Baixe o app para aproveitar ainda mais
Prévia do material em texto
Segurança da Informação Material Teórico Responsável pelo Conteúdo: Prof. Me. Vagner da Silva Revisão Textual: Prof. Me. Luciano Vieira Francisco Principais Tipos de Ataques e Ameaças • Introdução aos Ataques e às Ameaças; • Tipos de Ataques. • Estabelecer os conceitos de ataque e ameaça e apresentar quais são os ataques mais utilizados em redes locais e de acesso remoto; • Entender como são feitos os principais ataques e quais são as vulnerabilidades que alguns protocolos oferecem na rede de computadores; • Compreender porque a engenharia social é o ataque que mais oferece resultados positi- vos e quais são os métodos mais utilizados atualmente. OBJETIVOS DE APRENDIZADO Principais Tipos de Ataques e Ameaças Orientações de estudo Para que o conteúdo desta Disciplina seja bem aproveitado e haja maior aplicabilidade na sua formação acadêmica e atuação profissional, siga algumas recomendações básicas: Assim: Organize seus estudos de maneira que passem a fazer parte da sua rotina. Por exemplo, você poderá determinar um dia e horário fixos como seu “momento do estudo”; Procure se alimentar e se hidratar quando for estudar; lembre-se de que uma alimentação saudável pode proporcionar melhor aproveitamento do estudo; No material de cada Unidade, há leituras indicadas e, entre elas, artigos científicos, livros, vídeos e sites para aprofundar os conhecimentos adquiridos ao longo da Unidade. Além disso, você tam- bém encontrará sugestões de conteúdo extra no item Material Complementar, que ampliarão sua interpretação e auxiliarão no pleno entendimento dos temas abordados; Após o contato com o conteúdo proposto, participe dos debates mediados em fóruns de discus- são, pois irão auxiliar a verificar o quanto você absorveu de conhecimento, além de propiciar o contato com seus colegas e tutores, o que se apresenta como rico espaço de troca de ideias e de aprendizagem. Organize seus estudos de maneira que passem a fazer parte Mantenha o foco! Evite se distrair com as redes sociais. Mantenha o foco! Evite se distrair com as redes sociais. Determine um horário fixo para estudar. Aproveite as indicações de Material Complementar. Procure se alimentar e se hidratar quando for estudar; lembre-se de que uma Não se esqueça de se alimentar e de se manter hidratado. Aproveite as Conserve seu material e local de estudos sempre organizados. Procure manter contato com seus colegas e tutores para trocar ideias! Isso amplia a aprendizagem. Seja original! Nunca plagie trabalhos. UNIDADE Principais Tipos de Ataques e Ameaças Introdução aos Ataques e às Ameaças Ao descrever sobre segurança da informação, alguns termos surgirão frequente- mente e deverão ser bem-conceituados para a devida compreensão do assunto; de modo que entre os conceitos utilizados em segurança da informação temos: • Exploit: código capaz de explorar as vulnerabilidades; • Vulnerabilidade: algo que está frágil, podendo fornecer uma porta de entrada a um ataque; • Ameaça: ação que se aproveita de uma vulnerabilidade; • Ataque: incidência da ameaça sobre a vulnerabilidade; • Risco: possibilidade de a ameaça ocorrer. Em segurança da informação, os responsáveis devem estar sempre atentos às ameaças que a organização pode sofrer, afinal, pode colocar em risco os pilares da segurança – confidencialidade, integridade, disponibilidade. As vulnerabilidades de- vem ser identificadas sob o risco de comprometer toda a segurança da organização. As ameaças podem ocorrer de forma lógica, em que são usados códigos – exploit –, ou física – podendo também comprometer a segurança dos dados pelo acesso ou expo- sição a áreas ou equipamentos indevidos. Entre as ameaças físicas podemos citar: • Alagamento; • Raios; • Desabamentos; • Acessos indevidos. E dentro do que conhecemos como ameaças lógicas temos: • Infecções por vírus; • Acessos remotos à rede; • Violações de senhas. Os ataques também se dividem em dois grupos, podendo ocorrer de maneira interna ou externa: Dentro da composição dos ataques internos estão os funcionários insatisfeitos ou aqueles que querem, por algum motivo, vingança; há ainda aqueles que compõem organizações de espionagem. Em um aspecto mais atenuante – porém, não menos prejudicial à segurança – estão os funcionários despreparados e que pelas configu- rações ou instalações malfeitas, podem comprometer a segurança da informação. Os ataques externos geralmente são realizados por crackers que são motivados a encontrar vulnerabilidades em equipamentos e aplicativos para roubar dados con- fidenciais, ou como desafio aos obstáculos que são colocados. 