Segurana da informao vs Engenharia Social Como se proteger para
no ser mais uma vtimaMtodos, tcnicas e meios utilizados pelo
engenheiro social para enganar sua vtima.
RESUMO O presente artigo tem por objetivo principal abordar a
engenharia social no que se refere aos seus mtodos, tcnicas e meios
utilizados pelo engenheiro social para enganar sua vitima e
comprometer assim a segurana da informao, de maneira que o leitor
possa reconhecer esse tipo de abordagem para assim no ser mais uma
vitima dessa prtica to comum nos dias de hoje. O artigo tambm tem
como objetivo despertar o interesse e a conscientizao das pessoas e
das organizaes para esse perigo eminente, pois esse o melhor
caminho para proteger a informao. O artigo no tem como objetivo
abordar a parte tcnica da segurana da informao, no que se referem
aos protocolos, cdigos e etc. Partindo do princpio que a maioria
dos usurios no compreende isso, pois so leigos nesse assunto. O
artigo foi divido em trs grandes momentos. No primeiro momento ser
abordado o conceito de engenharia social e segurana da informao
assim como a importncia da informao nos dias de hoje para as
pessoas e principalmente para as organizaes. Em um segundo momento,
sero expostas algumas caractersticas inerentes ao ser humano que
assim o torna presa fcil, assim como tambm as caractersticas do
engenheiro social, para que assim possa ser reconhecido. Tambm sero
tratados os procedimentos que no podem ficar de fora de uma poltica
de segurana da informao, como por exemplo, os planos de treinamento
e conscientizao dos funcionrios. Por ltimo, sero dadas dicas de
como se proteger para no ser mais uma vitima da engenharia social.
Com isso o leitor ter uma viso mais ampla dos riscos, danos e
consequncias causadas pela engenharia social, assim como o que
precisa ser feito para combat-la e como se proteger.
Palavras-chave: Engenharia Social. Segurana da Informao.
Conscientizao. ABSTRACT This article aims to address the main
social engineering regarding to its methods, techniques and methods
used by social engineers to fool his victim and thereby compromise
the security of information, so that the reader can recognize this
kind of approach for not being a victim of this practice so common
nowadays. The article also aims to arouse interest and awareness of
people and organizations for this imminent danger, because this is
the best way to protect information. The article is not intended to
address the technical aspects of information security, as they
refer to protocols, codes and so on. Assuming that most users do
not understand this, because they are laymen in this matter. The
article was divided into three great moments. At first we will
address the concept of social engineering and information security
as well as the importance of information nowadays for people and
especially for organizations. In a second stage, it will be exposed
some inherent characteristics of the human being that makes it a so
easy prey, as well as the characteristics of the social engineer,
so it can be recognized. It also will address the procedures that
can not be left out of an information security policy, such as
plans for training and awareness of employees. Finally, it will be
given tips on how to protect yourself for not being another victim
of social engineering. Thus the reader will have a broader view of
risks, consequences and damage caused by social engineering, as
well as what must be done to combat it and how to protect yourself.
Key words: Social Engineering. Information Security. Awareness.
LISTA DE FIGURASFigura 1 O ciclo Figura 2 Os pilares da Segurana da
Informao 16 19
Figura 3 Aspectos da segurana da informao Figura 4 Atual modelo
da segurana da informao. Figura 5 Proposta de novo modelo para
Segurana da Informao. Figura 6 Elo mais fraco Figura 7 Como metade
de oito para o Engenheiro Social. Figura 8 Ambiente sem polticas de
Segurana.
19 24 24 25 29 32
LISTA DE TABELASTabela 1 Tipos de intrusos e seus objetivos.
Tabela 2 reas de Risco, Tticas e Estratgias 27 54
SUMRIO12 INTRODUO 1. CONCEITOS DE ENGENHARIA SOCIAL E SEGURANA
DA 15 INFORMAO 1.1. O QUE A ENGENHARIA SOCIAL 15 1.2. O QUE
INFORMAO E QUAL A SUA IMPORTNCIA 17 1.3. O QUE SEGURANA DA
INFORMAO. 17 1.4. TIPOS DE VULNERABILIDADES 21 23 2. O FATOR HUMANO
2.1. SUAS VULNERABILIDADES 25 2.2. COMO AGE O ENGENHEIRO SOCIAL 27
3. A IMPORTNCIA DA POLTICA DE SEGURANA, TREINAMENTO E 30
CONSCIENTIZAO 3.1. AMEAAS 30 3.2. POLTICA DE SEGURANA 31 34 3.2.1.
