1. Ataques de Hackers: Controlandoo Fator Humano naSegurana da
InformaoPrefcio de Steve WozniakMAKRONBooksEducationDigitalizado e
revisado porDIVONCIR
2. As aventuras de Kevin Mitnick comocibercriminoso e fugitivo
de umadas caadas mais exaustivas dahistria do FBI deram origem
adezenas de artigos, livros, filmes edocumentrios. Desde que foi
soltode uma priso federal, Mitnick deuuma virada na sua vida
eestabeleceu-se como um dosespecialistas em segurana decomputadores
mais requisitados detodo o mundo.Neste livro, o hacker mais
famosodo mundo fornece orientaesespecficas para o desenvolvimentode
protocolos, programas detreinamento e manuais paragarantir que o
investimento emsegurana tcnica sofisticada deuma empresa no seja em
vo. Eled conselhos sobre como evitarvulnerabilidades de segurana
eespera que as pessoas estejamsempre preparadas para umataque vindo
do risco mais srio detodos a natureza humana.
3. A ARTE DEENGANARAtaques de Hackers: Controlandoo Fator
Humano naSegurana da InformaoTraduo:Ktia Aparecida RoqueReviso
Tcnica:Olavo Jos Anchieschi GomesCoordenador de projetos de
segurana em informaes. Especialista emsegurana de redes e ethical
hacking. Atua no desenvolvimento depolticas de segurana e anlise de
vulnerabilidades em redes LAN/WAN.So PauloBrasil Argentina Colmbia
Costa Rica Chile EspanhaGuatemala Mxico Peru Porto Rico
VenezuelaMITNICKPEARSONEducationKevin D. Mitnick & William L.
Simon
4. 2003 by Pearson Education do Brasil Ltda2002 by Kevin D.
MitnickTraduo autorizada da edio em lngua inglesa,publicada pela
John Wiley & Sons. Inc.Todos os direitos reservados. Nenhuma
parte desta publicao poder serreproduzida ou transmitida de
qualquer modo ou por qualquer outro meio,eletrnico ou mecnico,
incluindo fotocpia, gravao ou qualquer outro tipo desistema de
armazenamento e transmisso de informao, sem prvia autorizao,por
escrito, da Pearson Education do Brasil.Diretor Editorial: Jos
Martins BragaEditora: Gislia CostaEditora de Texto: Marileide
GomesPreparao: Carla MontagnerReviso: Marise Goulart e Gina
Monteiro de BarrosDesigner de capa: Marcelo da Silva
FranozoFotografia do autor: Monty BrintonEditorao Eletrnica: Marco
Zero/ Denise DAmaro ChiaraDados Internacionais de Catalogao na
Publicao (CIP)(Cmara Brasileira do Livro, SP, Brasil)Mitnick. Kevin
D., (1963)MITNICK - A arte de enganar/ Kevin D. Mitnick; William L.
Simon;Traduo: Ktia Aparecida Roque; reviso tcnica: Olavo Jos
AnchieschiGomesTitulo original: The art of deception : controlling
the human element of securityISBN: 85-346-1516-01. Computadores
segurana 2. Engenharia social 3. Segurana internaI.Simon, William
L., 1930 -. II. Ttulo. III. Ttulo : ataques de hackers:
controlandoo fator humano na segurana da informao03-1639
CDD-005.8ndices para catlogo sistemtico:1. Computadores: segurana:
Processamento de dados 005.82. Segurana de computadores:
Processamento de dados 005.82003Direitos exclusivos para a lngua
portuguesa cedidos Pearson Education do Brasil Ltda., uma empresado
grupo Pearson EducationAv. Ermano Marchetti, 1435Cep: 05038-001
Lapa - So Paulo - SPTel: (11)3613-1222 Fax: (11) 3611-0851e-mail:
[email protected]
5. Para Shelly Jaffe, Reba Vartanian, Chickie Leventhal e
Mitchell Mitnicke para os falecidos Alan Mitnick, Adam Mitnicke
Jack BielloPara Arynne, Victoria e David, Sheldon,Vincent e
Elena
6. Engenharia socialAengenharia social usa a influncia e a
persuaso para enganar as pessoas e convenc-las deque o engenheiro
social algum que na verdade ele no e, ou pela manipulao. Como
re-sultado, o engenheiro social pode aproveitar-se das pessoas para
obter as informaes comou sem o uso da tecnologia.
7. Apresentao ixPrefcio xiIntroduo xvParte Bastidores 1Captulo
1 O Elo Mais Fraco da Segurana 3Parte A Arte do Atacante 11Captulo
2 Quando as Informaes No So Inofensivas 1 3Captulo 3 O Ataque
Direto: Simplesmente Pedindo 25Captulo 4 Criando a Confiana
33Captulo 5 "Posso Ajudar?" 45Captulo 6 "Voc Pode Me Ajudar?"
63Captulo 7 Sites Falsos e Anexos Perigosos 75Captulo 8 Usando a
Simpatia, a Culpa e a Intimidao 85Captulo 9 O Golpe Inverso
107Parte Alerta de Invaso 119Captulo 10 Entrando nas Instalaes
121Capitulo 11 Combinando a Tecnologia e a Engenharia Social 1
39Captulo 12 Ataques aos Empregados Iniciantes 155Capitulo 13
Trapaas Inteligentes 167Capitulo 14 A Espionagem Industrial
179Parte Eliminando as Barreiras 193Captulo 1 5 Conscientizao e
Treinamento em Segurana da Informao 195Captulo 16 Recomendaes de
polticas de segurana das informaescorporativas 207Um exame rpido da
segurana 265Fontes 273Agradecimentos 275ndice 279
8. Ns nascemos com um impulso interno de explorar a natureza
daquilo que nos cerca. Comotodos os jovens, Kevin Mitnick e eu
ramos muito curiosos sobre o mundo e ansiosos paratestar a ns
mesmos. Quase sempre fomos recompensados pelas nossas tentativas de
apren-der coisas novas, solucionar quebra-cabeas e ganhar jogos.
Mas ao mesmo tempo, o mundo ao nossoredor nos ensinou regras de
comportamento que restringiam nossa necessidade de explorao
livre.Para os nossos ousados cientistas e empreendedores
tecnolgicos, bem como para pessoas comoKevin Mitnick, seguir essa
vontade traz as maiores emoes e permite que realizemos coisas que
osoutros acreditam que no podem ser feitas.Kevin Mitnick uma das
melhores pessoas que conheo. Pergunte e ele responder de forma
di-reta que aquilo que ele fazia a engenharia social era trapacear
as pessoas. Mas Kevin no maisum engenheiro social. E mesmo quando o
era, o seu motivo nunca foi enriquecer ou causar danoss outras
pessoas. Isso no quer dizer que no existam criminosos perigosos e
destrutivos que usama engenharia social para causar danos reais. Na
verdade, foi exatamente por esse motivo que Kevinescreveu este
livro para avis-los sobre eles.Este livro mostra como somos
vulnerveis o governo, as empresas e cada um de ns sinvases do
engenheiro social. Nessa era de conscientizao sobre a segurana,
gastamos somasimensas em tecnologia para proteger nossas redes de
computadores e nossos dados. Este livro mostracomo fcil enganar
quem trabalha nessas reas e burlar toda essa proteo
tecnolgica.Trabalhando em empresas ou no governo, forneo aqui um
mapa para ajud-lo a entender comoos engenheiros sociais trabalham e
o que voc pode fazer para frustr-los. Usando histrias fictciasque
so divertidas e elucidativas, Kevin e Bill Simon do vida a tcnicas
do submundo da engenhariasocial. Aps cada uma das histrias, h
orientaes prticas que o ajudam a se proteger contra asinvases e
ameaas descritas.A segurana tecnolgica deixa grandes lacunas que
pessoas como Kevin podem nos ajudar afechar. Leia este livro e voc
finalmente perceber que todos ns precisamos recorrer aos
Mitnicksque h entre ns para obter orientao. Steve Wozniak
9. Alguns hackers destroem os arquivos ou unidades de disco
inteiras das pessoas. Eles so cha-mados de Crackers ou vndalos.
Alguns hackers novatos no se preocupam em aprender atecnologia;
eles apenas querem baixar as ferramentas dos hackers para entrar
nos sistemasde computadores, Esses so chamados de script kiddies.
Os hackers mais experientes, com habili-dades em programao,
desenvolvem programas para hackers e os postam na Web e nos
sistemasde bulletin board. Em seguida, temos os indivduos que no tm
nenhum interesse em tecnologia,mas que usam o computador apenas
como uma ferramenta que os ajuda a roubar dinheiro, bens
ouservios.Apesar do mito que a mdia criou sobre Kevin Mitnick, no
sou um hacker malicioso.Mas estou me adiantando na histria.O INCIOO
meu caminho provavelmente foi definido no incio da minha vida. Eu
era uma criana bonita efeliz, mas chateada. Aps meu pai sair de
casa quando eu tinha trs anos, a minha me trabalhoucomo garonete
para nos sustentar Naquela poca apenas uma criana criada por uma me
quetrabalhava muito, sem um horrio fixo eu era um jovem que me
cuidava por conta prpria quaseque de manh at a noite. Eu era a
minha prpria bab.Cresci em uma comunidade do Vale de So Fernando e
tinha toda a Los Angeles para explorar;com doze anos j havia
descoberto um meio de viajar de graa em toda a rea da Grande Los
Angeles.Percebi certo dia que o bilhete de baldeao de nibus que
havia comprado baseava-se em um padroincomum de furos em papel que
os motoristas usavam para marcar o dia, a hora e o itinerrio nos
bi-lhetes. Um motorista amigo, ao responder minhas perguntas
cuidadosamente formuladas, contou-meonde eu poderia comprar aquele
tipo especial de furador de papel.As baldeaes permitem que voc
troque de nibus e continue a viagem at o seu destino, mas euhavia
descoberto como us-las para viajar para qualquer lugar que quisesse
de graa. A obteno daspassagens em branco foi como passear no
parque: as lixeiras dos terminais de nibus estavam cheiasde blocos
de passagens parcialmente usados, os quais eram jogados pelos
motoristas no final de seusturnos. Com um bloco de passagens em
branco e o furador, podia marcar minhas prprias baldeaese viajar
para qualquer parte aonde fossem os nibus de Los Angeles. Em pouco
tempo, j tinha feitotudo, menos decorar os horrios dos nibus de
todo o sistema. Esse foi um exemplo precoce da minhasurpreendente
memria para determinados tipos de informaes; ainda hoje consigo
decorar nmerosde telefone, senhas e outras coisas.