8 9 Tipos de Ataques Há alguns ataques já bem conhecidos, objetivando o roubo de informações, ou então a indisponibilidade do serviço; de modo que serão descritas as características dos principais casos. Denial of Service (DoS) Tem como principal característica negar um serviço ao usuário. A indisponi- bilidade do serviço pode ser realizada de diversas formas, desde a utilização de ferramentas que inundem de requisições os servidores, até a geração de radiofrequ- ências que interfiram em dispositivos WiFi. Inundar os servidores com solicitações pode fazer com que fiquem sobrecarre- gados e sejam impedidos de executar as suas tarefas e, consequentemente, acabam por parar o(s) serviço(s). Esse tipo de procedimento era muito usado há muitos anos, utilizando-se do comando ping direcionado ao servidor a ser atacado. Um dos ataques mais utilizados usa a vulnerabilidade do protocolo TCP. Ao fazer uma requisição de página web a um servidor, há uma comunicação previamente estabelecida para depois começar a trocar os dados da própria página. Tal comuni- cação prévia denomina-se handshake triplo, correspondendo aos sinais dos passos 1, 2, 3 e 4 da Figura 1: Cliente (Máquina A) Servidor (Máquina B) SYN Flag = 1, Seq # = 3001 2 3 4 5 6 7 8 9 10 11 12 Conexão TCP é �nalizada Conexão TCP desfeita em B Conexão TCP desfeita em A Transferência de dados é iniciada Conexão TCP é estabelecida Seq # = 305, Ack # = 805 Seq # = 804, Ack # = 305, ACK Flag = 1, FIN Flag = 1 [Data] Seq # = 803, Ack # = 305, ACK Flag = 1 Seq # = 304, Ack # = 803, ACK Flag = 1 [Data] Seq # = 802, Ack # = 304, ACK Flag = 1 Seq # = 303, Ack # = 802, ACK Flag = 1, FIN Flag = 1 [Data] Seq # = 302, Ack # = 802, ACK Flag = 1 [Data] Seq # = 801, Ack # = 302, ACK Flag = 1 [Data] Seq # = 301, Ack # = 801, ACK Flag = 1 Ack # = 801, ACK Flag = 1 Seq # = 800, Ack = 301, SYN Flag = 1, ACK Flag = 1 Figura 1 – Handshake triplo TCP A partir do passo 4 (Figura 1), os dados são trocados entre o cliente e servidor. O ataque feito denomina-se SYN flooding, onde um computador cliente tenta estabelecer a comunicação utilizando-se de várias requisições do sinal SYN do 9 UNIDADE Principais Tipos de Ataques e Ameaças passo 1. No passo 2, o servidor envia uma resposta ao cliente e utilizando-se de uma ferramenta ou comando adequado, o cliente não responde com o passo 3, ou seja, o cliente evita apenas o passo 1 de forma ininterrupta. O servidor manterá abertas as conexões que não foram respondidas pelo cliente, sobrecarregando-se de tal forma a parar o serviço. O DoS pode ser aplicado também em redes WiFi, geralmente de forma não intencional ao instalar o roteador WiFi próximo a aparelhos que trabalham na mes- ma frequência de transmissão – tais como fornos de micro-ondas, telefones sem fio e babás eletrônicas –, interferindo na frequência e, consequentemente, bloqueando o sinal WiFi. Um gerador de frequência com potência suficiente para anular o sinal WiFi pode também ser empregado propositalmente a fim de parar esse serviço. Distributed Denial of Service (DDoS) Tem a mesma finalidade do DoS, porém, a sua forma de ataque é aplicada de modo diferente, pois são empregadas várias máquinas para acometer um único servidor. Tais ataques podem ser realizados utilizando-se um vírus instalado na máquina deuma pessoa que, sem saber da infecção, participará desse processo. Dito de outra forma, um programa simples – vírus – pode ativar o ataque sem que o usuário perceba, reiterando requisições de um servidor por tempo indeterminado. Esse vírus, quando instalado em milhares de máquinas, pode ativar o ataque em um momento pré-determinado, de modo que milhares de requisições serão realiza- das ao mesmo tempo, fazendo com que o servidor não consiga responder a todas, de modo a parar o serviço em razão da alta demanda de requisições. Para que esse tipo de ataque tenha sucesso, grande quantidade de máquinas deve participar de forma simultânea. Além disso, para dar vazão aos pacotes requi- sitantes, uma boa largura de banda se faz necessária. Essas características, aliadas a ferramentas hackers, facilitam os ataques. Port Scanning Attack Este tipo de ataque consiste em utilizar ferramentas para encontrar vulnerabi- lidades. Utilizado para varrer servidores em busca de portas abertas e possíveis informações que possam ser utilizadas para invasão. Há várias ferramentas disponíveis para fazer