Professional Documents
Culture Documents
ENGENHARIA SOCIAL
A engenharia social é um dos meios mais utilizados de obtenção de informações
sigilosas e importantes. Isso porque explora com muita sofisticação as "falhas de segurança
dos humanos". (Emerson Alecrim, on-line)
Podemos dizer que a Engenharia Social é um tipo de ataque utilizado por crackers,
onde a principal "arma" utilizada é a habilidade de lidar com pessoas, induzindo-as a
fornecer informações, executar programas e muitas vezes, fornecer senhas de acesso.
Este tipo de invasão, também denominado phishing, não é apenas passar-se por
outra pessoa, mas também enviar uma série de e-mails falsos, formulário fraudulentos,
anúncios que “dão dinheiro” ou que mudarão a sua vida.
Será utilizada, neste caso, uma página fake, uma cópia fiel da página do Orkut,
onde a vítima será convencida a fazer o login na mesma. A partir desta, será acionada outra
cópia do Orkut, mas desta vez com um script que será capaz de armazenar os dados
digitados no login, a partir desta etapa os dados da vítima já serão capturados.
Os softwares necessários para realizar este tipo de ataque são:
Mozilla Firefox (ou outro navegador de internet);
Notepad++ (ou outro editor de texto específico para linguagens de programação);
XAMPP (ou outro servidor Apache (Web) e PHP);
No-IP DUC + Conta no servidor;
Conhecimentos linguagem PHP (ou outra para web)
Também será criado um servidor para que hospedar as páginas criadas (por isso o
uso do XAMPP e No-IP). Neste caso será montado um servidor para usuários de internet que
possuem IP dinâmico (Speedy, por exemplo). As páginas também poderão ser hospedadas em
servidores on-line.
2
INVASÃO
A invasão por engenharia social, neste caso do Orkut, consiste em quatro etapas:
Página Fake
A priori o primeiro passo é copiar o código fonte da página original do Orkut,
tornando-a fake. Basta abrir a página do Orkut (www.orkut.com) depois no navegador no
menu Exibir, Código Fonte. Conforme a figura 1:
Página PHP
Nesta etapa uma página em PHP será criada que receberá os dados do Form da
página fake do Orkut. Para se aproximar mais da realidade, e fazer com que a vítima iluda-
se, é necessário copiar o código fonte da página do Orkut (conforme feito no passo anterior),
só que desta vez a página resultante de um logon falho, para que a vítima acredite que errou
ao logar. Conforme segue a figura 5:
Desta vez permanece a página do Orkut de Logon no Form, pois caso a vítima tenta
novamente logar, obterá sucesso, todavia sua senha fora capturada. O arquivo deverá ser
salvo com o nome logon.php.
Servidor Apache
Para que o HTML e o PHP sejam interpretados e a página seja acessada na internet
é necessário um servidor, que pode ser on-line ou local. Se for um servidor on-line, ambas as
páginas criadas deverão ser hospedadas em algum servidor que forneça o serviço de
interpretação da linguagem PHP (www.t35.com.br – é um exemplo de servidor grátis). Caso
o servidor seja a sua própria máquina siga os seguintes passos:
Neste estudo será criado um servidor para máquinas que se conectam na internet
por IP Dinâmico (serviços ofertados pela Speedy, por exemplo). A máquina que hospedará a
página também fornecerá os requisitos necessários para a compreensão do código fonte em
PHP. O XAMPP é um software capaz de realizar essa função, basta apenas instalá-lo e
inicializar o servidor Apache, conforme a figura 7:
Este tipo de acesso foi realizado localmente, ou seja, somente o dono da máquina
poderá acessá-la, ao menos que este servidor esteja on-line para que qualquer máquina da
internet possa localizá-la e fazer o acesso á página.
Para isso é necessário criar uma conta No-IP no site https://www.no-
ip.com/newUser.php.
Neste momento a máquina hospedeira esta pronta para ser acessada de qualquer
lugar do mundo (note que se e somente se a máquina estiver diretamente ligada à internet,
caso haja um roteador, ou ponto de acesso intermediando a comunicação será necessário
mais uma configuração, especificando comunicações da porta que você escolheu para
direcionar o tráfego para o IP da sua máquina). No momento que o link
“http://orkut.bounceme.net:55455/orkut” (sendo orkut o nome do host criado, bounceme.net
o domínio escolhido, 55455 a porta escolhida para a comunicação e /orkut a pasta que
deverá ser acessada) for acionado será acessado a página fake que foi criada no passo 1.
Engenharia Social
Esta última etapa consiste em fazer com que a vítima seja convencida de que
acessar a página que você esta fornecendo é seguro e esta livre de quaisquer tipos de ataque.
Partindo dessa premissa basta usar da criatividade e utilizar de inúmeras técnicas de enganar
a vítima. Por exemplo, passar-se por outra pessoa, cujo perfil agrade ou condiz com os
interesses da vítima, ou seja, falar de assuntos que a interesse, ou de gostos parecidos, de
modo com que a mesma sinta-se segura (abordaremos esse exemplo):
Basta apenas criar ou um Facebook, MSN, Orkut ou Twiter, e por meio deles
conversar com a vítima, até o momento certo para passar o link de acesso a sua página.
Ao passar o link para a vítima ela se deparará com a tela de logon do Orkut, e se o
mesmo efetuar o login terá sua senha capturada no arquivo senha.txt.
10
COMO EVITAR
Por se tratar muitas vezes da falha humana o “remédio” para este ataque é a
atenção. Sempre verificar os remetentes dos e-mails, jamais execute programas ou abra
arquivos que você não tenha solicitado, habilitar todas as ferramentas de segurança possível
como firewall e antivírus bem como mantê-los atualizados, manter todas as atualizações do
sistema operacional em dia, um banco jamais solicitaria informações pessoais por e-mail,
portanto nunca clique em links duvidosos, se uma página realmente for segura ela oferecerá
certificado digital, basta reparar no campo URL o protocolo HTTPS, ou o ícone de um
cadeado no canto inferior do navegador, não acredite em todas as alertas que você vê nem
em anúncios repentinos em pop-ups, e utilize navegadores atualizados, as novas versões
vem acompanhado o anti-phishing que alerta o usuário. A página criada nesse trabalho, por
exemplo, não oferece certificado digital, portanto atenção, embora pareça o Orkut esta não é
uma página segura.
11
REFERÊNCIAS
ALECRIM, Emerson; Ataques de Engenharia Social na Internet. Disponível em <
http://www.infowester.com/col120904.php> Acesso em: 22/04/2011.
BLOG – PULSO COMUNICAÇÃO; Dicas de como evitar o “Phishing” Disponível em: <
http://blog.pulsocomunicacao.com.br/dicas-de-como-evitar-o-phishing/> Acesso em:
24/04/2011.
Links utilizados:
Baixaki - http://www.baixaki.com.br/
No-IP - http://www.no-ip.com/