Importância da Engenharia Social

Impressiona-me como os ataques de Engenharia Social ainda são um dos maiores meios de acesso a informações utilizados pelos crackers.

Em pleno século XXI, pessoas que possuem grande nível de conhecimento nas mais diversas áreas da vida, ainda entregam-se a estes ataques, caindo nas armadilhas dos mais diversos tipos de salafrários virtuais.

Os ataques de Engenharia Social ocorrem de diversas maneiras, como por exemplo: através de apelos sentimentais, funcionários descontentes, redes de contatos e por incrível que pareça, até através do lixo. Isso mesmo, essa lixeira que está ai, do lado da sua mesa, pode conter informações valiosíssimas que podem cair nas mãos de mal intencionados, que com certeza, saberão como dar valor a esses papéis amassados.

A Engenharia Social é o que podemos chamar de “garimpagem de informações”. Através das técnicas desta engenharia, o cracker pode obter aquela informação tão preciosa que lhe dará o acesso ao que ele realmente precisa e busca.

As empresas, realizam grandes preparações para conter os mais diversos tipos de ataques, como vírus, worms, trojans, spywares, entre outras pragas virtuais. Porém, toda essa preparação deixa uma brecha que não existe software que possa conter. Esta brecha é dada justamente por aquele funcionário que está descontente e por esse motivo prefere ver a casa cair ou então por aquele funcionário exemplar, que ingenuamente, recebeu uma mensagem boba, que continha um link para um site que solicitava algumas informações cadastrais, inclusive para a criação de uma senha de forma manual.

E sabe qual a senha que o nosso funcionário exemplar cadastrou? Justamente, para facilitar a sua vida, ele cadastrou a mesma senha que ele usava para o acesso a rede interna da empresa e que ele não teria como esquecer.

Então, imaginemos o seguinte: o cracker agora possuia a senha de rede do nosso amigo funcionário exemplar. Um dos itens fornecidos no cadastro era o telefone comercial. O cracker em um momento posterior, então, contatou o nosso funcionário para confirmar alguns de seus dados cadastrais e realizar uma pequena pesquisa sobre hábitos de uso de softwares no trabalho.

A pesquisa do cracker começa com algo do tipo (fique tranquilo, é apenas uma perguntinha boba): “O Sr. utiliza softwares de que tipo (web, client)”? Agora o cracker começa a perguntar coisas mais interessantes, para ele, é claro: “Diga qual o software que o Sr. mais costuma utilizar dentro da empresa e qual o propósito deste software”?

Agora o cracker vai iludir o nosso funcionário, mostrando preocupação com a segurança das informações. “Claro que o Sr. sabe da necessidade de criar senhas para a segurança das suas informações. Ao mesmo tempo, o Sr. sabe das dificuldades de decorar estas senhas. O Sr. costuma sempre utilizar a mesma senha para acesso a todos os softwares da empresa”?

Agora, imaginemos que para esta pergunta, o nosso amigo funcionário tenha respondido sim. Eureca!!! Que prato cheio para o cracker. Agora ele sabe que para a maior parte dos sistemas utilizados na empresa, o nosso funcionário utiliza a mesma senha informada naquele “cadastrinho bobo” e sem nenhuma maldade naquele site “ingenuo” que o nosso funcionário acessou.

                            

E se ele tivesse dito: “Não, costumo utilizar senhas diferentes”. Quem sabe, o cracker teria oferecido uma maneira fácil para que o funcionário pudesse armazenar estas senhas, como por exemplo, crie uma pasta em sua conta de email e coloque todas as suas senhas lá. Enfim, o cracker sugeriria uma maneira prática para o armazenamento das senhas ou tentaria outras táticas de Engenharia Social para que pudesse descobrí-las.

Com certeza, se o funcionário seguisse a dica, isso facilitaria a vida do cracker quando invadisse a conta de email da vítima, pois lá estariam as senhas para os demais acessos aos outros sistemas da empresa.

Claro que aqui foi um exemplo bastante exdrúxulo, mas podem ter certeza, a maneira de abordar as vítimas não é tão diferente disso. Ao mesmo tempo, fico em dúvida se podemos chamar este indivíduo salafrário de cracker, já que ele não está utilizando nenhum software para invadir uma máquina ou roubar alguma senha. Ele apenas está usando a esperteza e se aproveitando da ingenuidade de alguém.

Obviamente como citei no inicio do artigo, as táticas de Engenharia Social são bem diversificadas, o que dificulta ainda mais o controle por parte das empresas. Pode ser que seja muito complicado para que a empresa consiga controlar o que os seus funcionários acessam ou o que conversam no telefone, mas seria bem mais fácil se houvesse alguma dica, enfim, que os funcionários fossem ao menos apresentados para a matéria Engenharia Social. Talvez, citar alguns exemplos, já serviria para uma diminuição nas invasões realizadas através desta prática.