esse tipo de ataque. Primeiramente utiliza-se o protocolo ICMP pelo comando ping, a fim de verificar se uma máquina está ativa na rede, ou traceroute para mapear roteadores até um destino. Após a confirmação das máquinas ativas, utiliza-se ferramentas para varrer as por- tas que estiverem abertas. Conforme visto na Figura 1, a comunicação TCP é estabele- cida após a troca de informações entre as máquinas, de modo que a norma específica estabelece o seguinte: sempre que houver uma porta aberta, responderá com um SYN + ACK; e a toda porta fechada, responderá com um RST. Portanto, ao utilizar uma ferramenta para varrer portas, esta saberá como informar o status de cada qual. 10 11 Ataque de Força Bruta É a forma mais conhecida para quebrar senhas. Consiste em fazer um ataque utilizando várias tentativas e conexões a partir das credenciais de um provável usu- ário da máquina a ser invadida. Diversas combinações de senhas são inseridas ou criadas em uma lista que é usada para tal. A lista pode conter o nome de usuário e/ou a senha, então chamada de wordlist, a qual apresenta uma combinação, comumente, de senhas utilizadas no ataque. Wordlist pode ser encontrada para download na internet, ou pode ser gerada com ferramentas disponíveis para tal finalidade. Ataque MAC Flooding Os ataques descritos até o momento são realizados por pessoas que estão fora da rede da empresa; de modo que internamente, na própria rede LAN, há outras abordagens que se aproveitam das vulnerabilidades que essa rede possa oferecer. Assim, o ataque MAC flooding consiste em assaltar o switch da rede, este que armazena, em sua tabela MAC, as correspondências de endereço MAC e porta do switch; de modo que quando um quadro chega ao switch, possibilita abri-lo para ler o endereço MAC de destino e verificar por qual porta tal quadro sairá. O problema está na limitada quantidade de memória para armazenar esses endereços MAC. Aproveitando-se dessa característica, o atacante gera vários endereços MAC fal- sos que preencherão toda a tabela MAC, sem deixar espaço para endereços MAC verdadeiros. Nessa situação, o switch comporta-se de um dos dois modos possíveis: simplesmente deixa de funcionar; ou passa a encaminhar os pacotes de forma bur- ra, ou seja, encaminha para todas as portas, comportando-se como fosse um hub; neste caso, encaminhar os quadros para todas as portas fará com que trafeguem na rede, sendo facilmente capturados pelo atacante – enquanto que a análise dos pacotes capturados pode ser realizada por ferramentas apropriadas. ARP Spoofi ng O protocolo ARP tem a função de buscar o endereço MAC de uma máquina pelo endereço IP desta. Toda a comunicação em nível de camada dois é operada por quadros que contêm os campos de endereço MAC de origem e destino para es- tabelecer comunicação em uma rede LAN. Portanto, quando a máquina não sabe o endereço MAC, o protocolo ARP entra em ação por broadcast para encontrá-lo. O ataque ocorre a partir do momento em que uma máquina mal-intencionada recebe tal solicitação, por broadcast, e responde com o seu endereço MAC. Assim, passa a receber quadros da rede local e poderá capturá-los para análise. Ransomware Entre os ataques mais temerosos às empresas figura o ransomware, que con- siste em sequestrar os dados da organização, impossibilitando o acesso aos quais. 11 UNIDADE Principais Tipos de Ataques e Ameaças Frequentemente os ataques são realizados pelo acesso remoto ao computador-alvo, criptografando os dados e informando, via mensagem, que serão devolvidos me- diante um pagamento, comumente realizado por meio de criptomoedas. Esse tipo de ataque não é operado apenas pelo acesso remoto, pois há casos em que ocorre ao se selecionar links maliciosos ou mesmo por algumas vulnerabi- lidades na máquina. Embora existam determinadas formas de infectar a máquina, o objetivo final é sempre o mesmo, ou seja, deixar o usuário refém, pois não há muito o que se fazer ao ser infectado. Empresas tiveram prejuízos enormes, de modo que quando são veiculados ata- ques desse tipo, muitas das quais preferem desligar as máquinas a ter os seus dados criptografados. A paralisação da rede, pelo desligamento das máquinas, leva tam- bém a prejuízos significativos. Os ataques que foram vistos até então envolvem alguma técnica ou ferramentas para obter sucesso. Há, contudo, outra linha de ataques que contempla a manipu- lação dos sentimentos das pessoas, utilizando-se de determinadas ferramentas, ou de uma “boa conversa”, apenas; ataques assim são chamados