Devemos nos proteger na internet, e como fazer isso? Qual a responsabilidade individual das pessoas?
1. Introdução
Nos últimos 10 anos, as redes sociais, ganharam uma grande importância para todos, de tal modo que colocamos todo tipo de informação sobre nós nelas, como endereços, nomes, número de telefones, estado civil, etc. Com isto veio também um grande perigo: exposição excessiva da informação e o aproveitamento disto por parte de pessoas mal-intencionadas, (CAVALCANTI JR, 2011).
A divulgação de informativos sobre segurança de dados pessoais é ainda muito defasada, pois o foco atualmente se encontra na proteção de conta apenas, como a não divulgação de senhas. A desinformação sobre o perigo da divulgação desses dados é tamanha que as pessoas usam as redes sociais até mesmo como diários e, sem dúvida estas se tornam um prato cheio para que indivíduos mal-intencionados se utilizem desses dados para objetivos escusos. Buscar entender o porquê e como acontecem esses casos é uma tarefa importante e complicada, porém bastante benéfica para todos, uma vez que estas redes estão presentes cada vez mais em nosso dia-a-dia, não só pessoalmente, mas também corporativamente. (IETEC, 2017).
Com as informações dos usuários em mãos, o uso de técnicas de engenharia social pelo criminoso é facilitado, possibilitando uma aproximação muito mais suave e causando um dano muito maior, pois quanto mais informações sobre a vítima o criminoso conseguir, melhor. Ele busca também, em casos de ataques a empresas, se existem jargões usados por elas para se referir a serviços e afins.
O uso de técnicas de engenharia social é crescente e perigoso. Segundo uma recente pesquisa da Verizon realizada em 2016 e publicada esse ano, 2017, revela que, 42 mil incidentes foram estudados e resultaram em 1935 brechas, destas, 43% envolveram ataques de engenharia social, quase a metade, e esses foram apenas os casos reportados.
Este documento está organizado em quatro partes, onde, na primeira parte falaremos sobre engenharia social, será tratado aqui o funcionamento da engenharia social, objetivos gerais, veículos dos ataques e ferramentas lógicas para o auxílio da obtenção da informação. Na segunda parte, falaremos sobre os métodos, onde após conseguir informações pelos veículos citados no capítulo anterior, veremos quais ações o engenheiro pode praticar para atacar a vítima. Na terceira parte, veremos as principais vulnerabilidades, veremos quais pontos estão mais defasados nas redes sociais e porquê. Por fim, na conclusão analisaremos todos os pontos tratados, buscando entender uma possível causa para essa desinformação acerca de ferramentas e informações tão importantes e também como podemos mudar esse cenário.
1. Engenharia Social
É uma maneira de conseguir informações importantes das pessoas sem que elas o conheçam e que normalmente não dariam a terceiros, pois foram orientadas a não o fazer ou simplesmente são informações que sabem que não podem passar adiante.
“A engenharia social usa a influência e a persuasão para enganar as pessoas e convencê-las de que o engenheiro social é alguém que na verdade ele não e, ou pela manipulação. Como resultado, o engenheiro social pode aproveitar-se das pessoas para obter as informações com ou sem o uso da tecnologia.” (MITNICK, 2003, p.6).
O Engenheiro Social tem vários meios de conseguir uma informação FONSECA (2009), sendo eles:
- Telefone ou VoIP: O atacante se passa por alguém que não é, com informações base para conseguir outras.
- Internet: O atacante busca informações da vítima que estão públicas, como telefone, e-mail, endereço, etc.
- Intranet: O atacante consegue acesso remoto ao computador da vítima, obtendo assim, acesso a várias informações sobre uma empresa, por exemplo.
- E-mail: O atacante envia e-mails falsos, esperando que a vítima clique, e tenha chance de infectá-la com um vírus.
- Vírus: O atacante utiliza vírus, como Spywares, para espionar a vítima.
- Pessoalmente: O atacante se passa por alguém que não é, como no ataque por telefone, mas aqui ele tem muito mais chances de sucesso, uma vez que ele consegue transmitir uma simpatia maior e assim construir uma relação de confiança maior, aumentando as chances de sucesso no ataque.
- Chat: Como no ataque por telefone, o atacante se passa por alguém que não é.
- Cartas: Usado principalmente para atacar pessoas mais rústicas, como donos de empresas mais velhos.
- Lixo: Muitas informações importantes são simplesmente jogadas no lixo e o engenheiro social sabe disso.
