UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO LATO SENSU INSTITUTO A VEZ DO MESTRE

Transcrição

1 UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO LATO SENSU INSTITUTO A VEZ DO MESTRE ENGENHARIA SOCIAL Por: Felipe Antunes Mota Orientador: Prof. Mario Luiz Rio de Janeiro 2009

2 2 UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO LATO SENSU INSTITUTO A VEZ DO MESTRE ENGENHARIA SOCIAL Apresentação de monografia ao Instituto A Vez do Mestre Universidade Candido Mendes como requisito parcial para obtenção do grau de pós graduado. Por: Felipe Antunes Mota.

3 3 AGRADECIMENTOS Agradeço a toda a minha família pois, sem seu incentivo não teria conseguido e ao Professor orientador pela ajuda na elaboração desta pesquisa..

4 4 DEDICATÓRIA Dedico aos meus pais, sempre presente na minha vida, e a minha esposa, fiel companheira das horas mais difíceis..

5 5 ÍNDICE RESUMO 7 METODOLOGIA 8 INTRODUÇÃO 9 CAPÍTULO I A ÉTICA X A ENGENHARIA SOCIAL X A IMPROBIDADE: APONTAMENTOS PREFACIAIS 11 Conceito de Ética e de Honestidade A Ética dos Valores Sentido Gramatical de Improbidade Conceito de engenharia social 13 CAPÍTULO II A ENGENHARIA SOCIAL E SEUS TIPOS 15 Apontamentos Prefaciais Tipos Engenharia Social via Vírus Vírus de telefone celular Salas de bate-papo (chat) Ataques diretos Ataques indiretos Métodos utilizados pelo atacante Vulnerabilidade Adware e Spyware Worm Figuras da Engenharia Social 30 CAPÍTULO III SUGESTÕES PARA SE PROTEGER DA ENGENHARIA SOCIAL 32

6 6 O Engenheiro Social e suas Características Cuidados com certas informações solicitadas Treinamento 34 CONCLUSÃO 36 BIBLIOGRAFIA 38

7 7 RESUMO Engenharia social são as práticas utilizadas para se obter informações sigilosas ou importantes de empresas e sistemas, enganando e explorando a confiança das pessoas. O termo engenharia social ficou mais conhecido em 1990, através do famoso hacker Kevin Mitnick. Na maioria das vezes, os golpistas se passam por funcionários da empresa alvo, ou mesmo autoridades interessadas em prestar ou comprar serviços. As pessoas que não estão preparadas para enfrentar ataques deste tipo são facilmente manipuladas e fornecem as informações pedidas. A melhor maneira se proteger é sabendo como os engenheiros sociais agem e ficar sempre atento ao fornecer informações. A presente pesquisa objetiva investigar essas medidas protetivas. Palavras chave: ENGENHARIA SOCIAL, SISTEMA DE SEGURANÇA..

8 8 METODOLOGIA A estratégia metodológica na confecção da presente pesquisa estará estruturada sob cinco dimensões de preparação, cujo estudo e desenvolvimento a seguir descreve-se: dimensão epistemológica para delinear o contexto, o objetivo e o lugar de onde se fala; dimensão teórica para delimitar as fontes de pesquisa; dimensão técnica para nortear os processos metodológicos de coleta de dados; dimensão morfológica para definir a forma de exposição dos dados; dimensão analítica conclusiva para indicar o modo de análise pretendido, bem como as conclusões esperadas. Na dimensão epistemológica, se buscará embasar a pesquisa sob a ótica de um contexto conceitual voltado para as relações éticas, questionando-se sobre a imoralidade do ato e de quais meios coercitivos dispõe-se para combatê-lo. Na dimensão teórica, se buscará elementos na literatura pertinente em obras indicadas e estudadas no curso, bem como em artigos e textos que versaram sobre o tema. A dimensão técnica traz em seu bojo a estrutura metodológica do estudo, descrevendo todas as suas fases por intermédio de um cronograma e uma idéia de custo total da futura pesquisa. A pesquisa fará uma abordagem quantitativa o que servira de orientação para os procedimentos técnicos da mesma. A dimensão morfológica buscará apontar citações diversas no de apresentar uma melhor interpretação das informações coletadas. Na dimensão analítico-conclusiva a pretensão é demonstrar as possíveis conclusões a que se chegou...

