Uma das atrações mais esperadas da Campus Party 2010 aconteceu no início da tarde de ontem, segundo dia do evento (primeiro, contando que na segunda não houve palestras). Acompanhado por blogueiros, hackers, profissionais de informática e principalmente curiosos, Kevin deu um show falando e fazendo coisas que para ele são corriqueiras.
De modo muito tranquilo, a lição do autonomeado maior ex-hacker do mundo é de que não importa o quanto você invista em tecnologia, a falha de segurança maior é a humana.
Engenharia Social é o nome da técnica
Enganar, convencer, ludibriar, persuadir. Na aula de hackerismo, a técnica de fazer pessoas executarem tarefas que facilitem a missão do hacker, é matéria básica e obrigatória. Em algum momento o invasor esbarra em uma barreira intransponível tecnicamente, mas que pode se tornar uma tarefa simples se existe uma pessoa tomando conta. A forma de falar, o tipo de informação necessária, a paciência para esperar o momento oportuno e a sagacidade de tentar de formas diferentes, fazem da Engenharia Social uma arte para poucos.
Porém, para que essa técnica dê certo, o crédito não é somente do golpista. A facilidade com que as pessoas liberam informações para estranhos é impressionante. Mitnick contou em sua exposição, sobre uma experiência em que pessoas ofereciam ovos de chocolate em troca da senha pessoal de indivíduos no Reino Unido. A experiência foi repetida 2 anos mais tarde e a conclusão é que o cenário está melhorando, mas ainda é muito frágil. Na primeira vez, 90% das pessoas cedeu sua senha em troca do chocolate. Dois anos mais tarde “apenas” 70% fez a troca. Não se sabe ao certo se o consumo de chocolate foi que diminiu no período ;-).
Não forneça dados pessoais desnecessariamente
No mundo todo existem pesquisadores. Em alguns lugares com maior frequência. Qual a última vez que você respondeu a um questionário nas ruas? Lembra de ter fornecido dados importantes? Deixe-me reativar sua memória: seu nome completo, data de nascimento, grau de instrução, nome da mãe, endereço, telefone … que tal em qual banco possui conta? E ainda, se possui cartões de crédito? Pois é, você não imaginava, mas esses são dados vitais.
Ao ligar para um atendimento ao cliente, para confirmar que você é você, eles fazem aquelas perguntas chatas, certo? Chatas, mas necessárias. Alguém, de posse de seus dados, pode se passar por você e realizar operações, solicitações, alteração de telefones e senhas, diversas coisas em seu nome. Isso já aconteceu com você?
A dica que fica é nunca fornecer dados que não sejam extremamente necessários, que sejam muito pessoais ou sensíveis. Se o pesquisador não aceitar, simplesmente não responda a pesquisa. Você não perde nada com isso, certo?
As pessoas querem ajudar e não sabem dizer “não”
O hacker sabe disso e explora essa vulnerabilidade humana. É uma falha e não há “patch”, apenas mudança de comportamento. Os atendentes de telemarketing sabem e insistem em te vender algo, porque uma hora vc vai aceitar, é da sua natureza humana. Os serviços de call center sabem disso e quando você liga para cancelar um serviço, te oferecem uma mariola para continuar insatisfeito. E você aceita!
A tendência é tão grande em alguns lugares, que nos EUA por exemplo, as pessoas gastam 50 dólares em um aparelho que se conecta ao telefone e, ao pressionar de um botão, diz ao seu interlocutor: “Aqui é o atendimento eletrônico, essa pessoa não quer falar com você, por favor, não ligue novamente”. Cinquenta dólares para dizer “não” para você, acredita? Pois existe.
Utilizando frases de efeito como “só você pode me ajudar”, “estou com um problema e não sei resolver”, “preciso de sua ajuda”, o enganador consegue fazer com que a vítima se sinta bem em ajudar alguém, em fazer algo, se sentir útil.
A falsa premiação ou oportunidade
Uma das coisas mais exploradas por criminosos no Brasil é a falha da ganância. Oferecem premiações que não existem e a vítima cai no golpe mais antigo do mundo, repaginado em forma de SMS e e-mail, pagando uma grana para esses golpistas, na esperança de levar alguma vantagem.
Seja qual for a motivação explorada pelo enganador, um pouco de cautela vai te ajudar. Fora isso, partindo para as soluções tecnológicas, as dicas do Kevin foram: desabilite o autorun do seu Windows para mídias removíveis, tenha sempre um antivirus atualizado e desconfie sempre.
Eu tenho aqui em minhas mãos um chocolate suiço delicioso. Alguém disposto a trocar pelo número do cartão de crédito? 😉
Acompanhe a cobertura coletiva do Campus Party e veja outras fotos do Kevin Mitnick.
wpDiscuz