A Arte de HACKEAR Pessoas

Esse artigo tem por objetivo ser a resenha do livro "A Arte de HACKEAR Pessoas", de Antonio Marcelo e Marcos Pereira, Ed. Brasport.

[ Hits: 28.660 ]

Por: Luiz Vieira em 20/04/2009 | Blog: http://hackproofing.blogspot.com/


A arte de HACKEAR pessoas



Esse artigo tem por objetivo ser a resenha do livro "A Arte de HACKEAR Pessoas", de Antonio Marcelo e Marcos Pereira, Ed. Brasport. Uma apresentação que há na capa do livro diz o seguinte:

"Um guia para conhecer a Engenharia Social, os crimes digitais, os ataques de phishing e de como os novos criminosos estão atacando na Internet"

Além de atuar e escrever artigos na área de Segurança em TIC, também atuo como psicoterapeuta já há alguns anos. Em meu "set terapêutico" uma técnica que não falta é a PNL. Para alguns colegas da área tecnológica esse termo é desconhecido, mas ao longo desse artigo/resenha explicaremos melhor do que se trata e veremos que apesar de fazer parte da área de humanas, e ter como objetivo a excelência humana e alívio de sofrimentos existenciais, a PNL é uma técnica muito próxima da área de tecnologia, mesmo que apenas em suas origens e conceitos.

No livro "A Arte de HACKEAR Pessoas", os autores procuram explicar como funcionam ataques típicos de engenharia social e como eles se encaixam nas leis penais que podem classificá-los como crimes e meio possíveis de se prevenir.

O livro está dividido em 5 capítulos, mais introdução e um apêndice, que descreve alguns phishings famosos, já que essa é uma modalidade de ataque via internet que se encaixa na tipologia de engenharia social.

Na Introdução, os autores já delineiam os 5 capítulos e o apêndice assim:
  • Capítulo I - Hackeando Pessoas - relata as técnicas e exemplos famosos.
  • Capítulo II - Apresentando o Engenheiro Social - narra um caso completo de como os autores se viram à frente de um engenheiro verdadeiro.
  • Capítulo III - Engenharia Social para Diversão e Lucro - como podemos utilizar a Engenharia Social na prática.
  • Capítulo IV - Scripts de Ataque e Ataques Web - demonstração de como são feitos ataques via indivíduo e um phishing clássico.
  • Capítulo V - Boas Práticas e Ferramentas de Defesa - uma série de práticas e ferramentas para o dia a dia.
  • Apêndice - descreve os principais ataques de phishing no cenário nacional.

No primeiro capítulo, logo no início, há uma citação muito usada na área de SI que exemplifica o quão estamos expostos aos ataques de engenharia social: "Não há patch contra a burrice humana". O objetivo desse capítulo é apresentar, de forma clara e sucinta, o que é a engenharia social e qual o perfil dos engenheiros sociais, aqueles que aplicam a ES (Engenharia Social) para obter acesso a informações importantes ou adquirir algum tipo de vantagem sobre outros indivíduos.

Os autores dividem os engenheiros sociais em duas categorias distintas: formados e notório-saber. Incluídos na primeira categoria estão os indivíduos que passaram por algum tipo de treinamento ou formação para saber como e quando aplicar a ES, tais como: policiais, detetives particulares e espiões. Já na segunda categoria, temos os indivíduos, que como os autores colocam, são frutos de nossa sociedade, dotados da capacidade de olhar uma situação sob vários prismas distintos, o que possibilita tal indivíduo saber agir de maneiras diversas de acordo com o que as variadas situações exigem.

Um exemplo citado como engenheiro social mundialmente conhecido é o caso de Frank Abgnale, cuja história foi contada no cinema, de forma hollywoodiana, através do filme "Prenda-me se for capaz", com Leonardo Di Caprio e Tom Hanks. Depois de preso pelo FBI, Abgnale decidiu voltar atrás de suas escolhas como engenheiro social e passou a colaborar com o FBI em investigações de fraudes e falsificações bancárias. Atualmente, Frank Abgnale é consultor de instituições financeiras internacionalmente reconhecidas e dá treinamentos pelo mundo a fora. Podemos ler um pouco mais sobre seu trabalho atual em seu site http://www.abgnale.com. Esse é um caso onde, um engenheiro social da categoria notório-saber, acabou aproveitando suas capacidades quando a situação tornou-se difícil para o seu lado e virou o jogo, decidindo atuar do lado daqueles que antes o caçavam.

