Monitor das Fraudes - O primeiro site lusófono sobre combate a fraudes, lavagem de dinheiro e corrupção
Buscas no Site
Buscar
Em     
sexta-feira,
9 de dezembro de 2016
Atualizado em: 19/11/2016
     
Monitor das Fraudes
A Engenharia Social e seus usos fraudulentos




Uma tendência mundial nas técnicas para iniciar, estruturar ou executar fraudes, é o aumento do uso da dita "Engenharia Social".

Uma boa definição é a seguinte: Engenharia social é aquele conjunto de métodos e técnicas que tem como objetivo obter informações sigilosas e importantes, normalmente por etapas, através da exploração da confiança das pessoas, de técnicas investigativas, de técnicas psicológicas, de enganação, sedução, persuasão etc.... Para isso, o "engenheiro social" pode se passar por outra pessoa, assumir outra personalidade, vasculhar lixo ou outras fontes de informações, fazer contato com parentes e amigos da vítima etc.

Por mais incrível que possa parecer, um dos métodos mais simples, mais usados e, infelizmente, mais eficientes para descobrir informações confidenciais (tipo uma senha ou dados sensíveis que possam ser usados na montagem de algum tipo de golpe) é... adivinhe ? ... Perguntar !!
Para isso é preciso alguém com bom papo, com habilidades na comunicação, voz profissional, sedutora ou simpática conforme os casos, poucos escrúpulos, fantasia, reação rápida e bom domínio de algumas técnicas psicológicas.
Com isso, basta esta pessoa perguntar a um funcionário ou outro interlocutor despreparado que ele contará tudo o que precisar. Tudo vai depender de quanto bom é o "Engenheiro Social", e quantas informações sobre a vítima ele já possui na hora da pergunta. Quanto mais melhor, uma das bases da engenharia social é justamente juntar informações aos poucos, explorando o que já se sabe para se chegar a saber tudo, pedacinho por pedacinho. O engenheiro social precisa se preparar bem para os seus ataques, precisa saber quem tem as informações que ele quer, como chegar até tal pessoa, como ter informações que façam com que esta pessoa acredite nele e lhe passe o que quer saber etc. Por isso muitas vezes os "engenheiros sociais" vão por etapas. Primeiro usam suas técnicas e pesquisas para coletar informações, muitas vezes aparentemente inocentes (tipo número do RG/CPF, data de nascimento, endereço, nome dos pais, lugar de trabalho...), sobre a vítima de maneira a se preparar para quando for a hora de perguntar algo mais pesado (e/ou tiverem que se passar pela vítima com terceiros).

Nesta hora um dos golpistas, por exemplo, vai ligar alegando ser alguém que tem "direito" a fazer perguntas por alguma razão e mostrando que já conhece muitas informações sobre a vítima para comprovar que ele é realmente quem afirma ser.

Um exemplo prático de como tudo pode acontecer

Um telefonema típico vai ser algo do seguinte tipo (G.: golpista V.: vítima):

G. - Bom dia, sou Fulano gerente de relacionamento do banco X, falo com o senhor Cicrano titular da conta n° 123456 ? (o número da conta pode ter conseguido de mil maneiras, por exemplo numa fila de banco ou por alguém ter deixado algum papelzinho num caixa de atendimento automático ou com a cumplicidade de algum funcionário de lojas onde foram feitas compras com cheque).
V. - Sim sou eu ...
G. - Estamos recadastrando os clientes no novo sistema do banco por razões de segurança e estou ligando para confirmar seus dados ... o senhor nasceu em DD/MM/AAAA (existem várias maneiras para se ter este dado, mas não vou sugerir aqui), mora na rua YYY (pegou esta informação na lista telefônica, ou em documentos que estavam em suas mãos na fila do banco ou novamente de algum funcionário de loja, por exemplo), o seu telefone é ainda o 123456 (idem como antes), o seu CPF é o 777.777.777-77 (também existem várias maneiras para conseguir isso, num cheque por exemplo) e o RG é 456789 (idem) ??
V. - Sim os dados são corretos. (nesta altura, visto quantas coisas o interlocutor já sabe sobre ele, a vítima não duvida que se trate mesmo do gerente do banco).
G. - Pode me confirmar o número do seu cartão de crédito (ou do banco) ?
V. - Sim, o número é 123456789 ...
G.- Correto, muito bem os seus dados foram atualizados. Só falta o senhor confirmar tudo através das suas senhas. Vou lhe passar a central de autenticação onde o senhor poderá digitar as senhas diretamente no seu aparelho de telefone. Aí passa uma espécie de sistema automático com voz registrada que pede, para confirmar o cadastro, primeiro para digitar no aparelho a senha do cartão e depois a senha do "internet banking" e demais dados (vencimento do cartão, código de segurança no verso etc...).


