus maiores bens, ela em alguns casos pode valer muito mais do que dinheiro!

Principalmente na situação atual onde temos redes cada vez melhor configuradas e com um numero de recursos para aumentar a segurança crescendo cada vez mais, a utilização de engenharia social é uma alternativa bastante considerável e deve ser prevista na política de segurança da empresa

Escrito Por Rodrigo®

espero que gostaram do texto .. eu axei bem interessante !!

Teh +

[Anonymous]

A tecnica de engenharia social é muito abrangente, foi muito bom esse seu topico,esse tipo de informação e otimo pro nosso desenvolvimento.
Valeu!