9 9 INTRODUÇÃO A engenharia social é um meio pelo qual criminosos obtêm acesso ao computador alheio. Normalmente, sua finalidade é instalar secretamente spyware ou outro software cm intento de persuadir na divulgação de senhas ou de outras informações financeiras ou ainda pessoais e confidenciais. É um procedimento reativamente novo mas que tem causado sérios problemas aos mais diversos usuários da rede. O objeto a ser estudado é a engenharia social cujo alcance se limita a rede internacional de computadores. As questões a serem estudadas na pesquisa são as seguintes: a engenharia social pode ser apontada como um ato de improbidade? Que meios dispomos no combate a esse procedimento? Qual a finalidade da engenharia social? Como justificar a engenharia social se se invocar os preceitos éticos? Conforme já esboçado nas linhas anteriores a engenharia social consiste em técnicas utilizadas por pessoas com o objetivo de obter acesso e informações importantes e/ou sigilosas em organizações ou sistemas por meio da ilusão ou exploração da confiança das pessoas. Para isso o Engenheiro Social (atacante) pode se passar por outra pessoa, assumir outra personalidade, fingir que é profissional de determinada área, dentre outros. Esta é uma forma de entrar em organizações muito facilmente, pois não necessita da força bruta ou de erros em máquinas, haja vista que a engenharia social explora sofisticadamente as falhas de segurança humanas, que por falta de treinamento para esses ataques, podem ser facilmente manipuladas. Assim esta é sua finalidade cujo melhor maneira de combatê-la é por intermédio do treinamento. Vale por fim, ressaltar que a engenharia social é sim um ato de improbidade que viola todos os preceitos versados pela boa conduta ética. Justifica-se a escolha pela temática em decorrência de sua relevância notória haja vista ser o mesmo de indiscutível interesse coletivo.

10 10 O objetivo geral da pesquisa será estudar a engenharia social em sua gênese, ou seja, pretende-se investigar a mesma de forma genérica, discutindo sua finalidade, métodos e pretensões. E o objetivo específico da pesquisa será estudar a engenharia social e o conseqüente ato de improbidade em face das orientações previstas pela boa conduta ética. Igualmente pretende-se analisar esse paradoxo diante não só desses citados conceitos éticos e morais mas também sob a égide do sistema jurídico brasileiro..

11 11 CAPÍTULO I A ÉTICA X A ENGENHARIA SOCIAL X A IMPROBIDADE: APONTAMENTOS PREFACIAIS CONCEITO DE ÉTICA E DE HONESTIDADE Sabe-se que a crise da Humanidade é uma crise moral. Descaminhos da criatura humana, refletidos na violência, na indiferença pela sorte do semelhante, assentam-se na perda valores morais. De nada vale reconhecer a dignidade da pessoa, conduta pessoal se não se pautar por ela. Esse o papel da ética, que é a ciência do comportamento moral dos homens sociedade. E uma ciência, pois tem objeto próprio, leis próprias e método próprio. O objeto da Ética é a moral. A moral é um aspecto do comportamento humano. A expressão deriva da paiavra romana mores, com o sentido de costumes, conjunto de normas adquiridas pelo hábito reiterado de sua prática. Com exatidão maior, o objeto da ética é a moralidade, ou seja, conjunto de regras de comportamento e formas e vida através das quais tende o homem a realizar o valor do bem. Como ciência, a ética procura extrair dos fatos morais princípios gerais a eles aplicáveis. Enquanto conhecimento científico, a ética deve aspirar à racionalidade e objetividade mais completas e, ao mesmo tempo, deve proporcionar conhecimentos sistemáticos, metódicos e, no limite do possível, comprováveis. A ética é uma disciplina normativa, não por criar normas, mas por descobri-las e elucidá-las. Mostrando às pessoas os valores e princípios que devem nortear sua existência, a Ética aprimora e desenvolve seu sentido moral e influencia a conduta. Os preceitos éticos são imperativos. Para serem racionalmente aceitos pelos destinatários, precisam estes acreditar derivem de justificativa consistente.