Pronto, a vítima terá fornecido a um golpista hábil, usando técnicas de "engenharia social", todas as informações e senhas necessárias para esvaziar a sua conta ou clonar seu cartão. De quebra, o golpista ainda poderá usar as informações obtidas para criar cheques e documentos falsos, em nome da vítima, e sair aplicando outros golpes, sujando o nome dela.

Se você já ligou para uma central de atendimento (de cartão de crédito, telefone, banco etc...), já deve ter percebido que, frequentemente, o método usado por estas centrais, para se certificar de quem está do outro lado do telefone, é extremamente falho.

Preste atenção no tipo de informação que sai da sua casa ou empresa, nos papéis jogados no lixo, nos telefonemas estranhos, no comportamento de porteiros ou funcionários de lojas ou outras empresas aos quais está passando seus dados, assim como em eventuais visitas ou acessos aos seus locais de pessoas estranhas. Um prato cheio para se praticar a engenharia social contra uma empresa é encontrar um organograma da mesma. A partir daí, o intruso vai saber exatamente com quem está falando, com quem precisa falar e por quem pode se passar.

As diferentes modalidades de ataque

Existem dois tipos principais de ataques de engenharia social, os ataques diretos e indiretos.

Diretos
São aqueles em que o atacante entra diretamente em contato com a vítima por e-mail, telefone, ou pessoalmente, diferentemente dos ataques indiretos os ataques diretos tem alvo fixo ou seja o engenheiro social sabe exatamente quem atacar, como e porque.

Indiretos
São aqueles que não tem um alvo específico, um ótimo exemplo é um trecho retirado do livro "A arte de enganar" de Kevin Mitinick: "Você está em um elevador quando, de repente, um disquete cai no chão, você olha tem um logotipo de uma grande empresa e a frase "histórico salarial", movido pela curiosidade você abre o disquete em sua casa e talvez haja um ícone para o Word então ao clicar aparece a frase 'ocorreu um erro ao tentar abrir o arquivo', você não sabe mas um backdoor foi instalado em sua máquina. Você imediatamente leva o disquete até o setor responsável em devolvê-lo ou guardá-lo, o setor por sua vez também abrirá o disquete, agora o hacker tem acesso a dois computadores"... esse é um exemplo de ataque indireto, ou seja, não teve uma vítima definida desde o início.

Engenharia social aplicada em crimes tecnológicos

Com o advento dos crimes tecnológicos, sobretudo por internet e telefone celular, apareceu a exigência de adaptar técnicas de Engenharia Social para novas necessidades, situações e meios.
Os engenheiros sociais de hoje, têm que se esforçar pra conseguir convencer alguém a acessar determinados sites ou abrir determinados arquivos, fazer acreditar a alguém a existência de determinada ótima oportunidade ou situação de urgência.

Os casos mais frequentes, neste sentido, onde se observa aplicação de técnicas de engenharia social são:
  • Ações de "phishing", onde o intuito é convencer a vítima a acessar determinado site, fornecendo informações sigilosas (ex. falso site de um banco para capturar senhas ou adulterar boletos), ou abrir determinado arquivo anexado a um email, para infectar um computador de forma a capturar senhas e outras informações confidenciais.
  • Mensagens relativas a falsas promoções ou oportunidades (via e-mail ou celular), com o intuito de seduzir/convencer a vítima a enviar dinheiro ou outros valores na espera de receber determinado benefício, ganho, prêmio ou recompensa.
  • Mensagens relativas a situações de emergência (sequestros, acidentes etc...) onde o intuito é convencer a vítima a enviar dinheiro para resolver um problema inesperado e urgente.
Inicial  Anterior  Próxima  Última 


Login
Usuário:
Senha:
     
Patrocínios





NSC / LSI
Copyright © 1999-2016 - Todos os direitos reservados.   Design by D.Al. Eventos | "O Monitor" | Humor | Mapa do Site | Estatísticas | Contatos | Aviso Legal | Principal