10. A Arte de EnganarOutro interesse pessoal que surgiu logo
cedo foi o meu fascnio pela mgica. Aps aprendercomo um truque novo
funcionava, no parava de praticar at domin-lo bem. De certa forma,
foi pelamgica que descobri como bom enganar as pessoas.Do phreaking
ao hackingO meu primeiro encontro com aquilo que aprenderia a
chamar de engenharia social deu-se durantemeus anos no ginsio,
quando conheci outro aluno que foi pego com um hobby chamado
phonephreaking. Esse um tipo de hacking que permite que voc
vasculhe a rede telefnica explorando ossistemas de telefone e os
empregados da empresa de telefonia. Ele me mostrou os truques que
podiafazer com um telefone, como conseguir todas as informaes que a
empresa de telefonia tinha sobreum cliente e como usar um nmero de
teste secreto para fazer ligaes interurbanas de graa (na ver-dade
elas eram de graa para ns descobri bem mais tarde que aquele no era
um nmero secretode teste: as ligaes eram cobradas de alguma conta
MCI da pobre empresa).Essa foi a minha apresentao engenharia social
o meu jardim da infncia, por assim dizer.Ele garoto e outro
phreaker que conheci pouco tempo depois me deixavam escutar as
ligaes depretexto para a empresa de telefonia. Eu ouvia as coisas
que eles diziam para parecerem pessoas de cre-dibilidade, aprendi
sobre os diferentes escritrios das empresas de telefonia, o
linguajar e os procedi-mentos. Mas esse "treinamento" no durou
muito tempo; ele no precisava ser longo. Em breve esta-va
aprendendo por conta prpria e me saindo melhor ainda do que aqueles
primeiros professores.O curso que a minha vida tomaria nos prximos
15 anos j estava definido.Uma das minhas peas preferidas era
conseguir o acesso no autorizado a uma central telef-nica e mudar a
classe de servios de um colega phreaker. Quando tentava fazer uma
ligao de casa,ele ouvia uma mensagem pedindo para depositar vinte e
cinco centavos, porque a central da empre-sa de telefonia havia
recebido informaes de que ele estava ligando de um telefone
pblico.Fiquei interessado em tudo que dissesse respeito a telefones
no apenas a eletrnica, scentrais e aos computadores, mas tambm a
organizao corporativa, aos procedimentos e a termi-nologia. Aps
algum tempo, talvez j soubesse mais sobre o sistema de telefones do
que qualquerempregado da empresa. E havia desenvolvido as minhas
habilidades em engenharia social at o pontode com 17 anos poder
falar com a maioria dos empregados da empresa de telefonia sobre
quase tudo,fosse pessoalmente ou por telefone.A minha carreira to
divulgada de hacker, na verdade, comeou quando eu estava no
colgio.Embora no possa descrever aqui os detalhes, basta dizer que
um dos principais incentivos para asminhas primeiras aes foi ser
aceito pelos caras do grupo de hackers.Naquela poca usvamos o termo
hacker para descrever uma pessoa que passava grande parte dotempo
mexendo com hardware e software, seja para o desenvolvimento de
programas mais eficientes,seja para eliminar etapas desnecessrias e
fazer um trabalho mais rapidamente. O termo agora se tor-nou
pejorativo com o significado de "criminoso malicioso". Uso o termo
como sempre o usei --- noseu sentido mais antigo e
benigno.Terminado o colgio, fiz um curso sobre computadores no
Computer Learning Center, em LosAngeles. Em alguns meses, o gerente
de computadores da escola percebeu que eu havia descobertouma
vulnerabilidade no sistema operacional e havia ganhado privilgios
administrativos totais sobreseu minicomputador IBM. Os melhores
especialistas em computadores do seu corpo docente noconseguiram
descobrir como eu havia feito aquilo. Este deve ter sido um dos
primeiros exemplos de"contrate o hacker", pois recebi uma oferta
irrecusvel: criar um projeto honors (dentro dos padres exii
11. Prefcionormas) para melhorar a segurana dos computadores da
escola, ou enfrentar a suspenso por ter inva-dido o sistema. claro
que preferi criar o projeto e acabei me formando Cum Laude with
Honors,Tomando-me um engenheiro socialAlgumas pessoas acordam de
manh temendo a sua rotina de trabalho nas proverbiais minas de
sal.Tive sorte e gosto do meu trabalho. Voc no pode imaginar o
desafio, a gratificao e o prazer quesentia no perodo em que
trabalhei como detetive particular. Eu estava aperfeioando meus
talentosna arte teatral chamada engenharia social fazer com que as
pessoas faam coisas que normalmenteno fariam para um estranho e
sendo pago para fazer isso.Para mim no foi difcil tornar-me
proficiente em engenharia social. O lado paterno da minhafamlia
trabalhava com vendas h geraes, de modo que a arte da influncia e
persuaso pode ter sidoum trao que herdei. Quando voc combina uma
inclinao para enganar as pessoas com os talentosda influncia e
persuaso, voc chega ao perfil de um engenheiro socialPode-se dizer
que h duas especialidades dentro da classificao do cargo de artista
da trapaa.Algum que faz falcatruas e engana as pessoas para tirar o
seu dinheiro pertence a uma subespeciali-dade chamada grifter.
Algum que usa a fraude, a influncia e a persuaso contra as
empresas, em ge-ral visando suas informaes, pertence a outra
subespecialidade: o engenheiro social. Desde a pocado meu truque
com a baldeao de nibus, quando era jovem demais para saber que era
errado aquiloque estava fazendo, eu havia comeado a reconhecer um
talento para descobrir os segredos que euno deveria saber,
Aproveitei aquele talento usando a fraude, conhecendo o jargo e
desenvolvendouma habilidade de manipulao bem lapidada.Uma forma que
descobri para desenvolver as habilidades da minha arte, se que
posso cham-lade arte, foi escolher algumas informaes com as quais
no me importava e ver se poderia conven-cer algum do outro lado do
telefone a me fornec-las, s para melhorar as minhas habilidades.
Damesma forma que costumava praticar meus truques de mgica,
pratiquei a criao de pretextos. Pormeio de todos esses ensaios,
logo descobri que poderia adquirir praticamente quaisquer
informaesque desejasse.Como descrevi em meu testemunho no Congresso
perante os Senadores Lieberman e Thompsonanos depois:Tive acesso no
autorizado aos sistemas de computadores de algumas das maiores
cor-poraes do planeta, e consegui entrar com sucesso em alguns dos
sistemas de computadoresmais protegidos que j foram desenvolvidos.
Usei meios tcnicos e no tcnicos para obtero cdigo-fonte de diversos
sistemas operacionais e dispositivos de telecomunicaes paraestudar
suas vulnerabilidades e seu funcionamento interno.Toda essa
atividade visava satisfazer minha prpria curiosidade, ver o que eu
poderia fazer e des-cobrir informaes secretas sobre os sistemas
operacionais, telefones celulares e tudo o que chamasseminha
ateno.LTIMAS IDIASReconheci desde a minha priso que minhas aes eram
ilegais e que cometi invases de privacidade.Meus crimes foram
motivados pela curiosidade. Eu queria saber o mximo possvel sobre
omodo como funcionavam as redes de telefonia e os prs e Contras da
segurana de computadores.xiii
12. Arte de EnganarPassei de uma criana que adorava fazer
truques de mgica para o hacker mais conhecido do mundo,temido pelas
corporaes e pelo governo. Ao pensar nesses ltimos 30 anos, tenho de
admitir quetomei algumas decises ruins, motivadas pela minha
curiosidade, pelo desejo de aprender sobre atecnologia e pela
necessidade de um bom desafio intelectual.Hoje sou outra pessoa.
Estou transformando meus talentos e o extenso conhecimento que
reunisobre a segurana das informaes e sobre as tticas da engenharia
social para ajudar o governo, asempresas e os indivduos a evitar,
detectar e responder s ameaas da segurana da informao.Este livro
mais uma forma pela qual posso usar a minha experincia para ajudar
os outros aevitarem os esforos dos ladres mal-intencionados de
informaes de todo o mundo. Creio que oleitor achar as histrias
agradveis, elucidativas e educativas.xiv
13. Este livro contm inmeras informaes sobre a segurana das
informaes e a engenharia social.Para ajud-lo a encontrar o seu
caminho, apresento a sua organizao:Na Parte 1, revelo o elo mais
fraco da segurana e mostro o motivo pelo qual voc e a sua empre-sa
esto arriscados a sofrer ataques da engenharia socialNa Parte 2,
voc ver como os engenheiros sociais brincam com a sua confiana, com
o seudesejo de ser til, com a sua simpatia e com a sua credulidade
para obter aquilo que eles querem. Ashistrias fictcias de ataques
tpicos demonstraro que os engenheiros sociais podem assumir
muitosSe acha que nunca encontrou um, provavelmente est errado. Voc
reconheceria um cenriono qual j esteve nessas histrias e se
perguntaria seja teve um contato com a engenharia social? Isso bem
possvel. Mas depois de ler os Captulos 2 a 9, voc saber como ter a
palavra final quando oprximo engenheiro social ligar.Na Parte 3,
voc v como o engenheiro social faz as suas apostas em histrias
criadas para mostrar como ele pode entrar nas instalaes da sua
corporao, roubar o tipo de segredo que pode criarou destruir a sua
empresa e frustrar as suas medidas de segurana de alta tecnologia.
Os cenriosdesta seo o conscientizaro sobre as ameaas que variam da
simples vingana de um empregadoate o ciberterrorismo. Se voc
valoriza as informaes que mantm a sua empresa funcionando e
aprivacidade dos seus dados, vai querer ler os Captulos 10 a 14 do
incio ao final. importante observar que a menos que seja declarado
o contrrio, as piadas deste livro so pu-ramente fictcias.Na Parte
4, falo em linguagem corporativa sobre como evitar ataques
bem-sucedidos da enge-nharia social na sua organizao. O Captulo 15
fornece um roteiro de um programa de treinamentoem segurana
bem-sucedido. E o Captulo 16 pode salvar o seu pescoo ele traz uma
poltica desegurana completa que voc pode personalizar para a sua
organizao e implementar imediatamentepara manter seguras a sua
empresa e as suas informaes.Finalmente, forneci uma seo Segurana
Rpida, que inclui listas de verificao, tabelas e grfi-cos que
resumem as principais informaes que voc pode usar para ajudar seus
empregados a frus-trar um ataque da engenharia social no trabalho.
Essas ferramentas tambm fornecem informaesvaliosas que voc pode
usar para criar seu prprio programa de treinamento em segurana.Voc
tambm encontra diversos elementos teis: as caixas de texto "Jargo"
fornecem as defini-es da engenharia social e a terminologia dos
hackers de computadores, os "Recados do Mitnick"oferecem em poucas
palavras o conhecimento para ajudar a fortalecer a sua estratgia de
segurana,e as notas e quadros fornecem informaes prticas ou
adicionais.
14. Bastidores
15. O Elo Mais Fraco da SeguranaUma empresa pode ter adquirido
as melhores tecnologias de segurana que o dinheiro pode com-prar,
pode ter treinado seu pessoal to bem que eles trancam todos os
segredos antes de ir embo-ra e pode ter contratado guardas para o
prdio na melhor empresa de segurana que existe.Mesmo assim essa
empresa ainda estar vulnervel.Os indivduos podem seguir cada uma
das melhores prticas de segurana recomendadas pelosespecialistas,
podem instalar cada produto de segurana recomendado e vigiar muito
bem a configu-rao adequada do sistema e a aplicao das correes de
segurana.Esses indivduos ainda estaro completamente vulnerveis.O
FATOR HUMANOAo testemunhar no Congresso h pouco tempo, expliquei
que poderia conseguir senhas e outras infor-maes sigilosas nas
empresas fingindo ser outra pessoa e simplesmente pedindo essas
informaes.E natural querer se sentir seguro e isso leva muitas
pessoas a buscarem uma falsa idia de seguran-a. Veja o caso do
responsvel e carinhoso proprietrio de uma casa que tem um Medico,
um cadeadode fechadura conhecido como sendo prova de roubo, o qual
foi instalado na porta da frente paraproteger sua esposa, seus
filhos e sua casa. Agora ele est certo de que tornou sua famlia
muito maissegura com relao a intrusos. Mas e o intruso que quebra
uma janela ou descobre o cdigo que abre aporta da garagem? Que tal
instalar um sistema de segurana resistente? Isso melhor, mas no
garantenada. Com cadeados caros ou no, o proprietrio da casa
permanece vulnervelPor qu? Porque o fator humano o elo mais fraco
da segurana.Com freqncia, a segurana apenas uma iluso, que s vezes
fica pior ainda quando entram emjogo a credulidade, a inocncia ou a
ignorncia. O cientista mais respeitado do mundo no sculo XX,Albert
Einstein, disse: "Apenas duas coisas so infinitas: o universo e a
estupidez humana, e eu notenho certeza se isso verdadeiro sobre o
primeiro". No final, os ataques da engenharia social podem
tersucesso quando as pessoas so estpidas ou, em geral, apenas
desconhecem as boas prticas da seguran-a. Com a mesma atitude do
nosso proprietrio de casa consciente sobre a segurana, muitos
profissio-nais da tecnologia da informao (TI) conservam a idia
errada de que tomaram suas empresas imunesao ataque porque usaram
produtos de segurana padro firewalls, sistemas de deteco de
intrusos(Intrusion Detection Systems) ou dispositivos avanados de
autenticao, tais como tokens baseadosno tempo ou cartes biomtricos
inteligentes. Todos que acham que os produtos de segurana
sozinhosoferecem a verdadeira segurana esto fadados a sofrer da
iluso da segurana, Esse o caso de viverem um mundo de fantasia:
mais cedo ou mais tarde eles sero vtimas de um incidente de
segurana.