O primeiro, por telefone ou VoIP, é o mais comum. O atacante liga geralmente com informações chave previamente adquiridas, como um nome, cargo, informações sobre a empresa que quer atacar ou supostamente trabalha, para conseguir outras informações mais importantes, como senhas códigos específicos de cada empresa, etc. É muito perigoso, pois é difícil de identificar o atacante, pois geralmente ele se passa por uma pessoa importante e tem todas as informações para comprovar isso e ele conhece informações da pessoa com quem ele está conversando e que informação ele quer obter.
O segundo, por internet, é mais uma coleta de informações. Muitas informações importantes estão disponíveis para qualquer um ter acesso. As redes sociais são ótimos lugares para isso, as pessoas expõem suas vidas inteiras lá, facilitando e muito a obtenção de informações para o engenheiro social.
O terceiro, por intranet, é quando o atacante consegue acesso remoto ou não ao computador da vítima, seja por falta de cuidado do usuário como veremos com mais detalhes ainda, seja porque outra pessoa disponibilizou os dados propositalmente, como é o caso de funcionários insatisfeitos, por exemplo.
O quarto, por e-mail, infelizmente é muito comum e perigoso, pois neste, as pessoas clicam em links chamativos maliciosos, que geralmente contém vírus, numa tentativa de Phishing ou de acesso à intranet. (CYBER SOURCE, 2017).
O quinto, por vírus, é também muito comum. Acontece quando o usuário click em links de e-mail falsos, ou quando recebe esses links por sua rede social de “amigos”. O usuário clica, espalhando vários tipos de vírus, como Trojans, Backdoors, Keyloggers, Spywares, etc. Geralmente, a tentativa de obtenção de informações por vírus é chamada de Phishig, mas não limitada apenas a isso, pois temos o Vishing, que é a obtenção de informações pelo telefone. Dentre os tipos de Phishing, temos vários (PHISHING.ORG):
- Spear Phishing: É igual ao Phishing normal, porém em vez de mandar e-mails para várias pessoas, ele visa um único alvo, pois o atacante já tem um, assim ele é mais objetivo, e pode fazer um ataque específico e de acordo com as atividades da corporação.
- Session Hijacking: Aqui o atacante invade uma sessão web e se utiliza de exploits (brechas de segurança) para controlar a sessão e roubar informações.
- Email/Spam: O mais comum dos ataques de phishing. O atacante envia e-mails maliciosos contendo links falsos. Quando o usuário clica, são baixados vários tipos de vírus para que o atacante tenha acesso ao computador ou consiga capturar informações da vítima.
- Vishing: O atacante realiza o ataque por telefone, pedindo para a vítima discar um número, para que ele consiga informações de conta de banco, por exemplo, pelo telefone.
- Keyloggers: É um tipo de vírus que captura todas as informações de usuário e senha da vítima, enviando para o e-mail (falso) do atacante.
- Trojan: É um tipo de vírus, desenhado para enganar o usuário com ações que parecem legítimas, mas na verdade, permite o acesso não autorizado a credenciais do usuário.
Apesar de parecer complexo, muitas vezes um ataque de engenharia social acontece quando o atacante simplesmente pede determinada informação. É muito comum isso acontecer, pois as empresas não dão o treinamento adequado para seus funcionários, e hoje em dia, segurança está em segundo plano, por conta de vários motivos, principalmente econômico.
1.1 Métodos
Muitos são os métodos de se aplicar engenharia social em alguém. Alguns mais específicos para alguns casos, outros mais efetivos em várias situações.
Nas redes sociais, é muito comum vermos assim como em e-mails, a solicitação de download de arquivos para que a vítima execute sem saber uma macro ou um vírus. O atacante se faz muito amistoso, geralmente se passando por um amigo ou com a conta hackeada de um amigo de verdade da pessoa, pede para que a vítima baixe um arquivo e o execute, a vítima o abre e então é instalado essa macro ou vírus e assim é causado imediatamente um dano ou possivelmente a abertura de uma porta para que o hacker invada por outros caminhos. (PHISHING.ORG, 20XX).
Buscar informações no perfil da vítima é algo que acontece com bastante frequência, pois colocamos informações pessoais em excesso, com o pensamento de que por ser uma rede social, devemos obrigatoriamente por informações delicadas nesta.
Temos também a chamada Sextorção. Usado tanto quanto o primeiro, este é igualmente ou mais perigoso, pois o atacante se passa por um amante ou pessoa muito próxima, e induz a vítima a enviar-lhe fotos ou vídeos comprometedores, para que assim ele possa chantageá-la mais tarde, porém é muito comum isso acontecer pessoalmente, quando o atacante marca um encontro com a vítima, o que pode ser até pior.
