Clique aqui para baixar o artigo em seu micro para poder carregá-lo em seu mp3-player.
Clique aqui para ler uma entrevista com Kevin Mitnick.
Clique aqui para saber um pouco mais sobre o livro “A Arte de Enganar”.
Para ler esse artigo, clique no botão abaixo.
Em 1995 um dos mais famosos criminosos cibernéticos de todos os tempos, o americano Kevin Mitnick foi finalmente preso em uma operação do FBI após anos sendo procurado. Por seus crimes contra empresas, Mitnick foi condenado a quatro anos de prisão, e a um período de liberdade condicional posterior que o impedia de ter acesso a computadores sob pena de retornar para a cadeia. É claro que Mitnick era conhecedor de várias técnicas e ferramentas de invasão de computadores, mas em seu livro de 2002 "A Arte de Enganar", ele revelou uma característica de suas técnicas que é de grande interesse para qualquer cidadão que tenha informações privativas (ou seja, para todos nós, sem exceção). Mitnick contou que apesar de seu conhecimento em informática e técnicas de invasão, sua ferramenta mais eficaz não tinha nada a ver com tecnologia: era a engenharia social.
Mas o que é essa tal de engenharia social? Engenharia social é o ato de manipular pessoas para que tomem ações ou revelem informações confidenciais. Existem várias técnicas que podem ser consideradas como engenharia social, mas em todas elas uma característica é constante: o engenheiro social, isto é, o pilantra, sempre se apresenta como uma pessoa amável, simpática, exalando autoridade e sempre pronta para ajudar. É alguém, nas palavras de Mitnick, que te deixa grato por ter encontrado uma pessoa tão bacana. Com esse jeito tranquilo e solícito, o engenheiro social — de novo: o pilantra — consegue o que quer simplesmente pedindo com educação, exercendo uma suposta autoridade, ou fazendo algum favor insignificante em troca. Fácil assim? É, fácil assim.
Vejamos dois exemplos clássicos. O primeiro deles, um teste simples realizado pelos organizadores do congresso europeu InfoSecurity, em 2003. Eles colocaram pesquisadores com crachás no metrô de Londres, que pediam cinco minutos de atenção aos passantes. Para quem se dispusesse a responder um pequeno questionário, entregavam uma caneta simples como presente. Entre as questões pediam o nome da pessoa, a empresa onde trabalhava, o departamento e a senha de entrada no sistema. 95% dos homens e 85% das mulheres responderam de bom grado. Em 2004 a mesma pesquisa foi realizada pelos mesmos organizadores do InfoSecurity, desta vez oferecendo chocolate como prêmio pelas respostas ao questionário, e os resultados foram semelhantes.
O segundo caso é o do técnico em informática Stanley Rifkin, que em 1978 roubou mais de 10 milhões de dólares do banco Security Pacific sem disparar um tiro ou mesmo sem usar um computador. Ele simplesmente leu o código diário de autorização para transferências internacionais que os funcionários colavam num quadro de avisos para facilitar o acesso, ligou de um orelhão se fazendo passar por um funcionário do setor de contas internacionais, e solicitou a transferência de dez milhões e duzentos mil dólares para uma conta que ele havia aberto na Suíça, fornecendo o código que havia lido. Só foi pego porque usou o dinheiro para comprar diamantes, e não sabia nada sobre como vendê-los sem chamar a atenção.
Exemplos assim podem parecer estupidez (e na verdade são), mas o fato é que todos nós somos passíveis de falar demais e revelar informações que deveríamos manter em sigilo, ou de agir comandados por alguém que dá a impressão de ter autoridade. Somos vulneráveis a esse tipo de ataque por várias razões, que compõem o que os especialistas chamam de “parcialidades cognitivas”. Apesar do nome estranho, trata-se apenas de desvios de julgamento que nos induzem ao erro em função de termos aprendido assim em nossas relações sociais. Por exemplo, somos ensinados desde a infância a ser educados com as pessoas, e muitas vezes em nome dessa educação fazemos concessões a estranhos. Outro caso é quando aprendemos a responder com cordialidade quando somos tratados com cordialidade em nossas interações sociais, e com prestatividade quando diante de alguém que julgamos ter autoridade. Tornamos-nos parciais à situação vivida e às pessoas com quem interagimos, nesses e em muitos outros casos, e quando agimos assim, deixamos de avaliar a situação com a imparcialidade que a mesma exige. Em outras palavras, passamos a confiar em uma situação ou na ladainha de uma pessoa quando deveríamos ser mais imparciais (e menos apressados) em nosso julgamento. Abalizados por essa confiança indevida, “entramos na onda” (e muitas vezes, pelo cano).
Como são mestres em explorar esses desvios de julgamento, os engenheiros sociais conseguem o que querem e geralmente usam os dados em seus ataques, no mais das vezes prejudicando aqueles de quem obtiveram as informações. O que conseguiram na base da lábia geralmente facilita muito os ataques a computadores e instituições.