Outras duas questões interessantes apresentadas nesse capítulo são: o ser humano como elo mais fraco na corrente que representas os processos e a PNL (programação neurolinguística).

A primeira questão aborda justamente o fato de que, na área de TIC, não adianta ter sistemas super protegidos, bem configurados e com profissionais altamente capacitados, além de uma boa política de segurança, se os funcionários não recebem o treinamento adequado para lidar com ataques de engenheiros sociais. E é justamente sobre esse elo mais fraco que o engenheiro social atua. Basta entrarmos em comunidade de redes sociais de determinadas empresas, por exemplo, para vermos funcionários discutindo assuntos que dizem respeito apenas ao recinto onde trabalham. Um engenheiro social, passando-se por um ex-funcionário pode extrair muitas informações de um estagiário desavisado que faz parte dessa comunidade.

Já a segunda questão, é muito ampla para ser abordada em um livro que versa sobre outro assunto, e por isso uma breve explicação é dada acerca de tal matéria. Quando perguntam-me o que é PNL, costumo responder o seguinte: se o cérebro humano tivesse um manual de como utilizá-lo corretamente, esse manual seria oferecido pela PNL. É uma técnica que pode levar qualquer pessoa a excelência ou ensiná-la como manipular a mente e os processos de raciocínio de outras pessoas. Quer ferramenta mais interessante para um engenheiro social do que essa?

Só para constar, um dos criadores da PNL, Richard Bandler, era matemático e programador. Já o co-autor da técnica, John Grinder, era um linguista que trabalhou para o serviço secreto realizando análise das estruturas de linguagem durante interrogatórios de possíveis suspeitos. Essa mistura explosiva nos deu uma das maiores técnicas no campo da consciência humana surgida no século XX.

No capítulo seguinte, os autores apresentam um caso verídico da ação de um engenheiro social com o qual se defrontaram. Tudo muito bem delineado, detalhando a ação do mesmo sobre suas vítimas previamente escolhidas para executar seu plano de ganhar dinheiro em cima delas. Porém, o mais interessante dessa parte do capítulo, além da descrição do caso, é a análise do mesmo separando-o por fases e descrevendo a forma de atuação, além de explicitar como o engenheiro social conseguiu seu intento, expondo aos olhos do leigo toda a estrutura psicológica e de planejamento por detrás do ataque tão bem arquitetado.

Ao longo desse segundo capítulo, os autores aprofundam-se um pouco mais na PNL, explicando algumas técnicas e teorias desenvolvidas por seus criadores, algumas delas, inclusive, que são utilizadas por engenheiros sociais para manipular o comportamento e influenciar as decisões de uma vítima em potencial.

O estudo da PNL apresentado, apesar de superficial, dada a extensão do arcabouço de conhecimento contido na PNL, é muito interessante, principalmente para os leigos no assunto, pois apresenta sucintamente as técnicas utilizadas por terapeutas, engenheiros sociais, hipnotizadores, espiões e etc para influenciar qualquer indivíduo a seu bel prazer sem que o mesmo se dê conta disso.

Já no terceiro capítulo, cujo título é "Engenharia Social para diversão e lucro", o assunto abordado é como utilizar a engenharia social para proveito próprio, sem necessariamente causar prejuízo para outrem. A engenharia social é uma faca de dois gumes, tanto podemos utilizá-la para conseguir o que queremos, manipular prejudicialmente outra pessoa, como podemos ser alvos de ataques bem elaborados com o objetivo pura e simplesmente do atacante alcançar ganhos financeiros às nossas custas. Nesse capítulo é justamente o primeiro aspecto que é abordado.

Como não poderia deixar de ser, a PNL é mais uma vez trazida à tona e algumas de suas ferramentas são analisadas ou pouco mais, com atenção maior a questão da comunicação: o que dizemos e o que as outras pessoas dizem. Quando conseguimos compreender a estrutura básica da comunicação entre duas pessoas, desvelando as representações internas de cada um através daquilo que é transmitido pela palavra e expressões corporais, podemos entender o mundo interno da outra pessoa e influenciá-la, ou então, construir um mundo interno diferente, transmitido ao outro pela estrutura da linguagem, de acordo com o personagem criado por nós durante um ataque de engenharia social.