12 12 O fato é que em toda e qualquer situação da vida cotidiana a ética tem que imperar em nossas ações, inclusive no âmbito do trabalho e empresarial A Ética dos Valores O valor de uma ação depende da relação da conduta com o princípio do dever, isto é, o valor moral não se baseia na idéia do dever, mas dá-se o Inverso: todo dever encontra fundamento em um valor. Só deve ser aquilo que é valioso e tudo o que é valioso deve ser. A noção de valor passa a ser o conceito ético essencial. É nossa consciência que nos adverte da existência de valores. Assim, o valor a ética e a honestidade deve imperar nas relações sociais sendo esses valores excelentes inerentes a própria vida Sentido Gramatical de Improbidade Na gramática, probidade (do latim probitate), é qualidade de probo; integridade de caráter; honradez; pundonor (Novo Dicionário de Aurélio, pág ); logo, improbidade é falta de probidade ; mau caráter; desonestidade; maldade, perversidade. Amaro Barreto (1994, p. 179) ensina que a improbidade é prática que traduz delito, ou desonestidade, abuso, fraude, má-fé, má índole, má conduta no serviço ou fora dele, ferindo as leis. O empresário ou funcionário ímprobo é aquele desonesto e de mau caráter, aquele que em nome da competitividade, usa de qualquer tipo de artimanha. Assim o ato de improbidade é aquele conexo a uma má ação, a uma ação desonesta, praticada com maldade, malícia, perversidade, abuso, fraude e má-fé. O ato de improbidade, ofende a moral e caracteriza-se por atos objetivos e concretos cuja tendência do espírito do ímprobo pratica atos dolosos, desonestos, com ilicitude de comportamento, vindo a prejudicar terceiros.

13 Conceito de engenharia social De acordo com Brito (1999, p. 15) engenharia social é a arte de se conseguir informações seja lá qual for a maneira. Engenharia social conta com qualquer tipo de coisa, sejam telefonemas, s, comparecimentos, qualquer coisa. Isso tudo é também usado por hackers, crackers etc. Lima (2004, p. 29) ensina que a engenharia social são as práticas utilizadas para obter acesso a informações importantes ou sigilosas em organizações ou sistemas por meio da enganação ou exploração da confiança das pessoas. Para isso, o engenheiro social pode se passar por outra pessoa, assumir outra personalidade, fingir que é um profissional de determinada área, etc. É uma forma de entrar em organizações que não necessita da força bruta ou de erros em máquinas. Explora as falhas de segurança das próprias pessoas que, quando não treinados para esses ataques, podem ser facilmente manipuladas. Por isso adverte Soares (2001, p. 40) que a engenharia social compreende a inaptidão dos indivíduos manterem-se atualizados com diversas questões pertinentes a tecnologia da informação, além de não estarem conscientes do valor da informação que eles possuem e, portanto, não terem preocupação em proteger essa informação conscientemente. É importante salientar que, a engenharia social é aplicada em diversos setores da segurança da informação independente de sistemas computacionais, software e ou plataforma utilizada, o elemento mais vulnerável de qualquer sistema de segurança da informação é o ser humano, o qual possui traços comportamentais e psicológicos que o torna suscetível a ataques de engenharia social. Dentre essas características, destaca o autor: Vaidade pessoal e/ou profissional: O ser humano costuma ser mais receptivo a avaliação positiva e favorável aos seus objetivos, aceitando basicamente argumentos favoráveis a sua avaliação pessoal ou profissional ligada diretamente ao benefício próprio ou coletivo de forma demonstrativa. Autoconfiança: O ser humano busca transmitir em diálogos individuais ou coletivos o ato de fazer algo bem, coletivamente ou individualmente, buscando transmitir segurança, conhecimento, saber e eficiência, buscando criar uma estrutura