de engenharia social, sobre os quais discorreremos a seguir. Engenharia Social A engenharia social corresponde a um conjunto de técnicas utilizadas pela maio- ria dos estelionatários ou mesmo por pessoas que realizam phishing na internet ou em qualquer outro tipo de invasão com o objetivo de enganar, obter informações das pessoas, manipulando os seus sentimentos e as aspirações contidas nos seres humanos. Não se trata de uma técnica empregada apenas por pessoas mal-inten- cionadas, mas também muito utilizada por policiais para desvendar algum tipo de comportamento ilícito usado em sites na internet. O Facebook e qualquer outro site de relacionamento são pesquisados frequente- mente por policiais em busca de algum comportamento considerado estranho para, então, a tomada de providências usando, quando necessário, algum recurso de en- genharia social. Uma das técnicas que veremos no decorrer desta Unidade se refere à confiança, de modo que as autoridades, passando-se por outras pessoas – a fim de criar certa afinidade –, tentam se aproximar de uma determinada pessoa para obter informações. Existem vários meios usados pelos estelionatários com o objetivo de manipular os sentimentos, métodos praticados tanto na internet como fora desta. Se analisarmos os últimos cinco anos até os dias atuais, veremos que a tecnologia de segurança que tínhamos para manter os computadores longe de ataques não eram as mesmas utilizadas atualmente, pois os programas estão em constante aperfeiçoa- mento e desenvolvimento. Por exemplo, se formos comparar o Windows XP com o Windows 7, perceberemos que novos recursos de segurança foram implementados. Se os investimentos em segurança são realizados pelas empresas, se temos softwares cada vez mais seguros e, consequentemente, redes de computadores protegidas, por que os ataques aumentam? Ex pl or 12 13 Percebe-se uma contradição em relação ao exposto, de modo que a resposta é a seguinte: Os invasores perceberam que não adianta atacar a tecnologia, ou seja, o elo mais fraco de toda a segurança ainda é o ser humano, afinal, o usuário continua por trás dessas tecnologias. Assim, o fator humano é um problema gravíssimo, pois por mais que existam sistemas seguros, suportados em tecnologias de ponta, a grande maioria dos usuários não sabe lidar com o sistema de forma corretaou não recebe a instrução ou treinamento adequado, subestimando a possibilidade de sofrer um ataque; daí que o ser humano é facilmente enganado por um engenheiro social. O tema engenharia social não é considerado novo, pois convivemos com isto o tempo todo, o que comumente pode ser visto no comportamento das pessoas; afi- nal, sempre que alguém se utilizar de algum tipo de sentimento para obter algo em benefício próprio, isto será considerado engenharia social. É lógico que esse tipo de comportamento é totalmente diferente daqueles que você estudaria nesta Unidade: existem engenheiros sociais ditos “normais”, ou seja, que agem intuitivamente; e existem engenheiros sociais que objetivam cometer crimes. Portanto, a engenharia social se baseia em atacar o elo mais fraco do sistema, o ser humano; razão pela qual é conhecida como a arte de enganar, manipulando pessoas e obtendo informações sigilosas das quais. Várias técnicas de engenharia social foram demonstradas no fi lme Hacker 2: operação takedown; trata-se da história fi ccional do hacker Kevin Mitnik, cassado pelo FBI depois de aplicar vários ata- ques e conseguir informações sigilosas. Por este motivo, fi cou preso durante cinco anos e proibido de usar computadores. Ex pl or Considerando as pessoas físicas, a engenharia social pode ser aplicada de vá- rias formas, pode-se, por exemplo, conseguir os dados da conta corrente – incluin- do a senha. É comum você ver pessoas desatentas em caixas de banco solicitando informações a pessoas desconhecidas ou indivíduos se aproximando de outros para oferecer ajuda, tendo como objetivo obter a senha e outras informações. Temos também os casos de sequestro e ataques de vigaristas. O site de relacio- namento Facebook é uma rica fonte de informações, podendo ser utilizado com o objetivo de sequestrar alguém, pois muitas pessoas deixam os dados considerados confidenciais abertos para que qualquer outro possa acessar. Com isto, fica fácil levantar características e informações para fazer um ataque de engenharia social, pois não é difícil arquitetar uma invasão usando informações como nome do namo- rado, ano de nascimento, álbum de fotos, recados, comunidades e outras informa- ções que geralmente ficam expostas. Por incrível que pareça, há ainda muitos usuários desatentos ou com pouco conhecimento, acabando por propiciar aos engenheiros sociais informações pre- ciosas, com as quais alguém pode iniciar contatos, seja por telefone, e-mail ou até fisicamente e ganhar a confiança para posteriormente aplicar algum tipo de golpe. 