Ataques não técnicos

São os ataques nos quais os invasores na sua grande maioria não possuem grande conhecimento técnico. Tais invasores utilizam artifícios de engenharia social e segurança física para conseguir seus objetivos.

No entanto um ataque não técnico pode significar também um ataque de grandes proporções, pois pode ser executado por atacantes com alto grau de conhecimento técnico e que realizam esse ataque para conhecer melhor a vítima, sendo o seu objetivo o de realizar uma coleta de dados.

a) Engenharia Social

Uma técnica simples, mas que possui uma enorme eficiência quando bem aplicada, pois é específico no emocional e comportamental, realiza um estudo do indivíduo para depois atacar. Essa técnica não requer altos conhecimentos, basta ter poder de convencimento e um pouco de psicologia comportamental. O trabalho estudado por meio do software “Carcará” (capítulo 5) trabalha em parte com esse tipo de ataque.

O objetivo dos ataques que utilizam engenharia social é o de obter informações que sejam confidenciais da empresa e que possam ser utilizadas por criminosos. Tais informações podem chegar a tais pessoas mediante os próprios usuários da instituição e seus colaboradores. Observando que essas informações são obtidas mediante a confiança ou ingenuidade dos usuários, esses ataques podem ser concretizados mediante telefonemas, envio de mensagens via correio, salas de papo e até mesmo pessoalmente.

37

Esses ataques podem ser dos mais variados, desde uma simples ligação telefônica, por exemplo:

Invasor: pergunta por alguém que inexiste no local da empresa; Vítima: nega a existência do funcionário com o nome mencionado;

Invasor: pergunta ao recebedor da chamada, por favor, Senhor, desculpe-me qual é o seu nome?;

Vítima: identifica-se;

Invasor: pergunta, qual é o nome desse setor Sr. X ?; Vítima: fala o nome do setor;

Invasor: fala, o funcionário que estou procurando me disse que trabalhava no setor X, me desculpe, anotei alguma coisa errada, obrigado. Tchau.

O primeiro passo do ataque foi realizado com sucesso. O invasor tem em mãos o nome de alguém que pode ser atacado na instituição alvo. Agora o alvo está mais claro para o atacante, com o aumento de opções para o ataque.

Mas em algumas instituições não é necessária essa forma de ataque, basta ir à recepção da empresa que os nomes de funcionários e atribuições estão todos lá. É necessário apenas anotar alguns nomes e telefones e saber exatamente a hierarquia da empresa para que o ataque possa ser bem sucedido.

Quanto menor a hierarquia do funcionário, mas esse funcionário é prestativo em ajudar alguém que lhe solicita informações, não sabendo o funcionário que do outro da linha ou pessoalmente existe alguém com más intenções.

Outra situação de risco: o lixo da empresa. Os papéis de uma instituição que não forem úteis deverão ser picotados, antes de serem destinados ao lixo, pois do outro lado poderá haver alguém que poderia realizar uma busca no lixo da empresa e encontrar rascunhos de projetos, falhas do sistema, hierarquia da rede de computadores, hierarquia

de funcionários, descrição de problemas e possíveis senhas e tipos de acessos para a empresa.

Empresas terceirizadas também podem ser alvo, no caso de serem utilizadas visando um ataque maior, buscando meios de acessar a empresa alvo para a qual a empresa terceirizada presta serviços.

Em um ataque de engenharia social, o atacante busca informações da estrutura social da empresa (mercado, objetivo, tempo de existência), mapas ou plantas da estrutura física da localização da empresa (plantas baixas, plantas de engenharias, plantas de projetos de estrutura lógica de computadores) hierarquia da empresa (função e funcionários), hierarquia de computadores, tipo de segurança utilizada (física e de computadores), a estrutura pessoal dos funcionários alvos (relacionamentos amorosos, financeiros, pessoais, diversões, preferências, personalidade etc), quais as empresas colaboradoras da empresa (fornecedores e terceirizados).

Para dificultar esse tipo de ataque, algumas empresas adotam algumas medidas que podem ser bastante úteis para a manutenção de sua segurança. São elas:

• Uma política de controle de acesso físico à empresa, por meio de cartões de acesso, tanto pra funcionários como para visitantes. Uma câmera de vídeo na portaria ou recepção à vista de todo indivíduo que desejasse obter informações ou acesso à empresa, já inibe um pouco esse ataque, pois o atacante saberia que poderia ser posteriormente identificado.

• Classificação das informações, especificação do que cada funcionário pode dizer e para quem. Em outras palavras, o que pode ser divulgado e o que não pode.

• Realização de uma política de segurança sobre todas as informações da empresa, pois elas são seu maior patrimônio.

39

• A conscientização dos funcionários com respeito à segurança, por meio de seminários, casos de tipos de ataques, realização de cursos e simulações de ataques de engenharia reversa para comprovação dos treinamentos alcançados pela empresa.

• Uma política de senhas na qual nenhum funcionário deverá revelar a sua própria senha a nenhum outro funcionário, mesmo que trabalhe no mesmo setor.

• Criação de regras de Segurança para os Funcionários:

o Sempre desconfie de ligações telefônicas de pessoas que possuam

informações sobre a sua função e seu nome, e que possivelmente peçam informações que não esteja autorizado a fornecer. Nesses casos, peça o número de telefone para garantir a autenticidade da procedência, após isso realize o retorno para o número indicado ou disque para o setor de segurança da empresa para analisar o ocorrido.

o Desconfie de e-mail de remetentes desconhecidos, no qual é

convidado para seminários e cursos gratuitos, pois o objetivo final pode ser o de obter informações da sua empresa.

• A ocorrência de falsos fabricantes e falsos terceirizados é outro perigo de engenharia social. Diante desse tipo, o ideal é transferir ao pessoal responsável na empresa em atender e verificar se realmente as informações são verdadeiras ou não.

b) Segurança Física

Essa variação de um ataque não técnico ocorre quando o atacante necessita de mais informações que precisam ser retiradas diretamente no local. Tais informações

podem ser utilizadas para realizar o ataque direto ou posterior. Para realizar assim o ataque, as informações coletadas servirão para concretizar um ataque maior que necessita de grande investimento de tempo e de conhecimento técnico.

Para ter acesso físico à instituição (vítima) o atacante poderá utilizar crachás falsos, documentos pessoais falsos e demais recursos que lhe permitam acessar o local, como alguém devidamente legalizado e autorizado a ter acesso à instituição.

Sendo que neste tipo de ataque o maior problema fica normalmente concentrado em empresas terceirizadas que prestam serviços a grandes instituições. Estas instituições (bancárias, governamentais, de pesquisa ou até mesmo provedores de acesso etc.) contratam os serviços de empresas menores para realização de serviços como limpeza, segurança e até a central de processamento de dados da empresa. Estas grandes instituições por terem alto poder financeiro e também de informação, sofrem altos riscos de serem alvo de ataques dos mais diversos grupos de piratas virtuais. Os atacantes podem utilizar essas empresas terceirizadas como meio de alcançar e ter acesso ao local dessas empresas maiores.