O termo é intrigante e até pomposo não é mesmo? Engana-se quem pensa que tem a ver com ciências exatas ou sociologia, Engenharia Social é o método de se obter dados importantes de pessoas incautas através da velha e conhecida lábia... No popular é um tipo de vigarice mesmo pois é assim que muitos habitantes do underground da Internet operam para conseguir senhas de acesso, números de telefones, nomes e outros dados que deveriam ser sigilosos; tapeando os outros... 

Como fazem isso? Simplesmente perguntam... É claro que para se obter êxito é preciso um certo talento para enganar os outros. Até fora da Internet é comum o uso desse artifício, por exemplo: alguém liga para sua casa fazendo-se passar por um funcionário de sua agência bancária ou da administradora de seu cartão de crédito, confirma alguns de seus dados pessoais como nome, telefone e endereço e pede sua ajuda pois as senhas estão sendo trocadas por segurança e é preciso que você diga sua senha para que as providências sejam tomadas... Esse seria um dos casos mais básicos de Engenharia Social mas a sofisticação desse tipo de golpe pode ir muito mais longe dependendo do artista que o aplica e também do nível técnico e treinamentos da vítima.

A tecnologia avança a passos largos mas a condição humana continua na mesma em relação a critérios éticos e morais... Enganar os outros deve ter sua origem na pré-história portanto o que mudou foram apenas os meios para isso.

Em redes corporativas que são alvos mais apetitosos para invasores e abelhudos o perigo é ainda maior e pode estar até sentado ao seu lado. Um colega poderia muito bem tentar obter a sua senha de acesso mesmo tendo uma própria pois sabe-se que muitos dos ataques sofridos em redes partem de funcionários ou ex-funcionários insatisfeitos... Uma sabotagem feita sob a sua senha parece bem mais interessante do que com a senha do autor não é mesmo?

Revirar lixo também é uma prática comum nesse campo pois muitos documentos importantes com dados sigilosos podem ser obtidos dessa maneira. Uma relação de nomes com telefones, endereços e outros que tais; uma lista de passwords e até mesmo um simples organograma pode servir para alguém passar-se por outro que seja seu superior na escala hierárquica.

Convém atentar para o fato de que além da abordagem simpática e confiável ou mesmo autoritária e imperativa o engenheiro poderá estar munido de outros recursos conseguidos em abordagens preparatórias: nomes de funcionários reais, códigos ou jargões conhecidos do pessoal da comunidade, alegação de urgência e etc...

Kevin Mitnick que é ou foi um dos hackers mais conhecidos do mundo, esteve preso nos EUA até o começo deste ano é ou era um verdadeiro expoente entre os engenheiros sociais. Diz-se que suas habilidades nesse campo são muito mais avançadas do que em conhecimentos técnicos de informática propriamente dita. Leiam alguns trechos do livro O Jogo do Fugitivo de Jonathan Littman – Ed. Rocco que descrevem como Kevin agiu em alguns casos e o que pensava a respeito:

“Aos 13 anos já revirava lixeiras perto de companhias telefônicas para encontrar manuais técnicos jogados fora.”

“Mitnick telefona para os escritórios dos Oakwood Apartments. Sabe que os Oakwoods fazem parte de uma enorme cadeia nacional. Ele gosta do jogo, da farsa que está prestes a representar. Ele já sabe qual é a estrutura de pessoal da companhia, mas, quando liga, pede desculpas, explicando ser um funcionário novo. É amistoso e confiável , e as pessoas parecem gostar dele naturalmente. A mulher que o atende pega o cadastro do atual ocupante do 107b. Absolutamente nenhum problema.”

“Ele faz seu trabalho de detetive basicamente com telefones. Imita o alvo, envia por fax autorizações com assinaturas autenticas, diz que um incêndio queimou os arquivos. Qualquer tipo de estratagema que seja capaz de imaginar.”

“No Wells Fargo só é preciso o código diário e o número da previdência social para ter acesso às informações privadas do cliente. Mitnick liga para uma filial cujo número encontra num catálogo, finge ser um gerente  e consegue obter o código do dia. A seguir, telefona para a filial onde seu alvo tem conta e convence o caixa a ler tudo o que consta no cartão de assinaturas dele: números da conta e da previdência social, nome de solteira da mãe e endereço comercial. Ele digita o número da conta acrescida dos últimos quatro dígitos do seu número de previdência no telefone. Ouve a voz sintetizada do computador recitar um resumo do extrato bancário.”

“Às vezes faço engenharia social, diz Mitnick . Estou dirigindo e penso: e se ela cair nesse papo? Aí pego o telefone e mando brasa. Quer dizer, não se precisa de grandes estudos ou planejamentos. Alguns dos lugares mais interessantes foram investigados assim. É como se eu telefonasse para essa ou aquela divisão, visse que havia algum idiota lá e metesse um blablablá.”

Pois bem, agora que já sabem o que é a Engenharia Social e que funciona na base da manipulação psicológica, o que fazer para se precaver?

Em empresas é recomendável que exista uma política de segurança centralizada e bem divulgada para que todos saibam a quem recorrer em casos de dúvidas além de orientação e esclarecimentos aos usuários. No caso particular eu sugiro um upgrade no desconfiômetro mas não a ponto de se tornar uma pessoa desconfiada de todos, paranóica... Basta estar sempre alerta para pedidos de dados sigilosos, nunca divulgar senha nenhuma em qualquer circunstância pois a mesma perde o sentido se não se mantiver secreta.