Infelizmente, apesar de tantos exemplos de diferentes táticas utilizadas para a obtenção de senhas através da ludibriação dos colaboradores, as empresas ainda não estão dando a devida atenção a este tipo de ataque. Pelo menos, essa é a visão que até o momento eu tenho visto pelo mundo da www afora.

Adquirir softwares caros, investir nos melhores equipamentos, pagar os maiores salários, fazer backups instantâneos e diários de todas as informações. Tudo isso é formidável, mas imaginem, o seguinte: aquela informação da senha de rede foi passada ingenuamente por aquele funcionário exemplar, como falamos anteriormente. Aquele funcionário exemplar, que ganha um bom salário, casualmente trabalha no setor financeiro, tendo acesso, por exemplo, as contas da empresa. Com certeza, o meu melhor equipamento e o meu melhor software não vão conseguir barrar o acesso de um cracker que tenha obtido esta informação tão preciosa.

Pode levar alguns dias ou até algumas horas para que com essa pequena informação, o cracker obtenha o acesso as contas da empresa e leve parte do seu capital.

Obviamente, aqui eu quis apenas explicar e tentar demonstrar, mesmo que de forma grotesca, o que é, o que pode acontecer e como é importante praticar a Engenharia Social.

Portanto, sempre que possível, tentem, com o perdão da redundância, “Socializar a Engenharia Social”.

Passem adiante, a importância de praticar Engenharia Social. Não deixem de pecar pela falta de informação dos colaboradores da sua empresa. Dêem o valor e a atenção que este tema realmente merece.

Read More

Segurança Digital - Páginas Falsas

Olá pessoal, estamos encaminhando o Sétimo artigo sobre segurança Digital, Consulte nossa guia, caso esteja começando a acompanhar agora.

Este artigo é a segunda parte sobre Segurança Digital – Fraudes.

Páginas Falsas

Graças a Internet, hoje podemos Conversar com as pessoas de vários cantos do mundo por Mensagem em Texto (em celulares, chats e IM), áudio e vídeo, esse é um grande avanço para a comunidade.

Também podemos Efetuar Compras e vender nossas coisas em Sites De comércio eletrônico, como já vimos em Artigos anteriores. Umas variedades de coisas estão à disposição para venda na internet, caso você tenha dinheiro e disposição para comprar. Também os provedores de cartões de crédito, que melhoraram muito a vida de pessoas que não andam todo momento com dinheiro, e se bobear, andar com dinheiro no futuro, será uma prática extinta.

Quem também trouxe seus clientes para o mundo online, foram os Bancos. Há quem diga que ir ao banco para efetuar um pagamento e uma transferência, já é algo obsoleto para a sociedade. É claro que no momento que os Bancos aderiram à modalidade de Transferência e Pagamento via Internet, isso iria se tornar algo que facilitaria a vida de seus Clientes, isso foi um fato! Porém, não prevendo (Ou talvez já pensassem na possibilidade) que essa modalidade passaria a ser o principal alvo de Cybers Criminosos, acabou por se tornar.

Mas não se tornando uma tática isolada somente para Roubar Dados Bancários, mas também afetou Lojas Famosas do Comércio eletrônico e Sites de Empresas de cartões de créditos. E a forma que elas são propagadas, são através de E-mails, na forma de spam. A semelhança chega a parecer legitima. A prática de criar e espalhar páginas falsas, é característica do Phishing.

Sites Maliciosos

Na maioria dos casos de identificação de sites maliciosos (Com páginas infectadas por Softwares Maliciosos), são páginas falsas de grandes portais, Bancos, Lojas, Empresas entre outros.

Mas também, é possível encontrar a maioria dos Sites maliciosos, aqueles que contêm conteúdo para o Público Adulto (+18), que na linguagem popular, todo site pornográfico tem vírus, que é claro, um boato sem sentido. Empresas que se levantaram graças ao mundo adulto, como exemplo, YouPorn e PornHub, mantém os seus servidores seguros, para evitarem falhas que venham a comprometer a integridade de seus visitantes, impedindo a ação de cybers criminosos. Alguns chegam a ser mais seguros que os sites governamentais (irônico, não?).

Mas isso não garante que sites de conteúdo adulto, estejam imunes a invasões e possibilitem espalhar softwares maliciosos para seus visitantes, apenas possuem politicas de segurança mais rígidas que as demais empresas (Irônico, não?²).

Este não é um tema que tenha tanto a se falar, portanto, terminamos aqui!