O assunto engenharia social é vasto, e os engenheiros sociais dominam muitas técnicas para obter informações sobre as quais ainda voltaremos a falar em programas futuros. Mas para que possamos lidar de forma adequada com eles, é preciso observar uma regra básica de conduta: devemos ser rápidos em desconfiar e lentos em confiar. Mesmo que essa desconfiança seja percebida como falta de educação. Se a pessoa com quem você interage for bem-intencionada, vai te desculpar pelo excesso de zelo. E se você ainda estiver em dúvida, pense que sua desconfiança tem um objetivo nobre: proteger você mesmo.
Até a próxima.
Mas o que é essa tal de engenharia social? Engenharia social é o ato de manipular pessoas para que tomem ações ou revelem informações confidenciais. Existem várias técnicas que podem ser consideradas como engenharia social, mas em todas elas uma característica é constante: o engenheiro social, isto é, o pilantra, sempre se apresenta como uma pessoa amável, simpática, exalando autoridade e sempre pronta para ajudar. É alguém, nas palavras de Mitnick, que te deixa grato por ter encontrado uma pessoa tão bacana. Com esse jeito tranquilo e solícito, o engenheiro social — de novo: o pilantra — consegue o que quer simplesmente pedindo com educação, exercendo uma suposta autoridade, ou fazendo algum favor insignificante em troca. Fácil assim? É, fácil assim.
Vejamos dois exemplos clássicos. O primeiro deles, um teste simples realizado pelos organizadores do congresso europeu InfoSecurity, em 2003. Eles colocaram pesquisadores com crachás no metrô de Londres, que pediam cinco minutos de atenção aos passantes. Para quem se dispusesse a responder um pequeno questionário, entregavam uma caneta simples como presente. Entre as questões pediam o nome da pessoa, a empresa onde trabalhava, o departamento e a senha de entrada no sistema. 95% dos homens e 85% das mulheres responderam de bom grado. Em 2004 a mesma pesquisa foi realizada pelos mesmos organizadores do InfoSecurity, desta vez oferecendo chocolate como prêmio pelas respostas ao questionário, e os resultados foram semelhantes.
O segundo caso é o do técnico em informática Stanley Rifkin, que em 1978 roubou mais de 10 milhões de dólares do banco Security Pacific sem disparar um tiro ou mesmo sem usar um computador. Ele simplesmente leu o código diário de autorização para transferências internacionais que os funcionários colavam num quadro de avisos para facilitar o acesso, ligou de um orelhão se fazendo passar por um funcionário do setor de contas internacionais, e solicitou a transferência de dez milhões e duzentos mil dólares para uma conta que ele havia aberto na Suíça, fornecendo o código que havia lido. Só foi pego porque usou o dinheiro para comprar diamantes, e não sabia nada sobre como vendê-los sem chamar a atenção.
Exemplos assim podem parecer estupidez (e na verdade são), mas o fato é que todos nós somos passíveis de falar demais e revelar informações que deveríamos manter em sigilo, ou de agir comandados por alguém que dá a impressão de ter autoridade. Somos vulneráveis a esse tipo de ataque por várias razões, que compõem o que os especialistas chamam de “parcialidades cognitivas”. Apesar do nome estranho, trata-se apenas de desvios de julgamento que nos induzem ao erro em função de termos aprendido assim em nossas relações sociais. Por exemplo, somos ensinados desde a infância a ser educados com as pessoas, e muitas vezes em nome dessa educação fazemos concessões a estranhos. Outro caso é quando aprendemos a responder com cordialidade quando somos tratados com cordialidade em nossas interações sociais, e com prestatividade quando diante de alguém que julgamos ter autoridade. Tornamos-nos parciais à situação vivida e às pessoas com quem interagimos, nesses e em muitos outros casos, e quando agimos assim, deixamos de avaliar a situação com a imparcialidade que a mesma exige. Em outras palavras, passamos a confiar em uma situação ou na ladainha de uma pessoa quando deveríamos ser mais imparciais (e menos apressados) em nosso julgamento. Abalizados por essa confiança indevida, “entramos na onda” (e muitas vezes, pelo cano).
Como são mestres em explorar esses desvios de julgamento, os engenheiros sociais conseguem o que querem e geralmente usam os dados em seus ataques, no mais das vezes prejudicando aqueles de quem obtiveram as informações. O que conseguiram na base da lábia geralmente facilita muito os ataques a computadores e instituições.
O assunto engenharia social é vasto, e os engenheiros sociais dominam muitas técnicas para obter informações sobre as quais ainda voltaremos a falar em programas futuros. Mas para que possamos lidar de forma adequada com eles, é preciso observar uma regra básica de conduta: devemos ser rápidos em desconfiar e lentos em confiar. Mesmo que essa desconfiança seja percebida como falta de educação. Se a pessoa com quem você interage for bem-intencionada, vai te desculpar pelo excesso de zelo. E se você ainda estiver em dúvida, pense que sua desconfiança tem um objetivo nobre: proteger você mesmo.
Até a próxima.
Nenhum comentário:
Postar um comentário