13 UNIDADE Principais Tipos de Ataques e Ameaças No meio jurídico, as empresas devem se preocupar também com a engenharia social, inclusive colocando-a como um dos itens de risco à segurança de rede, isto, infelizmente, nem sempre acontece nas organizações – embora, muitas vezes não percebam, sofrem algum tipo de ataque usando a engenharia social. O vazamento de informações é outro problema encontrado pelas organizações, pois em uma conversa informal, um funcionário pode passar dados importantes e confidenciais que poderão ser utilizados por empresas concorrentes. É costume os funcionários se encontrarem após o expediente para um happy hour e trocar informações sobre o trabalho do dia a dia, de modo que um indivíduo pode se aproveitar dessas circunstâncias e até tentar uma aproximação para obter mais informações. Neste caso, percebe-se que o funcionário não tem a maldade de prejudicar a própria empresa, no entanto, acaba por fazê-lo. Para que isso não aconteça, deve ser instruído dos riscos que determinadas in- formações podem causar à organização e a si caso venham a ser divulgadas para terceiros. Certamente, a perda financeira será a consequência desse vazamento de informações, portanto, conhecer as técnicas e os ataques usados em engenharia social é de suma importância para todos aqueles que trabalham com informação. Como você poderá ver ao longo desta Unidade, alguns casos são bem conhe- cidos e outros surgirão; o importante a ser notado é que ainda que as formas de ataque sejam diferentes entre si, o objetivo permanece o mesmo, a manipulação do ser humano. Ademais, seja através da internet ou de telefone, a engenharia social pode ser realizada por meio de ataques com as seguintes abordagens: • Phishing consiste em um ataque onde são enviados e-mails para vários usuários. Tais mensagens apresentam conteúdo que chamará a atenção, fazendo com que o destinatário abra a mensagem e execute o que veio como anexo ou clique no link que está no corpo do próprio e-mail; com isto, um programa será executado e, provavelmente, o seu computador terá as informações roubadas pelo qual. Esse tipo de ataque é um dos mais utilizados pelos hackers atualmente. • Pharming é outro tipo de invasão, o qual consiste em gerenciar vários phishing sob a sua custódia – pharm significa fazenda, no sentido de criar, manter os computadores infectados com phishing. O roubo de identidade é uma terceira forma de ataque, comumente aplicada com o envio de e-mail de pessoas conhecidas para prover confiança. Tal mensa- gem pode conter arquivos para execução ou solicitar que o destinatário abra uma apresentação ou veja uma imagem. O único problema é que embora o e-mail tenha o endereço da pessoa conhecida, não foi enviado pela qual, ao passo que o conte- údo que fornece é malicioso. Por acreditar que é um e-mail de uma pessoa conhecida, cria uma das principais características da engenharia social, a confiança. Dificilmente o destinatário deixará de ver o conteúdo enviado e contaminará a própria máquina com programas que lhe monitorarão e até roubarão as suas informações. 14 15 A engenharia social não usa apenas a tecnologia para atingir os seus objetivos, dado que pode também se manifestar pessoalmente, ou seja, presencialmente e por meio das seguintes técnicas: • No shoulder surfing uma pessoa fica observando a outra para obter dados como o login e a senha. Em bancos ou laboratórios de informática, posicio- nam-se atrás das vítimas, observando o que digitam. Muitos não dão tanta im- portância para esse tipo de postura, no entanto, já houve casos em que bancos foram roubados com a utilização desse método. • Rush authentication utiliza da boa vontade de outra pessoa para ter acesso ao local ou às informações dessa; por exemplo, determinada área pode ser acessada apenas por quem tem cadastro biométrico; assim, para conseguir adentrar, o engenheiro social pode simular que carrega uma caixa pesada, esperando que uma pessoa abra a porta para si e, daí, pedindo que a segure a fim de que possa aproveitar a passagem – dado que as suas mãos estão ocupa- das carregando a tal caixa –, comumente há pessoas