Plano de treinamento e conscientizao 39 3.2.2. Plano de resposta a
incidentes 4. TIPOS DE FRAUDES USANDO A ENGENHARIA SOCIAL, SUAS 42
TCNICAS E MEIOS UTILIZADOS 4.1. MEIOS MAIS COMUNS PARA ATACAR 42
4.2. TCNICAS DE ATAQUE MAIS COMUNS 43 5. DICAS PARA NO SER MAIS UMA
VTIMA DA ENGENHARIA 47 SOCIAL 5.1. COMO SE PROTEGER 47 55 5.1.1.
Elaborando senhas fortes 59 CONCLUSO 61 REFERNCIAS
INTRODUO
Hoje em dia, a informao o ativo mais valioso das organizaes. Ao
mesmo tempo passa tambm a ser o mais visado e desejado por pessoas
mal intencionadas com objetivo de vasculhar por curiosidade, furtar
para obter informaes sigilosas e valiosas, trazer danos seja por
diverso, benefcio prprio ou vingana, descobrir segredos e etc. Por
isso, mais do que nunca, existe uma preocupao enorme com relao
segurana das informaes nas organizaes e at mesmo nos lares, pois
ela representa a inteligncia competitiva dos negcios
(competitividade) e lucratividade. Por isso est exposta a uma
enorme variedade de ameaas e vulnerabilidades. A questo que as
organizaes do nfase somente na atualizao dos seus parques
tecnolgicos como, por exemplo, tecnologias de ultima gerao,
produtos cada vez mais sofisticados, firewalls, anti-malwares,
Sistemas de deteco de intruso (IDS), dispositivos de autenticao
cada vez mais poderosos, tokens, Smart cards, biometria e etc.
Claro que toda essa tecnologia importante e fundamental para a
segurana da informao, mas no o bastante. De nada adiantar trancar
sempre as portas de sua casa, manter cadeados ou sistemas de
segurana que monitorem ou dificultem a entrada pelas portas, sendo
que algum de dentro de casa sempre abre as portas para o bandido.
Dessa maneira, todo investimento vai por gua abaixo. Infelizmente
ainda no da cultura das empresas investirem no treinamento e na
conscientizao dos seus funcionrios, afinal eles tambm fazem parte
da segurana da informao, mas as empresas acabam deixando de lado
outro aspecto to importante quanto tecnologia, que o fator humano,
que por sinal o elo mais fraco da segurana da informao. Quanto mais
a tecnologia e os dispositivos de segurana evoluem dificultando
assim a explorao de vulnerabilidades, mais os invasores exploraro o
fator humano, pois como diz o prprio ditado: No h Patch contra
a Burrice Humana. (MARCELO; PEREIRA, 2005, p. 3). H somente uma
maneira de combater a questo do fator humano e isso deve ser feito
atravs de treinamentos e conscientizao dos funcionrios. Empregados
devem ser treinados e orientados sobre o que a informao precisa
para estar protegida e como proteg-la. A engenharia social,
propriamente dita, est inserida como um dos desafios (se no o maior
deles) mais complexos no mbito das vulnerabilidades encontradas na
gesto da segurana da informao. (PEIXOTO, 2006, p. 36). A falta de
conscincia das pessoas a respeito das tcnicas de Engenharia Social
e o seu excesso de autoconfiana so os principais aspectos que
favorecem o sucesso da Engenharia Social. Uma empresa que realmente
leva a srio a questo da segurana da informao e considera isso como
uma prioridade em sua cultura corporativa passa a treinar seus
funcionrios assim que so admitidos, de maneira que nenhum
funcionrio possa receber acesso a um microcomputador antes de
participar de pelo menos uma aula bsica sobre conscientizao em
segurana da informao. O objetivo desse artigo ajudar as pessoas a
entenderem como elas so manipuladas e ensinar as barreiras que
devem ser construdas por elas para no serem vtimas da engenharia
social. Em resumo esse artigo tem como objetivo levantar a
conscientizao das pessoas com relao sria ameaa causada pela
engenharia social e ajud-las a terem certeza que suas empresas ou
at mesmo seus prprios lares esto menos suscetveis a serem
explorados por essas tcnicas. Esse artigo tem como escopo a parte
no tcnica da segurana da informao, que envolve mtodos utilizados
pelos intrusos para roubarem informao, comprometerem a integridade
da informao que se acredita ser segura, mas na realidade no , ou
destruir o ativo mais importante das empresas que so suas
informaes, utilizando o mtodo da engenharia social.