Na continuação, cada fase de um ataque é explicada pormenorizadamente, sendo elas:
  • Escolha/Aproximação
  • Aclimatação
  • Confiança
  • Cumplicidade
  • Planejamento
  • Execução
  • Finalização

E, na atualidade, um assunto abordado que não poderia ter sido deixado de fora é a engenharia social na era digital, onde os atacantes utilizam uma das técnicas mais conhecidas: phishing scam. Quem de nós nunca recebeu um e-mail de uma antiga colega do colégio dizendo que nos ama muito e nunca teve coragem de dizer? O mais interessante é que tal e-mail tem como remetente, um nome muito comum, mas você não consegue se lembrar de pessoas nenhuma com as características descritas. Por que será?!

No capítulo de número quatro, logo no início, os autores nos brindam com mais um caso de ataque de engenharia social, detalhando o script de ataque utilizado pelo engenheiro social. Da maneira como o ataque é executado, podemos imaginar que isso ocorre todos os dias em diversos lugares do mundo. E esse é justamente o objetivo: alertar para a aparente banalidade de algumas perguntas ou conversas, que se forem somadas e reunidas num contexto maior, revela muito do alvo. Como já se diz: uma mentira é muito mais aceita se apresentada entre duas verdades. Podemos, nesse caso, reescrever a frase: uma pergunta maliciosa sempre tem feedback se apresentada entre duas banais.

Adiante, o assunto phishing scam é retomado, assim como ataques análogos. Esse tipo de ataque é analisado mais detalhadamente, com a explicação dos autores de como age um scammer e quais as fases de preparação desse tipo de ataque, já que o mesmo visa explorar vulnerabilidades psicológicas existentes nos alvos humanos que receberão seus e-mails ou mensagens.

No quinto capítulo, são abordados justamente os métodos e ferramentas que proporcionam a possibilidade de nos protegermos de ataques de engenharia social (tanto ataques digitais, quanto ataques pessoais - sendo esses últimos os mais difíceis de nos protegermos). Nesse quesito, entra a análise das políticas corporativa e pessoal, boas práticas, principais ameaças, ferramentas importantes e como precaver-se dos diversos tipos de ataque existentes.

Uma questão levantada no final do capítulo é de suma importância, principalmente nas organizações, que é o seguinte: usuário conscientizado é a maior proteção contra ataques de engenharia social. Nunca é demais repetir isso, pois durante a implantação de políticas corporativas, principalmente na área de gestão e de segurança da informação, é muito importante realizar treinamentos que visam conscientizar os usuários do nível de importância daquilo que tem acesso todos os dias e que é o principal ativo da organização: a informação.

A última parte do livro, o apêndice, é rica em exemplos de ataque famosos que circularam por muito tempo pela rede. Os autores descrevem os ataques de phishing scam e analisam o conteúdo da mensagem, explicando como identificar esse tipo de mensagem e qual o objetivo de cada uma delas. É um apanhado muito interessante, posto que, se entendemos a dinâmica e a estrutura de um ataque do tipo, fica muito mais fácil identificar todos os outros, pois a maioria segue um padrão que dura um tempo relativamente longo.

Obviamente que não podemos ficar presos apenas aos exemplos dados nos livros. Existem na net alguns sites que catalogam, inclusive, todos os e-mails que circulam na net e são identificados como mensagens de phishing scam, basta procurarmos no Google.

Essa realmente é uma publicação pioneira na área, que intenta abordar o assunto de forma séria; e sou até mesmo ousado em dizer que é um livro que explica muito do que é explanado nos artigos e livros estrangeiros sobre engenharia social, com um diferencial: é um dos poucos livros brasileiros sobre o tema! Com isso em mente, só posso parabenizar os autores sobre a publicação.