14 14 base para o início de uma comunicação ou ação favorável a uma organização ou individuo. Formação profissional: O ser humano busca valorizar sua formação e suas habilidades adquiridas nesta faculdade, buscando o controle em uma comunicação, execução ou apresentação seja ela profissional ou pessoal buscando o reconhecimento pessoal inconscientemente em primeiro plano. Vontade de ser útil: O ser humano, comumente, procura agir com cortesia, bem como ajudar outros quando necessário. Busca por novas amizades: O ser humano costuma se agradar e sentir-se bem quando elogiado, ficando mais vulnerável e aberto a dar informações. Propagação de responsabilidade: Trata-se da situação na qual o ser humano considera que ele não é o único responsável por um conjunto de atividades. Persuasão: Compreende quase uma arte a capacidade de persuadir pessoas, onde se busca obter respostas específicas. Isto é possível porque as pessoas possuem características comportamentais que as tornam vulneráveis a manipulação. Assim pode-se dizer que a engenharia social não é exclusivamente utilizada em informática, a engenharia social é uma ferramenta onde exploram-se falhas humanas em organizações físicas ou jurídicas onde operadores do sistema de segurança da informação possuem poder de decisão parcial ou total ao sistema de segurança da informação seja ele físico ou virtual, porém devemos considerar que as informações pessoais, não documentadas, conhecimentos, saber, não são informações físicas ou virtuais, elas fazem parte de um sistema em que possuem características comportamentais e psicológicas na qual a engenharia social passa a ser auxiliada por outras técnicas como: leitura fria, linguagem corporal, leitura quente, termos usados no auxílio da engenharia social para obter informações que não são físicas ou virtuais mas sim comportamentais e psicológicas. (Mendes, 2006, p. 50). Por fim, informa-se que a engenharia social é praticada em diversas profissões beneficamente ou não, visando proteger um sistema da segurança da informação ou atacar um sistema da segurança da informação.

15 15 CAPÍTULO II A ENGENHARIA SOCIAL E SEUS TIPOS APONTAMENTOS PREFACIAIS Medeiros (2009) ensina que em Segurança da informação, como se viu, se chama Engenharia Social as práticas utilizadas para obter acesso a informações importantes ou sigilosas em organizações ou sistemas por meio da enganação ou exploração da confiança das pessoas. Para isso, o golpista pode se passar por outra pessoa, assumir outra personalidade, fingir que é um profissional de determinada área, etc. É uma forma de entrar em organizações que não necessita da força bruta ou de erros em máquinas. Explora as falhas de segurança das próprias pessoas que, quando não treinados para esses ataques, podem ser facilmente manipuladas. Em outros termos, leciona Silva (2009) que engenharia social compreende a inaptidão dos indivíduos de manterem-se atualizados com diversas questões pertinentes a tecnologia da informação, além de não estarem conscientes do valor da informação que eles possuem e, portanto, não terem preocupação em proteger essa informação conscientemente. É importante salientar que, de acordo com a lição de Kersten (2009) a engenharia social é aplicada em diversos setores da segurança da informação independente de sistemas computacionais, software e ou plataforma utilizada, o elemento mais vulnerável de qualquer sistema de segurança da informação é o ser humano, o qual possui traços comportamentais e psicológicos que o torna suscetível a ataques de engenharia social. Dentre essas características, pode-se destacar: Autoconfiança: O ser humano busca transmitir em diálogos individuais ou coletivos o ato de fazer algo bem, coletivamente ou individualmente, buscando transmitir segurança, conhecimento, saber e eficiência, buscando criar uma estrutura base para o início de uma comunicação ou ação favorável a uma organização ou individuo.