Identificando uma página Falsa

Identificar uma página falsa, não é algo tão complexo. Você verá, o quão simples é a seguir:

Ao navegar pela Web em busca de uma página falsa funcionando para apresentar aqui, me deparei com uma página falsa do Banco do Brasil. Hospedada neste link:

http://jonryancgc.com/-http://www2.bancodobrasil.com.br/aapf/92CW3XNP.html

Site invadido e sobre o controle do Cyber Criminoso, e que hospeda a Página Falsa: http://jonryancgc.com

Página Falsa:

1 - Observe e analise a URL: Páginas falsas de Bancos (Como no Exemplo), nunca poderão ser iguais (Isso é fato) as verdadeiras, mas sempre irão tentar se Aproximar o mais perto possível, para poder enganar o usuário. No caso da página falsa de nosso exemplo, o Cyber Criminoso invadiu um site estrangeiro, e hospedou sua página Falsa, e deixou o link mais próximo do verdadeiro. Pessoas desatentas, acreditam ser real, apenas por conter -http://www2.bancodobrasil.com.br/aapf/92CW3XNP.html Mas Observe, um site de um Banco não usando uma conexão HTTPS? Certo, descobrimos a página Falsa.

2 - Acesso sem o Modulo de Segurança: Para quem não utiliza os sites de bancos para efetuar pagamentos ou fazer transações pela internet, não sabe que para poder acessar sua conta via internet, é necessário que o seu navegador, possuir um complemento padrão dos bancos, o modulo de Segurança, para evitar roubo de informações. Se seu computador não possui o Modulo de Segurança, e você conseguir ver a caixa que está marcada com o número 2, ao acessar um site de algum banco, Você acaba de entrar em uma página falsa.

3 - Links não clicáveis: Observe que na imagem, mas não só na imagem, todo site de banco em sua página de login, possui links de atalhos para outros setores do sites. Porém, em páginas falsas, estes mesmos links (Imagens no caso), em sua maioria, não são clicáveis, na verdade, não são nem links, apenas imagens.

4 - Você é encaminhado: Mesmo que você digite dados errados em Titular, Agência, Conta e Senha de Autenticação, você pode ou não ser encaminhado para uma nova página Falsa, a fim de que o Cyber Criminoso, possa engana-lo, talvez para que você não descubra que caiu em uma fraude, e bloqueie as transferências Online. Observe na Imagem a baixo, eu digitei apenas alguns números aleatórios, e fui encaminhado para uma nova página cheia de links clicáveis, mas não me encaminhavam para nenhuma outra página, apenas recarregava. Essa tática, é utilizada para que a vitima pense que a página do banco que está com defeito.

Página verdadeira:

1 - URL Verdadeira: Observe que a URL verdadeira do Banco do Brasil https://www2.bancobrasil.com.br/aapf/login.jsp, possui suporte ao protocolo HTTPS, que fornece uma conexão segura e Criptografada para o cliente. Enquanto que a URL da Página Falsa, não oferecia tal suporte.

2 - Modulo de Segurança: A caixa de login não aparece, pois sem o modulo de segurança, o sistema não permite que seja efetuado login. Essa é uma politica de Segurança que os Bancos adotaram para evitar roubo de informações, apesar de não ser Invulnerável a falhas, mas dificulta.

3 - Links Clicáveis e válidos: Como citado anteriormente, toda página de login em sites de Bancos, disponibilizam links para uma melhor acessibilidade as demais áreas de seus portais.

Evitando Sites Maliciosos

Tecnicamente, é difícil definir qual site é malicioso ou não, porém, existem ferramentas e configurações que podem evitar que seu computador corra risco. O My WOT, é uma ferramenta que armazena reputação de sites, segundo as opiniões dadas pelos usuários. E o Adblock Plus, bloqueia janelas pop-up criadas por propagandas, que em sua maioria, possuem redirecionamento para sites maliciosos. 

Você pode aprender sobre as configurações de Seu Navegador e Sobre estas ferramentas lendo o artigo Segurança Digital - Navegadores - Parte 2.

Você deve também utilizar ferramentas antivírus, de preferência versões pagas. Pois a diferença entre a gratuita e a paga, é imensa, pois a gratuita é uma especie de versão demo da Paga, não possui todas as funcionalidades. A versão paga, mesmo que não cumpra com as funções que foram aplicadas a ela, você poderá exigir ressarcimento, caso você sofra algum tipo de golpe que o antivírus deveria detectar. 

É isso pessoal, qualquer dúvida deixe um comentário, ou entre em contato conosco pela Nossa Página ou Grupo no Facebook.

Até a próxima!

Read More