que procuram ajudar as demais em situações difíceis; contudo, neste caso, ainda que sem a utilização da biometria, o engenheiro social consegue entrar no local que originalmente lhe era inacessível. A confiança é muito explorada em engenharia social, de modo que – em outro exemplo – o golpe da música do telefone procura adquirir confiança de uma deter- minada pessoa à qual se deseja atacar: esse tipo de abordagem consiste em gravar a música em espera que determinada empresa costuma usar para, ao fazer uma chamada telefônica a determinado funcionário dessa organização, então se passan- do por outro profissional dessa mesma instituição, o engenheiro social comentar receber outra chamada e pedir ao primeiro interlocutor que o aguarde por alguns instantes, momento em que coloca o telefone em espera com a referida música para que, ao ouvir e reconhecer tal canção, a vítima acreditar que tudo ocorre den- tro da normalidade empresarial, ficando, a partir daí, mais acessível e proativa em ajudar no que lhe for solicitado. Boatos também podem trazer benefícios ao atacante. Por exemplo, considere que as bolsas de valores ao longo do Planeta frequentemente sofrem com rumores de determinadas notícias que se mostram falsas, fazendo com que oscilem paracima ou para baixo. Nesse sentido, há algum tempo, bem antes de morrer, um boato sobre a saúde de Steve Jobs, então da Apple, foi divulgado; em consequência disso, as ações da empresa caíram significativamente. Caso essa notícia tenha sido veiculada com tal propósito, então o atacante pôde aproveitar o momento de baixo valor das ações a fim de comprar a quantidade que seus recursos lhe permitiam; quando o boato foi, então, esclarecido, as ações da empresa voltaram ao patamar financeiro original – ou passaram a valer um pouco mais –, de modo que o boatei- ro fez valorizar a sua aquisição, pois comprou na baixa, tendo-as valorizadas para, adiante, vender por um preço que lhe fosse mais interessante. Conforme comentado, phishing é um ataque enviado por e-mail para chamar a atenção do usuário através de conteúdo que o deixe curioso, comumente composto 15 UNIDADE Principais Tipos de Ataques e Ameaças por mensagens relacionadas à promoção ou o convidando a visitar determinada página de relacionamento, ou ainda felicitando o destinatário pelo “prêmio ganho”. Embora existam várias mensagens com conteúdos diferentes, o objetivo é um só, ou seja, a descrição procura aguçar a curiosidade e fazer com que o usuário clique em um botão ou link para executar ou instalar e executar um programa na máquina. Quem pratica o phishing é chamado de phishing scammer. Um exemplo típico de phishing está representado na seguinte Figura: Figura 2 – Phishing O Boticário #paratodosverem: Imagem de uma página fake do O Boticário com o objetivo de des- pertar a curiosidade do usuário para ele faça do download na máquina de um progra- ma, ou seja, vírus, utilizados como ataque dos hackers. A página é colorida, chamativa e remete a uma promoção “Na Boticário Mamãe Ganha”, possui o logo da empresa, informando que ao clicar no vale presente, o usuário ganha da Boticário um vale de R$19,50. #fimdadescrição Trata-se de um phishing muito bem feito, salvo que nenhuma empresa deve solicitar que o usuário faça download de qualquer tipo de página, programa ou imagem, isto é inadmissível; no entanto, as pessoas menos atentas, com menos conhecimento sobre esse tipo de ataque – que, na verdade, é a grande maioria – acabam caindo em golpes dessa natureza. Outro phishing conhecido é o da Chevrolet, conforme pode ser visto na seguin- te Figura, incentivando o destinatário a baixar um formulário para ser preenchido. Considerando que não se baixa formulário para preencher, pois licitamente são oferecidos em páginas da internet da própria empresa, uma vez salvo esse arquivo e executado, o referido computador será contaminado. Na maioria das vezes esse tipo de ataque solicita que o usuário faça o download ou então clique em algum link para ser aceito na promoção; infelizmente, a maioria 16 17 das pessoas não tem o hábito de colocar o mouse sobre o link ou o botão de do- wnload para verificar o endereço completo – se fizessem isso, constatariam estar prestes a executar um programa. Os engenheiros sociais se aproveitam dessa falha de atenção para instalar softwares com códigos maliciosos, pois a grande maioria dos usuários não sabe diferenciar um programa e uma página de internet. Figura 3 – Phishing Chevrolet #paratodosverem: Imagem de um exemplo conhecido de phishing, este é da Chevrolet, incentivando o usuário baixar um formulário. No texto da imagem está descrito de e-mail: chevrolet@gm.com.br, enviada na quarta-feira 10/01/2017 às 13 e 34, as- sunto: parabéns você pode ser sorteado, entre parentes a sorteada, texto do e-mail: parabéns você foi um dos sorteados do concurso Natal Chevrolet na internet. Maria da Penha Souza Cunha ao efetuar uma compra nas lojas autorizadas Chevrolet ganhou a honra de cadastrar o e-mail de 3 amigos na promoção Natal Chevrolet ,você foi se- lecionado, entre parentes a, e acaba de ficar entre os 100 últimos finalistas a ganhar 10 Meriva 0 km. Preencha corretamente os dados do formulário e aguarde o contato de um funcionário do Chevrolet. Clique aqui para baixar o formulário. Boa sorte! Aten- ciosamente Adalberto César Coelho, central de marketing Chevrolet, e na sequencia tem o logo da Chevrolet. #fimdadescriçao Ademais, o phishing é usado para atingir determinado perfil de usuários e, por este motivo, é transmitido ao maior número de pessoas, afinal, algumas o apaga- rão, pois não é de seu interesse, mas outras acessarão e possivelmente clicarão e instalarão o programa. Portanto, vários tipos de propagandas e anúncios surgem a todo o momento com o objetivo de contaminar grupos de pessoas que tenham interesse em determinadas promoções. 17 UNIDADE Principais Tipos de Ataques e Ameaças Outro golpe advindo por e-mail é o Nigerian scan – ou fraude da Nigéria –, que consiste em enviar uma mensagem descrevendo histórias variadas, uma das quais sobre um parente distante que morreu e deixou uma fortuna em dinheiro, de modo que o destinatário precisará pagar determinado valor relacionado aos custos docu- mentais para que tal fortuna seja depositada em sua conta corrente. Muitas outras variações dessas histórias são inventadas, mas sempre com o mesmo propósito: depositar dinheiro mediante a promessa de que receberá o valor indicado. Esse tipo de golpe já era praticado por meio de cartas, de modo que atualmente o e-mail é empregado, entre outros motivos, porque atinge maior quantidade de pessoas. Há casos mais avançados de engenharia social, tais como os exemplos vistos, os quais utilizando phishing para atingir um grupo específico de usuários a fim de aguçar a curiosidade de seus integrantes. O objetivo do engenheiro social é conquistar e manipular o sentimento das pes- soas e para chegar a essa meta pode usar o telefone, a internet, ou até mesmo o meio físico. Os pontos principais manipulados são a curiosidade, confiança, simpa- tia, culpa, intimidação e o orgulho, cada um a partir de técnicas totalmente diferen- tes e que podem ser utilizadas com certa variação; vejamos mais alguns exemplos: A curiosidade é a forma mais fácil de obter sucesso na engenharia social, pois não é característica de um grupo específico, sendo inerente a todo ser humano, afinal, somos movidos por essa qualidade. Portanto, se você fizer engenharia social por meio de um phishing que tenha a característica de utilizar o princípio da curiosidade, certamente fará com que alguns destinatários executem o programa que lhes foi en- viado, mesmo em um meio físico, veja: se visitar uma empresa e deixar um CD com a descrição “salário dos funcionários”, ou “fotos da família do diretor X” em um local de significativo trânsito de pessoas, criará curiosidade naqueles que tiverem acesso a essa mídia, a qual, uma vez executada, poderá infectar o computador do curioso. A confiança é outro atributo que o engenheiro social pode utilizar, pois nessa condição agirá com mais facilidade; é o caso já citado sobre o e-mail enviado por um terceiro que, colocando-se como fosse uma pessoa conhecida, comumente fará a vítima clicar no link e até executar algum arquivo enviado, pois considerará que a mensagem advém de uma pessoa conhecida. Como a confiança é reconhecida- mente primordial aos engenheiros sociais, para que seja possível, deve-se ter boa aproximação às pessoas para estabelecer um contato mais “espontâneo”. Por sua vez, a simpatia acaba atraindo muitas vítimas, afinal, adoramos pessoas simpáticas. Por exemplo, quando entramos em uma loja e um vendedor nos fica pressionando ou, pelo contrário, não nos dá muita atenção, ou ainda nos trata com certo mau humor, grandes são as possibilidades de não comprarmos em tal esta- belecimento; por outro lado, se o vendedor for simpático, prestativo, dificilmente deixaremos de adquirir o produto necessário. Naturalmente que não se refere aqui à questão de