Quando alguém comenta com você sobre invasão de computadores, logo pensamos em coisas extraordinárias, manobras de um gênio da matemática e da computação. Para realizar tais ações é preciso dominar amplamente algumas linguagens de programação, ter afinidade total com sistema operacional linux e por ai vai. Mas nem sempre uma rede é invadida desta maneira, ou melhor, não só redes, mas dados pessoais preciosos também. Esse tipo de ataque é o que chamamos de Engenharia social.
Engenharia social, não atua em falhas de segurança de computadores, atua em falhas de segurança humana. O atacante explora a confiança, por não dizer a inocência do funcionário da empresa. Em sua maioria, as empresas investem alto em camadas e camadas de segurança no sistema de TI, mas não treinam corretamente quem os utiliza. Isso não acontece só em grandes empresas, acontece todo o tempo; em nossa casa, na rua, etc. Até agora, parece um pouco complicado, mas com alguns exemplos, você vai entender, ou melhor, vai se identificar com algumas dessas situações.
O primeiro exemplo é por email. Nos últimos meses, tem se alastrado um e-mail, intitulado como: ”confirmação de compra”- supostamente de uma loja virtual muito conhecida, que provavelmente você já comprou algo. O assunto a primeira vista, é desesperador, pois a suposta loja esta o parabenizando por ter efetuado a compra de um equipamento bastante caro, uma TV LCD 42′ por exemplo, explicando a data de compra, prazo de entrega, etc. Logo em seguida, para seu alívio, há um link (um endereço de um site), onde você pode cancelar a compra. É neste momento que entra a Engenharia Social, pois dentro deste link, você precisa preencher seus dados para confirmação do cancelamento da compra do equipamento. Então, você feliz, digita seu CPF, RG, data de nascimento, e, enfim, o número do seu cartão de crédito e o código de segurança. Ótimo, você acha que já está tudo resolvido, mas quando chega sua fatura, o grande susto! Uma compra bem exorbitante em seu nome.
Este tipo de ataque também ocorre via telefone e, neste caso, o atacante tem quer se mais “engenhoso”. Cordialmente um homem ou mulher liga pra você, já com seu nome e endereço na ponta da língua, te passando certa segurança. Na maioria das vezes são pessoas treinadas e você pensa: “se ele já sabe meu nome, meu endereço, deve ser coisa séria”. Então o individuo se identifica como funcionário de uma bandeira de cartão de crédito e usando palavras bem ao estilo telemarketing, diz que os dados de seu cartão de crédito foram roubados e que fizeram uma compra enorme com ele. Naturalmente, você assustado, alega que não fez compra alguma, então, cordialmente e muito competente, o atacante lhe explica que não é preciso se preocupar já que o setor de análise de crédito percebeu algo estranho e por isso contactou você. Mas para sua segurança, será necessário passar alguns dados importantes para a verificação de autenticidade. Ai a historia é a mesma; você aliviado passa todos os seus dados como no exemplo do email, e ainda agradece pela competência do funcionário. No dia da fatura seguinte, o susto.
Até no cinema temos exemplos de Engenharia Social. No filme “dragão vermelho”, Hannibal Lecter (Anthony Hopkins), se passando por outra pessoa, através de uma ligação telefônica consegue o endereço de Will Grahan (Edward Norton), o agente do FBI que o colocou na cadeia.
Podemos alongar este texto quase ao infinito citando exemplos, mas acho que já deu pra ter uma idéia do significado e de quanto esse tipo de ataque é perigoso. Por isso, vamos ao principal: como evitar, como se proteger desse tipo de ataque.
No caso de um email, como citado acima, quando há o link para você clicar no suposto cancelamento da compra, se você passar o mouse no link, (mas cuidado para não clicar nele), no canto inferior esquerdo da tela do seu computador, irá aparecer o endereço do site, e com certeza, vai aparecer outro endereço, que não é o do site da loja virtual. Com certeza deve ser um link falso que te leva a outro site no qual o atacante fez para obter dados alheios; ou seja: os seus.
Já no caso do ataque via telefone, desconfie de solicitações de informações importantes, como numero de cartão de crédito, CPF, etc. Para desbancar o atacante, diga que você retorna a sua ligação em seguida e peça um 0800 ou um número fixo que faça ele desistir da missão. O mesmo procedimento deve ser feito em abordagens por carta ou até mesmo pessoalmente. Desconfie também de promoções absurdas, com preços inimagináveis. Geralmente o atacante vai lhe pedir um adiantamento do valor do produto e nunca mais você vai saber dele. Até mesmo o lixo da sua casa ou empresa que você trabalha pode ser um alvo de ataque- através de extratos, faturas de cartão de crédito, qualquer documento que possa muní-los de informação sobre a vítima.
Empresas, veículos de comunicação devem investir mais em treinamentos, em matérias e reportagens sobre esse tipo de problema que cada vez se torna mais freqüente. Só assim iremos nos livrar de um problema que não há tecnologia que resolva.
Vagner Lourenço.
Consultor de TI.
joinconsult@setelagoas.com.br