Clique aqui para baixar o artigo em seu micro para poder carregá-lo em seu mp3-player.
Clique aqui para ler a postagem no blog da Netragard explanando o ataque.
Clique aqui para ir ao site de informações pessoais pipl.com.
Para ler esse artigo, clique no botão abaixo.
A Netragard é uma empresa de consultoria em segurança que ajuda seus clientes a se protegerem contra ataques de engenharia social em sites de relacionamento. Em outras palavras, a empresa ajuda outras empresas a evitarem o vazamento de informações sigilosas que seus funcionários inadvertidamente fornecem através de suas páginas de sites de relacionamento, tais como o Facebook e o Orkut.
Em que pese a empresa ter como público alvo as corporações, uma das técnicas que utiliza para mostrar os problemas nas empresas clientes pode ser bastante útil para o usuário doméstico.
Na exposição do ataque, os especialistas da Netragard descrevem um método engenhoso e simples, que funciona mais ou menos assim: em primeiro lugar, eles buscam informações sobre os funcionários da empresa. Como fazem isso? Bem, existem algumas formas de se procurar informações públicas acerca de uma pessoa na própria Web. O site pipl.com, por exemplo, lista perfis públicos, documentos e páginas Web nas quais uma pessoa aparece. Quando entrei no site pela primeira vez e digitei meu nome, a cidade e o estado onde moro, fiquei surpreso com a quantidade de informações a meu respeito que estão disponíveis publicamente. Até um e-mail e um telefone antigos estão na lista de informações apresentadas, e várias informações de perfil do Facebook que eu não necessariamente gostaria de compartilhar com estranhos, todas já retiradas do ar, claro. Recomendo fortemente que o ouvinte do 5 Minutos de Segurança entre no pipl.com e digite seu próprio nome, pois assim poderá ter uma ideia por si mesmo, podendo corrigir eventuais indiscrições. Além dos perfis de sites de relacionamento, outras informações podem ser obtidas de documentos públicos onde o nome do usuário apareça, tais como artigos e páginas da Web.
Bem, de posse dos dados de vários funcionários, os especialistas da Netragard criam um perfil no Facebook (ou em outro site de relacionamento utilizado pelos funcionários da empresa) se fazendo passar por uma jovem de vinte e tantos anos, recém contratada pela empresa. Sabem que este tipo de pessoa desperta interesse dos homens e não desperta desconfiança nas mulheres. Com os dados e histórias coletados, os especialistas começam a adicionar outros funcionários na rede de amizades da falsa funcionária, e assim conseguem entrada nos grupos exclusivos da empresa.
A partir daí, utilizam vulnerabilidades no site da empresa cliente para aplicar um golpe de phishing, apresentando em seu relatório os dados capturados dos usuários que foram enganados.
Qual a taxa de sucesso que apresentam? 90% dos usuários da empresa cadastrados no site de relacionamento e que são contatados pela suposta jovem funcionária caem no golpe.
O golpe ensina várias coisas, mesmo ao usuário doméstico. A primeira delas é que existem muitas informações nossas que podem estar ao alcance de qualquer um, e nem todas elas nós queremos divulgar. Ferramentas como o pipl.com podem nos ajudar a descobrir que informações são essas e no caso de estarem em nossos perfis na Internet, podemos agir sobre as mesmas. A segunda é que nem sempre aqueles que se apresentam como sendo conhecidos, ou como tendo alguma coisa em comum conosco, são quem dizem ser. É preciso um cuidado muito grande na hora de agir com confiança para com alguém que conhecemos via Internet. Alguém que, por exemplo, descubra em que escola fiz o colegial e alguns nomes de colegas pode se apresentar como um aluno mais tímido que estava na mesma classe. Afinal de contas, quem de nós que já passou dos 30 que ainda se lembra de todos os companheiros de escola? Em uma empresa grande, a coisa fica ainda mais fácil, pois a quantidade de filiais e departamentos torna muito difícil conhecermos todos os colegas. Um pouco de perseverança e o acesso a informações públicas podem fazer com que o bandido se torne “versado” nas histórias que acontecem na empresa. Para ele se fazer passar por um funcionário, custa pouco. E em todos os casos, dar confiança a alguém só porque temos a percepção de que esta pessoa é “um dos nossos” é receita certa para problemas.
O consultor da Netragard Audriel Desautels alerta para o fato de que a solução desse problema não é tecnológica isto é, mesmo que a empresa corrija suas vulnerabilidades de rede, ainda estará à mercê desse tipo de golpe. A dica dele é para que a empresa proíba os funcionários de mencionar o nome da corporação em sites de relacionamento. O mesmo pode ser traduzido para o usuário doméstico da seguinte forma: quer proteger uma informação? É simples: mantenha-a longe dos sites de relacionamento.
Ajude-nos a melhorar a qualidade dos artigos desse site deixado na seção de comentários suas dúvidas, críticas e sugestões.
Até a próxima.
Em que pese a empresa ter como público alvo as corporações, uma das técnicas que utiliza para mostrar os problemas nas empresas clientes pode ser bastante útil para o usuário doméstico.