16 16 Vaidade pessoal e/ou profissional: O ser humano costuma ser mais receptivo a avaliação positiva e favorável aos seus objetivos, aceitando basicamente argumentos favoráveis a sua avaliação pessoal ou profissional ligada diretamente ao benefício próprio ou coletivo de forma demonstrativa. Formação profissional: O ser humano busca valorizar sua formação e suas habilidades adquiridas nesta faculdade, buscando o controle em uma comunicação, execução ou apresentação seja ela profissional ou pessoal buscando o reconhecimento pessoal inconscientemente em primeiro plano. Vontade de ser útil: O ser humano, comumente, procura agir com cortesia, bem como ajudar outros quando necessário. Busca por novas amizades: O ser humano costuma se agradar e sentir-se bem quando elogiado, ficando mais vulnerável e aberto a dar informações. Propagação de responsabilidade: Trata-se da situação na qual o ser humano considera que ele não é o único responsável por um conjunto de atividades. Persuasão: Compreende quase uma arte a capacidade de persuadir pessoas, onde se busca obter respostas específicas. Isto é possível porque as pessoas possuem características comportamentais que as tornam vulneráveis a manipulação. (Kersten, 2009). Por fim, aduz Souza (2009) que a engenharia social não é exclusivamente utilizada em informática, a engenharia social é uma ferramenta onde exploram-se falhas humanas em organizações físicas ou jurídicas onde operadores do sistema de segurança da informação possuem poder de decisão parcial ou total ao sistema de segurança da informação seja ele físico ou virtual, porém devemos considerar que as informações pessoais, não documentadas, conhecimentos, saber, não são informações físicas ou virtuais, elas fazem parte de um sistema em que possuem características comportamentais e psicológicas na qual a engenharia social passa a ser auxiliada por outras técnicas como leitura fria, linguagem corporal, leitura quente, termos usados no auxílio da engenharia social para obter informações que não são físicas ou virtuais mas sim comportamentais e psicológicas. A engenharia social é praticada em diversas profissões beneficamente ou não, visando proteger um sistema da segurança da informação ou atacar um sistema da segurança da informação.

17 Tipos Engenharia Social via Norões (2009) leciona que os criadores de vírus geralmente usam para propagar suas criações. Na maioria dos casos, é necessário que o usuário ao receber o execute o arquivo em anexo para que seu computador seja contaminado. O criador do vírus pensa então em uma maneira de fazer com que o usuário clique no anexo. Um dos métodos mais usados é colocar um texto que desperte a curiosidade do usuário. O texto pode tratar de sexo, de amor, de notícias atuais ou até mesmo de um assunto particular do internauta. Adiante diz o autor que um dos exemplos mais clássicos é o vírus I Love You, que chegava ao das pessoas usando este mesmo nome. Ao receber a mensagem, muitos pensavam que tinham um admirador secreto e na expectativa de descobrir quem era, clicavam no anexo e contaminam o computador. Repare que neste caso, o autor explorou um assunto que mexe com qualquer pessoa. Alguns vírus possuem a característica de se espalhar muito facilmente e por isso recebem o nome de worms (vermes). Aqui, a engenharia social também pode ser aplicada. Imagine, por exemplo, que um worm se espalha por usando como tema cartões virtuais de amizade. O internauta que acreditar na mensagem vai contaminar seu computador e o worm, para se propagar, envia cópias da mesma mensagem para a lista de contatos da vítima e coloca o endereço de dela como remetente. Quando alguém da lista receber a mensagem, vai pensar que foi um conhecido que enviou aquele e- mail e como o assunto é amizade, pode acreditar que está mesmo recebendo um cartão virtual de seu amigo. A tática de engenharia social para este caso, explora um assunto cabível a qualquer pessoa: a amizade. (Norões, 2009) Norões (2009) ainda leciona que os s falsos (spam) é um dos tipos de ataque de engenharia social mais comum e é usado principalmente para obter informações financeiras da pessoa, como número de conta-corrente e senha. Neste caso, o aspecto explorado é a confiança. Boa parte dos criadores desses s

