Baixe o app para aproveitar ainda mais
Prévia do material em texto
FACULDADE UNA DE UBERLÂNDIA BACHARELADO EM SISTEMAS DE INFORMAÇÃO DANILO ARANTES FREITAS ENGENHARIA SOCIAL APLICADA NAS REDES SOCIAIS: CONDUTA E BOAS PRÁTICAS PARA MANTER-SE MAIS SEGURO UBERLÂNDIA/MG 2017 FACULDADE UNA DE UBERLÂNDIA BACHARELADO EM SISTEMAS DE INFORMAÇÃO DANILO ARANTES FREITAS ENGENHARIA SOCIAL APLICADA NAS REDES SOCIAIS: CONDUTA E BOAS PRÁTICAS PARA MANTER-SE MAIS SEGURO Trabalho apresentado à disciplina de Projeto Integrador III, do Curso de Sistemas de Informação, da Faculdade Una de Uberlândia, como parte dos requisitos à graduação e obtenção do título de Bacharel em Sistemas de Informação. Coordenadora de Curso: Profª. Lilian Ribeiro Mendes Paiva, Dra. Coordenador Adjunto de Curso: Prof. Jean Carlo de Sousa Santos, Ms. Orientador (a): Profª. Silvia Fernanda M Brandão, Ms. Co-orientador (a): Prof. Mário César P. Peixoto, Ms. Área de Concentração: Ciência da Computação Sub-Área: Segurança da Informação UBERLÂNDIA/MG 2017 FACULDADE UNA DE UBERLÂNDIA BACHARELADO EM SISTEMAS DE INFORMAÇÃO ENGENHARIA SOCIAL APLICADA NAS REDES SOCIAIS: CONDUTA E BOAS PRÁTICAS PARA MANTER-SE MAIS SEGURO DANILO ARANTES FREITAS Trabalho apresentado à disciplina de Projeto Integrador III, do Curso de Sistemas de Informação, da Faculdade Una de Uberlândia, como parte dos requisitos à graduação e obtenção do título de Bacharel em Sistemas de Informação. Aprovado em: 04 / 07 / 2017 Banca Examinadora: Orientador (a): Profª. Silvia Fernanda M Brandão, Ms. Co-orientador (a): Prof. Mario César P. Peixoto, Ms. Examinador (a): Prof. Reginaldo Aparecido Mendes, Esp. Examinador (a): Prof. Eduardo Souza Santos, Ms. Aos meus Pais, Deusamira e Ney, que não puderam fazer parte desta etapa da minha carreira, A minha irmã, Isabela, que sempre foi meu apoio e acreditou no meu melhor. AGRADECIMENTOS Agradeço a Deus por ter me abençoado com muita saúde, força, perseverança e uma família unida e acolhedora. Aos meus exemplos de vida Ney Arantes e Deusamira Barros de Freitas, que me mostraram o caminho do certo, me deixando para caminhar com meus próprios pés e me amaram até o último dia de suas vidas. Agradeço a minha irmã Isabela Arantes Freitas, por torcer por mim, me apoiando, aconselhando e por estar ao meu lado sempre. Agradeço aos meus primos Marcelo Arantes Soares e sua esposa Jane Lima de Natividade Arantes por todo o suporte, conselhos e acolhimento, sem os quais não seria possível chegar ao fim do desafio à conclusão do curso de Sistemas de Informação. À minha orientadora, Profª. Silvia Brandão, pela paciência e auxílio neste projeto, dando o seu melhor como professora e motivadora. Também gostaria de agradecer aos grandes amigos do curso de Sistemas de Informação, pelos momentos de troca de ideias, pelas incríveis dicas e também pela responsabilidade e competência de cada um nos trabalhos em equipe. “Privacidade para os fracos, transparência para os poderosos!” (Julian Assange) RESUMO As redes sociais já se tornaram parte na vida das pessoas, que gastam horas e horas do dia navegando, muitas vezes sem se dar conta disso. Utilizadas para diversos fins, pessoais ou empresariais, este mecanismo não é visto pelos usuários como algo perigoso, nem que eles possam estar vulneráveis a golpes ou ataques através do uso da mesma. Uma ameaça evidente é conhecida como engenharia social, sendo, a capacidade do ser humano de através das técnicas de persuasão, conseguir manipular uma pessoa para obtenção de informações importantes sobre um determinado alvo sem que ela perceba. A inclusão digital e o uso das redes sociais, tem potencializado parte da população a se familiarizar com à Internet, através dos aplicativos de smartphone e priorizando à acessibilidade para estes itens de informática. Os engenheiros sociais aproveitam as “brechas”, o pouco conhecimento desses usuários sobre cibersegurança, para facilitar o seu ataque aplicando golpes com a ajuda de programas espiões, técnicas de phishing e scam. Com base neste cenário, esta pesquisa monográfica objetiva apresentar, de uma maneira bem simples e utilitária, os ataques mais comumente aplicados no meio das redes sociais, a fim de que os mais leigos no assunto consigam refletir sobre seu comportamento online pessoal e organizacional. O estudo desse tema apresenta o perfil de vítimas, atores e suas motivações. Palavras-chave: Redes Sociais. Engenharia Social. Privacidade. ABSTRACT Social networks have already become part of people's lives, where they spend hours and hours of the day sailing on it, often without realizing it. Used for various purposes, either personal or business, this mechanism isn't seen by users as dangerous services, nor that they may be vulnerable to get caught in scams or online attacks. An evident threat is known as social engineering, that is the human beings' ability, through persuasion techniques to be able to manipulate a person to provide key information about a particular target, without he/she see what is doing. Moreover, digital inclusion and the use of social networks has empowered part of the population to become familiar with the Internet, through smartphone applications and prioritizing accessibility for these IT items. Social engineers take advantage of "gaps" and the lack of people's knowledge about cyber security, facilitating their attacks by applying scams with the help of spyware, phishing and scam techniques. Based on this scenario, the goal of this monographic research is to expose the most common attacks applied in the middle of social networks, in a clear way, so that even the most lazy person in the subject, can reflect on their online personal and organizational behavior. The study of this theme, presents the profile of victims, actors and their motivations. Keywords: Social networks. Social engineering. Privacy. LISTA DE FIGURAS Figura 1 - Número de usuários ativos em milhões. .................................................................. 21 Figura 2 - Tempo gasto nas mídias sociais. .............................................................................. 22 Figura 3 - Foto de funcionário expondo seu crachá. ................................................................ 24 Figura 4 - Site falso do Facebook. ............................................................................................ 26 Figura 5 - Smishing no WhatsApp. ........................................................................................... 27 Figura 6 - Arquivo malicioso disseminado pelo bate-papo do Facebook. ............................... 28 Figura 7 - Banner falso do Facebook oferecendo créditos grátis para aplicativos externos. ... 29 Figura 8 - Solicitação de uma aplicação externa no Facebook................................................. 30 Figura 9 - Total de incidentes reportados ao CERT.br de 1999 a 2015. .................................. 32 Figura 10 - Fan page Seguidores Grátis. ..................................................................................42 Figura 11 - Perfil falso. ............................................................................................................. 43 Figura 12 - Site sortudo.pe.hu. ................................................................................................. 44 Figura 13 - Encurtador de link. ................................................................................................. 45 Figura 14 - Contato pelo chat. .................................................................................................. 47 Figura 15 - Captcha. ................................................................................................................. 47 Figura 16 - Alcance das publicações. ....................................................................................... 48 Figura 17 - Cliques realizados no link encurtado do site externo. ........................................... 49 Figura 18 - Relação de cadastros realizados no site sortudo.pe.hu. ......................................... 49 LISTA DE TABELAS Tabela 1 – Perfil de um engenheiro social ............................................................................... 23 LISTA DE ABREVIATURAS E SIGLAS AIM America Online Instant Messenger (Serviço de mensagens instantâneas) APAV Associação Portuguesa de Apoio à Vítima CERT Centro de estudos, respostas e tratamento de incidentes em todo o Brasil ESR Engenharia Social Reversa HTTP Hypertext Transport Protocol HTTPS Hypertext Transport Protocol Secure IBGE Instituto Brasileiro de Geografia e Estatística IBOPE Instituto Brasileiro de Opinião Pública e Estatística ICQ Internet Chat Query (Serviço web de mensagens instantâneas) IoT Internet of Things (Internet das coisas) IP Internet Protocol (Protocolo de Internet) RSO Redes Sociais Online SMS Short Message Service (Serviço de mensagens curtas) US-CERT United States Computer Emergency Readiness Team (Equipe de preparação para emergências em informática dos Estados Unidos) WIN Worldwide Independent Network of Market Research SUMÁRIO Capítulo 1 – Introdução ....................................................................................... 14 1.1 Situação problema ................................................................................................ 14 1.2 Justificativa e motivação ...................................................................................... 15 1.3 Objetivo geral ...................................................................................................... 16 1.4 Objetivos específicos ........................................................................................... 16 1.5 Metodologia ......................................................................................................... 16 1.6 Organização do trabalho ...................................................................................... 17 Capítulo 2 – O impacto da engenharia social nas redes sociais .......................... 18 2.1 Redes sociais em palavras.................................................................................... 18 2.1.1 Nascimento das redes sociais .................................................................................. 19 2.1.2 Crescimento no mundo inteiro ................................................................................ 20 2.1.3 Como funciona a engenharia social ......................................................................... 22 2.2 Ataques e incidentes em redes sociais ................................................................. 25 2.2.1 Técnica de phishing ................................................................................................. 25 2.2.2 Spyware ................................................................................................................... 27 2.2.3 Scam ........................................................................................................................ 28 2.2.4 Aplicativos externos vinculados as redes sociais .................................................... 29 2.2.5 Cyberstalking ........................................................................................................... 30 2.2.6 Engenharia social reversa ........................................................................................ 31 2.3 A cibersegurança .................................................................................................. 32 2.4 Conclusão ............................................................................................................. 33 Capítulo 3 – Contramedidas para a Cibersegurança ........................................... 34 3.1 Termos de segurança ........................................................................................... 34 3.2 Controle de privacidade ....................................................................................... 35 3.3 Não ser inocente ................................................................................................... 36 3.4 Reconhecer as técnicas de engenharia social ....................................................... 37 3.5 Proteja você mesmo ............................................................................................. 38 3.6 Conclusão ............................................................................................................. 40 Capítulo 4 – Estudo de caso phishing no Facebook ........................................... 41 4.1 Situação Problema ............................................................................................... 41 4.1.1 A página no Facebook ............................................................................................. 41 4.1.2 Criação de um perfil falso ....................................................................................... 43 4.1.3 Página web pelo site hostinger.com.br .................................................................... 44 4.1.4 Encurtadores de links .............................................................................................. 45 4.2 Resultados obtidos com o caso de uso ................................................................. 46 4.2.1 Perfil falso ............................................................................................................... 46 4.2.2 Página Seguidores Grátis ......................................................................................... 48 4.2.3 Site externo .............................................................................................................. 48 4.3 Análise dos resultados ......................................................................................... 49 4.4 Conclusão ............................................................................................................. 50 Capítulo 5 – Conclusão ....................................................................................... 51 REFERÊNCIAS BIBLIOGRÁFICAS ................................................................ 53 APÊNDICE 1 - TERMOS DE USO DO SITE sortudo.pe.hu ............................ 57 Termos de uso ..................................................................................................... 57 APÊNDICE 2 - TABELAS COM AS VÍTIMAS ............................................... 59 14 Capítulo 1 – Introdução Esta monografia procurou tratar o tema das redes sociais e seu surgimento com foco no Facebook, bem como, os perigos e as maneiras de se proteger utilizando bons hábitos que todo usuário deveria desenvolver, a fim de conseguir uma navegação mais segura. 1.1 Situação problema Os sites de redes sociaissurgiram juntamente com a ascensão da Internet, objetivando a interação entre pessoas, através de novas amizades e até aproximando virtualmente amigos e familiares. Elas permitem usuários a abrirem contas online, nas quais possam mostrar para sua rede de amigos, publicações de sua vida diariamente, por métodos multimídia como fotos, vídeos, pequenos blocos de texto, expondo suas ideias sobre um determinado assunto, dentre outras várias opções disponíveis ao internauta. Tornando-se mundialmente utilizada, alimentando o desejo das pessoas por reconhecimento e influenciando o meio social, esse sucesso despertou olhares de criminosos perigosos como o engenheiro social, visto que disponibilizam métodos facilitadores na busca por informações pessoais. Por exemplo, é possível observar o perfil da vítima e descobrir o que está acontecendo em sua vida atualmente, quanto tempo ela costuma permanecer conectada, quem são seus familiares, qual seu cargo profissional e organização em que trabalha, dentre outras informações. Após esses dados coletados, um quebra-cabeça começa a ser organizado, para o próximo ataque e alvo ser decidido. “Os engenheiros sociais habilidosos são adeptos do desenvolvimento de um truque que estimula emoções tais como medo, agitação ou culpa. Eles fazem isso usando os gatilhos psicológicos – os mecanismos automáticos que levam as pessoas a responderem as solicitações sem uma análise cuidadosa das informações disponíveis.” (MITNICK e SIMON, 2003, p.85) 15 A cibersegurança se tornou um tema altamente discutido, quando os negócios começaram a depender cada vez mais da Internet. Ataques diversos surgiram, sendo orquestrados para explorarem falhas nos processos, executados por organizações e elementos relacionados aos ativos da informação: softwares, hardwares e o peopleware. Atualmente com paradigmas de cloud computer (computação na nuvem), smartphones e IoT (Internet das coisas), os riscos e vulnerabilidades inerentes a informação, possibilitaram um aumento das variáveis que ameaçam os alicerces da segurança da informação. Diante disso, é preciso analisar e alertar o usuário quanto a estes problemas, demonstrando os principais ataques planejados pelos engenheiros sociais e como os usuários de redes sociais estão sendo afetados por eles. Além disso, são observadas e tratadas áreas de risco, as quais os usuários estão vulneráveis para saber quando aplicar as medidas de segurança, disseminadas por profissionais da área. 1.2 Justificativa e motivação Devido à falta de hábito da maioria dos utilizadores de redes sociais, em manter um olhar crítico sobre o próprio comportamento, e isso relacionado a acessibilidade à Internet que está cada vez maior, possivelmente os usuários podem ser persuadidos e dirigidos diretamente para uma armadilha. Vários métodos maliciosos foram desenvolvidos, onde até os mais famosos ainda continuam gerando vítimas. “A ameaça de uma invasão que viola a nossa privacidade, a nossa mente ou os sistemas de informações da nossa empresa pode não parecer real até que aconteça. Para evitar tamanha dose de realidade precisamos nos conscientizar, educar, vigiar e proteger os nossos ativos de informações, as nossas informações pessoais e as infraestruturas críticas da nossa nação. E devemos implementar essas precauções hoje mesmo.”(MITNICK e SIMON, 2003, p. 7). Nunca é cedo demais para uma iniciativa de segurança, para implementar contramedidas e reavaliar os processos tomados como seguros, por parte de uma organização e até pessoalmente nos sites de redes sociais. Segurança sempre esteve entrelaçado com privacidade em todos os sentidos, contudo, Mitnick e Simon (2003), mostram a importância do fator humano que é classificado por eles como o elemento mais importante na gestão de segurança da informação, e também como o elo mais fraco da corrente. “É natural querer se sentir seguro e isso leva muitas pessoas a buscarem uma falsa ideia de segurança” (MITNICK e SIMON, 2003, p. 3). 16 A Internet contribui para a multiplicação e incentivo dos crimes online, uma vez que a origem do ato malicioso, pode ser ocultada de forma que não se consiga descobrir o autor do ataque ou tornando a busca bem mais difícil. Os criminosos se passam por outras pessoas, mudam a localização que o ataque se originou, conseguem persuadir com facilidade usuários e colaboradores de uma organização, com o objetivo de capturar dados importantes e sigilosos sobre o alvo. 1.3 Objetivo geral O objetivo desta pesquisa monográfica é analisar as formas de ataque pelo engenheiro social, disseminados nas redes sociais online, e as maneiras de defesa para que se tenha um perfil mais seguro, por meio de costumes recomendados a serem adotados. 1.4 Objetivos específicos Quanto aos objetivos específicos tem-se: Pesquisar sobre ataques relacionados à engenharia social, especificamente dando ênfase às redes sociais; Fazer um estudo de caso utilizando a técnica de phishing; Alertar os leitores sobre os crimes pelas redes sociais; Mostrar a importância da leitura dos termos de uso de aplicativos e das redes sociais; Despertar um olhar crítico para o engenheiro social; e, Apresentar e sugerir, de uma maneira simples e utilitária, contramedidas para que as pessoas possam se proteger de ataques e incidentes em redes sociais. 1.5 Metodologia Durante esta pesquisa, foram consultados livros, blogs, sites e artigos periódicos, com a finalidade de suprir assuntos inerentes à pesquisa, tanto na redação, no estudo de caso 17 utilizando a técnica de phishing ou na apresentação de contramedidas, para se proteger de ataques e incidentes em redes sociais. 1.6 Organização do trabalho A presente monografia, encontra-se dividida e organizada nos seguintes capítulos: Capítulo 1, foi apresentado uma introdução e contextualização geral do tema abordado, destacando os objetivos da monografia e a cibersegurança em redes sociais; Capítulo 2, apresenta um referencial teórico, em que são apresentados os principais conceitos relativos as redes sociais online, como, a sua origem e o grande sucesso em todas as culturas e crenças, destacando a permanência das pessoas, com estatísticas de utilização em todo o mundo. Neste capítulo, ainda é abordado o termo engenharia social, para que se possa entender o que é, onde é aplicada, e seus diversos métodos de ataque, destacando autores de renome, que expressam seus pontos de vista em livros e trabalhos de pesquisa; Capítulo 3, apresenta uma abordagem sobre o aspecto de como manter-se mais seguro, para que se compreenda a importância de etapas como: a leitura dos termos de uso, para ciência do quanto a privacidade do usuário está sendo acessada, os controles de privacidade, que fazem o papel de regrar quem pode ver o que, e também, para que se possa estabelecer comportamentos e boas práticas de uso evitando vulnerabilidades e golpes; Capítulo 4, apresenta o estudo de caso utilizando a técnica de phishing através da rede social Facebook, com a ajuda de um site externo. Neste capítulo, descreveu-se como o caso foi tratado e os resultados das condutas dos usuários diante deste tipo de golpe; Capítulo 5, apresenta as considerações finais, concluindo a pesquisa sobre a engenharia social nas redes sociais, e em seguida, apresenta algumas sugestões de trabalhos futuros na área do tema. 18 Capítulo 2 – O impacto da engenharia social nas redes sociais Socializar, conversar, interagir sempre foram premissas para os seres humanos, desde a antiguidade. Devido a essas necessidades, as pessoas começaram a desenvolver meios de comunicação mais eficazes, rápidose dinâmicos. Os sites de redes sociais se enraizaram fortemente na sociedade, efetivamente em virtude de sua grande utilidade e facilidade para encontrar amigos, familiares, debater e expor algo para outros usuários. No entanto, é preciso manter-se alerta em meio a tantos integrantes da rede, como os criminosos cibernéticos e engenheiros sociais. Eles também utilizam esses sites para monitorar vítimas, de maneira a obter e conhecer o seu alvo, a partir de informações cedidas pela própria pessoa no seu perfil, onde maior parte não configura as opções de privacidade. Este capítulo apresenta, de maneira sucinta, alguns conceitos relativos ao surgimento das redes sociais e da engenharia social; além das técnicas comumente utilizadas pelos hackers, na tentativa de capturar informações através da interação nestes ambientes sociais. 2.1 Redes sociais em palavras Os sites de redes sociais, são constituídos por integrantes com interesses em comum, que formam uma comunidade com ligação e intenção de compartilhar conteúdo. A partir de hábitos como curtir, compartilhar, adicionar, seguir outras pessoas, acompanhar o que elas gostam, elas tornaram-se uma febre em qualquer faixa etária. “We define social network sites as web-based services that allow individuals to (1) construct a public or semi-public profile within a bounded system, (2) articulate a list of other users with whom they share a connection, and (3) view and traverse their list of connections and those made by others within the system. The nature and nomenclature of these connections may vary from site to site.” (BOYD e ELISSON, 2007, pág. 2). 19 Para Mislove et al. (2007), três componentes são essenciais nas RSO (Rede Sociais Online): usuários cadastrados, possibilidade de criar links entre usuários e a possibilidade de segmentar os links em grupos, reunindo usuários com interesses comuns. Identifica-se que o maior atrativo dos sites de redes sociais não é realmente conhecer outras pessoas, mas sim, permitirem seu perfil ser visualizado por outros usuários, expondo sua vida para o círculo de amigos. De acordo com Cerqueira e Silva (2011) as redes sociais sempre existiram, pois, a sociedade é, e sempre foi organizada em rede. As conexões vão ainda mais longe: além de formar as redes pela conversação, é possível formar uma rede de contatos onde jamais houve qualquer tipo de interação recíproca. E essa conexão, embora não recíproca, pode dar ao ator acesso a determinados valores sociais, que de outra forma não estariam acessíveis, tais como determinados tipos de informações. Considera-se essa conexão como social, porque o ator adicionado é informado deste acréscimo, podendo impedi-lo, se desejar. (RECUERO e ZAGO, 2009) 2.1.1 Nascimento das redes sociais SixDegrees.com em 1997 foi o primeiro site de rede social a ser lançado, segundo Boyd e Ellison (2007), onde permitiu que os usuários criassem perfis, listassem seus amigos e, a partir de 1998, navegassem nas listas de amigos. Cada um desses recursos existia de alguma forma antes de SixDegrees. AIM e ICQ, forneciam serviços de bate papo, suportavam listas de amigos, embora os amigos não eram visíveis para os outros. Classmates.com permitiu que as pessoas se afiliassem com sua escola ou faculdade, navegassem na rede com outros que também eram afiliados, mas os usuários não podiam criar perfis ou lista de amigos até anos mais tarde. SixDegrees foi o primeiro a combinar todos esses recursos. Em 2002, Friendster é lançado com o conceito de círculo de amigos que relaciona usuários com os amigos de seus amigos. Problemas técnicos como falta de servidores para tantos acessos e vários concorrentes surgindo acabou levando ao desligamento do site em 2011. (SANTOS, 2014) 2003 foi o ano do surgimento do MySpace considerado um dos pioneiros no sentido multimídia das redes sociais, a página foi criada em apenas dez dias como “um clone do Friendster”. Hoje é alvo de músicos e bandas. (JESUS, 2012) 20 Também lançado em 2003, o LinkedIn, segundo JESUS (2012), surgiu com uma proposta totalmente diferente. A rede social que existe até hoje, não tinha como objetivo reunir amigos, mas sim contatos profissionais. Era a origem de algo muito comum hoje em dia: a criação de sites de relacionamento segmentados e voltados a apenas um determinado tipo de público e não para o internauta em geral. O Orkut, iniciado em 2004, foi a rede social mais acessada pelos brasileiros durante muitos anos e a porta de entrada para a Internet no Brasil. Para 82% daqueles que acessam as redes, o Orkut foi a primeira delas. (IBOPE, 2010) Essa rede social teve seu desligamento oficial em 2014 por motivos de concorrência. O Facebook, primeiramente chamado Thefacebook surgiu em 2004 junto com o Orkut; mas, de acordo com Boyd e Elisson (2007), no começo era uma rede social somente para membros da Universidade de Harvard. Desta forma, para se tornar um usuário era necessário um e-mail da instituição. Com o sucesso eminente o Facebook decidiu expandir seu acesso, permitindo outras instituições de ensino. Em setembro de 2005, abriu as portas para estudantes do ensino médio, profissionais e eventualmente a todos, se tornando a rede social mais famosa em todo o mundo desde 2012, atraindo e entretendo usuários com a possibilidade de criar páginas para conteúdo específico, grupos de amigos, enviar mensagens, se divertir com vários jogos, postar fotos, comentar suas fotos e a de amigos, postar mensagens e outros vários recursos padrões das redes sociais atuais. 2.1.2 Crescimento no mundo inteiro A vontade de se expor para as outras pessoas, compartilhando com um certo público o que fazem durante o seu dia, alimenta o desejo de reconhecimento, influenciando bastante o meio social. Alguém com baixa autoestima pode encontrar nas redes sociais a aprovação desejada. Além disso, no mundo virtual tudo é perfeito, todos são felizes e as pessoas sentem- se de alguma forma protegidas por não precisarem expor suas imperfeições. (KILINSK, [20??]) Os smartphones têm um papel muito grande na ascensão de redes sociais, pela portabilidade que oferecem, como conexão à Internet em quase qualquer lugar e facilidade de disseminar um fato ocorrido utilizando meios multimídias como fotos, vídeos e áudios, 21 gravados no momento do acontecimento. A evolução desses aparelhos, possibilitou novos recursos e o desenvolvimento de novas RSO, no paradigma de aplicativos. “Quando acordamos, a primeira coisa que fazemos é pegar o telefone celular e olhar as últimas novidades de nossos amigos no Facebook, verificando atualizações de notícias no Twitter ou curtindo fotos no Instagram.” (RIBEIRO, 2016). Com mais de 1 bilhão de contas cadastradas e 1,8 milhões de usuários ativos, o Facebook domina como a mais famosa entre as redes sociais em todo o mundo. A Figura 1 mostra um gráfico de barras, de janeiro de 2017, que demonstra em milhões a quantidade de usuários ativos nas redes sociais mais acessadas. Figura 1 - Número de usuários ativos em milhões. Fonte: Adaptado do site: https://www.statista.com/statistics/272014/global-social-networks-ranked-by- number-of-users/ Em 2010, o Instituto Brasileiro de Opinião Pública e Estatística (IBOPE), realizou uma pesquisa em parceria com a Worldwide Independent Network of Market Research (WIN), onde os resultados mostram que 87% dos internautas brasileiros acessam redes sociais, com tendência de crescimento, em que, 20% da população pretende entrar no mundo das redes sociais num futuro próximo. A quantidade de brasileiros online em 2015, segundo o Índice Brasileiro de Geografia e Estatística (IBGE), ultrapassou os 100 milhões, com isso,subiu para 57,5% a porcentagem da população brasileira que navega na rede. A Figura 2, apresenta um gráfico onde mostra o tempo médio gasto por grandes países nas mídias sociais em horas a cada dia. O Brasil está em segundo lugar, com o tempo médio de quase 4 horas por dia. 22 Figura 2 - Tempo gasto nas mídias sociais. Fonte: https://wearesocial.com/sg/blog/2017/01/digital-in-2017-global-overview 2.1.3 Como funciona a engenharia social Segundo Júnior (2006), a engenharia social consiste em técnicas utilizadas por pessoas, com o objetivo de se obter acesso e informações importantes e/ou sigilosas em organizações ou sistemas por meio da ilusão ou exploração da confiança das pessoas. O termo “engenharia”, foi atribuído a essa prática, porque é construída sobre informações e táticas de acesso a dados sigilosos de forma indevida. Já o termo “social”, foi atribuído porque utiliza pessoas que vivem e trabalham em grupos organizados. O exemplo dos “trotes de presídio”, que acontece por meio de uma ligação na qual os criminosos encenam um sequestro de um familiar da vítima, e como resgate exigem dinheiro ou até crédito para celular, é uma maneira de conseguir dados de forma que a pessoa deixe o medo falar mais alto, e acabe cedendo nomes, senhas e endereços. O principal objetivo é abalar o psicológico de um indivíduo, motivando-o pelo medo, a passar informações chave para um golpe bem-sucedido. Este tipo de comportamento se assemelha ao do engenheiro social. Para Mitnick e Simon (2003) há duas especialidades dentro da classificação do cargo de “artista da trapaça”. Alguém que faz falcatruas e engana as pessoas para tirar o seu dinheiro, pertence a uma subespecialidade chamada grifter. Alguém que usa a fraude, a 23 influência e a persuasão contra as empresas, em geral visando suas informações, pertence a outra subespecialidade: o engenheiro social. No passado, os engenheiros sociais precisavam se expor fisicamente para coletar referências e executar um ataque. A maneira mais utilizada era fazendo ligações, se passando por uma outra pessoa, com desculpas e capacidades de adaptação rápida a uma situação inesperada, conseguindo dados e assim acesso a informações sigilosas do alvo. O engenheiro social tem como principal alvo as organizações, por oferecerem algo de valor que possa ser usufruído ou roubado, para tal, realiza pesquisas sobre seu alvo procurando por alguns de seus funcionários, levantando informações relevantes a políticas, cultura, processos da organização para então trabalhar em um plano de ataque. A tabela 1 descreve o perfil de um engenheiro social. Tabela 1 – Perfil de um engenheiro social Fonte: TUBAN et al (2004) apud BALDIM, 2007 CARACTERÍSTICA DESCRIÇÃO Sexo Homens brancos, com idades entre 19 e 30 anos, sem antecedentes criminais. (As mulheres têm tendência de serem cúmplices). Ocupação Programador de aplicativos, usuário de sistema, pessoal administrativo, estudantes, gerentes. QI QI elevado, inteligente, boa aparência e criativo. Aparência Aparentemente autoconfiante, ambiciosa e dinâmico. Abordagem ao trabalho Gosta de aventuras, disposto a aceitar desafios tecnológicos, altamente motivado. Os sistemas de segurança evoluíram e se sofisticaram, conseguindo barrar muitas ameaças e ataques cibernéticos, compondo dois dos três aspectos dos ativos da informação, sendo esses o hardware e o software. O terceiro aspecto, com base nas abordagens de Stimmer (2011) e, Mitnick e Simon (2003), é o peopleware, que cobre toda a parte de tarefas e atividades de pessoas envolvidas no desenvolvimento, design, operação e uso de sistemas computacionais, e ser devem ser a maior preocupação. Comumente, quando um funcionário consegue ingressar em uma empresa, logo deseja compartilhar sua alegria com seus amigos online de ter conquistado algo que almejava, tirando uma foto em seu novo posto, outra com seu novo crachá e atualiza as informações do perfil com o novo emprego. Olhando por outros ângulos, Hadnagy (2015) em um boletim informativo no site “Security through education”, alerta sob esse tipo de comportamento, destacando aspectos como: 24 Agora, um invasor sabe exatamente como é o crachá da empresa; Recriar esse crachá foi facilitado; Dezenas de funcionários divulgam seus nomes completos, bem como os papeis na empresa; Muitas das imagens também contêm espaços de trabalho e muito mais. Vide Figura 3. Figura 3 - Foto de funcionário expondo seu crachá. Fonte: Adaptado do site: https://www.social-engineer.org/newsletter/6132/ Silva et al (2013), enfatiza outra vertente do assunto, os funcionários insatisfeitos, expondo a perspectiva em que não adianta a organização investir em sistematização de processos e implementação de tecnologias sofisticadas, se os seus funcionários estão insatisfeitos, podendo utilizar informações corporativas de forma intencional e indevida. Se não estiverem conscientes das ameaças existentes através do relacionamento interpessoal, e da comunicação humana dentro e fora da organização, possivelmente o repasse de informações sigilosas, de forma involuntária a pessoas mal-intencionadas por meio da engenharia social, é uma consequência quase certa. Isso deveria ser uma grande preocupação de empresas que desejam as manterem seguras. 25 2.2 Ataques e incidentes em redes sociais Os ataques do engenheiro social podem ir além da especulação em redes sociais, passando a instigar a curiosidade do alvo com mensagens contendo assuntos como: “Boleto Atrasado”, “Olhe essa foto sua”, “Não acredito que isso aconteceu”, induzindo a vítima a realizar o download de algum arquivo em anexo, contaminando seu computador. Pequenas e grandes empresas utilizam as redes sociais para estratégia de mercado assim como seus funcionários possuem perfis para interação, portanto é indispensável que a organização adote medidas para que os colaboradores possam compreender a importância em manter as informações seguras. 2.2.1 Técnica de phishing Na tentativa de capturar informações, confundindo o usuário, é aplicado pelos atacantes o chamado phishing, que diz respeito a sites falsos que imitam os originais, muitas vezes os de Internet Banking e redes sociais, criados na tentativa de mascarar o ataque. Ao contrário de um arquivo anexado, é dado um link de uma página web para ser acessada, onde é aberto um site para que o usuário possa inserir seus dados e, assim, utilizar o serviço. Na verdade, ele está digitando em um campo que captura as informações, as envia ao atacante e redireciona o indivíduo ao site original. Também, são comuns formulários online em que a pessoa preenche seus dados para receber um prêmio, mas na verdade, é apenas outra maneira de executar o golpe. O phishing por mensagens no e-mail é um dos mais famosos ataques e que ainda continuam gerando muitas vítimas. Toda a atenção é necessária antes de acreditar no que se recebe, por mais que pareça verídico. A Figura 4 mostra o quão convincente os sites podem ser, entretanto, analisando essa página, percebe-se no endereço do site www.lolomgz.a.gp ao invés de www.facebook.com. 26 Figura 4 - Site falso do Facebook. Fonte: Adaptado do site: http://yakimanetworking.com/uncategorized/phishing-scams-not-just-websites- anymore/ A Microsoft, empresa que mantém o sistema operacional Windows, no artigo “How to recognize phishing email messages, links, or phone calls”, em seu site, faz um alerta aos usuários, e destaca a engenharia social para convencer a vítima instalar um software malicioso ou entregar suas informações pessoais sob falsos pretextos.Os cibercriminosos podem chamá-lo no telefone e oferecer para ajudar a resolver os problemas do seu computador ou vender uma licença de software. A acessibilidade