16. A Arte de EnganarComo observou o consultor de segurana
Bruce Schneier, "a segurana no um produto, ela um processo". Alm
disso, a segurana no um problema para a tecnologia ela um
problemapara as pessoas e a direo.A medida que os especialistas
contribuem para o desenvolvimento contnuo de melhores tecnolo-gias
de segurana, tornando ainda mais difcil a explorao de
vulnerabilidades tcnicas, os atacantesse voltaro cada vez mais para
a explorao do elemento humano. Quebrar a "firewall humana"
quasesempre fcil, no exige nenhum investimento alm do custo de uma
ligao telefnica e envolveum risco mnimo.UM CASO CLSSICO DE
FRAUDEQual e a maior ameaa segurana dos bens da sua empresa? Isso
fcil: o engenheiro social, ummgico inescrupuloso que faz voc olhar
a sua mo esquerda enquanto com a mo direita rouba seussegredos.
Esse personagem quase sempre to amistoso, desembaraado e prestativo
que voc sesente feliz por t-lo encontrado.D uma olhada em um
exemplo da engenharia social. No h muitas pessoas hoje que ainda se
lem-bram do jovem chamado Stanley Mark Rifkin e de sua pequena
aventura com o agora extinto SecurityPacific National Bank, de Los
Angeles. Os relatos dessa invaso variam e Rifkin (assim como eu)
nuncacontou a sua prpria verso. Assim sendo, o que vem a seguir se
baseia nos relatrios publicados.Descoberta do cdigoCerto dia em
1978, Rifkin perambulou pela sala de transferncia eletrnica com
acesso autorizadoapenas para os funcionrios do Security Pacific, na
qual a equipe enviava e transferia vrios bilhesde dlares todos os
dias.Ele trabalhava como contratado de uma empresa que desenvolvia
um sistema de backup para osdados da sala de transferncia para o
caso de seu computador principal ficar paralisado. Essa funodeu-lhe
acesso aos procedimentos de transferncia, incluindo o modo como os
funcionrios do bancoorganizavam o envio de uma transferncia. Ele
aprendeu que os funcionrios do banco que estavamautorizados a pedir
as transferncias eletrnicas recebiam um cdigo dirio secreto a cada
manh, oqual era usado quando ligavam para a sala de transferncia.Na
sala de transferncia, os funcionrios nem se davam ao trabalho de
memorizar o cdigo decada dia. Eles escreviam o cdigo em um pedao de
papel e o colocavam em um lugar no qual podiamv-lo facilmente.
Nesse dia de novembro em particular, Rifkin tinha um motivo
especfico para a suavisita. Ele queria dar uma olhada naquele
papel.Ao chegar sala de transferncia, anotou os procedimentos
operacionais, supostamente para tercerteza de que o sistema de
backup se combinaria com os sistemas normais. Nesse meio tempo,
leudiscretamente o cdigo de segurana no pedao de papel e o
memorizou. Alguns minutos depois foiembora. Como declarou mais
tarde, ele se sentiu como se houvesse ganhado na loteria.H essa
conta no banco suo...Ao sair da sala l pelas 3 horas da tarde, ele
foi direto para o telefone pblico no saguo de mrmoredo prdio, no
qual depositou uma ficha e discou para a sala de transferncia
eletrnica. Em seguida,transformou-se de Stanley Rifkin. consultor
do banco, em Mike Hansen, um membro do Departa-mento Internacional
do banco.4
17. Captulo 1 O Elo Mais Fraco da SeguranaSegundo uma fonte, a
conversao foi mais ou menos esta:"Ol, aqui quem fala Mike Hansen,
do Internacional", ele disse para a jovem que atendeu
aotelefone.Ela pediu o nmero do escritrio. Esse era um procedimento
padro e ele estava preparado."286", respondeu.A garota continuou,
"Muito bem, qual o cdigo?"Rifkin disse que nesse ponto o seu corao
disparado pela adrenalina "retomou o ritmo". Elerespondeu com calma
"4789". Em seguida, deu as instrues para a transferncia de "dez
milhes eduzentos mil dlares exatamente" para o Irving Trust Company
de Nova York, a crdito do WozchodHandels Bank de Zurique, Sua, onde
ele j havia aberto uma conta.Em seguida, a garota retrucou: "Muito
bem, entendi. Agora preciso do nmero de estabelecimen-to entre
escritrios."Rifkin comeou a suar frio; essa era uma pergunta que
ele no havia previsto, algo que havia es-quecido nos detalhes da
sua pesquisa. Mas conseguiu permanecer calmo, agiu como se tudo
estivessebem e respondeu rapidamente: "Eu vou verificar e ligo logo
em seguida." Ele ligou para outro depar-tamento do banco, s que
desta vez alegou ser um empregado da sala de transferncia
eletrnica. Eleconseguiu o nmero de estabelecimento e ligou
novamente para a garota.Ela anotou o nmero e agradeceu. (Nessas
circunstancias o seu agradecimento tem de ser consi-derado como
algo altamente irnico.)Conseguindo o fechamentoAlguns dias depois,
Rifkin voou para a Sua, pegou o seu dinheiro e trocou mais de US$ 8
milhescom uma agncia russa por diamantes. Ele voou de volta e
passou pela alfndega americana com aspedras ocultas no cinto de
carregar dinheiro. Ele havia dado o maior desfalque bancrio da
histria e fez isso sem usar uma arma, sequer um computador. O
curioso que sua travessura chegou spginas do Guiness Book na
categoria de "a maior fraude de computadores".Stanley Rifkin usou a
arte da fraude as habilidades e as tcnicas que hoje so chamadas
deengenharia social. Um planejamento cuidadoso e uma boa conversa
foram tudo do que precisou.E este livro fala disso das tcnicas da
engenharia social (nas quais sou especializado) e comose defender
contra o seu uso na sua empresa.A NATUREZA DA AMEAAA histria de
Rifkin deixa bastante claro como a sua sensao de segurana pode ser
enganosa. Inci-dentes como esse muito bem, eles podem no ser
desfalques de US$ 10 milhes, mas so sempreprejudiciais acontecem
todos os dias. Voc pode estar perdendo dinheiro agora mesmo, ou
algumpode estar roubando os planos de novos produtos e voc nem sabe
disso. Se isso ainda no aconteceuna sua empresa, o problema no se
isso acontecer, mas sim quando acontecer.Uma preocupao crescenteO
Computer Security Institute, em sua pesquisa de 2001 sobre os
crimes de computadores relatouque 85% das organizaes entrevistadas
detectaram quebras na segurana dos computadores nos 125
18. A Arte de Enganarmeses anteriores. Esse um nmero
assustador: apenas 15 entre cem organizaes responderam quepodiam
dizer que no haviam tido uma quebra de segurana durante o ano.
Igualmente assustadorfoi o nmero de organizaes que informaram terem
tido prejuzos financeiros devido a quebras nasegurana dos
computadores: 64%. Bem mais do que metade das organizaes havia tido
prejuzosfinanceiros. Tudo isso em um nico ano.Por experincia
prpria, acredito que os nmeros dos relatrios como esse so um pouco
exa-gerados. Suspeito da agenda das pessoas que realizam uma
pesquisa. Mas isso no quer dizer que odano no seja extenso. Ele ,
sim. Aqueles que no planejam um incidente de segurana esto
plane-jando o fracasso.Os produtos comerciais de segurana
empregados na maioria das empresas visam principalmenteo
fornecimento da proteo contra o intruso amador de computadores,
assim como as crianas queso conhecidas como script kiddies. Na
verdade, esses pretendentes a hackers com software baixa-do so mais
um aborrecimento. Quanto maiores as perdas, mais reais as ameaas
vindas de atacantessofisticados com alvos bem-definidos e motivados
pelo ganho financeiro. Essas pessoas concentram-se em um alvo de
cada vez e no so como os amadores, que tentam se infiltrar no maior
nmeropossvel de sistemas. Enquanto os intrusos amadores de
computadores apenas buscam a quantidade,os profissionais visam as
informaes de qualidade e valorAs tecnologias como os dispositivos
de autenticao (para fornecer a identidade), o controle deacesso
(para gerenciar o acesso aos arquivos e recursos do sistema) e os
sistemas de deteco de in-trusos (o equivalente eletrnico dos
alarmes contra arrombamento) so necessrias para um
programacorporativo de segurana. Mesmo assim, hoje em dia tpico de
uma empresa gastar mais dinheiro emcaf do que em medidas de
contra-ataque para proteger-se dos ataques segurana.Assim como uma
mente criminosa no resiste tentao, a mente do hacker orientada para
en-contrar maneiras de burlar as poderosas salvaguardas da
tecnologia de segurana. E em muitos casos,eles fazem isso visando s
pessoas que usam a tecnologia.Prticas fraudulentasH um ditado
popular que diz que um computador seguro aquele que est desligado.
Isso inteligente,mas falso: o hacker convence algum a entrar no
escritrio e ligar aquele computador Um adversrioque quer as suas
informaes pode obt-las, em geral, usando uma de vrias maneiras.
Tudo uma ques-to de tempo, pacincia, personalidade e persistncia.
