Rio Datacentro (RDC)

Engenharia Social e fraudes na Internet

1. A “engenharia social” no contexto da Internet

O emprego da expressão “engenharia social” no contexto da Internet deve-se a Kevin D. Mitnick, que ficou famoso por uma série de invasões de redes de computadores. Sua “carreira” começou com o acesso não autorizado à rede da DEC (Digital Equipment Corporation), em 1979, e terminou com sua prisão, em 1999. Atualmente é um bem sucedido consultor de segurança de computação e preside a “Mitnick Security Consulting“.

A defesa de Mitnick usou, em seu julgamento, o argumento de que ele jamais “forçara” a entrada em qualquer sistema, mas que apena “obtivera” os meios de acesso. A propósito, esta é a teoria de Mitnick: “é muito mais fácil enganar um incauto e obter suas senhas de acesso do que investir tempo na invasão de um sistema.”

Este ensinamento, ignorado por boa parte dos internautas, continua atual: a maioria das fraudes é cometida com a ajuda do próprio lesado. Os invasores de hoje, em especial aqueles dedicados aos crimes nos serviços bancários via Internet, não pulam muros nem derrubam paredes: entram pela porta da frente, com informações obtidas direta ou indiretamente de suas vítimas.

2. Características das ações fraudulentas

2.1. A forma como são apresentadas

As tentativas de fraude que chegam diariamente às nossas caixas postais apresentam-se sob várias roupagens, mas usualmente com as seguintes características:

• A sua origem (falsa, evidentemente): bancos, administradoras de cartão, órgãos governamentais, empresas comerciais, órgãos de comunicação ou, até mesmo, remetentes totalmente desconhecidos.
• A “isca” apresentada: a ameaça de prejuízos decorrentes da falta de informações cadastrais atualizadas, a possibilidade de benefício de ordem financeira, o oferecimento de programas de computador “interessantes” ou o simples apelo à curiosidade do internauta.
• A ação requerida ao usuário: dados pessoais, muitas vezes confidenciais, ou apenas um simples clique do ponteiro sobre um link.

2.2. A real finalidade

As mensagens mal intencionadas podem ter como finalidades:

• Obtenção direta de dados do usuário: endereços, ramo de atividade profissional, CPF, número de identidade, números de conta corrente ou de cartões de crédito, senhas de acesso. Estas informações são utilizadas para furto de depósitos bancários, realização de compras em nome do usuário e montagem de cadastros para propagação de SPAM.
• Obtenção indireta de dados do usuário: por meio de instalação de programas maliciosos, capazes de armazenar toques de teclado e transmiti-los para o autor da fraude, este poderá causar danos financeiros ao incauto, furtando quantias em bancos ou realizando compras em seu nome.
• Invasão da máquina do usuário: os criminosos via Internet necessitam ter a seu dispor máquinas invadidas, que servirão de base para desfechar seus ataques. Estas máquinas normalmente serão utilizadas uma só vez, para dificultar o rastreio e identificação do autor.
• Dano às instalações do usuário: os criminosos tanto podem inutilizar e estação de trabalho do usuário, como comprometer o funcionamento da rede em que esta está conectada. A intenção tanto pode ser a de simples prática de vandalismo (o aspecto mais “inocente”), como o abalar a credibilidade da instituição proprietária da rede.

Veja nos links abaixo algumas tentativas recentes de golpe e formas de reconhecê-las como tal.

a) Falsa mensagem do Itaú
b) Falsa mensagem do Bradesco
c) Falsa mensagem da Globo
d) Falsa mensagem da Receita Federal

3. Conclusões

A disseminação de programas maliciosos pela Internet é feita principalmente por meio de correio eletrônico e de páginas Web.

Os agressores sabem que muitas pessoas, mesmo as que se julgam cuidadosas e bem informadas, não hesitam em clicar links em páginas da Web, ou de mensagens de correio eletrônico. Curiosamente, são as mesmas pessoas que jamais revelariam suas senhas bancárias ao melhor amigo, nem aceitariam o oferecimento de qualquer coisa por um desconhecido que encontrem na rua.

Mesmo aqueles que se julgam seguros, por não fornecer seus dados pessoais em formulários que recebem pela Internet, ignoram que, ao clicar um link, poderão estar embarcando programas maliciosos, capazes de registrar páginas visitadas, armazenar toques de teclado e furtar suas senhas.

4. Para terminar, alguns conselhos úteis

1. Jamais abra anexos (attachments) oferecidos ou clique em links para páginas da Web disponíveis em e-mails cuja procedência não seja manifestamente segura. Apague-os simplesmente.
2. Desconfie sempre de mensagens não solicitadas. À propósito, as características que estão presentes na maioria dos e-mails fraudulentos são: (i) o endereço do remetente é forjado;(ii) o site apontado pelo link está hospedado em servidor incompatível com o endereço declarado. Caso você não saiba identificar como a origem, assuma que se trata de um ataque e apague a mensagem; e (iii) Texto mal redigido, com erros ortográficos, e logicamente inconsistente.
3. Mantenha os seus programas (sistema operacional, browser e cliente de e-mail) permanentemente atualizados.
4. Utilize sempre programas anti-virus e anti-spyware atualizados.
5. Mantenha o firewall de sua máquina ativado, mesmo se ela está conectada a rede local já protegida por outro firewall.
6. Não forneça informações sensíveis solicitadas por e-mail, seja em formulários transmitidos pelo e-mail, seja em formulários disponíveis em sites a que você teve acesso por meio de links transmitidos pelo e-mail.
7. Jamais faça acesso a home banking ou a sites de compras a partir de máquina que não seja de seu uso exclusivo. Não estamos falando só de “cyber cafes” e “lan houses“; especialmente os que têm filhos adolescentes em casa devem levar esta recomendação ao pé da letra.