Espero com isso, que o assunto seja tratado com maior seriedade em nosso país e a conscientização dos usuários seja realizada a contento nas organizações, primeiro para que os riscos sejam minimizados e segundo para dificultar cada vez mais os mecanismos que os engenheiros sociais criam para burlar os sistemas, sejam humanos ou tecnológicos.

   

Páginas do artigo
   1. A arte de HACKEAR pessoas
Outros artigos deste autor

Segurança da Informação: Necessidades e mudanças de paradigma com o avanço da civilização

Análise de Malware em Forense Computacional

Linux no Pendrive

SELinux - Security Enhanced Linux

Resenha do livro: Praticando a Segurança da Informação

Leitura recomendada

Criando um repositório criptografado de dados com Cryptsetup (dm-crypt) sem (re)particionamento do HD

Criptografar sua atual partição root usando dm-crypt com luks

Como configurar um IPTABLES simples e seguro no Slackware!

Segurança com Iptables

Backup automatizado e seguro usando SSH / SCP / SFTP

  
Comentários
[1] Comentário enviado por demoncyber em 20/04/2009 - 14:11h

Continuo afirmando que seus artigos e resenhas são muito bons. Bem ainda não terminei de ler o outro livro que você havia passado sobre segurança, mas espero tão logo terminar para poder começar este que com certeza conseguirei acesso também, visto que um amigo confirmou que vai comprar o livro após ler a sua resenha.

Parabéns por mais um bom artigo!!!

[2] Comentário enviado por C.Joseph em 20/04/2009 - 23:58h

O ser humano quando tem habilidade para usar a inteligência, seja de maneira construtiva ou para prejudicar terceiros, pode ser simples e objetivo. Lembro de um exemplo em que, em um dia normal em meu serviço, estava atendendo uma cliente ao telefone. Ela recebeu um e-mail da administradora de cartões dela avisando sobre utilizações indevidas e que ela devia acessar o site da administradora e tal.

O que chega a ser mais complicado é que pela descrição da cliente, o e-mail era idiscutívelmente similar a um e-mail oficial da administradora de determinado cartão de crédito, até os links seriam facilmente identificados como algo sem risco algum, mas bastou a cliente deixar o cursor do mouse em cima do link que a aréa de notificação acusou outra URL.

Usar da falta de conhecimento das pessoas a seu bel prazer, ao mesmo tempo que se mostra perigoso para pessoas desavisadas, mostra o quanto uma pessoa capaz de usar seus conhecimentos para atos desse tipo, se mostra inteligente a ponto de atacar discretamente pessoas crédulas que podem cair em golpes como esse. Isso claro é um exemplo simples, mas não deixa de ser uma maneira que terceiros podem se mostrar capazes de interagir maliciosamente contra quem menos espera um golpe. Infelizmente, muitos caem em golpes como esse porque as vezes ou não pensam antes no que pode ocorrer, ou simplesmente não imaginam o risco do "singelo" e-mail.

Sem mais, fica meus parabéns pelo ótimo artigo.

[3] Comentário enviado por orionnunes em 22/04/2009 - 10:15h

Primeiramente, parabéns pelo Artigo, ficou muito bom.


Nos tempos de hoje, sem tempo pra nada, em cidades tumultuadas, via cheia de agitação e stress, pouco a pouco as pessoas acabam ficando mais abaladas, precisando de um apoio, um ombro amigo, e atenção, ficando vuneraveis, me interesso bastante pela PNL, que pretendo utilizar para me diciplinar.


Obrigado!

[4] Comentário enviado por leophilipsen em 23/04/2009 - 10:18h

muito interesante seu arquivo. o melhor jeito de aprender sobre segurança, é saber os metodos de invasão, esta de parabens pelo post amigo!

[5] Comentário enviado por valterrezendeeng em 23/04/2009 - 20:44h

Parabens !!!!!!


Muito interessante...

Concordo com o comentário anterior, pois, uma das melhores armas para defesa é o conhecimento do ataque.


Novamente parabens e contiue no sinformando.

Abraço

[6] Comentário enviado por mateusk em 24/04/2009 - 01:13h

Olha só, que interessante. Por coincidência meu Trabalho de Conclusão (que está dando um trabalhão ;P) trata justamente do usuário como falha de segurança, o "elo fraco" da questão. Este livro aí eu ainda não conhecia mas já li alguns outros a respeito de Engenharia Social e derivados.