nesse ponto que entra a arte da fraude.Para anular as medidas de
segurana, um atacante, um invasor ou um engenheiro social
deveencontrar um modo de enganar um usurio de confiana para que ele
revele as informaes, ou de-ve enganar algum importante para que ele
fornea o acesso. Quando os empregados de confiana soenganados,
influenciados ou manipulados para revelar informaes sigilosas ou
para executar aesque criem um buraco na segurana para que o
atacante se infiltre, nenhuma tecnologia do mundo podeproteger uma
empresa. Assim como os analistas de criptografia podem revelar o
texto simples de umamensagem codificada encontrando um ponto fraco
que permita que desviem da tecnologia da cripto-grafia, os
engenheiros sociais enganam os seus empregados para desviar da
tecnologia da segurana.ABUSO DE CONFIANANa maioria dos casos, os
engenheiros sociais bem-sucedidos tm uma habilidade muito boa em
lidarcom as pessoas. Eles so charmosos, educados e agradam
facilmente os traos sociais necessrios6
19. Capitulo 1 O Elo Mais Fraco da Seguranapara estabelecer a
afinidade e confiana. Um engenheiro social experiente pode ter
acesso a pratica-mente qualquer informao-alvo usando as estratgias
e tticas da sua habilidade.Os tecnologistas experientes tm
desenvolvido solues de segurana da informao para mini-mizar os
riscos ligados ao uso dos computadores, mas mesmo assim deixaram de
fora a vulnerabili-dade mais significativa: o fator humano, Apesar
do nosso intelecto, ns humanos voc, eu e todasas outras pessoas
continuamos sendo a ameaa mais sria segurana do outro.O nosso
carter nacionalNo temos conscincia da ameaa, em particular no mundo
ocidental, Nos Estados Unidos, no somostreinados para suspeitarmos
uns dos outros. Somos ensinados a "amar o prximo" e ter confiana e
funs nos outros. Veja como difcil para as organizaes de vigilncia
de vizinhana fazer com que aspessoas tranquem suas casas e seus
carros. Esse tipo de vulnerabilidade bvio, e mesmo assim pareceser
ignorado por muitas pessoas que preferem viver em um mundo de
sonhos at se queimarem.Sabemos que nem todas as pessoas so gentis e
honestas, mas vivemos como se elas fossem.Essa adorvel inocncia tem
sido a estrutura da vida americana e doloroso desistir dela, Como
umanao, incorporamos ao nosso conceito de liberdade a idia de que o
melhor lugar para viver aquelesem cadeados e chaves,A maioria das
pessoas supe que no ser enganada, com base na crena de que a
probabilidade deser enganada muito baixa; o atacante, entendendo
isso como uma crena comum, faz a sua solicita-o soar to razovel que
no levanta suspeita enquanto explora a confiana da vtima.Inocncia
organizacionalEssa inocncia que faz parte do nosso carter nacional
ficou evidente quando os computadores foramconectados remotamente
pela primeira vez. Lembre-se de que a ARPANet (a Rede da Agncia
deProjetos de Pesquisa Avanada do Departamento de Defesa), a
antecessora da Internet, foi criadacomo um modo de compartilhar
informaes de pesquisa entre o governo e as instituies de pesquisae
educacionais. O objetivo era a liberdade de informaes, bem como o
avano tecnolgico. Muitasinstituies educacionais, portanto,
configuraram os primeiros sistemas de computadores com poucaou
nenhuma segurana, Um libertrio famoso dos computadores, Richard
Stallman, at se recusou aproteger a sua conta com uma senha.Mas com
a Internet sendo usada para o comrcio eletrnico, os perigos da
pouca segurana donosso mundo eletrnico mudaram muito. O emprego de
mais tecnologia no vai solucionar o proble-ma da segurana
humana,Basta dar uma olhada em nossos aeroportos hoje, A segurana
tornou-se imperativa e mesmoassim somos surpreendidos com notcias
de passageiros que conseguiram burlar a segurana e passarcom armas
pelos pontos de checagem. Como isso possvel em uma poca na qual os
nossos aero-portos esto em tal estado de alerta? Os detectores de
metal esto falhando? No. O problema no soas mquinas, mas o fator
humano: as pessoas que operam a mquina. Os funcionrios dos
aeroportospodem dirigir a Guarda Nacional e instalar detectores de
metal e sistemas de reconhecimento facial,mas a educao da equipe de
frente da segurana sobre como examinar adequadamente os
passageirospode ajudar muito mais,O mesmo problema existe dentro do
governo, das empresas e das instituies educacionais detodo o mundo,
Apesar dos esforos dos profissionais de segurana, as informaes em
toda a parte7
20. 8 A Arte de Enganarpermanecem vulnerveis e continuaro sendo
vistas como um alvo pelos atacantes que tm habilida-des de
engenharia, at que o elo mais fraco da cadeia de segurana, o elo
humano, seja fortalecido,Agora mais do que nunca devemos aprender a
parar de ser otimistas e nos tornarmos maisconscientes das tcnicas
que esto sendo usadas por aqueles que tentam atacar a
confidencialidade,integridade e disponibilidade das informaes dos
nossos sistemas e redes de computadores. Nsacostumamo-nos a aceitar
a necessidade da direo segura; agora est na hora de aceitar e
aprender aprtica da computao defensiva.A ameaa de uma invaso que
viola a nossa privacidade, a nossa mente ou os sistemas de
in-formaes da nossa empresa pode no parecer real at que acontea.
Para evitar tamanha dose derealidade precisamos nos conscientizar,
educar, vigiar e proteger os nossos ativos de informaes,as nossas
informaes pessoais e as infra-estruturas crticas da nossa nao. E
devemos implementaressas precaues hoje mesmo.TERRORISTAS E FRAUDEE
bvio que a fraude no uma ferramenta exclusiva do engenheiro social.
O terrorismo fsico maisnoticiado e tivemos de reconhecer como nunca
antes que o mundo um lugar perigoso. Afinal decontas, a civilizao
apenas um verniz superficial.Os ataques a Nova York e Washington,
D.C, em setembro de 2001, infundiram tristeza e medonos coraes de
cada um de ns no apenas nos americanos, mas tambm em todas as
pessoas bem-intencionadas de todas as naes. Agora estamos alertas
para o fato de que h terroristas obcecadoslocalizados em todo o
planeta, bem treinados e aguardando para lanar outros ataques
contra ns.O esforo recentemente intensificado do nosso governo
aumentou os nveis de nossa conscin-cia de segurana. Precisamos
permanecer alertas, em guarda contra todas as formas de terrorismo
eentender como os terroristas criam identidades falsas, como
assumem os papis de alunos e vizinhose se misturam multido. Eles
mascaram suas crenas verdadeiras enquanto conspiram contra ns
praticando truques de fraude semelhantes queles que voc ver nestas
pginas.Embora at onde eu saiba os terroristas ainda no usaram as
artimanhas da engenharia socialpara se infiltrarem nas corporaes,
nas estaes de tratamento de gua, nas instalaes de gerao
deeletricidade ou em outros componentes vitais da nossa
infra-estrutura nacional, o potencial para issoexiste. E isso muito
fcil. A conscincia de segurana e as polticas de segurana que espero
sejamcolocadas em prtica e implantadas pelo gerenciamento
corporativo de primeiro escalo por causadeste livro no viro cedo
demais.SOBRE ESTE LIVROA segurana corporativa uma questo de
equilbrio. Pouca ou nenhuma segurana deixa a sua em-presa
vulnervel, mas uma nfase exagerada atrapalha a realizao dos negcios
e inibe o crescimentoe a prosperidade da empresa. O desafio atingir
um equilbrio entre a segurana e a produtividade.Outros livros sobre
segurana corporativa concentram-se na tecnologia de hardware e
software eno abordam adequadamente a ameaa mais sria de todas: a
fraude humana. A finalidade aqui aju-d-lo a entender como voc, seus
colegas e as outras pessoas da sua empresa esto sendo manipuladose
ensin-lo a erguer as barreiras para pararem de ser vtimas. O livro
concentra-se principalmente nosmtodos no tcnicos que os invasores
hostis usam para roubar informaes, comprometer a integri-
21. Captulo 1 O Elo Mais Fraco Da Seguranadade das informaes
que se acredita estarem seguras, mas que no esto, ou para destruir
o produtode trabalho da empresa.A minha tarefa torna-se mais difcil
por causa de uma nica verdade; cada leitor ter sido manipu-lado
pelos maiores especialistas de todos os tempos da engenharia social
seus pais. Eles encontra-ram maneiras de fazer com que voc "para o
seu prprio bem" fizesse aquilo que achavam sero melhor Os pais
tomam-se os grandes contadores de histrias da mesma forma que os
engenheirossociais desenvolvem com habilidade cada uma das histrias
plausveis, dos motivos e das justificati-vas para atingir seus
objetivos. Sim, todos fomos moldados por nossos pais: benevolentes
(e, s vezes,nem tanto) engenheiros sociais.Condicionados por aquele
treinamento, tornamo-nos vulnerveis manipulao. Teramos umavida
difcil se tivssemos de estar sempre em guarda e desconfiando dos
outros, preocupados como fato de sermos feitos de bobos por algum
que est tentando se aproveitar de ns. Em um mundoperfeito,
confiaramos implicitamente nos outros, certos de que as pessoas que
encontramos sero ho-nestas e confiveis. Mas no vivemos em um mundo
perfeito e, portanto, temos de exercer um padrode vigilncia para
repelir os esforos fraudulentos dos nossos adversrios.As principais
partes deste livro, as Partes 2 e 3, so formadas por histrias que
mostram os enge-nheiros sociais em ao. Nessas sees, voc ler sobre:
O que os phreaks (hackers da telefonia) descobriram h anos: um
mtodo simples para obterum nmero de telefone no relacionado na
empresa de telefonia. Vrios mtodos diferentes usados pelos
atacantes para convencer at mesmo os empregadosalertas e
desconfiados a revelarem seus nomes de usurio e as senhas de
computador Como um gerente do Centro de Operaes cooperou para
permitir que um atacante roubasseas informaes de produto mais
secretas da sua empresa. Os mtodos de um atacante que enganou uma
senhora para baixar software que espia cadatecla que ela digita e
envia os detalhes por e-mail para ele. Como os detetives
particulares obtm as informaes sobre a sua empresa e sobre voc,
eposso garantir que isso far voc sentir um arrepio na espinha.Voc
pode achar que as histrias das Partes 2 e 3 no so possveis, que
ningum poderia tersucesso com as mentiras, com os truques sujos e
os esquemas descritos. A verdade que, em cada umdesses casos, as
histrias descrevem eventos que podem acontecer e acontecem; muitas
delas estoacontecendo todos os dias em algum lugar do planeta,
talvez at mesmo estejam acontecendo na suaempresa enquanto voc est
lendo.Essas informaes abriro seus olhos para que voc proteja a sua
empresa, rebata os avanos deum engenheiro social e proteja a
integridade das informaes na sua vida privada.Na Parte 4, mudo de
assunto. O meu objetivo aqui ajudar voc a criar as polticas de
negciose o treinamento em conscientizao necessrios para minimizar
as chances de seus empregados se-rem enganados por um engenheiro
social. O entendimento das estratgias, dos mtodos e das tticasdo
engenheiro social o ajudar a preparar-se para empregar controles
razoveis que salvaguardam osseus ativos de TI, sem afetar a
produtividade da sua empresa.Em resumo, escrevi este livro para
aumentar a sua conscientizao sobre a sria ameaa repre-sentada pela
engenharia social e para ajud-lo a ter certeza de que a sua empresa
e seus empregadostm menos chances de serem explorados dessa
maneira.Ou, quem sabe, devesse dizer bem menos chances de serem
explorados novamente,9
22. A Arte doAtacante
23. Quando as Informaes No SoInofensivasDe acordo com a maioria
das pessoas, qual a verdadeira ameaa dos engenheiros sociais? O
quevoc deve fazer para se proteger?Se o objetivo capturar algum
prmio altamente valioso digamos um componente vital docapital
intelectual da empresa , ento talvez voc precise, no sentido
figurado, apenas de um cofremais forte e de guardas mais armados.
Certo?Mas na verdade a invaso da segurana de uma empresa quase
sempre comea com o cara mauobtendo alguma informao ou algum
documento que parece ser muito inocente, to comum e semimportncia
que a maioria das pessoas da organizao no v nenhum motivo pelo qual
ele deva serprotegido e restrito.O VALOR OCULTO DAS INFORMAESGrande
parte das informaes aparentemente incuas de posse de uma empresa
cobiada por uraatacante da engenharia social porque ela pode ter um
papel vital em seu esforo de se revestir decredibilidade.Em todas
estas pginas, mostro como os engenheiros sociais fazem o que fazem
permitindo quevoc "testemunhe" os ataques por si mesmo apresentando
a ao sob o ponto de vista das vtimase permitindo que voc coloque-se
em seu lugar e mea como voc mesmo (ou talvez um dos seusempregados
ou colegas) teria respondido. Em muitos casos, voc tambm
experimentar os mesmoseventos sob a perspectiva do engenheiro
social.A primeira histria examina a vulnerabilidade na indstria
financeira.CREDITCHEXDurante muito tempo, os britnicos conviveram
com um sistema bancrio muito conservador, Comoum cidado comum, voc
no podia atravessar a rua e abrir uma conta no banco. No, o banco
nempensaria em aceit-lo como cliente, a menos que algum cliente j
bem estabelecido lhe fornecesseuma carta de recomendao.Isso muito
diferente do aparentemente igualitrio sistema bancrio de hoje. Em
nenhum outrolugar a nossa moderna facilidade de fazer negcios est
em mais evidncia do que na Amrica demo-
24. 14 A Arte de Enganarcrtica e amistosa, na qual quase todos
podem entrar em um banco e abrir facilmente uma conta cor-rente,
certo? Bom, as coisas no so bem assim. A verdade que os bancos tem
uma compreensvelrelutncia natural em abrir uma conta para algum que
pode ter um histrico de emitir cheques semfundo isso seria como dar
as boas-vindas a uma folha corrida de roubos a banco e condenaes
pordesfalques. Assim sendo, muitos bancos adotam a prtica padro de
atribuir polegares para cima oupara baixo para um possvel novo
cliente.Uma das principais empresas que os bancos contratam para
obter essas informaes um localque chamaremos de CreditChex. Elas
fornecem um servio valioso a seus clientes, mas, assim comomuitas
empresas, tambm podem fornecer sem querer um servio til para os
engenheiros sociaisbem informados.A primeira ligao: Kim
Andrews"National Bank, Kim. Voc quer abrir uma conta hoje?""Ol,
Kim. Eu quero fazer uma pergunta. Vocs usam a
CreditChex?""Sim.""Quando vocs ligam para a CreditChex, como voc
chama o nmero que fornece umMD do Comerciante"?H uma pausa; ela est
pensando na pergunta, perguntando-se do que se trata e se eladeve
responder.O interlocutor continua rapidamente sem perder o ritmo:
"Sabe, Kim. estou escrevendoum livro. Ele trata de investigaes
particulares.""Sim", ela diz, respondendo pergunta com confiana e
feliz em ajudar um escritor."Ento vocs chamam esse nmero de ID do
comerciante, no ?""Hum, hum.""timo, porque eu queria ter certeza de
que estava usando a linguagem certa no livro.Obrigado pela sua
ajuda. At logo, Kim."A segunda ligao: Chris Talbert"National Bank,
Contas Novas, Chris"."Ol, Chris. Aqui o Alex", o interlocutor diz.