Na exposição do ataque, os especialistas da Netragard descrevem um método engenhoso e simples, que funciona mais ou menos assim: em primeiro lugar, eles buscam informações sobre os funcionários da empresa. Como fazem isso? Bem, existem algumas formas de se procurar informações públicas acerca de uma pessoa na própria Web. O site pipl.com, por exemplo, lista perfis públicos, documentos e páginas Web nas quais uma pessoa aparece. Quando entrei no site pela primeira vez e digitei meu nome, a cidade e o estado onde moro, fiquei surpreso com a quantidade de informações a meu respeito que estão disponíveis publicamente. Até um e-mail e um telefone antigos estão na lista de informações apresentadas, e várias informações de perfil do Facebook que eu não necessariamente gostaria de compartilhar com estranhos, todas já retiradas do ar, claro. Recomendo fortemente que o ouvinte do 5 Minutos de Segurança entre no pipl.com e digite seu próprio nome, pois assim poderá ter uma ideia por si mesmo, podendo corrigir eventuais indiscrições. Além dos perfis de sites de relacionamento, outras informações podem ser obtidas de documentos públicos onde o nome do usuário apareça, tais como artigos e páginas da Web.
Bem, de posse dos dados de vários funcionários, os especialistas da Netragard criam um perfil no Facebook (ou em outro site de relacionamento utilizado pelos funcionários da empresa) se fazendo passar por uma jovem de vinte e tantos anos, recém contratada pela empresa. Sabem que este tipo de pessoa desperta interesse dos homens e não desperta desconfiança nas mulheres. Com os dados e histórias coletados, os especialistas começam a adicionar outros funcionários na rede de amizades da falsa funcionária, e assim conseguem entrada nos grupos exclusivos da empresa.
A partir daí, utilizam vulnerabilidades no site da empresa cliente para aplicar um golpe de phishing, apresentando em seu relatório os dados capturados dos usuários que foram enganados.
Qual a taxa de sucesso que apresentam? 90% dos usuários da empresa cadastrados no site de relacionamento e que são contatados pela suposta jovem funcionária caem no golpe.
O golpe ensina várias coisas, mesmo ao usuário doméstico. A primeira delas é que existem muitas informações nossas que podem estar ao alcance de qualquer um, e nem todas elas nós queremos divulgar. Ferramentas como o pipl.com podem nos ajudar a descobrir que informações são essas e no caso de estarem em nossos perfis na Internet, podemos agir sobre as mesmas. A segunda é que nem sempre aqueles que se apresentam como sendo conhecidos, ou como tendo alguma coisa em comum conosco, são quem dizem ser. É preciso um cuidado muito grande na hora de agir com confiança para com alguém que conhecemos via Internet. Alguém que, por exemplo, descubra em que escola fiz o colegial e alguns nomes de colegas pode se apresentar como um aluno mais tímido que estava na mesma classe. Afinal de contas, quem de nós que já passou dos 30 que ainda se lembra de todos os companheiros de escola? Em uma empresa grande, a coisa fica ainda mais fácil, pois a quantidade de filiais e departamentos torna muito difícil conhecermos todos os colegas. Um pouco de perseverança e o acesso a informações públicas podem fazer com que o bandido se torne “versado” nas histórias que acontecem na empresa. Para ele se fazer passar por um funcionário, custa pouco. E em todos os casos, dar confiança a alguém só porque temos a percepção de que esta pessoa é “um dos nossos” é receita certa para problemas.
O consultor da Netragard Audriel Desautels alerta para o fato de que a solução desse problema não é tecnológica isto é, mesmo que a empresa corrija suas vulnerabilidades de rede, ainda estará à mercê desse tipo de golpe. A dica dele é para que a empresa proíba os funcionários de mencionar o nome da corporação em sites de relacionamento. O mesmo pode ser traduzido para o usuário doméstico da seguinte forma: quer proteger uma informação? É simples: mantenha-a longe dos sites de relacionamento.
Ajude-nos a melhorar a qualidade dos artigos desse site deixado na seção de comentários suas dúvidas, críticas e sugestões.
Até a próxima.
Excelente dica ainda que seja difícil de as empresas manter o controle, mas em termos pessoais são perfeitamente aplicáveis, afinal quem tem cuida. Obrigado.
ResponderExcluirMuitas empresas têm -- pelo menos no papel -- uma política de segurança. Essa política (que deve ser assinada pelo funcionário no momento da contratação) expõe os limites e a conduta esperada para a utilização da Internet na empresa e em equipamentos da empresa. Caso o funcionário desrespeite, é passível de demissão. Desta forma fica mais simples de a empresa controlar o uso de seus recursos. Difícil averiguar? Muitas vezes é, principalmente no que diz respeito ao comportamento do funcionário.
ResponderExcluirMas em casa a situação é outra. Não faz sentido o usuário se impor uma política formal, mas é bem mais fácil este usuário desenvolver hábitos saudáveis e se pautar por eles. O que é necessário são duas coisas bastante possíveis de serem conseguidas: informação e disciplina.
Obrigado pelo comentário!
Ruy
Tenho umma pergunta
ResponderExcluirVou trocar meu micro, que já está com mais de 6 anos, Tudo nele funciona, mas ele é lento demais para o que tenho que fazer. Quando comprar o novo pretendo doar o velho para uma instituição de caridade, mas um amigo meu disse que mesmo formatando o HD os dados apagados ainda podem ser lidos. Isso é verdade? Tem como evitar?
Agradeço se puder responder. Seu bog é muito legal.
Obrigado pela pergunta, Maicon. Vamos respondê-la no artigo de sexta-feira, 23/10.
ResponderExcluir