Ataques de engenharia social na Internet

A engenharia social é um dos meios mais utilizados de obtenção de informações sigilosas e importantes. Isso porque explora com muita sofisticação as "falhas de segurança dos humanos". As empresas investem fortunas em tecnologias de segurança de informações e protegem fisicamente seus sistemas, mas a maioria não possui métodos que protegem seus funcionários das armadilhas de engenharia social. A questão se torna mais séria quando usuários domésticos e que não trabalham com informática são envolvidos.

Uma definição aceitável do que é a engenharia social é a seguinte: engenharia social é qualquer método usado para enganação ou exploração da confiança das pessoas para a obtenção de informações sigilosas e importantes. Para isso, o enganador pode se passar por outra pessoa, assumir outra personalidade, fingir que é um profissional de determinada área, etc.

Os ataques de engenharia social são muito freqüentes, não só na Internet, mas no dia-a-dia das pessoas. Mas, pelo fato do InfoWester ser um site ligado à computação, este artigo tratará apenas dos ataques que envolvem a Internet. Sendo assim, vejamos alguns casos comuns:

Vírus que se espalham por e-mail: criadores de vírus geralmente usam e-mail para a propagação de suas criações. Na maioria dos casos, é necessário que o usuário que receber o e-mail execute o arquivo em anexo para que seu computador seja contaminado. O criador do vírus pensa então em uma maneira de fazer com que o usuário clique no anexo. Uma dos métodos mais usados é colocar um texto que desperte a curiosidade do internauta. Assim, o texto pode tratar de sexo, de amor, de notícias atuais, etc. Um dos exemplos mais clássicos é o vírus I Love You, que chegava ao e-mail das pessoas usando este mesmo nome. Ao receber a mensagem, muitos pensavam que tinham um(a) admirador(a) secreto(a) e na expectativa de descobrir quem era, clicavam no anexo e contaminam o computador. Repare que neste caso, o autor explorou um assunto que mexe com qualquer pessoa.

Alguns vírus possuem a característica de se espalhar muito facilmente e por isso recebem o nome de worms (vermes). Aqui, a engenharia social também pode ser aplicada. Imagine, por exemplo, que um worm se espalha por e-mail usando como tema cartões virtuais de amizade. O internauta que acreditar na mensagem vai contaminar seu computador e o worm, para se propagar, envia cópias da mesma mensagem para a lista de contatos da vítima e coloca o endereço de e-mail dela como remetente. Quando alguém da lista receber a mensagem, vai pensar que foi um conhecido que enviou aquele e-mail e como o assunto é amizade, pode acreditar que está mesmo recebendo um cartão virtual de seu amigo. A tática de engenharia social para este caso, explora um assunto cabível a qualquer pessoa: a amizade.

E-mails falsos (scam): este é um dos tipos de ataque de engenharia social mais comuns e é usado principalmente para obter informações financeiras da pessoa, como número de conta-corrente e senha. Neste caso, o aspecto explorado é a confiança. Boa parte dos criadores desses e-mails são criminosos que desejam roubar o dinheiro presente em contas bancárias. Porém, os sistemas dos bancos são muito bem protegidos e quase que invioláveis! Como é inviável tentar burlar a seguranças dos sistemas bancários, é mais fácil ao criminoso tentar enganar as pessoas para que elas forneçam suas informações bancárias. A tática usada é a seguinte: o criminoso adquire uma lista de e-mails usados para SPAM que contém milhões de endereços, depois vai a um site de um banco muito conhecido, copia o layout da página e o salva em um site provisório, que tem a url semelhante ao site do banco. Por exemplo, imagine que o nome do banco seja Banco InfoWester e o site seja www.infowester.com. O criminoso cria um site semelhante: www.infoweste.com ou www.imfowester.com ou www.infowezter.com, enfim. Neste site, ele disponibiliza campos específicos para o usuário digitar seus dados confidenciais. O passo seguinte é enviar um e-mail à lista adquirida usando um layout semelhante ao do site. Esse e-mail é acompanhado por um link que leva ao site falso. Para fazer com que o internauta clique no link, o texto da mensagem pode, por exemplo, sugerir uma premiação: "Você acaba de ser premiado com 10 mil reais. Clique no link para atualizar seu cadastro e receber o prêmio". Como a instituição bancária escolhida geralmente é muito conhecida, as chances de que o internauta que recebeu o e-mail seja cliente do banco são grandes. Assim, ele pode pensar que de fato foi o banco que enviou aquela mensagem, afinal, o e-mail e o site do link tem o layout da instituição. Como conseqüência, a vítima ingenuamente digita seus dados e dias depois percebe que todo o dinheiro da sua conta sumiu! Repare que em casos assim, o golpista usa a imagem de confiabilidade que o banco tem para enganar as pessoas.