"Eu sou um representante do servio aocliente da CreditChex. Estamos
fazendo uma pesquisa para melhorar os nossosservios. Voc tem alguns
minutos?"Ela concordou e o interlocutor continua:"Muito bem qual o
horrio de funcionamento da sua filial?" Ela respondeu e
continuourespondendo s suas perguntas."Quantos empregados da sua
filial usam o nosso servio?""Com que freqncia voc liga para ns com
uma consulta?""Qual dos nossos nmeros 800 ns designamos para vocs
usarem ao ligar para ns?""Os nossos representantes so sempre
educados?""Qual o nosso tempo de resposta?"
25. Captulo 2 Quando as informaes No So Inofensivas"H quanto
tempo voc trabalha no banco?""Qual ID de Comerciante voc est usando
no momento?""Voc j encontrou alguma impreciso nas informaes que
fornecemos?""Se voc tivesse alguma sugesto para melhorar o nosso
servio, qual seria?"E finalmente:"Voc se importaria em preencher
questionrios peridicos se os envissemos para asua filial?"Ela
concordou, eles conversaram um pouco, o interlocutor desligou e
Chris voltou aotrabalho.A terceira ligao: Henry
McKinsey"CreditChex, Henry McKinsey, posso ajudar?"O interlocutor
disse que ele era do National Bank, Ele deu o ID de Comerciante
adequadoe. em seguida, o nome e o nmero do seguro social da pessoa
de quem ele queria infor-maes. Henry pediu a data de nascimento e o
interlocutor forneceu-a tambm.Aps alguns instantes, Harry leu a
listagem na tela do seu computador.Wells Fargo informou NSF em
1998, uma vez, valor de US$ 2.066." NSF fundosinsuficientes a
linguagem conhecida para os cheques que foram passados semque
houvesse dinheiro em conta para a sua compensao."Alguma atividade
desde ento?""Nenhuma atividade.""Houve outras consultas?""Vejamos.
Sim, duas e ambas no ltimo ms. A terceira no United Credit Union,
deChicago." Ele parou no prximo nome, Schenectady Mutual
Investments, e teve de so-letr-lo. "Isso no Estado de Nova York",
ele acrescentou.O detetive particular em aoTodas aquelas trs ligaes
foram feitas pela mesma pessoa: um detetive particular que
chamaremosde Oscar Grace. Grace tinha um cliente novo, um de seus
primeiros clientes. Ele era tira h algunsmeses e descobriu que
parte desse novo trabalho veio naturalmente, mas outra parte
representava umdesafio para os seus recursos e a sua
criatividade.Esse cliente classificava-se sem dvida na categoria do
desafio. Os insensveis olhos privados dafico os Sam Spades e os
Philip Marlowes passaram madrugadas sentados em carros obser-vando
uma esposa infiel. Os detetives da vida real fazem o mesmo. Eles
tambm fazem coisas sobreas quais no se escreve tanto, mas um tipo
no menos importante de espionagem de esposas, ummtodo que depende
mais das habilidades de engenharia social do que da luta contra o
aborrecimentodas viglias na madrugada.O novo cliente de Grace era
uma senhora que parecia ter um oramento bastante grande para
rou-pas e jias. Ela entrou certo dia no seu escritrio e sentou-se
na cadeira de couro, a nica que no tinhapapis empilhados. Ela
colocou a sua bolsa Gucci na mesa com o logotipo virado para ele e
anunciouque pretendia dizer ao marido que queria se divorciar, mas
admitia ter "apenas um probleminha".15
26. 16 A Arte de EnganarParece que o seu marido estava um passo
adiante. Ele j havia sacado o dinheiro de sua contapoupana e uma
soma maior ainda da sua conta em uma corretora. Ela queria saber o
destino do seupatrimnio e o advogado do seu divrcio no estava
ajudando muito. Grace conjecturou que o ad-vogado era um daqueles
conselheiros de altos salrios que no queriam sujar as mos com algo
tocomplicado quanto saber aonde foi parar o dinheiro.Ser que Grace
poderia ajudar?Ele garantiu que isso seria fcil, fez uma cotao para
o servio, fora as despesas, e recebeu umcheque como primeiro
pagamento.Em seguida, ele enfrentou o seu problema. O que voc faria
se nunca tivesse feito um trabalhoassim antes e no soubesse muito
bem por onde comear a rastrear o dinheiro? Voc avana a passosde
beb. Aqui, de acordo com a nossa fonte, est a histria de Grace.Eu
conhecia o CreditChex e o modo como os bancos o usavam a minha
ex-mulher trabalha-va em um banco. Mas no sabia qual era o jargo e
os procedimentos e seria perda de tempo tentarperguntar isso a
ela.Etapa um: Aprenda a terminologia e descubra como fazer a
solicitao para que parea que vocsabe do que est falando. No banco
para o qual liguei, a primeira jovem, Kim, desconfiou
quandoperguntei sobre como eles se identificavam quando ligavam
para o CreditChex. Ela hesitou; no sabiase devia contar isso para
mim. Fui derrotado por isso? Nem um pouco. Na verdade, a hesitao
medeu uma pista importante, um sinal de que eu tinha de fornecer um
motivo para que ela acreditasse.Quando apliquei a mentira de que
estava fazendo pesquisas para um livro, ela relaxou. Voc diz que um
escritor ou roteirista e todas as portas se abrem.Ela tinha outro
conhecimento que teria ajudado coisas como quais informaes o
CreditChexrequer para identificar a pessoa sobre a qual voc est
querendo as informaes, quais informaesvoc pode pedir e a maior
delas: qual era o nmero de ID de Comerciante do banco de Kim. Eu
estavapronto para fazer aquelas perguntas, mas a sua hesitao enviou
um sinal vermelho. Ela acreditouna histria da pesquisa para um
livro, mas j tinha algumas suspeitas. Se tivesse sido mais
receptivadesde o incio, eu teria pedido para que ela revelasse mais
detalhes sobre seus procedimentos.Voc tem de confiar em seus
instintos, ouvir com ateno o que o Mark est dizendo e comoele est
dizendo isso. Essa moa parecia ser bastante inteligente para ouvir
o alarme quando fizessemuitas perguntas incomuns. E embora ela no
soubesse quem eu era e de qual nmero eu estavafalando, mesmo assim
nesse negcio voc nunca quer que algum espalhe que est procurando
al-gum e liga para obter informaes sobre os negcios. Isso acontece
porque voc no quer queimara fonte voc pode ligar novamente para o
mesmo escritrio em outra ocasio.JargoMARK A vtima de uma
conspirao.QUEIMAR A FONTE Diz-se que um atacante queimou a fonte
quando ele permite queuma vitima reconhea que ocorreu um ataque.
Aps a vtima tomar conhecimento e no-tificar os outros empregados ou
a direo sobre a tentativa, fica muito difcil explorara mesma fonte
em ataques futuros.
27. Captulo 2 Quando as Informaes No So Inofensivas 17Sempre
observo os pequenos sinais que me do uma leitura da cooperao de uma
pessoa, emuma escala que vai desde "Voc parece uma boa pessoa e
acredito em tudo que voc est dizendo" at"Ligue para a polcia, chame
a Polcia Federal, essa pessoa no est querendo boa coisa".Entendi
que Kim estava um pouco em dvida, assim, liguei para algum de uma
filial diferente. Naminha segunda ligao com Chris, o truque da
pesquisa a encantou. A ttica aqui incluir as perguntasimportantes
entre aquelas sem conseqncias que so usadas para criar uma idia de
credibilidade.Antes de entrar com a pergunta sobre o nmero do ID de
Comerciante do CreditChex, fiz um pequenoteste de ltima hora
fazendo uma pergunta pessoal sobre h quanto tempo ela trabalhava no
banco.Uma pergunta pessoal e como um campo minado algumas pessoas
pisam sobre uma mina enunca percebem; no caso de outras pessoas, a
mina explode e faz com que elas saiam correndo embusca de segurana.
Assim sendo, se eu fizer uma pergunta pessoal, ela responder a
pergunta e o tomda sua voz no mudar, isso significa que
provavelmente ela no ctica sobre a natureza da solicita-o. Posso
seguramente fazer a pergunta que estou querendo sem levantar suas
suspeitas, e ela talvezme dar a resposta que desejo.Mais uma coisa
que um bom detetive particular sabe: nunca encerre uma conversao
aps obtera informao-chave. Outras duas ou trs perguntas, um pouco
de bate-papo e ento pode dizer adeus.Mais tarde, se a vtima se
lembrar de alguma coisa que voc perguntou, provavelmente ela se
lembra-r das ltimas perguntas. O restante em geral ser
esquecido.Assim, Chris me deu o seu nmero de ID de Comerciante e o
nmero de telefone que eles ligampara fazer as solicitaes, Eu
ficaria mais feliz se tivesse feito algumas perguntas sobre quantas
infor-maes possvel obter da CreditChex. Mas achei melhor no abusar
da minha sorte.Isso era como ter um cheque em branco da CreditChex.
Agora eu podia ligar e obter informaessempre que quisesse. E nem
tinha de pagar pelo servio. O representante da CreditChex ficou
satis-feito em compartilhar exatamente das informaes que eu queria;
os dois lugares nos quais o maridoda minha cliente havia se
inscrito recentemente para abrir uma conta. Assim sendo, onde
estavam osbens que a sua futura ex-mulher estava procurando? Onde
mais alm das instituies bancrias que ofuncionrio da CreditChex
relacionou?Um ID de Comerciante nessa situao como uma senha. Se o
pessoal do banco o tra-tasse como uma senha de caixa eletrnico,
eles poderiam apreciar a natureza delicadadas informaes. H algum
cdigo interno ou um nmero na sua organizao que noesteja sendo
tratado com cuidado suficiente pelas pessoas?Analisando a
trapaaTodo esse ardil baseou-se em uma das tticas fundamentais da
engenharia social: ganhar acesso s in-formaes que o empregado de
uma empresa trata como inofensivas, quando na verdade elas no so.A
primeira funcionria do banco confirmou a terminologia para
descrever o nmero de identifica-o usado ao ligar para o CreditChex:
o ID de Comerciante. A segunda forneceu o nmero de telefonepara
ligar para o CreditChex e a informao mais vital: o nmero de ID de
Comerciante. Todas essasinformaes pareciam ser inofensivas para a
funcionria. Afinal de contas, ela achou que estava falandocom algum
do CreditChex e assim, qual seria o mal de divulgar o
nmero?MitnickRecado do
28. A Arte de EnganarTudo isso criou a base para a terceira
ligao. Grace tinha tudo o que precisava para ligar para
aCreditChex, para se passar como representante de um de seus bancos
clientes, o National, e simples-mente pedir as informaes que estava
querendo.Com habilidades para roubar informaes to boas quanto
aquelas que um trapaceiro tem pararoubar o seu dinheiro, Grace
tinha talentos bem treinados para ler as pessoas. Ele conhecia a
tticacomum de esconder as principais perguntas entre aquelas mais
inocentes. Ele sabia que uma perguntapessoal testaria a disposio da
segunda funcionria em cooperar antes de pedir inocentemente onmero
do ID de Comerciante.O erro do primeiro funcionrio ao confirmar a
terminologia para o nmero do ID do CreditChexfoi um erro quase
impossvel de ser evitado. As informaes so to conhecidas dentro da
indstriabancria que elas parecem no ter importncia o prprio modelo
da inocncia. Mas a segundafuncionria, Chris, no deveria ter sido to
disposta a responder perguntas sem verificar se o interlo-cutor era
de fato quem dizia ser Ela deveria pelo menos ter anotado seu nome
e nmero e ter ligadonovamente. Dessa forma, se mais tarde surgisse
alguma dvida, ela teria um registro do nmero dotelefone usado pela
pessoa. Neste caso, uma ligao como essa tomaria muito mais difcil
para oatacante disfarar-se de representante do CreditChex.Teria
sido melhor ainda ligar para o CreditChex usando um nmero que o
banco j tinha em seusregistros no um nmero fornecido pelo
interlocutor para verificar se a pessoa realmente traba-lhava l, e
se a empresa eslava realmente fazendo uma pesquisa com os clientes.