Outro muito interessante e comum não só para ataques de engenharia social, são os falsos recrutadores, pessoas que oferecem uma falsa vaga de emprego, apenas para obter informações relevantes da vítima. (PROFISSIONAIS TI, 2013).
Apesar de muito comuns, tendemos a confiar nas pessoas, principalmente quando estão na nossa lista de amizades e isso é um ponto muito delicado, pois muitas pessoas aceitam ou adicionam novas amizades sem nem mesmo conhecê-las, algumas vezes por querer ter um número alto de amigos, ou por tal pessoa ser amiga de um amigo da vítima.
A utilização desses métodos, apesar de bem simples de serem praticados, se torna bastante preocupante, pois atitudes como estas de adicionar amigos, abrir links sem verificação e outros, continuam sendo praticadas.
Outros métodos podem surgir como o que já é aplicado em celulares, porém com mensagens de texto, onde o atacante envia promoções extraordinárias para a vítima, a fim de iniciar a instalação de algum vírus.
2. Vulnerabilidades
Várias são as vulnerabilidades de um usuário nas redes sociais, porém, devemos nos ater no pensamento geral, porém errôneo de que por ser uma rede social, devemos obrigatoriamente por informações pessoais e delicadas nesta,
As redes sociais divulgam muito bem informações sobre proteção de conta: verificação em duas etapas, trocas periódicas de senhas, não divulgação de senhas. Porém são informações voltadas apenas para o login do usuário, não possuímos informações sobre privacidade na postagem de fotos, vídeos, textos, etc. Temos opções para gerenciar a privacidade da postagem, como a visualização apenas para amigos, apenas para a pessoa ou apenas para amigos e amigos de amigos.
É muito difícil encontrar um lugar que nos mostre os cuidados que devemos ter com o que postamos, talvez por medo também de passar uma imagem de restrição na rede social, o que pode fazer com que o usuário parta para uma outra em que este se sinta mais livre para postar o que quiser, pois como dito, temos um pensamento errado de que por ser uma rede social, e seu perfil ser um lugar para postar informações sobre você, pensamos que podemos postar qualquer coisa.
Com isso temos várias pessoas postando informações sobre onde estão, com quem, o que estão fazendo, nomes, endereços, senhas, e-mails, etc. É um banquete de informações para o atacante.
Em algumas redes sociais temos uma opção para impedir que perfis apareçam em buscas na internet e até na própria rede social, entretanto é outra informação pouco divulgada, inclusive por ir contra o próprio propósito de encontrar amigos em uma rede social, mas ainda assim pode ser bastante útil.
Nossos amigos também são um grande “problema” para nós, pois não basta você tomar todos os cuidados possíveis e ter ciência de todas as opções de segurança, se seu amigo não tem, pois, através dele ainda é possível chegar até você. Seu amigo pode continuar aceitando amizades mesmo sem conhecê-las, ele ainda pode postar informações relacionadas à sua pessoa e pode divulgar informações sobre onde vocês estiveram ou o que estavam fazendo e com quem, pois para ele, esta é uma informação aparentemente sem valor nenhum, mas muitas vezes uma única foto pode ser o bastante para comprometer sua segurança.
“A rede social não é um diário” (IETEC, 2017). Segundo um levantamento de Charles Bryant (APUD, 2013), 40% dos usuários dão acesso livre a seus perfis, permitindo que qualquer um veja suas informações e 60% restringem a amigos e familiares.
3. Ataques
Esses ataques têm geralmente apenas dois objetivos: causar danos ou lucrar. Estes estão ligados a pessoas físicas ou jurídicas e a disponibilização de informações sensíveis em redes sociais é fatal em ambos.
Do mais simples, como roubar a senha do Wi-Fi até desfalcar uma empresa. De várias formas é possível fazer isso, como estas a seguir:
O atacante pode usar da Sextorção para conseguir fotos íntimas de uma vítima, que pode ser uma pessoa num alto cargo numa empresa e com isso fazê-lo dar informações sobre aquela empresa para que ele possa roubar esta empresa de alguma maneira.
Ele pode também mandar um vírus para uma pessoa numa empresa, pedindo que ela o instale, assim o atacante consegue que uma porta seja aberta ou de repente o atacante consegue por este, invadir os outros computadores da empresa, fazendo-os de escravos para a mineração de bitcoins.
Casos de estupro são outros infelizmente recorrentes em redes sociais, como mostra uma reportagem do G1 onde em 2014 foram reportados 184 casos de estupro por indivíduos conhecidos na internet, destes, 85% são mulheres, o que não diminui a importância dos casos que afligem os homens.
Existem casos em que o objetivo é apenas causar danos, sem motivos específicos, outros em que servem para virar piada na internet ou algum tipo de polêmica, como foi o caso da jornalista Micheline Borges, que postou em sua rede social um texto expondo sua opinião sobre os médicos de cuba, onde ela já começava “pedindo perdão caso fosse preconceito, mas que as médicas cubanas pareciam empregadas domésticas”. O caso teve 5 mil compartilhamentos no primeiro dia e a polêmica foi tão grande que a jornalista teve que apagar sua conta no Facebook e no Twitter (IETEC, 2017).
Casos como o dessa jornalista em 2013 não são inéditos e também não vão parar de acontecer pois infelizmente isso se tornou uma cultura: divulgar qualquer informação na rede social.
Alguns casos envolvem apenas geração de receita, onde pessoas pegam textos mal interpretados de famosos, ou os alteram, buscando ganhar visualizações em seus sites, este é o chamado click bait ou Isca de Clique.
4. Conclusão
Infelizmente não há indícios de mudanças, várias das redes sociais mais utilizadas focam apenas na proteção da conta do usuário, mas é muito difícil encontrar alguma que alerte sobre os perigos em postar informações sensíveis.
Também somos ensinados a postar tudo sobre nós nas redes sociais, portanto não é algo que seja culpa apenas destas, mas algo muito mais precário na sociedade brasileira que é a própria educação. É-nos dito que não devemos falar com estranhos, porém é algo que perdura até os 15 anos de idade aproximadamente, após isso esse conceito é esquecido, e na internet não se fala nada, muito raro são os pais que ensinam a seus filhos sobre a importância da sua privacidade e sigilo na internet.
Temos disponíveis ferramentas como o Controle dos Pais, mas não é usado e os mais velhos, postam achando que nada vai lhes acontecer.
Existe certa certeza muitas vezes falsa nas pessoas de que o que estão fazendo é realmente seguro, ou mesmo sabendo que não é seguro continuam fazendo, pois estão seguindo a moda e querem se encaixar no grupo ao qual pertencem.
As redes sociais realmente não foram feitas para ser um ambiente tão restrito, para tanto temos redes sociais mais objetivas, como o LinkedIn. Porém também não foram feitas para que fosse divulgada toda e qualquer informação sobre as pessoas à exceção de informações profissionais.
Ao por fotos com amigos dizendo onde está, o que está fazendo e com quem, está pondo em risco não só sua segurança como também daqueles próximos a você, é muito importante que se configure corretamente a privacidade das publicações e tão mais importante é ensinar as pessoas como fazer isso.
A falta de educação na internet é um reflexo da realidade em que vivemos, outra maneira de minimizar esses casos é a própria educação que as pessoas recebem quando crianças em casa e na escola, e seu amadurecimento na vida adulta.
6. Referências
MITNICK, Kevin, A Arte de Enganar, 2003, p.6, Editora Makron.
VERIZON: Incidência de casos de Engenharia Social, Investigations Report. Disponível em: . Acesso em: 03 nov. 2017.
CIO: Técnicas de Engenharia Social. Disponível em: < http://cio.com.br/tecnologia/2017/04/09/conheca-seis-das-tecnicas-de-engenharia-social-muito-eficazes/ >. Acesso em: 23 out. 2017.
JR CAVALCANTI, Reinaldo. Novos perigos nas novas tecnologias, Engenharia Social nas Redes Sociais,2011, Monografia apresentada à Universidade Estadual de Maringá (UEM).
FONSECA, Paula, O Fato Humano, Gestão de Segurança da Informação, 2009, Artigo apresentado à Pontifícia Universidade Católica do Paraná (PUC-PR).
IETEC, O Risco da Alta Exposição Pessoal nas Redes Sociais. Disponível em: www.ietec.com.br/imprensa/o-risco-da-alta-exposicao-pessoal-nas-redes-sociais/. Acesso em: 15 nov. 2017.
PHISHING.ORG: Phishing Techniques, Disponível em: < http://www.phishing.org/phishing-techniques>. Acessado em: 09 set. 2017.
PROFISSIONAIS TI, Tecnicas De Ataque De Engenharia Social, Disponível em: <https://www.profissionaisti.com.br/2013/10/engenharia-social-as-tecnicas-de-ataques-mais-utilizadas/>. Acesso em: 09 set. 2017.
CYBER SOURCE, As fraudes mais comuns em E-Commerce, Disponível em: < http://exame.abril.com.br/tecnologia/estas-sao-as-fraudes-mais-comuns-no-e-commerce-em-2017/#>. Acessado em 15 set. 2017.
Visits: 79
