A era da informação. Provável que você já tenha visto esse termo ser usado para se referir a lógica de produção de novas tecnologias, aos novos modos de interação pessoal e profissional na sociedade em rede, finanças e diversos elementos que usamos de forma muito comum na sociedade hodierna. A informação deve ser o insumo mais produzido, consumido e cobiçado nos nossos tempos. Claro que qualquer insumo que possua tamanho valor agregado precisa ser protegido de maneira devida para evitar o seu sequestro.
Quando pensamos no modo como tratamos nossas informações pessoais, podemos encontrar padrões de comportamento a ser melhorados. Hoje, quem se dedica a estudar técnicas para invasão de sistemas visando a obtenção de dados pessoais precisa também ter um bom nível de conhecimento acerca dos ciclos comportamentais humanos.
Analisando essa questão, podemos afirmar que nem sempre é necessário muito conhecimento técnico ou mais especializado no que tange às tecnologias de informação e comunicação para se apropriar de dados pessoais. Pessoas disponibilizam suas informações como fotos, vídeos e dados pessoais em redes sociais, blogs e sites sem muita preocupação com quem pode ter acesso a tais dados, tornando-se então vulneráveis aos engenheiros sociais.
Podemos entender a engenharia social como o ‘estudo de técnicas e práticas usadas para obter informações importantes e sigilosas de pessoas ou organizações.’ As técnicas mencionadas se valem da ingenuidade de quem disponibiliza os dados ou tentam estabelecer alguma relação de confiança com a vítima.
Vamos fazer um teste bem simples? Imagine que você encontrou um pendrive na porta de sua casa. Qual a primeira coisa que você faz?
1 - Pensa “Puxa, o que será que tem aqui? vou abrir no meu computador”
2 - “se este pendrive estiver funcionando, vou usar pra guardar meus arquivos mas antes de usar vou passar meu antivírus nele”
3 - liga o computador, executa a sandbox do antivírus e só depois disso insere o pendrive e inicia a verificação de possíveis ameaças.
Boa parte das pessoas pensaria e agiria de acordo como a situação 1. Na verdade, é muito natural que a postura adotada por nós tenha um tom mais voltado para a curiosidade, é natural para o ser humano agir assim. Se valendo desse conhecimento da nossa tendência a sermos curiosos ou a empolgados com a perspectiva de termos adquirido algo de graça, os engenheiros sociais montam as suas estratégias para se apropriar de dados pessoais. Por exemplo, ainda pensando no pendrive perdido, basta um clique em um arquivo infectado para que um software keylogger se instale no computador da vítima, fornecendo a partir do uso habitual a informações como senhas de banco, logins e senhas de sites usados habitualmente, contas de e-mail, endereços, entre outros.
Outra técnica perfeitamente aplicável ao nosso exemplo do pendrive, conhecida como ‘man in the middle’ consiste na invasão do arquivo hosts do computador da vítima ao clicar em um arquivo infectado, possibilitando que sites e serviços com URL’s legítimas sejam desviados para servidores de uso do fraudador por alterar o endereço ip associado a URL.
Usando outro exemplo, pense em quantas vezes você, ao fazer o download de um arquivo na internet, permitiu o acesso aos seus contatos ou permitiu a visualização de seu nome ou telefone celular.
Você já pensou no que um engenheiro social pode fazer apenas tendo acesso ao seu nome, endereço e número do seu telefone?
Em maio de 2019 a mídia veiculou que o aparelho celular do então ministro Sérgio Moro foi invadido. seus dados ficaram em posse do fraudador por cerca de seis horas. Aplicativos como o telegram foram utilizados, a justiça prendeu quatro suspeitos algum tempo depois.
Segundo especialistas em segurança da informação, uma técnica chamado ‘sim swap’ foi usada na referida invasão. Tendo em posse o nome e o telefone da vítima, o fraudador entra em contato com a operadora telefônica usando o nome da vítima, informa que o celular foi perdido ou roubado e pede a transferência do chip para um chip em branco. Após isso, com o uso de um computador tendo o Linux como sistema operacional e uma SDK conhecida publicamente, é possível interceptar os pacotes de comunicação que operam sobre o protocolo SS7.
Antes de falar sobre o SS7, se faz necessário explicar como funciona um protocolo de comunicação. Para que qualquer comunicação seja estabelecida de forma satisfatória é preciso que algum protocolo seja seguido por todos os envolvidos.
Pense em uma sala de aula. Para que uma aula aconteça sem problemas, é necessário que todos fiquem em silêncio. Nossa voz opera em broadcast, então basta que duas pessoas conversem em paralelo para atrapalhar o entendimento da maioria. Um protocolo tem padrões de funcionamento.
Nessa situação problema o professor interrompe sua aula e pede que os alunos que estão conversando fiquem em silêncio, depois disso ele volta a falar sobre o assunto da aula. Um protocolo tem interrupções.
Todos os protocolos que fazem parte da camada OSI (rede de dados, TCP, IP, UDP, SNMP, FTP, HTTP, HTTPS, apenas para citar alguns) seguem essa mesma lógica se retirarmos todos os elementos específicos que cada um possui.
Dito isso podemos falar que o Protocolo SS7 consiste em um padrão para comunicação em redes telefônicas criado em 1975 e usado até hoje para o estabelecimento de uma chamada telefônica e envio de mensagens de texto (SMS), permitindo que um aparelho celular estabeleça o seu ‘handshake’ (aperto de mãos, termo usado para se referir ao aceite da comunicação entre transmissor e receptor)com a operadora telefônica. O referido protocolo possui vulnerabilidades por não ser criptografado.
Após instalar o número da vítima em um chip em branco, o fraudador pode gerar pacotes SS7 que são enviados da rede de dados até a RTPC (rede pública de telefonia), passa pelas estações rádio-base e chegam nos servidores da operadora telefônica. Após essa etapa inicial de sincronização, o handshake é concluído. A partir daí qualquer comunicação feita pelo aparelho celular do fraudador é reconhecido como pertencente a vítima.
O fraudador possui o telegram ou whatsapp instalado. Pense agora em como a autenticação desses softwares de comunicação é feita quando você os instala em seu celular. Os servidores desses apps solicitam o envio de sms para o aparelho com um código de seis dígitos. Ao pedir o envio do código, a rede telefônica transmite a mensagem com o código para o fraudador graças a essa vulnerabilidade que existe no protocolo SS7 e os servidores do telegram, whatsapp e outros enviam o backup dos contatos e mensagens da vítima para um aparelho que não é legítimo.
Toda essa dinâmica nos mostra o quanto é importante não deixarmos os nosso dados pessoais expostos. É comum cadastrarmos nossos dados pessoais em formulários online, mas que tipo de filtro nós usamos ao fazer isso? Bases com dados pessoais são invadidas com certa frequência. Google, C&A, Banco Inter e Sky são apenas alguns nomes de grandes empresas que já admitiram publicamente vazamentos nos últimos anos.
Existe muito material de qualidade disponível na rede tratando sobre o tema engenharia social e segurança de rede. Vale a pena dedicar um tempo para aprender em que termos problemas dessa natureza acontecem e como podemos adotar medidas protetivas em relação a isso. Tornar a internet mais segura é um exercício complicado, mas possível para nós, usuários comuns.
Nenhum comentário:
Postar um comentário