Dados os detalhesprticos do mundo real e as presses de tempo sob as
quais a maioria das pessoas trabalha hoje emdia. seria muito
esperar esse tipo de ligao telefnica de verificao, exceto quando um
empregadosuspeita de que algum tipo de ataque est sendo realizado,A
ARMADILHA DE ENGENHEIROE de conhecimento geral que as empresas
caa-talentos usam as tticas da engenharia social pararecrutar
talentos corporativos. Este um exemplo de como isso pode
acontecer.No final dos anos de 1990, uma agncia de empregos no
muito tica conseguiu um cliente novo,uma empresa que estava
procurando engenheiros eltricos com experincia na indstria de
telefonia,O piv do projeto era uma senhora dotada de uma voz rouca
e um modo sexy que ela havia aprendidoa usar para desenvolver a
confiana inicial e afinidade pelo telefone.A senhora resolveu
atacar um provedor de servios de telefonia celular para saber se
ela pode-ria localizar alguns engenheiros que estivessem tentados a
atravessar a rua e ir trabalhar para umconcorrente. Ela no podia
ligar para a telefonista e dizer "Quero falar com algum que tenha
cincoanos de experincia como engenheiro". Em vez disso, por motivos
que ficaro claros em algunsinstantes, ela comeou o assalto aos
talentos buscando uma informao que parecia no ser nadasigilosa, uma
informao que a empresa d para quase todas as pessoas que a pedem.A
primeira ligao: a recepcionistaUsando o nome Didi Sands, a atacante
fez uma ligao para os escritrios da empresade telefonia celular.
Esta foi parte da conversao:Recepcionista: Boa tarde. Sou Marie.
posso ajudar?Didi: Voc pode me passar para o Departamento de
Transportes?18
29. Capitulo 2 Quando as Informaes No So InofensivasR: Eu no
sei se temos um, vou procurar na minha listagem. Com quem falo?D:
Aqui Didi.R: Voc est ligando do prdio ou.,.?D: No, eu estou fora do
prdio.R: Didi de qu?D: Didi Sands. Eu tinha o ramal de Transportes,
mas esqueci.R: Um momento.Para evitar suspeitas, nesse ponto Didi
fez uma pergunta casual s para manter a conver-sao, com a inteno de
estabelecer o fato de que ela estava "por dentro" e
familiarizadacom as localizaes da empresa.D: Em qual prdio voc est
Lakeview ou Main Place?R: Main Place. (pausa) O nmero 805 555
6469.Para ter um backup caso a ligao para Transportes no fornecesse
aquilo que ela estavaprocurando, Didi disse que ela tambm queria
falar com Imveis. A recepcionista deu essenmero tambm. Quando Didi
pediu para ser transferida para Transportes, a recepcionis-ta
tentou, mas a linha estava ocupada.Nesse ponto, Didi pediu um
terceiro nmero de telefone, o de Contas a Receber, o qualestava
localizado em um prdio corporativo em Austin, no Texas. A
recepcionista pediupara ela aguardar um momento e saiu da linha.
Ela estava consultando a Segurana dizen-do que estava com uma ligao
telefnica suspeita e achou que havia algo de estranho.De forma
alguma, responderam, e Didi no teve a menor preocupao. Ela estava
fican-do meio aborrecida, mas para a recepcionista isso tudo fazia
parte de um dia normal detrabalho. Aps cerca de um minuto, a
recepcionista voltou linha procurou o nmerode Contas a Receber, fez
a transferncia e colocou Didi na linha.A segunda ligao: PeggyA
prxima conversao foi assim:Peggy: Contas a Receber, Peggy.Didi: Oi,
Peggy. Aqui Didi, de Thousand Oaks.P: Oi, Didi.D: Como vai?P: Tudo
bem.Em seguida, Didi usou um termo familiar no mundo corporativo
que descreve o cdigode cobrana para designar as despesas no
oramento de uma organizao ou grupo detrabalho especfico:D;
Excelente. Tenho uma pergunta. Como encontro o centro de custo de
determinadodepartamento?P; Voc tem de falar com o analista de
oramento do departamento.D: Voc sabe quem o analista de oramento
para Thousand Oaks a sede? Eu estoutentando preencher um formulrio
e no sei qual o centro de custo apropriado.P: S sei que quando voc
precisa do nmero do centro de custo, voc liga para o seuanalista de
oramento.19
30. A Arte de EnganarD: Voc tem um centro de custo no seu
departamento ai no Texas?P: Temos o nosso prprio centro de custo,
mas eles no nos do a lista com todoseles.D: Quantos dgitos tem o
centro de custo? Por exemplo, qual o seu centro de custo?P: Bem,
voc trabalha no 9WC ou no SAT?Didi no tinha a menor idia de quais
eram esses departamentos ou grupos, mas isso noimportava. Ela
respondeu:D: 9WC.P: Ento em geral so quatro dgitos. Onde voc disse
que trabalhava?D: Na sede em Thousand Oaks.P: Bem, aqui tem um para
Thousand Oaks, 1A5N, com N de Nancy.Falando apenas o tempo
suficiente com algum que estava disposto a ajudar, Didi con-seguiu
o nmero do centro de custo de que precisava uma daquelas informaes
queningum pensa em proteger, porque parece algo que nunca ter valor
para uma pessoade fora.A terceira ligao: um nmero errado tilA
prxima etapa para Didi seria explorar o nmero do centro de custo e
transform-loem algo de valor verdadeiro, usando-o como uma ficha de
pquer.Ela comeou ligando para o departamento de Imveis fingindo ter
ligado para umnmero errado. Comeando com um "Desculpe incomodar,
mas...", ela disse que erauma funcionria que havia perdido a lista
de telefones da empresa e perguntou paraquem ela deveria ligar para
conseguir uma outra cpia. O homem disse que a cpiaimpressa estava
desatualizada, porque ela estava disponvel no site da intranet
daempresa.Didi disse que preferia usar uma cpia impressa e o homem
disse para ela ligar para Pu-blicaes e, em seguida, sem que ela
pedisse talvez s para manter a senhora com vozsexy mais um pouco na
linha procurou o nmero e o forneceu para ela.A quarta ligao: Bart,
em PublicaesEm Publicaes, ela falou com um homem chamado Bart. Didi
disse que era deThousand Oaks e que eles tinham um consultor novo
que precisava de uma cpia dalista de telefones da empresa. Ela
disse que uma cpia impressa funcionaria melhorpara o consultor,
mesmo que estivesse meio desatualizada. Bart disse que ela teria
depreencher um formulrio de requisio e envi-lo para ele.Didi disse
que estava sem formulrios e com muita pressa, e perguntou se Bart
no pode-ria fazer o favor de preencher o formulrio para ela. Ele
concordou, no muito entusiasma-do, e Didi forneceu os detalhes.
Como endereo da contratada fictcia, ela deu o nmerodaquilo que os
engenheiros sociais chamam de rnail drop, o qual, nesse caso, era
umaempresa de caixas postais na qual a sua empresa alugava caixas
postais para situaescomo aquela.A preliminar anterior tornou-se til
agora: seria cobrada uma taxa pelo custo e envio dalista. Muito bem
Didi deu o centro de custo de Thousand Oaks:"1A5N, com N de
Nancy".20
31. Captulo 2 Quando as Informaes No So Inofensivas 21Alguns
dias depois, quando chegou a lista de telefones corporativos, Didi
descobriu queisso valia mais a pena do que ela havia imaginado: ela
no apenas tinha os nomes e n-meros de telefones, mas tambm quem
trabalhava para quem a estrutura corporativade toda a organizao.A
senhora de voz forte estava pronta para comear a caar o seu talento
e fazer ligaestelefnicas em busca de pessoas. Ela havia trapaceado
as informaes que precisava terpara iniciar o seu ataque usando o
dom da palavra lapidado ao mximo que cada enge-nheiro social
habilidoso tem. Agora ela estava pronta para receber a
recompensa.Assim como as peas de um quebra-cabea, cada informao
parece irrelevante sozi-nha. Porm, quando as peas so juntadas, uma
figura aparece. Neste caso, a figura doengenheiro social mostrou
toda a estrutura interna da empresa.Analisando a trapaaNeste ataque
da engenharia social, Didi comeou conseguindo os telefones dos trs
departamentosda empresa-alvo. Isso foi fcil, os nmeros que ela
queria no eram segredo, particularmente para osempregados. Um
engenheiro social aprende a se fazer passar por algum de dentro da
empresa e Didifazia isso com habilidade,Um dos nmeros de telefone a
levaram a um nmero de centro de custo, o qual foi usado emseguida
para obter uma cpia da lista de telefones dos funcionrios da
empresa.As principais ferramentas que ela precisava ter: parecer
amistosa, usar um pouco do jargo cor-porativo e, com a ltima vtima,
jogar um pouco de areia nos olhos dos outros.E mais uma ferramenta,
um elemento essencial que no pode ser adquirido facilmente as
ha-bilidades de manipulao do engenheiro social refinadas por meio
de extensa prtica e as lies noescritas pelas geraes de homens de
confiana.MAIS INFORMAES "VALIOSAS"Alem de um nmero de centro de
custo e dos ramais dos telefones internos, quais outras
informaesaparentemente inteis podem ser valiosssimas para o seu
inimigo?Ligao telefnica para Peter Abel"Oi", a voz no outro lado da
linha diz. "Sou Tom. da Parkhurst Travel. As suas passagenspara So
Francisco esto prontas. Voc quer que as entreguemos ou vai
retir-las?"MAIL DROP O termo do engenheiro social para uma caixa
postal alugada, em geralcom um nome fictcio, a qual usada para o
recebimento de documentos ou pacotesque a vtima foi convencida a
enviar.JargoMitnickRecado do
32. 22 A Arte de Enganar"So Francisco?", diz Peter. "Eu no vou
para So Francisco.""O senhor Peter Abeis?""Sim, mas eu no tenho
nenhuma viagem programada.""Bem", disse o interlocutor com uma
risada amistosa, Voc tem certeza de que no querir a So
Francisco?","Se voc acha que pode convencer o meu chefe... ",
retruca Peter, brincando com aconversa amistosa."Parece que houve
alguma confuso", salienta o interlocutor, "No nosso sistema,
tomamosas providncias de viagem pelo nmero de empregado. Talvez
algum tenha usado onmero errado. Qual o seu nmero de
empregado?"Peter informa o seu nmero. E por que no? Ele aparece em
quase todos os formul-rios pessoais que preenche, muitas pessoas da
empresa tm acesso a ele recursoshumanos, folha de pagamento e,
obviamente, a agncia externa de viagens. Ningumtrata um nmero de
empregado como um segredo. Que diferena faria?A resposta no difcil
de descobrir. Duas ou trs informaes seriam o suficiente paramontar
uma farsa efetiva o engenheiro social usando a identidade de outra
pessoa.Consiga o nome de um empregado, o seu nmero de telefone, o
seu nmero de emprega-do, e quem sabe tambm o nome e nmero de
telefone do seu gerente, e um engenheirosocial a caminho de ser
competente tem a maior parte daquilo que ele precisa para pare-cer
autntico para o prximo alvo.Se algum dizendo que era de outro
departamento dentro da sua empresa ligasse ontem,desse um motivo
plausvel e pedisse o seu nmero de empregado, voc relutaria em
dar-lhe a informao?E por falar nisso, qual o seu nmero de seguro
social?A moral da histria : no d nenhuma informao pessoal ou
interna da empresa, nemidentificadores para ningum, a menos que a
sua voz seja conhecida e o solicitantetenha necessidade de saber a
informao.EVITANDO A TRAPAAA sua empresa tem a responsabilidade de
informar os empregados sobre como pode ocorrer um errosrio quando
informaes no pblicas so tratadas da forma errada. Uma poltica de
seguranabem desenvolvida, combinada educao e treinamento adequados,
aumenta bastante a conscinciado empregado sobre o tratamento
correto das informaes comerciais corporativas. Uma polticade
classificao de dados ajuda voc a implementar os controles adequados
para a divulgao dasinformaes. Sem uma poltica de classificao de
dados, todas as informaes internas devem serconsideradas
confidenciais, a menos que seja especificado o contrrio.Use estas
etapas para proteger a sua empresa contra a divulgao de informaes
aparentementeinofensivas: O Departamento de Segurana das Informaes
precisa realizar o treinamento da conscien-tizao, o qual detalha os
