Engenharia Social
O termo é utilizado para descrever um método de ataque, onde alguém
faz uso da persuasão, muitas vezes abusando da ingenuidade ou
confiança do usuário, para obter informações que podem ser
utilizadas para ter acesso não autorizado a computadores ou
informações.
Que exemplos podem ser citados sobre este método de ataque?
Os dois primeiros exemplos apresentam casos onde foram
utilizadas mensagens de e-mail. O último exemplo apresenta um ataque
realizado por telefone.
Exemplo 1: você recebe uma mensagem e-mail, onde o remetente
é o gerente ou alguém em nome do departamento de suporte do seu
banco. Na mensagem ele diz que o serviço de Internet Banking está
apresentando algum problema e que tal problema pode ser corrigido se
você executar o aplicativo que está anexado à mensagem. A execução
deste aplicativo apresenta uma tela análoga àquela que você utiliza
para ter acesso a conta bancária, aguardando que você digite sua
senha. Na verdade, este aplicativo está preparado para furtar sua
senha de acesso a conta bancária e enviá-la para o atacante.
Exemplo 2: você recebe uma mensagem de e-mail, dizendo que
seu computador está infectado por um vírus. A mensagem sugere que
você instale uma ferramenta disponível em um site da Internet, para
eliminar o vírus de seu computador. A real função desta ferramenta
não é eliminar um vírus, mas sim permitir que alguém tenha acesso ao
seu computador e a todos os dados nele armazenados.
Exemplo 3: algum desconhecido liga para a sua casa e diz ser
do suporte técnico do seu provedor. Nesta ligação ele diz que sua
conexão com a Internet está apresentando algum problema e, então,
pede sua senha para corrigí-lo. Caso você entregue sua senha, este
suposto técnico poderá realizar uma infinidade de atividades
maliciosas, utilizando a sua conta de acesso a Internet e, portanto,
relacionando tais atividades ao seu nome.
Estes casos mostram ataques típicos de engenharia social, pois os
discursos apresentados nos exemplos procuram induzir o usuário a
realizar alguma tarefa e o sucesso do ataque depende única e
exclusivamente da decisão do usuário em fornecer informações
sensíveis ou executar programas.
Cartilha de Segurança para Internet Versão 3.1 - ©2006 CERT.br Retirado em: 02/02/2009 - www.cert.br
|