From:
carlosha@swmb.com.br [mailto:carlosha@swmb.com.br]
Sent: quinta-feira, 28 de janeiro de 2010 15:18
To: carloshadd@hotmail.com
Subject: Ex-hacker dos EUA ensina como evitar ser vítima de golpes
cibernéticos

—–
Forwarded by Carlos Henrique Arruda Dias/SWMB on 28/01/2010 15:16 —–

Diertson
Gil/SWMB

28/01/2010
13:52

To

cc

Subject

Enc:
Fwd: Ex-hacker dos EUA ensina como evitar ser vítima de golpes cibernéticos

 

Mensagem original
De:
Cesar_Carneiro@praxair.com
Para:
undisclosed-recipients
Assunto:
Ex-hacker dos EUA ensina como evitar ser vítima de golpes
cibernéticos
Enviada:
27/01/2010 09:51

Ex-hacker
mais procurado dos EUA ensina na Campus Party como evitar ser vítima de golpes
cibernéticos

SÃO PAULO – Recebido como herói e aplaudido quando contava detalhes de alguns
dos golpes que lhe valeram cinco anos de prisão na década de 90, o ex-hacker
Kevin Mitnick deu nesta terça-feira, na Campus Party, uma aula sobre as mais
modernas formas de invasão de sistemas. Mas, como o rapaz está regenerado, a palestra
serve de alerta para os riscos que todos nós corremos hoje em dia na web e as
medidas que mesmo os menos ligados em tecnologia devem tomar para se proteger.

Autor do livro "The Art of Deception" ("A Arte de Enganar",
em português), Mitnick defende a tese de que o fator humano é o principal
culpado pela maioria das falhas de segurança que levam a invasões de sistemas,
roubos de dados e golpes cibernéticos em geral.

Primeira Lei
de Mitnick: não forneça informações
pessoais a estranhos

——————————————————————————–

– Afinal de contas, a Microsoft não tem como lançar uma atualização de sistema
contra a estupidez, certo? – ironiza ele.

Mitnick afirma que os ataques de hackers são arquitetados a partir de uma
mistura de conhecimento técnico de computação e "engenharia social".
O termo, popularizado pelo
próprio Mitnick nos anos 90, descreve a prática de se obter informações
confidenciais por meio da manipulação. O famoso 171. Segundo o ex-hacker, a
engenharia social tem diversas vantagens sobre a invasão "clássica"
de sistemas: é mais barata, não pode ser detectada, não deixa rastros e
funciona em todos os sistemas operacionais.

Segunda Lei
de Mitnick: não clique em links
desconhecidos e desconfie dos emails que recebe de empresas

——————————————————————————–

Para ilustrar a pouca importância que as pessoas dão a informacoes pessoais,
Mitnick conta a história uma experiência feita por uma empresa de segurança em
Londres. Eles ofereceram ingressos para uma peça de teatro, mas para isso
pediam que um cadastro fosse preenchido. Todos os entrevistados forneceram o
nome completo, 94% o nome de seus animais de estimação, 94% o nome de solteira
da mãe, 98% o endereço, 96% nome da primeira escola onde estudaram, 92% a data
de nascimento e 92% o número do telefone. Embora todas essas informações possam
parecer inofensivas, elas são as mais utilizadas por instituições bancárias
para confirmar a identidade de clientes.

No mundo dos internautas comuns, a maior ameaça hoje em dia é o famigerado
"phishing", os falsos emails cujo objetivo é enganar algum
internauta, levando-o a clicar em um link contaminado ou preencher um
formulário com informações pessoais. Ou seja, uma forma sofisticada de
engenharia social.

No Brasil, estamos acostumados a receber mensagens de bancos, empresas de
telefonia, da Receita Federal com avisos de cobrança ou pedidos de mudanca de
senha. Todas falsas. As mensagens mais comuns trazem links de sites infectados
ou pedem que o internauta clique em um arquivo que instalará um programa espião
em seu computador.

Terceira Lei de Mitnick: aprenda a dizer não

——————————————————————————–

Nos EUA, porém, já surgiu um modelo mais convincente, que envolve números de
telefone na fraude. Por lá, sistemas bancários por telefone utilizam o nome do
usuário e a senha para autenticar. Assim sendo, o golpista informa um número
sob seu controle e deixa lá uma mensagem pedindo apenas essas duas informações.
Como se prevenir contra isso? Ora, não ligue para telefones desconhecidos. O
numero do seu banco está no cartão de débito ou crédito ou no site oficial da
empresa – e é esse que você deve usar.

Mas claro que nem tudo é "papo". As ferramentas técnicas alavancam as
possibilidades da engenharia social com aplicativos que muitas vezes podem ser
comprados na internet. Veja o caso do "pocket phising", uma
maquininha que custa US$ 30 e pode ser plugada em qualquer hotspot de
aeroporto. Ela rastreia as conexões feitas a partir daquele hotspot, e a partir
daí, pode invadir computadores na área. Daí a importância de não utillizar conexões wi-fi sem estar devidamente protegido
por um bom firewall
. E, de preferência, não
acessar sites com informações importantes, como bancos, quando estiver nesse
tipo de rede pública
. O ataque ao Gmail na China, por exemplo, pode
ter sido feito a partir de uma dessas maquininhas, aposta o ex-hacker.

Mitnick alertou ainda para uma das maiores vulnerabilidades do Windows: o
"autorun". Essa é a função que faz com que CDs, DVDs e pendrives
abram seus conteúdos automaticamente quando inseridos no computador. Com isso,
um pendrive contaminado pode instalar vírus em sua máquina sem você saber, pois
seu conteúdo rodará automaticamente. Portanto,
desligue o autorun
.

Em empresas, Mitnick dá algumas dicas de como estabelecer uma segurança
efetiva, combatendo não só invasões cibernéticas, mas também golpes de
engenharia social. Segundo ele, primeiro é preciso convencer o alto escalão da
nececessidade de uma mudança de cultura. A partir daí, deve-se mostrar como as
vulnerabilidades estão nas pessoas e fazer com que elas se sintam constrangidas
pela possibilidade de serem enganadas. Devem existir ainda programas de
segurança com participação dos funcionários e regras simples sobre o que são ou
não informações confidenciais.

A regra mais importante, no entanto, é ignorar os preceitos da boa educação e aprender a dizer "não". A lição serve tanto para
evitar aborrecimentos com ligações de telemarketing
aos sábados de
manhã quanto para não fornecer informações que devem ser vistas como
confidenciais. Portanto, não preencha cadastros em sites ou formulários de
papel de origem duvidosa (ou simplesmente desconhecida), não repasse
informações por telefone, a não ser que você confie no interlocutor, e nunca,
mas nunca, revele nenhuma de suas senhas.