mtodos usados pelos engenheiros sociais. O mtodo descrito
an-MitnickRecado do
33. Captulo 2 Quando as Informaes No So Inofensivas
23teriormente 3 obteno de informaes aparentemente no sigilosas e o
seu uso como umaficha de pquer para ganhar a confiana de curto
prazo. Cada um dos empregados precisa terconscincia de que o falo
de um interlocutor ter conhecimento dos procedimentos da empresa,da
linguagem e dos identificadores internos no d de maneira nenhuma a
forma ou a auten-ticao para o solicitante, nem o autoriza a ter a
necessidade de saber as informaes. Uminterlocutor pode ser um
ex-empregado ou contratado com as informaes internas requisitas.Da
mesma forma, cada corporao tem a responsabilidade de determinar o
mtodo apropriadode autenticao a ser usado quando os empregados
interagem com as pessoas que eles noconhecem pessoalmente ou pelo
telefone.A pessoa ou as pessoas que tm o papel e a responsabilidade
de criar uma poltica de classi-ficao de dados devem examinar os
tipos de detalhes que parecem inofensivos e podem serusados para
obter o acesso dos empregados legtimos, mas esses detalhes podem
levar a in-formaes sigilosas. Embora voc nunca daria os cdigos de
acesso do seu carto eletrnico,diria a algum qual servidor voc usa
para desenvolver produtos de software para a empresa?Essas
informaes poderiam ser usadas por uma pessoa que finge ser outra
que tem acessolegtimo a rede corporativa?O simples conhecimento da
terminologia interna pode fazer com que um engenheiro socialparea
assumir autoridade e conhecimento. O atacante quase sempre usa esse
erro comum deconceito para fazer com que suas vtimas colaborem. Por
exemplo, um ID de Comerciante umidentificador que as pessoas do
departamento de Contas Novas de um banco usam todos os dias.Mas tal
identificador exatamente igual a uma senha. Se cada um dos
empregados entender anatureza desse identificador o qual usado para
autenticar positivamente um solicitante ,eles podero trat-lo com
mais respeito.Nenhuma empresa bem, pelo menos muito poucas d os
nmeros dos telefones diretosde seus CEOs ou diretores. A maioria
das empresas, porm, no se preocupa em dar os nme-ros de telefones
da maioria dos departamentos e grupos de trabalho da organizao
parti-cularmente para algum que ou parece ser um empregado. Uma
medida de contra-ataquepossvel seria implementar uma poltica que
probe a divulgao dos nmeros internos defuncionrios, contratados,
consultores e temporrios para as pessoas que no so da empresa.O
mais importante desenvolver um procedimento passo a passo para
identificar positiva-mente se um interlocutor que est pedindo os
nmeros de telefone de fato um empregado.Como diz o ditado; at mesmo
os verdadeiros paranicos provavelmente tm inimigos.Devemos assumir
que cada empresa tambm tem os seus os atacantes que visam
ainfra-estrutura da rede para comprometer os segredos da empresa.
No acabe sendouma estatstica nos crimes de computadores; est mais
do que na hora de armazenaras defesas necessrias implementando
controles adequados por meio de polticas desegurana e procedimentos
bem planejados.Os cdigos contbeis dos grupos de trabalho e
departamentos, bem como as cpias do diret-rio corporativo (uma cpia
impressa, um arquivo de dados ou uma lista eletrnica de telefo-nes
na intranet) so alvos freqentes dos engenheiros sociais. Cada
empresa precisa ter umapoltica escrita e bem divulgada sobre a
revelao desse tipo de informao. As salvaguardasMitnickRecado
do
34. 24 A Arte de Enganardevem incluir a manuteno de um registro
de auditoria que estabelece os casos em que asinformaes sigilosas
so divulgadas para as pessoas de fora da empresa. Informaes, tais
como um nmero de empregado, por si s, no devem ser usadas
comonenhum tipo de autenticao. Todo empregado deve ser treinado
para verificar no apenas aidentidade do solicitante, como tambm a
necessidade que o requisitante tem de saber No seu treinamento de
segurana, voc deve pensar em ensinar essa abordagem aos
funcio-nrios: sempre que um estranho pedir um favor, saiba primeiro
como negar educadamente atque a solicitao possa ser verificada. Em
seguida, antes de ceder ao desejo natural de ser o Srou a Sra.
Ajuda, siga as polticas e os procedimentos da empresa com relao a
verificao edivulgao das informaes no pblicas. Esse estilo pode ir
contra a nossa tendncia naturalde ajudar os outros, mas um pouco de
parania saudvel pode ser necessria para evitar ser aprxima vtima do
engenheiro social.Como mostraram as histrias deste captulo, as
informaes aparentemente inofensivas podemser a chave para os
segredos mais valiosos da sua empresa.
35. O Ataque Direto: SimplesmentePedindoMuitos ataques de
engenharia social so complicados e envolvem diversas etapas e
planeja-mento elaborado, alm de combinar o conhecimento da
manipulao e tecnologia.Sempre achei incrvel como um engenheiro
social habilidoso pode atingir esse objetivo com umataque simples e
direto. Como voc ver, s vezes tudo o que ele precisa simplesmente
pedir asinformaes.UM MLAC RPIDOVoc quer saber o telefone de algum
que no est na lista? Um engenheiro social pode lhe dar meiadzia de
maneiras (e voc encontrar algumas delas descritas nas histrias
deste livro), mas provavel-mente o cenrio mais simples aquele que
usa uma nica ligao telefnica como esta, a seguirO nmero, por favorO
atacante discou para o nmero particular da empresa de telefonia do
MLAC, o Centro Mecanizadode Designao de Linhas. Uma mulher
respondeu e ele disse:"Ol, aqui e Paul Anthony. Eu sou um tcnico de
cabos. Oua, uma caixa de terminal aqui foi queima-da em um incndio.
Os policiais acham que algum maluco tentou queimar sua prpria casa
para receber oseguro. Eles me mandaram aqui sozinho para tentar
refazer a fiao de todo este terminal de duzentos pa-res. Eu estou
precisando de ajuda. Quais instalaes deveriam estar funcionando na
South Main, 6723?".Em outras empresas de telefonia, a pessoa
chamada deveria saber que as informaes de pesquisainversa sobre os
nmeros no publicados devem ser fornecidas apenas para o pessoal
autorizado daprpria empresa de telefonia. Mas o MLAC s conhecido
dos empregados da empresa de telefonia. Eembora eles nunca dem
informaes para o pblico, quem iria se recusar a ajudar um homem da
em-presa que est tentando dar conta de uma tarefa difcil? Ela
lamentou o fato, porque ela mesma j haviatido dias ruins no
trabalho e poderia quebrar um pouco as regras para ajudar um colega
com problemas.Ela forneceu o cabo, os pares e cada nmero em
funcionamento designado para aquele endereo.Analisando a trapaaComo
voc vai notar em todas essas histrias, o conhecimento da linguagem
de uma empresa e de suaestrutura corporativa seus vrios escritrios
e departamentos, o que cada um deles faz e as informa-es que tem
faz parte da bagagem essencial de truques de um engenheiro social
bem-sucedido.
36. da natureza humana confiar em nossos colegas,
particularmente quando a solicitaopassa no teste como sendo
razovel. Os engenheiros sociais usam esse conhecimentopara explorar
suas vitimas e atingir seus objetivos.UM JOVEM EM FUGAUm homem que
chamaremos de Frank Parsons estava foragido h anos, e ainda era
procurado pelogoverno federal por fazer parte de um grupo
antiguerra nos anos de 1960. Nos restaurantes, ele sesentava de
frente para a porta e tinha um jeito desconcertante de sempre estar
olhando para trs. Elese mudava de tempos em tempos.Certa vez Frank
chegou em uma cidade que no conhecia e comeou a procurar emprego.
Paraalgum como Frank, com as suas habilidades bem desenvolvidas com
computadores (e tambmcom habilidades de engenharia social, embora
ele nunca tenha relacionado isso em uma propostade emprego),
encontrar um bom trabalho em geral no era problema. Exceto nas
pocas em que aeconomia estava muito difcil, o talento das pessoas
com um bom conhecimento tcnico de compu-tadores estava em alta e
elas no tinham muitos problemas para dar um jeito. Frank
rapidamenteencontrou uma oportunidade de emprego com um bom salrio
em uma empresa grande perto deonde ele estava morando.Isso
perfeito, pensou. Mas quando comeou a preencher os formulrios para
o emprego, encon-trou um empecilho: o empregador exigia que o
candidato fornecesse uma cpia da sua ficha criminal,a qual ele
teria de obter na polcia estadual. A pilha de documentos do emprego
inclua um formulriopara solicitar esse documento, e o formulrio
tinha um quadradinho para uma impresso digital.Embora eles
estivessem pedindo uma digital apenas do indicador direito, se eles
a comparassem comuma do banco de dados do FBI, ele provavelmente em
breve estaria trabalhando na cozinha de umresort financiado pelo
governo federal.Ocorreu a Frank que talvez, apenas talvez, ele
ainda pudesse contornar esse problema. Talvez oestado no enviasse
aquelas amostras de digitais para o FBI. Como descobriria
isso?Como? Ele era um engenheiro social como voc acha que ele
descobriu? Ele fez uma li-gao telefnica para a polcia estadual:
"Ol. Estamos fazendo um estudo para o Departamentode Justia do
Estado. Estamos pesquisando os requisitos para implementar um novo
sistema deidentificao de digitais. Posso falar com algum que conhea
aquilo que estamos fazendo e quepossa nos ajudar?"Quando o
especialista local veio ao telefone, Frank fez uma srie de
perguntas sobre quais siste-mas eles usavam e as capacidades de
pesquisa e armazenamento de dados das digitais. Eles haviamtido
algum problema com o equipamento? Eles estavam ligados Pesquisa de
Digitais do CentroNacional de Informaes sobre o Crime (NCIC) ou a
jurisdio era apenas dentro do estado? O equi-pamento era fcil e
todos poderiam aprender a usar?Astuciosamente, ele incluiu a
pergunta-chave entre as outras.A resposta soou como msica para seus
ouvidos: no, eles no estavam ligados ao NCIC, elesverificavam
apenas no ndice de Informaes Criminais (CII).MitnickA Arte de
Enganar26Recado do
37. Capitulo 3 O Ataque Direto: Simplesmente PedindoMitnickOs
trapaceiros de informaes experientes no tm escrpulos em ligar para
os gover-nos federal, estadual ou municipal para saber os
procedimentos da aplicao das leis.Com tais informaes em mos, o
engenheiro social pode contornar as verificaes desegurana padro da
sua empresa.Isso era tudo que Frank precisava saber Ele no linha
nenhum registro naquele estado, de modoque enviou o pedido de
emprego, foi contratado e ningum jamais apareceu na sua mesa um dia
comesta conversa "Estes senhores so do FBI e gostariam de conversar
com voc".DEIXE NA PORTAApesar do mito do escritrio sem papelada, as
empresas continuam imprimindo uma quantidadeimensa de papel todos
os dias. As informaes impressas da sua empresa podem ser
vulnerveis,mesmo que voc use as precaues de segurana e coloque um
carimbo de confidencialEsta uma histria que mostra como os
engenheiros sociais podem obter os seus documentosmais secretos.A
trapaa do loop-aroundTodos os anos a empresa de telefonia publica
uma lista chamada Lista de Nmeros de Teste (ou pelomenos costumavam
fazer isso, mas como eu ainda estou na condicional no vou perguntar
se aindaa publicam). Esse documento era muito cobiado pelos
phreakers porque ele trazia uma lista de to-dos os nmeros de
telefone guardados a sete chaves e usados pelos funcionrios,
tcnicos e outrosempregados da empresa de telefonia para coisas como
teste de tronco ou verificao de nmeros quesempre esto ocupados.Um
desses nmeros de teste, conhecido pelo jargo de loop-around, era
particularmente til. Osphreakers o usavam como um modo de entrar em
contato com outros phreakers para conversar sempagar pela ligao.
Tambm costumavam us-lo como um modo de criar um nmero de retorno
paradar, por exemplo, a um banco. Um engenheiro social diria a
algum do banco o nmero de telefonedo seu escritrio? claro que no.
Quando o banco ligava de volta para o nmero de teste (loop-around),
o phreaker podia receber a ligao, mas tinha a proteo de usar um
nmero que no poderiaser rastreado e ele no seria encontrado.Uma
Lista de Nmeros de Teste fornecia muitas informaes boas que
poderiam ser usadaspor qualquer phreaker faminto por informaes.
Assim sendo, quando as novas listas eram publi-cadas todos os anos,
elas eram cobiadas por muitas crianas cujo hobby era explorar a
rede detelefonia.O golpe de Stevie claro que as empresas de
telefonia no deixam que essas listas sejam conseguidas facilmente e
osphreakers tm de ser criativos para conseguir uma. Como eles podem
fazer isso? Uma criana ansiosacom uma mente determinada a conseguir
a lista poderia criar um cenrio como este.27Recado do
38. A Arte de EnganarMitnickO treinamento de segurana com relao
poltica da empresa criada para proteger oativo de informaes precisa
ser aplicado a todos que trabalham na empresa, e no ape-nas ao
empregado que tem acesso eletrnico ou fsico ao ativo de IT da
empresa.Em certa noite de outono no sudeste da Califrnia, Stevie
liga para o escritrio central pequenoda empresa de telefonia,
estabelecido no prdio no qual as linhas telefnicas vo para todas as
resi-dncias e empresas da rea de servio estabelecida.Quando a
telefonista de planto atende, Stevie anuncia que trabalha na diviso
da empresa de te-lefonia que publica e distribui o material
impresso. "Temos a nossa nova Lista de Nmeros de Teste",explica.
"Mas por questes de segurana no podemos lhe entregar uma cpia antes
de retirarmos aantiga. E o cara da entrega est atrasado. Se voc
puder deixar a sua cpia do lado de fora da porta,ele pode passar
por a, pegar a sua cpia, deixar a cpia nova e continuar o seu
caminho."O desavisado telefonista parece achar que isso razovel.
Ele faz exatamente o que foi pedido,coloca na porta do prdio a sua
cpia da lista, a qual tem na capa um aviso em grandes letras
vermelhas "CONFIDENCIAL DA EMPRESA --- QUANDO NO FOR MAIS
NECESSRIO, ESTEDOCUMENTO DEVE SER DESTRUDO".Stevie estaciona o
carro e olha em volta para saber se h policiais ou o pessoal da
segurana daempresa de telefonia espreitando atrs das rvores ou
observando em carros estacionados. Ningum vista. Ele pega
calmamente a cobiada lista e vai embora.Este apenas mais um exemplo
de como fcil para um engenheiro social conseguir o que querseguindo
o princpio simples de "apenas pedir".ATAQUE DE GSEm um cenrio da
engenharia social, os ativos da empresa no so os nicos que correm
riscos. svezes, as vtimas so os clientes de uma empresa.O trabalho
no servio ao cliente tem a sua parcela de frustrao, a sua parcela
de risadas e asua parcela de erros inocentes sendo que alguns deles
podem ter conseqncias infelizes para osclientes de uma empresa.A
histria de Janie ActonJanie Acton era atendente do servio ao
cliente da Hometown Electric Power, em Washington, D.C.,h pouco
mais de trs anos. Ela era considerada como uma das melhores
atendentes, inteligente econscienciosa.28Recado doEra a semana de
Ao de Graas quando esta ligao foi recebida. O interlocutor disse:
"Aqui Eduardo do Departamento de Faturamento. Tenho uma senhora na
linha, ela uma secretria doescritrio executivo e trabalha para um
dos vice-presidentes, Ela est pedindo algumas informaes e
39. Captulo 3 O Ataque Direto: Simplesmente Pedindo 29no posso
usar o meu computador. Recebi um e-mail de uma garota de Recursos
Humanos que dizia"ILOVEYOU" e quando abri o anexo, no consegui mais
usar a minha mquina. Um vrus. Fui pegopor um vrus estpido. De
qualquer forma, voc poderia procurar algumas informaes de
clientepara mim?""E claro", Janie respondeu. "Ele destruiu o seu
computador? Isso terrvel."Sim."Como posso ajudar?", Janie
perguntou.Nesse ponto o atacante recorreu s informaes da sua
pesquisa avanada para parecer maisautntico. Ele descobriu que as
informaes que queria estavam armazenadas em algo chamado Sis-tema
de Informaes de Faturamento do Cliente e descobriu como os
empregados se referiam aosistema. Ele perguntou: "Voc pode abrir
uma conta do CBIS?""Sim, qual o nmero da conta?""No tenho o nmero,
preciso que voc a abra pelo nome.""Muito bem, qual o nome?""O nome
Heather Marning". Ele soletrou o nome e Janie o digitou."Aqui
est.""timo, a conta est atualizada?""Hum, hum, est sim.""Qual o
nmero da conta?", ele perguntou."Voc tem um lpis?""Pronto para
anotar.""Nmero de conta BAZ6573NR27Q."Ele releu o nmero e, em
seguida, acrescentou: "E qual o endereo de servio?"Ela lhe deu o
endereo."E qual e o telefone?"Janie gentilmente leu essa informao
tambm.O interlocutor agradeceu, disse adeus e desligou. Janie foi
para a prxima ligao e nunca maispensou nisso.O projeto de pesquisa
de Art SealyArt Sealy desistiu de trabalhar como editor free lance
para pequenas editoras quando descobriu quepoderia ganhar mais
dinheiro realizando pesquisa para autores e empresas. Ele descobriu
que a taxaque poderia cobrar aumentava na proporo em que a tarefa o
levava mais perto da linha s vezesindistinta entre o que legal e o
que ilegal. Sem nunca perceber e certamente sem nunca lhe dar
estenome, Art tornou-se um engenheiro social e usava as tcnicas que
so conhecidas de todo corretor deinformaes. Ele descobriu que tinha
um talento nato para isso e aprendeu sozinho as tcnicas quea
maioria dos engenheiros sociais tinha de aprender com os outros.
Aps algum tempo, ele cruzou alinha sem o mnimo resqucio de
culpa.
40. 30 A Arte de EnganarUm homem entrou em contato comigo. Ele
estava escrevendo um livro sobre o Gabinete do go-verno Nixon e
procurava um pesquisador que pudesse investigar William E. Simon,
que havia sido osecretrio do Tesouro de Nixon. O Sr. Simon havia
morrido, mas o autor tinha o nome de uma mulherque havia pertencido
sua equipe. Ele estava certo de que ela ainda morava em D.C, mas no
conse-guira encontrar o seu endereo. Ela no tinha um telefone em
seu nome, ou pelo menos seu nome noestava na lista. Assim sendo,
eles me ligaram. Eu disse a ele que no teria problema.Esse o tipo
de trabalho que geralmente voc realiza em uma ou duas ligaes
telefnicas, sesouber o que est fazendo. Toda empresa telefnica
local pode dar as informaes. Obviamente, voctem de mentir um pouco.
Mas uma mentirinha de vez em quando no faz mal a ningum,
certo?Gosto de usar uma abordagem diferente de cada vez. s para que
as coisas fiquem interessantes."Este fulano do escritrio executivo"
sempre funcionou para mim. Assim como "tenho algum nalinha do
escritrio do vice-presidente Fulano", que tambm funcionou desta
vez.Nunca ache que os ataques da engenharia social precisem ter
mentiras elaboradas tocomplexas que provavelmente sero reconhecidas
antes de serem concludas. Algunsso ataques diretos, rpidos e muito
simples, os quais nada mais so do que... bem.simplesmente pedir as
informaes.Voc tem de desenvolver o instinto do engenheiro social,
precisa ter uma idia da disposio dapessoa que est do outro lado em
cooperar com voc. Desta vez tive a sorte de encontrar uma
senhoraamistosa e til Em uma nica ligao telefnica consegui o
endereo e o nmero de telefone. Missocumprida.Analisando a
trapaaCertamente Janie sabia que as informaes de clientes so
sigilosas. Ela nunca discutiria a conta deum cliente com outro
cliente, nem daria informaes particulares para o pblico.Mas claro
que para um interlocutor de dentro da empresa as regras so
diferentes. Para um cole-ga de trabalho tudo se reduz a fazer parte
da equipe e ajudar um ao outro a fazer o trabalho. O homemdo
Departamento de Faturamento poderia ter ele mesmo procurado os
detalhes se o seu computadorno tivesse sofrido um ataque de vrus, e
ela ficou contente em poder ajudar um colega.O atacante chegou aos
poucos s informaes principais que desejava fazendo perguntas
sobrecoisas que no queria saber, tais como o nmero da conta. Mesmo
assim, o nmero de conta forneceuuma segurana a mais. Se o atendente
suspeitasse, ele ligaria uma segunda vez e teria mais chancesde
sucesso, porque o conhecimento do nmero de conta faria com que ele
parecesse mais autnticopara o atendente que ele ligasse.Nunca
ocorreu a Janie que algum pudesse mentir sobre algo assim, que o
interlocutor pudesseno estar no Departamento de Faturamento, E
claro que a culpa no de Janie. Ela no dominava bema regra sobre ter
certeza de que voc sabe com quem est falando antes de discutir as
informaesdo arquivo de um cliente. Ningum jamais disse a ela sobre
o perigo de uma ligao telefnica comoessa que ela recebeu, Isso no
estava na poltica da empresa, no fazia parte do seu treinamento e
oseu supervisor nunca mencionou algo semelhante.MitnickRecado
do
41. Captulo 3 O Ataque Direto: Simplesmente PedindoEVITANDO A
TRAPAAUm ponto a ser includo no seu treinamento de segurana: s
porque um interlocutor ou visitanteconhece os nomes de algumas
pessoas da empresa ou conhece alguns jarges ou
procedimentoscorporativos, isso no quer dizer que ele quem alega
ser E isso definitivamente no o estabelececomo algum que est
autorizado a receber informaes internas, nem acessar o seu sistema
ou redede computadores.O treinamento em segurana precisa enfatizar
que quando estiver em dvida, voc precisa veri-ficar, verificar e
verificar,Nos tempos antigos, o acesso s informaes dentro de uma
empresa era uma marca de prestgioe privilgio. Os empregados
abasteciam os fornos, faziam as mquinas funcionar,
datilografavam