O termo PNL era totalmente desconhecido para mim, mas despertou o meu interesse. Parabéns pelo artigo.

abraço!

[7] Comentário enviado por grandmaster em 24/04/2009 - 02:14h

Muito bom mesmo e uma boa indicação de leitura.

---
Renato de Castro Henriques
CobiT Foundation 4.1 Certified ID: 90391725
http://www.renato.henriques.nom.br



[8] Comentário enviado por nicolo em 24/04/2009 - 09:02h

Engenharia social é.. Tucanaram a velha psicanálise da velha ultra direita, antipática, detestável, repugnante, nojenta
e outros adjetivos pejorativos. Agora vendem a pregação da velha ultra direita de todos os tempos cheios de pompa e circunstância.
Pegam a mesma teoria, o mesmo conhecimento repugnante do passado e começam a ensinar , com palavras "científicas"
bonitas, tecnológicas o que sempre se soube, ainda que tal conhecimento fosse repugnante.
Estão espalhando, ensinado a maldade, por não ter mais nada para vender.

Antes eram apenas alguns gênios predadores que exerciam a profissão da maldade, agora toda a ralé vai querer imitar.
Vai ser um inferno.

[9] Comentário enviado por luizvieira em 24/04/2009 - 11:03h

Olá mateusk, há um outro livro que pode ser útil em seu trabalho de conclusão: Engenharia Social e Segurança da Informação na Gestão Corporativa, da Brasport, tbm.
Dê uma olhada nesse que acredito que vai ajudá-lo bastante.

[ ]'s

[10] Comentário enviado por luizvieira em 24/04/2009 - 11:08h

Olá nicolo, preciso discordar peremptoriamente de vc...
A PNL, como citada no texto, não é "a velha psicanálise da velha ultra direita". É uma técnica extremamente atual e terapêutica. No entanto, como qualquer conhecimento, é uma faca de dois gumes, que pode ser utilizada para curar, assim como manipular as pessoas. Assimc omo o conhecimento de segurança da informação: posso saber como proteger, mas tbm posso saber como invadir. E aí? Por isso não deve ser ensinada? Não devemos abrir escolas de mistérios para ensinar conhecimentos que podem ser mal utilizados, mas sim esclarecer, para que todos fiquem atentos. Mexer na ferida é doloroso, porém necessário para a posterior cura. Se sabemos onde está a flha e como o ataque pode ser feito, podemos nos preparar melhor.
Como já dizia Sun Tzu: "“Se você conhece o inimigo e a si mesmo, você não necessita temer o resultado de uma centena de batalhas.”

[11] Comentário enviado por nicolo em 24/04/2009 - 12:38h

Sun Tzu né !? É enquanto tá em Sun Tzu está bom. Está bem ingênuo.
Paro por aqui.

[12] Comentário enviado por luizvieira em 24/04/2009 - 13:46h

nicolo, obrigado por alertar-me acerca de minha ingenuidade.
Devo estar lidando com um especialista em PNL e EngSoc. Sorry :)
[ ]'s

[13] Comentário enviado por nicolo em 25/04/2009 - 18:50h

Ciao

[14] Comentário enviado por fdmarp em 27/04/2009 - 20:18h

muito bom, recomendo ...

[15] Comentário enviado por pardalz em 27/04/2009 - 22:24h

Vale a pena ler!

[16] Comentário enviado por thiago_program em 29/04/2009 - 20:19h

Inclusive hoje eu mandei um e-mail para o pessoal de onde eu trabalho alertando sobre e-mails, sites etc.

Se eu tivesse lido seu artigo antes, meu e-mail teria ficado muito mais rico.

Muito bom esse artigo. Parabens!

[17] Comentário enviado por grandmaster em 05/05/2009 - 23:18h

Adicionado ao favoritos aqui

Renato de Castro Henriques
CobiT Foundation 4.1 Certified ID: 90391725
http://www.renato.henriques.nom.br

[18] Comentário enviado por Justino_Sousa em 10/08/2016 - 11:23h

Como faço pra encontrar esse livro? faz tempo que quero ler ele mas não encontro em lugar nenhum, nem a versão digital.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts