Camada 8: O usuário

Novembro 29, 2008 (Sábado)

Depois de comentar sobre os vírus, pessoas por trás deles e seus objetivos, acabei me empolgando para escrever sobre algo que me chama muita atenção: engenharia social.

Um livro que venho a algum tempo tentando ler e ainda não tive oportunidade é “A Arte de Enganar”, do hacker mais famoso do mundo, Kevin Mitnick. Pode-se tirar como exemplo do que pode se encontrar neste livro, uma entrevista em que um jornalista pergunta ao hacker se o computador mais seguro é aquele que está desligado, Mitnick responde “Não. Um hacker de verdade convence o usuário a liga-lo”.

 

 

Citanto a Wikipédia, “chama-se Engenharia Social as práticas utilizadas para obter acesso a informações importantes ou sigilosas em organizações ou sistemas por meio da enganação ou exploração da confiança das pessoas”.

Quem nunca recebeu por e-mail um cartão.exe enviado por uma admiradora secreta ou ainda vários links para fotos acompanhados da mensagem “Estou com saudades de você amorrrr!!!! Tô te mandando fotinhas dos meus melhores âlgulos para você passar o dia pensando em mim!!! Beijos, até amanhã!!”. Se você abriu algum destes links ou o cartãozinho pensando que tava se dando bem, parabéns, você foi fisgado — mas não pela garota…

 

 

Na internet brasileira, os golpes mais comuns são baseados na curiosidade, que vem sempre acompanhada por uma dose de supervalorização alimentando a vaidade ou algo que represente uma ameaça em algum sentido. 

Com o crescimento das mídias sociais, estes golpes ganham cada vez mais força, pois as técnicas usadas para escolher as vítimas se tornam mais inteligentes. Além dos e-mails e de mensagens instantâneas, um excelente ambiente para esse tipo de técnica ser aplicada são as redes sociais, como por exemplo o Orkut. 

Nas redes sociais o usuário disponibiliza uma série de informações pessoais, gostos e interesses, que por sua vez podem ser cruzados com os interesses e gostos dos seus amigos e amigos dos amigos. No fim do cruzamento pode-se gerar um forte motivo para conseguir um click deste usuário.

Exemplo: 

No Orkut estou na comunidade “Masters Of Puppets”, uma banda de rock que vários amigos meus curtem. Eis que a banda fará um show na capital e um hacker resolve tirar proveito disso para me sacanear.

Para dar certo, o hacker terá que formular um motivo perfeito para que eu faça o que ele precisa, por exemplo, instalar um trojan. Iniciando os preparativos ele filtra todos meus amigos que estão na comunidade “Masters Of Puppets” e procura o que melhor se encaixa com o meu perfil, para isso ele começa filtrando somente os que moram na minha cidade e destes somente os que falaram comigo recentemente.

Aplicando filtros o hacker diminuiu a amostra de usuários até chegar no indivíduo perfeito, um colega de escola que é fanático pela banda. Para aplicar seu plano, o hacker clona o perfil deste meu colega e usa este novo perfil para me deixar um recado com o texto: “Cara, vai rolar um show do Puppets na capital e eu to doido pra ir…. tá afim? A promotora do evento distribuiu um programinha que conta quantas vezes você ouviu as músicas dos caras até o dia do show, daí quem mais ouvir vai ganhar greencard pro camarote!! Eu já instalei, baixa aí você também [link] e liga pra mim pra gente combinar se vamos de buzão ou de carro!!”

O exemplo acima se aplica a um caso onde a vítima é específica, mas em um caso mais abrangente o hacker poderia mandar um recado como este para todos membros da comunidade, se fazendo passar pela promotora do evento.

A maior parte dos vírus atuais tem por objetivo criar computadores zumbis — um exército de computadores que espalham spam, compartilham o processamento e/ou se reproduzem enviando-se para outras pessoas. No Brasil um tipo bastante comum e perigoso é o BANKER, um vírus que capta informações bancárias e senhas em geral enviando para um usuário mal-intencionado utilizar estas informações da forma que melhor lhe convir.

Os criadores deste tipo de vírus nem sempre são os que utilizam as informações, recentemente a Operação Cavalo de Tróia (1 e 2) jogou na cadeia várias quadrilhas que trabalhavam com isso. O esquema é bem estruturado passando por programadores que fazem o vírus, spammers que espalham o vírus,  laranjas que emprestam suas conta e provavelmente alguns “tubarões” que lavam o dinheiro arrecadado.

 

 

O termo “banker” além de utilizado para identificar o tipo do vírus, também é usado para identificar a pessoa por trás dele. Diferente de um hacker que invade para provar seu poder a si próprio sem prejudicar ninguém e o cracker que invade para impôr seu poder a alguém prejudicando-a virtualmente, o banker se utiliza da invasão para obter lucro, causando prejuízos financeiros na vida real de sua vítima.

Os bancos estão constantemente em busca de alternativas mais seguras para o acesso a conta via internet, o mais comum é o teclado virtual que juntamente com um aplicativo de segurança instalado no browser tem a intenção de dificultar o trabalho dos bankers.

Um dos principais investimentos dos bancos é na reeducação do usuário de computador, evitando que caia em técnicas comuns de engenharia social ou que, uma vez infectado, dê mais informações para o banker. 

Da parte dos bankers também há uma evolução constante, no início eram os programas destinados a capturar o que a vítima escreve (keyloggers), depois vieram os screenloggers, depois meios de burlar o DNS máquina para redirecionar o usuário para uma página falsa (phishing), entre outras técnicas até chegar no nível atual, que nos remete novamente ao tema do post, a engenharia social.

 

 

Além de convencer o usuário a instalar o vírus, o banker agora precisa fazer uso da engenharia social para convence-lo que está fazendo a coisa certa, isso graças aos meios físicos de segurnaças providos pelos bancos.

Cartão de senhas e Tokens são as mais recentes medidas para diminuir o número de fraudes. Com estes dispositivos o banco passa a não mais confiar somente em uma informação fixa retida na cabeça do usuário (senha), mas também em uma informação aleatória por transação.

O tipo de cartão de cartão de senhas (ou cartão de segurança) mais comum, consiste em uma tabela com N posições (por volta de 50) onde cada posição recebe um código (normalmente de 4 dígitos). Para efetuar uma transação o sistema do banco solicita aleatoriamente uma das posições e o usuário digita o código correspondente. 

Para burlar este tipo de segurança o banker tenta persuadir o usuário a digitar todos os campos. Para evitar que o usuário cometa o erro, os bancos investem em alertas educativos em seus sites.

Convenhamos, tem que ter muita força de vontade para digitar todo cartão, mas infelizmente uma das característica dos bankers herdada do hackerismo é ter paciência e ser persistente.

Adotado no Brasil primeiramente pelo Bradesco e massificado pelo Itaú, o token é um dispositivo eletrônico que gera “códigos únicos” a cada intervalo programado. Quer dizer que, se um banker quiser limpar sua poupança do Itaú, ele terá que fazer isso em um intervalo de 60 segundos ao mesmo tempo que você estiver trabalhando com o banco. Não que isso seja impossível, mas cumpre muito bem o objetivo de dificultar a ação dos bankers. 

Nenhum sistema é 100% seguro e provavelmente nunca serão, pelo menos não enquanto existir a camada oculta do modelo OSI: O Usuário.