a dispositivos móveis, especialmente os smartphones, acelerou a comunicação entre as pessoas pela mobilidade e fácil utilização. Sendo assim, um indivíduo é mais propício a ler uma mensagem em seu celular, do que abrir seu e-mail para verificar se alguém o contatou. O smishing foi desenvolvido exatamente por esse motivo, com ofertas tentadoras através de mensagens de texto, disparadas para números de smartphones aleatórios na tentativa de alguém retornar o contato ou acessar um link anexado a mensagem. É bastante utilizado no envio de SMS, de acordo com a Norton Antivírus, números como “5000”, que não se parecem com números de telefones. Em abril de 2017, de acordo com o site Tecmundo, mais de 50 milhões de brasileiros caíram em um golpe que foi espalhado no aplicativo de dispositivos móveis WhatsApp, onde promove uma campanha falsa sobre uma empresa de cosméticos que estava oferecendo um vale-presente no valor de R$ 500,00 reais. Através de uma “corrente”, os usuários eram persuadidos a clicar em um link e assim eles eram direcionados para uma página onde haviam 27 três perguntas relacionadas à marca e após inserir seus dados, tais como: nome, telefone e CPF. Os criminosos cadastravam a vítima em sites maliciosos, que realizavam cobranças. Também era feito downloads de aplicativos falsos que podem infectar o celular. A Figura 5 ilustra um exemplo da forma de ataque smishing no WhatsApp e o website que era utilizado para roubo das informações pessoais das vítimas. Figura 5 - Smishing no WhatsApp. Fonte: Adaptado do site Tecmundo (2017). O smishing usa elementos de engenharia social para que a vítima compartilhe suas informações pessoais. Essa tática alavanca a confiança do indivíduo para obter informações que o "smisher" – pessoa que pratica smishing, está procurando. Pode ser qualquer coisa, de uma senha online, o seu Cadastro de Pessoa Física e as informações do seu cartão de crédito. Uma vez que o smisher possui esses dados, eles podem começar a solicitar novos cartões de crédito em seu nome, e aí os problemas começam de verdade, explica o site do antivírus Norton em seu artigo: “What Is Smishing?”. 2.2.2 Spyware Os spyware são programas espiões secretos que rodam por trás do sistema operacional do computador, para que o usuário não se dê conta que ele está ali. A empresa Symantec que mantém o antivírus Norton, define o vírus como: um coletor de informações relacionadas ao computador infectado e sua forma de uso, monitorando o navegador de 28 Internet podendo transmitir para um ladrão de identidades, nomes de usuários, senhas, números de cartões de crédito, sites mais acessados, dentre outros. Ele geralmente é instalado pelo próprio usuário, amarrado em um outro software, ou a downloads em sites de músicas, filmes e vídeos sem que o usuário perceba. No Facebook, o ataque é disseminado principalmente no bate-papo do site, pelo fato da vítima não configurar as opções de segurança corretamente, permitindo que pessoas não integrantes de sua corrente de amigos possam as enviar mensagens, ou, acabam aceitando uma solicitação de um desconhecido. A Figura 6 ilustra um exemplo da forma de ataque disseminado pelo bate-papo do Facebook. Figura 6 - Arquivo malicioso disseminado pelo bate-papo do Facebook. Fonte: Adaptado do site Virusai (2015). 2.2.3 Scam Os chamados scams online, “golpes online” em português, são esquemas fraudulentos que um atacante desenvolve, podendo tomar a forma de um software mal- intencionado, como um vírus ou spyware. É uma maneira de roubar suas senhas e ter acesso à sua conta bancária, ou poderá ainda usar e-mails de phishing e engenharia social para extorquir dinheiro, explica o site do antivírus Avast, que também complementa: "Se é algo muito bom para ser verdade, provavelmente não é". Muitos dos scams online, oferecem uma boa quantia em dinheiro e tudo que a vítima precisa fazer é realizar um pequeno depósito para cobrir as chamadas taxas de processamento. Na Figura 7 tem-se um exemplo da forma de ataque disseminado através de um banner falso no Facebook. 29 Figura 7 - Banner falso do Facebook oferecendo créditos grátis para aplicativos externos. Fonte: http://awarenessact.com/top-5-scams-effecting-facebook-users/ Já os scams que instalam softwares maliciosos em um computador, tentarão forçar o download de arquivos, como por exemplo uma janela pop-up – janelas que aparecem na tela repentinamente ao clicar em algo, onde informa que o computador foi infectado por um vírus e, para se livrar dele, só é preciso baixar um (fraudulento) programa de antivírus. Um dos mais lucrativos scams espalhado pelos criminosos, é o ransomware. Também um software malicioso, instalado no computador da vítima, que codifica os arquivos do computador e pede uma senha, antes da restauração do sistema em seu estado normal. Comenta a empresa Symantec no seu site, sobre o mega ataque aplicado em maio de 2017 ao redor do mundo, atingindo mais de 150 países, explorando uma vulnerabilidade no sistema operacional Windows. 2.2.4 Aplicativos externos vinculados as redes sociais Nota-se que, em vários sites que oferecem um serviço ou em sites de jogos, é necessário um cadastro para sua utilização, sendo possível criá-lo por meio de uma conta existente no Facebook, Twitter ou o Google Plus. Feito isso, a aplicação tem acesso aos dados que o usuário havia inserido nessa rede social, dessa forma agilizando o processo de ingresso. O problema, está quando o indivíduo não tem certeza se o aplicativo externo ou site é autêntico, tampouco verifica o que está permitindo ao serviço fazer com as suas informações disponibilizadas pela rede social, já que há a possibilidade do aplicativo enviar mensagens aos 30 amigos do usuário, fazer postagem no nome do usuário, realizar a leitura de toda a rede de amigos e as informações básicas da pessoa, facilitando a distribuição de links maliciosos com o perfil da vítima. Na Figura 8, tem-se um exemplo de uma solicitação de uma aplicação externa ao Facebook, que deseja acesso as informações básicas do usuário, realizar postagens no perfil da pessoa e ver o que os amigos do indivíduo estão postando. Figura 8 - Solicitação de uma aplicação externa no Facebook. Fonte: https://permadi.com/2010/11/facebook-open-graph-api-authenticating-in-iframe-applications/ 2.2.5 Cyberstalking Uma definição clara para cyberstalking é imaginar uma pessoa caminhando em uma rua deserta e, esta, notar que está sendo seguida. O perseguidor se aproxima e começa a realizar ameaças e acusações, consequentemente, a vítima corre para afastar-se, porém, onde quer que ela vá, o criminoso consegue alcançá-la sem dificuldades, pois é conhecedor de seus comportamentos e manias. Levando a mesma situação para o contexto cibernético, a vítima poderia ser um usuário qualquer que faz uso de um serviço ou dispositivo tecnológico. O perseguidor, neste caso um “stalker”, não é somente um engenheiro social, pode ser também uma pessoa próxima. Merritt (20??) cita em seu artigo, “Straight Talk About Cyberstalking”, que estes tipos de crimes são frequentemente perpetuados por um ex-namorado(a), ex-amigo(a), ou 31 alguém que queira somente incomodar. Ele ainda conclui que as características inclusas no cyberstalking podem ser: Falsas acusações; Monitoramento da vítima pelos meios tecnológicos; Ameaças; Roubo de identidade; e, Destruição e manipulação dedados. A APAV (2015) – Associação Portuguesa de Apoio à Vítima, em uma de suas folhas informativas explica que qualquer pessoa, independentemente do sexo, etnia, faixa etária, orientação sexual ou classe social, pode ser vítima de cyberstalking em algum momento da sua vida, e segundo Spagnol (2016), a frequência com as mulheres é maior. 2.2.6 Engenharia social reversa Engenharia Social Reversa (ESR) é uma técnica que requer mais experiência do atacante, pois ele precisa fazer com que o indivíduo venha ao seu encontro. E, para tal, segundo Irani et al (2011) existe uma comparação entre a engenharia social e a engenharia social reversa que pode ser melhor explicada pelas seguintes versões: usando a engenharia social, seria uma ligação direta aos usuários de um sistema se passando pelo administrador do sistema e pedindo-lhes suas senhas por telefone, o que poderia levantar suspeita em alguns usuários. Na versão da engenharia social reversa para o mesmo ataque, seria o envio de um número de telefone por e-mail para os alvos, forjando um e-mail do administrador do sistema. O e-mail pode instruir os usuários a chamar este número em caso de problemas. Neste exemplo, qualquer vítima que ligar para o número de telefone informado, provavelmente não terá receios, ou nem mesmo suspeitará de algo; e, consequentemente estará mais disposta a compartilhar informações, já que foi ela quem iniciou o primeiro contato. Um primeiro passo, conforme Irani et al (2011) depende de alguma maneira chamativa para estimular a curiosidade da vítima. E, num segundo momento, uma vez despertado o interesse, o atacante espera que a vítima faça a abordagem inicial e estabeleça o contato. 32 Um ataque ESR, geralmente requer que o atacante crie um personagem que pareça confiante para a vítima e que a encorajaria a iniciar a comunicação. 