18 18 são criminosos que desejam roubar o dinheiro presente em contas bancárias. Porém, os sistemas dos bancos são muito bem protegidos e quase que invioláveis! Como é inviável tentar burlar a seguranças dos sistemas bancários, é mais fácil ao criminoso tentar enganar as pessoas para que elas forneçam suas informações bancárias. A tática usada é a seguinte: o criminoso adquire uma lista de s usados para SPAM que contém milhões de endereços, depois vai a um site de um banco muito conhecido, copia o layout da página e o salva em um site provisório, que tem a url semelhante ao site do banco. Por exemplo, imagine que o nome do banco seja 'Banco Dinheiro' e o site seja O criminoso cria um site semelhante: ' ou ' ou ' enfim. Neste site, ele faz uma cópia idêntica a do banco e disponibiliza campos específicos para o usuário digitar seus dados confidenciais. O passo seguinte é enviar um à lista adquirida usando um layout semelhante ao do site. Esse é acompanhado por um link que leva ao site falso. Para fazer com que o internauta clique no link, o texto da mensagem pode, por exemplo, sugerir uma premiação: "Você acaba de ser premiado com 10 mil reais. Clique no link para atualizar seu cadastro e receber o prêmio". Como a instituição bancária escolhida geralmente é muito conhecida, as chances de que o internauta que recebeu o seja cliente do banco são grandes. (Norões, 2009) E por fim, acrescenta que assim, ele pode pensar que de fato foi o banco que enviou aquela mensagem, afinal, o e o site do link tem o layout da instituição. Como conseqüência, a vítima ingenuamente digita seus dados e dias depois percebe que todo o dinheiro da sua conta sumiu! Repare que em casos assim, o golpista usa a imagem de confiabilidade que o banco tem para enganar as pessoas. Mensagens falsas que dizem que o internauta recebeu um cartão virtual ou ganhou um prêmio de uma empresa grande são comuns. Independente do assunto tratado em s desse tipo, todos tentam convencer o internauta a clicar em um link ou no anexo. A forma utilizada para convencer o usuário a fazer isso é uma tática de engenharia social.

19 Vírus De acordo com a lição de Bittencourt, (2006, p. 30) o vírus é um programa ou parte de um programa de computador, normalmente malicioso, que se propaga infectando, isto é, inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos de um computador. O vírus depende da execução do programa ou arquivo hospedeiro para que possa se tornar ativo e dar continuidade ao processo de infecção. Normalmente o vírus tem controle total sobre o computador, podendo fazer de tudo, desde mostrar uma mensagem de "feliz aniversário", até alterar ou destruir programas e arquivos do disco. Para que um computador seja infectado por um vírus, ensina Bittencourt (2006, p. 31) que é preciso que um programa previamente infectado seja executado. Isto pode ocorrer de diversas maneiras, tais como: abrir arquivos anexados aos s; abrir arquivos do Word, Excel, etc; abrir arquivos armazenados em outros computadores, através do compartilhamento de recursos; instalar programas de procedência duvidosa ou desconhecida, obtidos pela Internet, de disquetes, pen drives, CDs, DVDs, etc; ter alguma mídia removível (infectada) conectada ou inserida no computador, quando ele é ligado. Novas formas de infecção por vírus podem surgir. Portanto, é importante manter-se informado através de jornais, revistas e dos sites dos fabricantes de antivírus. Vale citar que existem vírus que procuram permanecer ocultos, infectando arquivos do disco e executando uma série de atividades sem o conhecimento do usuário. Ainda existem outros tipos que permanecem inativos durante certos períodos, entrando em atividade em datas específicas. Um vírus propagado por e- mail normalmente é recebido como um arquivo anexado à uma mensagem de correio eletrônico, conforme esboçado anteriormente. O conteúdo dessa mensagem procura induzir o usuário a clicar sobre o arquivo anexado, fazendo com que o vírus

20 20 seja executado. Quando este tipo de vírus entra em ação, ele infecta arquivos e programas e envia cópias de si mesmo para os contatos encontrados nas listas de endereços de armazenadas no computador do usuário. É importante ressaltar que este tipo específico de vírus não é capaz de se propagar automaticamente. O usuário precisa executar o arquivo anexado que contém o vírus, ou o programa leitor de s precisa estar configurado para auto-executar arquivos anexados. (Bittencourt, 2006, p. 31). O vírus de macro é um conjunto de comandos que são armazenados em alguns aplicativos e utilizados para automatizar algumas tarefas repetitivas. Um exemplo seria, em um editor de textos, definir um macro que contenha a seqüência de passos necessários para imprimir um documento com a orientação de retrato e utilizando a escala de cores em tons de cinza. Um vírus de macro é escrito de forma a explorar esta facilidade de automatização e é parte de um arquivo que normalmente é manipulado por algum aplicativo que utiliza macros. Para que o vírus possa ser executado, o arquivo que o contém precisa ser aberto e, a partir daí, o vírus pode executar uma série de comandos automaticamente e infectar outros arquivos no computador. Existem alguns aplicativos que possuem arquivos base (modelos) que são abertos sempre que o aplicativo é executado. Caso este arquivo base seja infectado pelo vírus de macro, toda vez que o aplicativo for executado, o vírus também será. Arquivos nos formatos gerados por programas da Microsoft, como o Word, Excel, Powerpoint e Access, são os mais suscetíveis a este tipo de vírus. Arquivos nos formatos RTF, PDF e PostScript são menos suscetíveis, mas isso não significa que não possam conter vírus. A melhor maneira de descobrir se um computador está infectado é através dos programas antivírus. É importante ressaltar que o antivírus e suas assinaturas devem estar sempre atualizados, caso contrário poderá não detectar os vírus mais recentes, conforme é do conhecimento de todos. (Bittencourt, 2006, p. 32) Adiante ensina o mesmo que autor quanto as medidas de prevenção, poder-seá citar as seguintes: - instalar e manter atualizados um bom programa antivírus e suas assinaturas;

21 21 - desabilitar no seu programa leitor de s a auto-execução de arquivos anexados às mensagens; - não executar ou abrir arquivos recebidos por ou por outras fontes, mesmo que venham de pessoas conhecidas. Caso seja necessário abrir o arquivo, certifique-se que ele foi verificado pelo programa antivírus; - procurar utilizar na elaboração de documentos formatos menos suscetíveis à propagação de vírus, tais como RTF, PDF ou PostScript; - procurar não utilizar, no caso de arquivos comprimidos, o formato executável. Utilize o próprio formato compactado, como, por exemplo, Zip ou Gzip Vírus de telefone celular Um vírus de celular se propaga de telefone para telefone através da tecnologia bluetooth ou da tecnologia MMS (Multimedia Message Service). A infecção, de acordo com a doutrina de Bittencourt (2006, p. 33) se dá da seguinte forma: 1. O usuário recebe uma mensagem que diz que seu telefone está prestes a receber um arquivo. 2. O usuário permite que o arquivo infectado seja recebido, instalado e executado em seu aparelho. 3. O vírus, então, continua o processo de propagação para outros telefones, através de uma das tecnologias mencionadas anteriormente. Explica o autor que os vírus de celular diferem-se dos vírus tradicionais, pois normalmente não inserem cópias de si mesmos em outros arquivos armazenados no telefone celular, mas podem ser especificamente projetados para sobrescrever arquivos de aplicativos ou do sistema operacional instalado no aparelho. (Bittencourt, 2006, p. 33)

22 22 Depois de infectar um telefone celular, o vírus pode realizar diversas atividades, tais como: destruir/sobrescrever arquivos, remover contatos da agenda, efetuar ligações telefônicas, drenar a carga da bateria, além de tentar se propagar para outros telefones. Para o autor, (2006, p. 34) algumas das medidas de prevenção contra a infecção por vírus em telefones celulares são: Manter o bluetooth do seu aparelho desabilitado e somente habilite-o quando for necessário. Caso isto não seja possível, consulte o manual do seu aparelho e configure-o para que não seja identificado (ou "descoberto") por outros aparelhos (em muitos aparelhos esta opção aparece como "Oculto" ou "Invisível"); não permitir o recebimento de arquivos enviados por terceiros, mesmo que venham de pessoas conhecidas, salvo quando você estiver esperando o recebimento de um arquivo específico; ficar atento às notícias veiculadas no site do fabricante do seu aparelho, principalmente àquelas sobre segurança; aplicar todas as correções de segurança (patches) que forem disponibilizadas pelo fabricante do seu aparelho, para evitar que possua vulnerabilidades; para aparelhos usados, deve-se restaurar as opções de fábrica e configurá-lo como descrito no primeiro item, antes de inserir quaisquer dados. Por fim, informa-se que os fabricantes de antivírus têm disponibilizado versões para diversos modelos de telefones celulares. 2.2 Salas de bate-papo (chat) Na lição de Norões, (2009) aprende-se que as salas de bate papo é um dos meios mais perigosos de enganação e costumam vitimar principalmente crianças e adolescentes. O perigo ocorre porque a conseqüência do golpe pode trazer danos físicos e morais à pessoa. Nas salas de bate-papo, os golpistas vão ganhando a

23 23 confiança da futura vítima através da conversa. Por este meio, ele aos poucos vai convencendo a pessoa a fornecer seus dados, como telefone, endereço residencial, endereço escolar, etc. Um criminoso pode, por exemplo, entrar em uma sala de bate-papo para jovens e dizer coisas que convencem uma adolescente de 13 anos de que ele pode ser seu namorado perfeito. Ela então fornece seus dados ou marca um encontro na expectativa de ver seu "príncipe encantado". Prado, (2009) ensina que outro exemplo possível ocorre quando um garoto que, não vendo a hora de ter sua primeira relação sexual, acredita na conversa de uma suposta garota bonita que está louco para conhecê-lo. Em ambos os casos, as conseqüências podem ser terríveis. Golpes assim também podem ser aplicados em adultos. Por exemplo, com uma mulher divorciada e que usa um chat esperando encontrar um novo parceiro. Segundo o autor, existem outros tipos de ataque de engenharia social além dos citados acima. A questão é séria e mesmo uma pessoa dotada de muita inteligência pode ser vítima. Só para dar uma noção da dimensão do problema, muitos hackers atingem seus objetivos através de técnicas de engenharia social. E tudo porque o humano é um ser que, ao contrário dos computadores, é constantemente afetado por aspectos emocionais. Adverte que a melhor arma contra a engenharia social é a informação. De nada adiante as empresas usarem sistemas ultra-protegidos se seus funcionários não tiverem ciência dos golpes que podem sofrer (repare que neste caso, os golpes de engenharia social podem ocorrer não só pela Internet, mas principalmente no próprio ambiente de trabalho). No caso dos usuários domésticos, os pais devem informar a seus filhos sobre os perigos existentes e de igual forma, devem tomar cuidado quando estiverem navegando na Internet. (Prado, 2009) E continua dizendo que o grande problema é que muitos internautas, independente da idade, estão "dando seus primeiros passos na Internet" e não têm noção dos perigos existentes nela. Muitos ficam maravilhados com a "grande rede" e tendem a acreditar em tudo que lêem nesse meio. Felizmente, muitos provedores de acesso à Internet e a mídia como um todo tem dado atenção aos golpes existentes na Internet e ajudado na divulgação das formas de prevenção. Mas ainda há muito a ser feito e se governos e entidades especializadas não levarem o assunto a sério, a Internet será tão perigosa quanto andar sozinho num lugar escuro e desconhecido. (