valor e/ou qualidade do produto ofertado, mas – para efeito didático – consideremos que as lojas têm os mesmos critérios de preço e qualidade, de modo 18 19 que às pessoas simpáticasnos será mais difícil dizer não quando nos oferecem uma venda, ou nos pedem algo. A simpatia está diretamente ligada ao orgulho, de modo que pessoas orgulhosas gostam que outras falem bem de algo sobre si ou que tenha realizado. Dito de outra forma, os elogios feitos às pessoas orgulhosas servem como portas à aproximação. Sem surpresa, a simpatia é muito utilizada em ataques a pessoas orgulhosas. A culpa também é explorada por engenheiros sociais, dado ser excelente meio a ser empregado para obter informações, principalmente de pessoas com baixa estima, as quais comumente se sentem responsáveis por qualquer motivo e, conse- quentemente, podem ser facilmente manipuladas. Toda pessoa que se acha culpada está, intrinsecamente, interessada em ajudar e, intuitivamente, a culpa pode se estabelecer por um simples serviço prestado. Por exemplo, caso alguém faça um favor a você, algumas vezes poderá usar da seguin- te frase: “Você me deve uma”; significa que a culpa é manipulada, pois em algum momento lhe cobrará pelo favor prestado. A intimidação é diferente de tudo o que foi descrito até agora, pois se refere a fingir ser o chefe ou estar no controle de uma determinada situação para atingir o seu objetivo – em síntese, intimidar alguém. Geralmente o tom de voz usado na intimidação é diferente em relação a outros tipos de ataque. Mas por quais motivos uma pessoa acaba caindo nesses truques? Ex pl or Uma das razões é que as pessoas não desconfiam de muitas coisas que aconte- cem em seu dia a dia, como no caso dos e-mails enviados como propagandas – os mencionados phishing. Deve-se, portanto, desconfiar de tudo o que é enviado pela internet; não execu- tar nada que não seja de pessoa confiável. De modo que se não estiver esperando um e-mail e mesmo assim o receber, é sempre interessante checar a sua veraci- dade. Caso acesse o conteúdo do e-mail, averigue com atenção o endereço que está por trás do link ou botão – para isto, basta posicionar, sem clicar, o cursor do mouse sobre o link ou botão para examinar, no canto inferior esquerdo da tela, o endereço completo. Todos os documentos da empresa que estiverem em papel devem ser destruídos de tal forma que nenhuma informação fique visível. Caso isto não ocorra e o enge- nheiro social adquira esses papéis, poderá, com certa facilidade, saber o nome de determinadas pessoas e se aproveitar disso. Revelar dados sem consulta é outro caso usado pelos engenheiros sociais como, por exemplo, determinada pessoa que venha a telefonar e solicitar os dados do gerente com o argumento de precisar enviar informações ao qual; de modo que 19 UNIDADE Principais Tipos de Ataques e Ameaças especial cuidado deve ser tomado em casos assim – se a pessoa que solicita a infor- mação não é conhecida, então não deve ser informada. Ademais, acessar sistemas duvidosos, tais como sites da internet, pode trazer programas maliciosos que serão executados na máquina em questão. A curiosidade em se ter acesso a determinadas informações, como no caso do CD colocado propositadamente em um local para que alguém o pegue e insira no computador, deve ser evitada, pois o próprio auto run poderá instalar arquivos maliciosos na máquina em questão. Conversar sobre o dia a dia e dados confidenciais da empresa estando fora desta também deve ser evitado, pois caso isto ocorra, tais informações poderão ser ad- quiridas por pessoas alheias que a usarão em benefício próprio. A melhor forma de se defender dos ataques de engenharia social é o treinamen- to, a participação em workshops e a divulgação dos tipos de ataque. A política é um dos recursos igualmente utilizáveis para evitar essa prática criminosa. 20 21 Material Complementar Indicações para saber mais sobre os assuntos abordados nesta Unidade: Vídeos História dos Vírus de Computador https://youtu.be/zdxo0sL9q6o Engenharia Social https://youtu.be/PTs4__aHxI8 Leitura Cartilha de Segurança para Internet – Golpes na Internet https://goo.gl/s914E2 Cartilha de Segurança para Internet – Outros Riscos https://goo.gl/1cKkbD 21 UNIDADE Principais Tipos de Ataques e Ameaças Referências GALLO, M. A.; HANCOCK, W. M. Comunicação entre computadores e tecno- logias de rede. São Paulo: Thomson Learning, 2003. GALVÃO, M. C. Fundamentos em segurança da informação. São Paulo: Pearson Education do Brasil, 2015. 22
Compartilhar