2.3 A cibersegurança A conectividade que as redes sociais proporcionam, agilizando a vida diária das pessoas com informações variadas, também é a mesma plataforma utilizada para a troca de dados roubados entre criminosos, que encontraram nestes serviços oportunidades para o anonimato, fraudes e se passar por outra pessoa sem muitos problemas. Os cibercrimes e incidentes somente no Brasil no ano de 2014 extrapolaram a casa dos milhões, segundo informações do Centro de Estudos, Respostas e Tratamento de Segurança (Cert.br) como mostra a Figura 9, que relaciona os totais de incidentes reportados desde 1999 a 2015. Figura 9 - Total de incidentes reportados ao CERT.br de 1999 a 2015. Fonte: https://www.cert.br/stats/incidentes/#2015 O jornal O Globo, em uma de suas matérias na internet sobre a cibersegurança, destacou como principais queixas, as fraudes financeiras e o golpe por meio da técnica de phishing, explicada na seção 2.2.1. Muitos indivíduos nem sabiam explicar como ocorreu o golpe. As redes sociais são frequentemente usadas para marketing falso, contas de usuários fictícios e aproveitamento de um escândalo para promover algo, longe de se tornar um canal confiável. Por meio de um questionário, a Kaspersky Lab, empresa de segurança, identificou que 30% dos usuários das redes compartilham suas postagens, localização e outras 33 informações pessoais com usuários desconhecidos. Certos disso, os atacantes neste ambiente se multiplicam com plena convicção, que poderão persuadir e aplicar um golpe com sucesso. Um fato relatado, é informado em um relatório do Facebook (2016), onde diz que 2% de seus usuários médios mensais – por volta de 31 milhões de contas, são falsas. 2.4 Conclusão As redes sociais são sem dúvida os meios mais eficazes de comunicação, detendo uma gama de usuários conectados todos os dias, porém, como no mundo real existem formas de enganar pessoas, no mundo virtual isso não é diferente, o que muda é a abordagem. O engenheiro social, dotado de habilidades persuasivas e com a intenção de aplicá-las em golpes, no passado, se arriscava muitas vezes para conseguir pequenas informações, e assim, ir montando seu quebra-cabeça. Entretanto, nos dias atuais, ele age com técnicas aprimoradas e com a Internet, em que não precisa expor-se em público, além disso tem uma maior facilidade de se passar por outra pessoa. No capítulo 3 serão apresentados alguns recursos disponíveis para que você, leitor, possa se manter em alerta e, assim, despertar um olhar crítico aos criminosos online. 34 Capítulo 3 – Contramedidas para a Cibersegurança A progressiva dependência da Internet para relação entre as pessoas, automação dos equipamentos médicos, das redes elétricas e da IoT abriu vastas possibilidades para criminosos online praticarem seus ataques. Como mostrado no capítulo anterior, os ataques são planejados estrategicamente com o objetivo de confundir a vítima e persuadi-la a ajudar no ataque, seja clicando em um link, uma foto, baixando um arquivo e até mesmo cedendo informações sem terem a consciência disso. Neste capítulo serão abordadas as técnicas que um internauta deveria desenvolver, para, assim, poder navegar na Internet e também nas redes sociais com mais segurança. 3.1 Termos de segurança Políticas de privacidade ou termos de segurança é uma nota para o utilizador de uma rede social ou qualquer outro site em que a empresa faz uma declaração de como as informações inseridas em seus serviços são tratadas e utilizadas por elas mesmas. A partir da leitura desses termos, o usuário estará apto a escolher se aceitará participar da aplicação, apoiando a maneira em que seus dados serão manuseados por outras pessoas ao se ingressar no serviço. A PSafe, empresa brasileira de serviços de segurança para dispositivos móveis, alerta sobre a importância de se ler e ficar atento às atualizações que podem sofrer os termos de segurança. A empresa cita um anúncio do Twitter, no fim de 2014, relacionado a sua intenção de coletar listas dos aplicativos instalados nos smartphones para direcionar serviços e publicidades. No entanto, essa iniciativa não teve aprovação universal e gerou grandes polêmicas. O Twitter teve que se justificar, e afirmou que não estava colocando todos os 35 dados dentro dos aplicativos e que os usuários têm a opção de sair a qualquer momento. O problema é que o diretor de políticas da Open Rights Group, empresa de organização de campanhas baseadas em direitos digitais do Reino Unido, Javier Juiz, garantiu que essa iniciativa pode revelar informações pessoais e sensíveis dos usuários. (NOVAES, 2015) Além disso, os provedores do serviço das redes sociais online exercem um controle muito grande sobre os dados do usuário. Estes provedores possuem uma política de privacidade segundo a qual o usuário, ao concordar, renuncia a determinados direitos e privilégios. Com o discurso de melhorar os serviços prestados, as redes sociais coletam e armazenam dados dos usuários, como idade, sexo, interesses pessoais, educação, ocupação e endereço IP (Internet Protocol, é o principal protocolo de comunicação da Internet). Dessa forma, ainda que o usuário configure todas as suas preferências de privacidade, ele não será detentor total do controle sobre suas informações. (AÏMER et al, 2009 apud GOMES, 2009) O hábito da não leitura é comum entre a população, que visa usufruir de serviços pelo conforto que podem proporcionar e pelas facilidades de comunicação que possuem; acordando consequentemente com cada linha dos termos de privacidade, sem nem ao menos ter aberto o documento. Políticas de privacidade são relevantes neste contexto, dado que nela está contida as formas em que o detentor dos dados e informações inseridos em seus serviços, poderá utilizá- las legalmente,sendo assim, cabe ao usuário a obrigação da leitura, tendo consciência sobre onde seus registros serão aplicados. 3.2 Controle de privacidade Segundo Naraine (201?), as redes sociais no seu nível mais básico, fornecem um conjunto de recursos para que os utilizadores finais criem e personalizem configurações de privacidade para aprovar outros membros que podem ver seu perfil. Também oferece a capacidade de bloquear um membro indesejado. A opção de poder controlar o público que conseguirá visualizar uma postagem individualmente e o perfil como um todo, é uma das mais importantes formas para a segurança de uma conta nas redes sociais. No entanto, Naraine (201?) explica que as ferramentas oferecidas por estes sites para proporcionar privacidade aos dados do usuário, não são suficientes para assegurá-la. 36 As possibilidades de configuração de exibição vão desde só o autor da postagem até qualquer pessoa, mesmo se esta não estiver no círculo de amigos do usuário. Atualizá-las com frequência, especialmente quando novos termos de serviços são divulgados e/ou o site for atualizado, explica Bannwart (2013), é o básico para melhorar a segurança. Ele complementa enfatizando os ajustes das configurações para evitar a exibição dos dados do usuário em pesquisas do Google, por meio dos seus robôs automatizados que buscam por informações públicas disponíveis na Internet. Um fato é que, mesmo os usuários tendo conhecimento sobre a existência das configurações de privacidade, a maior parte não se importa em modifica-las. Uma prova disso, segundo Strater e Richter (2007), são análises em grande escala sobre a configuração de privacidade do Facebook, realizadas nas redes universitárias que indicam uma média de 87% dos universitários, têm configurações padrão. Embora a maioria dos usuários tenham conhecimento das opções de privacidade do Facebook, menos da metade da pesquisa nunca nem mesmo as alteraram. 3.3 Não ser inocente A ânsia de ser uma pessoa popular e reconhecida por todos, acaba cegando o usuário no tocante as ameaças existentes, já que, por vezes, aceita pessoas desconhecidas entrarem em seu círculo de amigos podendo dessa forma bisbilhotar o que está acontecendo. Uma conversa amigável em um bate-papo online com um desses indivíduos talvez seja comum ao usuário, no entanto muitos casos de ataques são iniciados dessa forma, fortificados pela inocência e o fato de imaginar que um desconhecido está tentando ser legal. “Não temos consciência da ameaça, em particular no mundo ocidental. Nos Estados Unidos, não somos treinados para suspeitarmos uns dos outros. Somos ensinados a "amar o próximo" e ter confiança e fé uns nos outros. Veja como é difícil para as organizações de vigilância de vizinhança fazer com que as pessoas tranquem suas casas e seus carros. Esse tipo de vulnerabilidade é óbvio, e mesmo assim parece ser ignorado por muitas pessoas que preferem viver em um mundo de sonhos — até se queimarem.” (MITNICK e SIMON, 2003, p. 7) A falta de contato físico com outra pessoa, gera um falso sentimento de segurança, se esquecendo que na Internet um usuário pode se passar por qualquer pessoa, dessa forma escondendo sua verdadeira identidade aplicando seus golpes e tornando mais difícil seu rastreamento. Entretanto, segundo Naraine (201?), por essa razão, passará a acreditar que 37 links vindos de pessoas na sua rede não oferecem perigo e se sentirá mais confortável para expor detalhes sobre sua vida na rede. De acordo com Gomes (2009), ainda que o usuário tenha um certo controle sobre seu perfil, ele está sujeito a outros fatores que influenciam diretamente na privacidade de suas informações. No que diz respeito às suas interconexões, por exemplo, ele não pode controlar o que outras pessoas revelam sobre ele. Um exemplo disso é a inserção de marcação em fotos. Um usuário pode adicionar uma foto ao seu álbum e, em seguida, inserir uma marcação para outro usuário que faça parte da sua rede social. Ainda que o usuário que recebeu a marcação não queira disponibilizar esta foto na rede, ele não tem controle sobre o que outros usuários publicam. Existe a opção de excluir a marcação, mas isto não vai impedir que outras pessoas tenham acesso aquele conteúdo. 