Quando a questão é e-mail falso, as possibilidades de enganação são grandes, pois as pessoas gostam de receber e-mails. Assim, mensagens falsas que dizem que o internauta recebeu um cartão virtual ou ganhou um prêmio de uma empresa grande são comuns. Independente do assunto tratado em e-mails desse tipo, todos tentam convencer o internauta a clicar em um link ou no anexo. A forma utilizada para convencer o usuário a fazer isso é uma tática de engenharia social.

Salas de bate-papo (chat): esse é um dos meios mais perigosos de enganação e costumam vitimar principalmente crianças e adolescentes. O perigo ocorre porque a conseqüência do golpe pode trazer danos físicos e morais à pessoa. Nas salas de bate-papo, os golpistas vão ganhando a confiança da futura vítima através da conversa. Por este meio, ele aos poucos vai convencendo a pessoa a fornecer seus dados, como telefone, endereço residencial, endereço escolar, etc. Um criminoso pode, por exemplo, entrar em uma sala de bate-papo para jovens e dizer coisas que convencem uma adolescente de 13 anos de que ele pode ser seu namorado perfeito. Ela então fornece seus dados ou marca um encontro na expectativa de ver seu "príncipe encantado". Outro exemplo pode ocorrer com um garoto que, não vendo a hora de ter sua primeira relação sexual, acredita na conversa de uma suposta garota bonita que está louco para conhecê-lo. Em ambos os casos, as conseqüências podem ser terríveis. Golpes assim também podem ser aplicados em adultos. Por exemplo, com uma mulher divorciada e que usa um chat esperando encontrar um novo parceiro.

Existem outros tipos de ataque de engenharia social além dos citados acima. A questão é séria e mesmo uma pessoa dotada de muita inteligência pode ser vítima. Só para dar uma noção da dimensão do problema, muitos hackers atingem seus objetivos através de técnicas de engenharia social. E tudo porque o humano é um ser que, ao contrário dos computadores, é constantemente afetado por aspectos emocionais.

A melhor arma contra a engenharia social é a informação. De nada adiante as empresas usarem sistemas ultra-protegidos se seus funcionários não tiverem ciência dos golpes que podem sofrer (repare que neste caso, os golpes de engenharia social podem ocorrer não só pela Internet, mas principalmente no próprio ambiente de trabalho). No caso dos usuários domésticos, os pais devem informar a seus filhos sobre os perigos existentes e de igual forma, devem tomar cuidado quando estiverem navegando na Internet.

O grande problema é que muitos internautas, independente da idade, estão "dando seus primeiros passos na Internet" e não têm noção dos perigos existentes nela. Muitos ficam maravilhados com a "grande rede" e tendem a acreditar em tudo que lêem nesse meio. Felizmente, muitos provedores de acesso à Internet e a mídia como um todo tem dado atenção aos golpes existentes na Internet e ajudado na divulgação das formas de prevenção. Mas ainda há muito a ser feito e se governos e entidades especializadas não levarem o assunto a sério, a Internet será tão perigosa quanto andar sozinho num lugar escuro e desconhecido.

Emerson Alecrim, em 12_09_2004.