Engenharia Social “A arte de enganar” Disciplina: Segurança da Informação Professor: José Fernando Weege Alunos: Anderson Zardo, Luziane Viali e Tainã Dossiati 2011/02
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Engenharia Social“A arte de enganar”
Disciplina: Segurança da InformaçãoProfessor: José Fernando Weege
Alunos: Anderson Zardo, Luziane Viali e Tainã Dossiati2011/02
O que é Engenharia Social
São práticas utilizadas para obter acesso a informações importantes ou sigilosas em organizações ou sistemas por meio da enganação ou exploração da confiança das pessoas.
Por que a Engenharia Social funciona?
• As pessoas confiam e cooperam por natureza• Quase toda pessoa pode ser influenciada a agir de uma maneira
específica de divulgar informações• Pessoas que aparentam possuir autoridade intimidam outras
pessoas.• Pode ser aplicado tanto a pessoas do setor de limpeza e
manutenção até a gerentes e diretores.
O nosso caráter e a nossa inocência
• Vivemos e idealizamos um mundo onde há amor ao próximo e probabilidade de alguém ser enganado é muito pequena.
• Pessoas têm necessidade se sentirem úteis, e acabam sem se dar conta fornecendo informações aos mal-intencionados.
Tecnologia, Segurança e Fator Humano
• A segurança pode ser um sentimento adquirido com a confiança que temos nos sistemas que utilizamos.
• Segurança não é um produto, é um processo.• A segurança não é um problema para a tecnologia - ela é
um problema para as pessoas e a direção.• Enquanto a tecnologia avança mais e mais, os atacantes
começam a se voltar para o fator humano.
Práticas fraudulentas na Segurança
• A maioria dos sistemas comercias não protegem contra um ataque com alvo bem definido objetivando informações de qualidade e valor.
• Computador seguro é computador desligado, mas e se alguém for convencido a ligá-lo?
• Os engenheiros sociais enganam os empregados para desviar da tecnologia da segurança.
Estratégias de Ataque
Local de Trabalho
Um indivíduo pode simplesmente se passar por outra pessoa (funcionário ou técnico terceirizado) que tem livre acesso às dependências da empresa e, enquanto caminha pelos corredores, pode ir captando todas estas informações que porventura estejam expostas.
Por Telefone
• Vai desde roubar informações de funcionários ingênuos até a clonagem ou grampo telefônico.
• Muitos atendentes passam informações valiosas para os atacantes sem se darem conta disso.
Lixo
• A quantidade de informações sigilosas simplesmente jogadas no lixo é surpreendente.
• Muitos atacantes reviram o lixo do seu alvo a procura delas.
Desafio de Senhas
• Usar como senha datas óbvias (como o próprio aniversário ou dos filhos) que são facilmente obtidas até mesmo simplesmente perguntando.
• Senhas anotadas em papel, em local de fácil acesso ou esquecidas em algum lugar.
Engenharia Social On-line
Vão desde e-mail alegando possuir “fotos comprometedoras” suas ou de alguém próximo, até imitação de páginas de banco ou grandes redes de varejo solicitando que você clique em determinado link ou peça para você fornecer dados (Pishing).
Persuasão
• Envolve questões psicológicas e de comportamento humano.
• Os métodos básicos de persuasão são: personificação, insinuação, conformidade, difusão de responsabilidade e a velha amizade.
Algumas formas de prevenção
Suporte de TI
• Desenvolver na empresa uma política de mudança frequente de senhas e treinar os demais funcionários para nunca passarem senhas ou outras informações confidenciais por telefone
Acesso às dependências
• Treinar os funcionários da segurança para não permitirem o acesso de pessoas sem o devido crachá de identificação e mesmo assim fazer uma verificação visual;
• Visitantes com hora marcada e acompanhados de um funcionário da empresa;
Ambiente de Trabalho
• Não digitar senhas na presença de pessoas estranhas, a menos que você consiga fazê-las rapidamente;
• Manter os documentos confidenciais fora do alcance de pessoas não autorizadas, de preferência em envelopes fechados
Telefonia
• Controlar chamadas para o exterior e para longas distâncias, e recusar pedidos de transferências suspeitas;
Lixo
• Guardar o lixo da empresa em lugar seguro, triturar todo tipo de documento, e destruir todo o tipo de mídia magnética fora de uso
Dúvidas??
Obrigado
Related Documents