3.4 Reconhecer as técnicas de engenharia social Relacionando os itens anteriormente vistos, se tem uma noção do tamanho do perigo que se está exposto ao utilizar qualquer rede social. Conforme Santos (2014), o que torna os usuários mais propícios a serem vítimas da engenharia social é o desconhecimento sobre a engenharia social e suas técnicas, mas isso não significa que quem as conhece não sejam possíveis vítimas. “Assim como as peças de um quebra-cabeça, cada informação parece irrelevante sozinha. Porém, quando as peças são juntadas, uma figura aparece.” (MITNICK e SIMON, 2003, p. 21). Assim como o engenheiro social é dotado de técnicas para ler pessoas, pessoas deveriam ser capazes de reconhecer o engenheiro social, sendo que mesmo quem não acessa a Internet, está exposto a um ataque. Naraine (201?) em suas pesquisas constatou que as pessoas não exercem o mesmo grau de cautela em nas redes sociais, tal como aconteceria quando uma pessoa se comunicasse fisicamente. A atenção pela forma que uma pessoa desconhecida se aproxima é de suma importância, levando em consideração que a possibilidade de a vítima perceber detalhes mencionados na seção 2.1.3, evitando, dessa forma, a coleta de informações em um primeiro contato. A sensatez se torna um item importante neste assunto, com base que será o usuário o detentor da decisão de seguir ou não as boas práticas contra um engenheiro social, 38 principalmente, quando for realizar uma postagem multimídia – vídeo, foto, ou quando compartilhar sua localização no exato momento que está no local. 3.5 Proteja você mesmo Os usuários deveriam adotar hábitos básicos para sua própria segurança, seguindo regras que podem diminuir o risco de se tornarem uma próxima vítima da engenharia social, não exclusivamente nas redes sociais, mas também no geral. A seguir são citadas medidas para manter-se mais seguro segundo a US-CERT, um departamento federal americano que procura, segundo seu website, se esforçar para uma Internet mais segura e mais forte, para todos os americanos; respondendo a grandes incidentes, analisando ameaças e trocando informações críticas de segurança cibernética com parceiros de confiança em todo o mundo. São elas: Limitar a quantidade de informações pessoais postadas - Não postar informações que podem vulnerabilizar a vida pessoal, como o seu endereço ou informações sobre uma agenda ou rotina; Lembre-se que a Internet é um recurso público - Somente postar informações que você está confortável com quem vê. Isso inclui informações e fotos em seu perfil e em blogs e outros fóruns; Desconfie de estranhos - A Internet torna mais fácil para as pessoas deturpar suas identidades e motivos; Seja cético - Não acredite em tudo que você lê online; Avalie suas configurações - Aproveite as configurações de privacidade de um site; Desconfie de aplicativos de terceiros - Aplicativos de terceiros podem fornecer entretenimento ou funcionalidades extras, mas tenha cuidado ao decidir quais aplicativos ativar; Use senhas fortes - Proteja sua conta com senhas que não podem ser facilmente adivinhadas; 39 Verificar políticas de privacidade - Alguns sites podem compartilhar informações como endereços de e-mail ou preferências de usuário com outras empresas; Mantenha softwares, especialmente o seu navegador da web, atualizado - Instale atualizações de software paraque os invasores não possam tirar proveito de problemas conhecidos ou vulnerabilidades; e, Utilize um bom software antivírus - O software antivírus ajuda a proteger o computador contra vírus conhecidos, portanto, você pode detectar e remover os vírus antes que eles possam causar algum dano. Quando for necessário acessar um site utilizando usuário e senha, como as redes sociais e de bancos por exemplo, é recomendado na primeira tentativa sempre digitar uma senha errada de propósito, sendo que, se for um site malicioso irá aceitá-la, porque ele não possuiu a senha armazenada e não retornará nenhuma mensagem de erro. Evitar acessar informações importantes a partir de conexões a Internet públicas ou compartilhadas, é recomendado pois não se tem conhecimento de quem está controlando a conexão, levando em consideração que o próprio criminoso poder ter aberto o acesso, justamente para as pessoas se conectarem e ele possa roubar as informações que trafegam em sua rede. Dicas básicas e fáceis podem evitar muita dor de cabeça, então é preciso se habituar a verificar sempre o endereço do site antes de utilizá-lo. É comum a criação de páginas a redes sociais que se parecem muito com as verdadeiras, cuidado com mensagens no chat e e- mails falsos em nome de alguma organização como bancos, essas mensagens costumam conter erros de ortografia, formatação irregular e endereços totalmente fora do padrão. Dadas essas medidas de precauções, é possível visualizar claramente os perigos que rondam os usuários. Estes podem ser evitados a partir da adoção de hábitos tão simples quanto os citados, e além do mais não se deixar levar pelo querer de “ser popular”, mostrando o seu dia a dia, hábitos, familiares e costumes para total desconhecidos. 40 3.6 Conclusão O fato dos mais variados tipos de serviços migrarem para a Internet, a fez o lugar preferido para o engenheiro social aplicar seus ataques fraudulentos. Em reação a esse fato, departamentos como a US-CERT, conforme já mencionado na seção 3.5, desenvolveram normas para que o usuário possa navegar com mais segurança, isso se o usuário seguir as regras. Entretanto, nenhuma pessoa deveria se sentir segura apenas pelo fato de acompanhar rigidamente o que foi sugerido. Sendo assim, cabe ao usuário a decisão de adquirir as boas práticas ao utilizar um serviço online, conseguindo mais segurança não só a ele, mas também a sua carreira profissional, amigos e familiares próximos. No capítulo 4, será apresentado um estudo de caso realizado no intuito de validar as informações apresentadas nesta monografia, e, assim, possibilitar explorar as vulnerabilidades mencionadas no capítulo 2 e seus sub tópicos através do Facebook, escolhido justamente por ser a rede social mais acessada atualmente. 41 Capítulo 4 – Estudo de caso phishing no Facebook Neste capítulo será apresentado um estudo de caso, usufruindo dos recursos disponibilizados pela rede social Facebook, espalhando um scam com a técnica de phishing. Serão apresentados também como o caso foi tratado, quais as condutas dos usuários diante deste tipo de golpe, e, de uma maneira bem simples e utilitária, os resultados obtidos no ataque serão discutidos para que o usuário mais leigo no assunto, consiga refletir sobre seu comportamento pessoal e organizacional nesse tipo de rede social. 4.1 Situação Problema No capítulo 2 foram tratadas algumas formas que o engenheiro social utiliza para aplicar golpes em suas vítimas. Pensando nisso, este estudo de caso se embasou na técnica de phishing através da rede social Facebook e de um site externo, explorando a ingenuidade e também a vontade de uma pessoa se tornar popular, satisfazendo assim seu desejo por notoriedade, se expondo a pessoas desconhecidas. O site externo tem o objetivo de validar e mensurar se realmente uma pessoa confia em links fornecidos por desconhecidos, que a levam a páginas para inserção de informações pessoais. Todas as informações retidas e as publicações abrangidas nesta página, por intermédio do website, foram utilizadas, nesta monografia, apenas com finalidades acadêmicas. 4.1.1 A Página no Facebook Uma página no Facebook, chamada por muitos de “fan page” tem o objetivo de divulgar um certo conteúdo. Ela é uma alternativa para o perfil de usuário e, geralmente utilizada por empresas para marketing, por famosos e assuntos de utilidade pública, pois 42 contemplam a opção de ser “curtida”, dessa forma ingressando instantaneamente o usuário a receber suas postagens, ao contrário da solicitação de amizade que precisa da aprovação do solicitado. Rez (2015) afirma que a página de uma empresa no Facebook é como um cartão de visitas virtual, e, é por meio delas que muitas pessoas irão conhecer seu produto ou serviço, podendo iniciar uma conversa, comentando sua página ou apenas “clicando em curtir”, desta forma, gerando tráfego e compartilhando o assunto com outras pessoas. Por ela, o criador é capaz de obter informações importantes como estatísticas de quantas pessoas uma publicação conseguiu alcançar, com gráficos por período de tempo. Também é possível ter acesso a uma espécie de sumário em que contém o histórico de visualização da página pelos usuários que a curtiram. Tal como um dos veículos mais utilizados para promover produtos, marcas, empresas, etc., a página “Seguidores Grátis”, mostrada na Figura 10, foi criada para esta pesquisa monográfica, com o objetivo de propiciar aos usuários seguirem as publicações, se sentido confiantes a clicarem em links fornecidos pela mesma. Figura 10 - Fan page Seguidores Grátis. Fonte: O autor. A página promete vários seguidores e curtidas grátis aos seus membros, assim que alcançar metas de quantidade de integrantes. Outro artifício empregado foi o de desafios aos usuários, com frases que instigassem seu interesse, tais como: “Comente um oi e espere 43 alguns instantes”, “Vamos travar sua foto de perfil”, “Curta a página para explosão de curtidas”. 4.1.2 Criação de um perfil falso Das mais maléficas as mais inocentes intenções, um perfil falso é criado em redes sociais. Sendo assim, o usuário fictício Murilo Seguidores Grátis foi o intermediador para aplicar a engenharia social nos usuários do Facebook. Foram adicionados centenas de usuários aleatoriamente e utilizado funcionalidades como: marcar usuários em uma publicação, fazer compartilhamentos de publicações da página Seguidores Grátis e o uso do chat, para uma aproximação amigável que transparecesse confiança ao persuadi-los, assim, eles poderiam ajudar a espalhar a fan page entre seus círculos de amigos. O perfil falso tinha a mesma foto (imagem) da página Seguidores Grátis, como apresentando na Figura 11, o que já poderia levantar alguma suspeita por não ter a foto real de uma pessoa. Isso foi aplicado propositalmente, com o intuito de analisar se os usuários requisitados aceitariam um total desconhecido que não usasse uma foto ou imagem de sua face, e que não tivesse a certeza de suas intenções. Figura 11 - Perfil falso. Fonte: O autor. 44 O Facebook, em seu termo de uso, não permite perfis falsos, então, como explica Freire (2014) ele é dotado de sistemas que rastreiam perfis em busca de nomes falsos. Não se sabe exatamente quais são os critérios utilizados para detectar, no entanto, é assim que muitas contas de spammers (aqueles que espalham spam) e bots (robôs) são eliminadas. Eles levam em conta nomes, termos e palavras identificadas como fakes. Com o uso da engenharia reversa, descrita na seção 2.2.6, navegando por alguns perfis a procura de fotos públicas, foram feitos alguns comentárioscom a intenção de persuadir o usuário a solicitar a requisição de amizade para que, dessa forma, o mesmo tivesse mais confiança e sem receio pudesse entrar no link cedido pelo perfil falso. 4.1.3 Página web pelo site hostinger.com.br O Hostinger é uma empresa que fornece serviços gratuitos e pagos de hospedagem para websites. Possui um conjunto de ferramentas facilitadoras como o construtor de sites, onde qualquer pessoa está apta a fazer um site de forma rápida, simples e intuitiva. A partir das demais funcionalidades proporcionadas pelo Hostinger, o website sortudo.pe.hu foi desenvolvido com apenas uma página e ficou disponível por dois (02) meses, composta de um formulário para a vítima inserir seus dados. Ao clicar em um botão, as informações contidas nos campos eram envidadas para o administrador do site, que prometia após o cadastro várias curtidas nas fotos do usuário. Vide a Figura 12. Figura 12 - Site sortudo.pe.hu. Fonte: O autor. 45 Logo após o formulário de inserção dos dados, como mostrado na Figura 12, foi disponibilizado um link para a leitura dos termos de uso, anexado no Apêndice 1. Este termo deixava claro que o site não se responsabilizava por nenhum dado inserido nele, e que o usuário ao se cadastrar, cedia total permissão ao possuidor de salvar e utilizar seus dados para outros fins. 4.1.4 Encurtadores de links Grandes links se tornaram um problema, quando os sites que limitam a quantidade de caracteres a serem digitados em uma mensagem, começaram a surgir. Para suprir isso, os encurtadores de links foram utilizados mais frequentemente, se tornando famosos com o passar do tempo. Basicamente, os “encurtadores de link”, são ferramentas online que fornecem um link compacto ao usuário a partir de um link original, porém, de acordo com a SANS (2013) – instituição de treinamento focada em cibersegurança, essa opção é bastante usufruída também por criminosos. O motivo, é esconder o verdadeiro endereço da página para que a pessoa não desconfie que é um site falso. A Figura 13 apresenta um modelo de link encurtado. Figura 13 - Encurtador de link. Fonte: O autor. Segundo Pereira (2010), sites do gênero encurtamento de links, com o passar do tempo, lançaram novos recursos como estatísticas de acesso, compartilhamento automático, favoritos dinâmicos, pré-visualizações, dentre outros. O encurtador de links foi utilizado nesta monografia, para que fosse possível mensurar a quantidade de pessoas que clicariam no link do site externo, seja fornecido através 46 do perfil falso a seus amigos pelo chat do Facebook ou, quando anexado a algumas das publicações da própria página Seguidores Grátis. Foi escolhido o serviço da empresa Google, que fornece esta ferramenta de forma gratuita em seu site goo.gl. Com a aplicação do encurtador de link, na situação problema relatada por este estudo de caso, pôde se realmente saber se uma legenda chamativa é o bastante para despertar a curiosidade nos usuários que são guiados ao clique, sem nem mesmo antes perguntarem a si mesmos do que se trata. 4.2 Resultados obtidos com o caso de uso Nas pesquisas realizadas para a redação desta monografia, verificou-se, que conseguir ser aceito no círculo de amizade de um estranho não é uma tarefa difícil, mesmo se o perfil não possuir uma foto ou informações relevantes sobre o solicitante. Um ponto a ser destacado, é a falta de preocupação por parte dos usuários com as pessoas totalmente desconhecidas, que tem acesso total às informações disponibilizadas, visualizam suas postagens e acompanham seu dia a dia em troca de simples curtidas que recebem no perfil. 4.2.1 Perfil falso Não foi estipulado uma meta de solicitações de amizade com o perfil falso, mas foram realizadas com pessoas em todo o Brasil, totalizando 233 amigos. Vale ressaltar o registro de 9 solicitações ao perfil, por usuários que faziam parte dos amigos de pessoas solicitadas, onde pode se analisar o desejo de popularidade pelos usuários tanto adultos quanto jovens, a partir de uma foto e um nome dizendo “Seguidores Grátis”. De todas as amizades efetuadas, apenas um se manifestou, entrando em contato pelo chat e fazendo seus questionamentos; porém, bastou algumas mensagens para a desconfiança diminuir ao ponto dele aceitar curtir a página e compartilhá-la com seus amigos. Outro caso, ocorreu quando o link do site externo foi enviado pelo chat a um usuário e o mesmo respondeu dizendo: “SPAAAAM”, como mostra a Figura 14. Apesar disso a amizade não foi desfeita. 47 Figura 14 - Contato pelo chat. Fonte: O autor. Muitos usuários que foram adicionados, mas não curtiram a página, mesmo sabendo que o perfil falso tinha feito a solicitação apenas por esse motivo, não o removeram do seu círculo de amigos. Ao longo dos dois meses em que o estudo foi dirigido, os recursos contra perfis falsos no Facebook notaram atividades suspeitas; e, como medidas preventivas primeiramente bloquearam as solicitações de amizade, pois haviam detectado as inúmeras requisições para pessoas desconhecidas. Também, o recurso de captchas, que são um desafio ao usuário para descobrir se ele é um humano ou um robô, tiveram de ser resolvidos a cada vez que se compartilhava o link do site externo. A Figura 15 ilustra um captcha. Figura 15 – Captcha. Fonte: O autor. 48 Posteriormente, a conta Murilo Seguidores Grátis foi bloqueada por um período de três dias, sendo liberado o acesso no quarto dia consecutivo. Como as atividades de disseminar o link pelo chat, em comentários nas fotos dos amigos e em grupos não pararam, em poucos dias, após o primeiro bloqueio a conta foi retirada pelo Facebook definitivamente. 4.2.2 Página Seguidores Grátis A fan page Seguidores Grátis, conseguiu alcançar 90 curtidas com a frequência de publicações baixa. Uma de suas postagens de acordo com as estatísticas cedidas pelo Facebook, chegou a 1000 visualizações como mostra a Figura 16, que contém uma relação das publicações mais recentes com o público alcançado. Figura 16 - Alcance das publicações. Fonte: O autor. As publicações sempre apontavam para o link do site externo de alguma forma, sendo disponibilizado na própria postagem ou em seus comentários. 4.2.3 Site externo O website recebeu 46 acessos como apresenta a Figura 17, contabilizados com a ajuda da ferramenta encurtador de links explicado na seção 4.1.4. Em contrapartida, apenas 17 pessoas desse total inseriram seus dados no formulário, confiantes em ganhar novos amigos em seu círculo de amizade e, através disso, conquistar as almejadas curtidas em suas publicações. 49 Figura 17 - Cliques realizados no link encurtado do site externo. Fonte: O autor. As informações coletadas nesse estudo de caso, se encontram no Apêndice 2; contudo, alguns dados foram borrados no intuito de preservar a identidade dos usuários. 4.3 Análise dos Resultados Com os resultados obtidos, fica evidente que ainda existem usuários não preparados para conseguirem por si próprio, evitar os ataques e as ocorrência de golpe nas redes sociais. O gráfico da Figura 18 mostra a relação do total de cadastros e pessoas que apenas clicaram para visualização do conteúdo do link. Figura 18 - Relação de cadastros realizados no site sortudo.pe.hu. Fonte: O autor. Um alerta a ser feito sobre links desconhecidos é que o usuário deve se atentar à sua formatação, como é o caso do http://sortudo.pe.hu/, e também do golpe que circulou pelo aplicativo WhatsApp, citado na seção 2.2.1, http://obotica00.com/, que está totalmente fora dos padrões convencionais.
Compartilhar