Esse artigo no ter como escopo a parte tcnica da segurana da
informao, partindo do princpio que a maioria esmagadora dos usurios
leiga e que muitas vezes mal consegue operar um microcomputador,
quanto mais compreender cdigos, protocolos e etc. Uma empresa pode
ter adquirido as melhores tecnologias de segurana que o dinheiro
pode comprar, pode ter treinado seu pessoal to bem que eles trancam
todos os segredos antes de ir embora e pode ter contratado guardas
para o prdio na melhor empresa de segurana que existe. Mesmo assim
essa empresa ainda estar vulnervel. Os indivduos podem seguir cada
uma das melhores prticas de segurana recomendadas pelos
especialistas, podem instalar cada produto de segurana recomendado
e vigiar muito bem a configurao adequada do sistema e a aplicao das
correes de segurana. Esses indivduos ainda estaro completamente
vulnerveis.(MITNICK; SIMON, 2003, p. 3). 1. CONCEITOS DE ENGENHARIA
SOCIAL E SEGURANA DA INFORMAO 1.1. O QUE A ENGENHARIA SOCIAL O
termo engenharia social ficou mais conhecido em 1990, atravs de um
famoso hacker chamado Kevin Mitnick. Esse termo designa para
prticas utilizadas a fim de se obter informaes sigilosas ou
importantes de empresas, pessoas e sistemas de informao, explorando
a confiana das pessoas para engan-las. Pode-se tambm definir
engenharia social como a arte de manipular pessoas a fim de
contornar dispositivos de segurana ou construir mtodos e estratgias
para ludibriar pessoas, utilizando informaes cedidas
por elas de maneira a ganhar a confiana delas para obter
informaes. (SILVA, E., 2008). Muitos so os significados e
interpretaes dadas ao termo Engenharia Social. Uma das melhores
encontradas a seguinte: Engenharia Social a cincia que estuda como
o conhecimento do comportamento humano pode ser utilizado para
induzir uma pessoa a atuar segundo seu desejo. No se trata de
hipnose ou controle da mente, as tcnicas de Engenharia Social so
amplamente utilizadas por detetives (para obter informao) e
magistrados (para comprovar se um declarante fala a verdade). Tambm
utilizada para lograr todo tipo de fraudes, inclusive invaso de
sistemas eletrnicos. (KONSULTEX, 2004 apud PEIXOTO, 2006, p. 4). O
termo engenharia foi atribudo a essa prtica porque construda sobre
informaes e tticas de acesso a informaes sigilosas de forma
indevida. J o termo social foi atribudo porque utiliza pessoas que
vivem e trabalham em grupos organizados. Essas prticas simplesmente
ganharam esse novo termo, pois so bem antigas sendo bastante
utilizadas por detetives a fim de obterem informaes e tambm por
magistrados com o objetivo de comprovar se um declarante fala a
verdade. (SANTOS, 2004). De acordo com Peixoto (2006, p. 36), A
engenharia social, propriamente dita, est inserida como um dos
desafios (se no o maior deles) mais complexos no mbito das
vulnerabilidades encontradas na gesto da segurana da informao. Os
ataques de engenharia social podem ser divididos em dois
grupos:
Os ataques diretos: Como o prprio nome j diz, so aqueles
caracterizados pelo contato direto entre o engenheiro social e a
vtima atravs de telefonemas, fax e at mesmo pessoalmente. Este
exige do engenheiro social, um planejamento antecipado e bem
detalhado, alm de um segundo plano para caso o primeiro no d certo,
alm de muita criatividade e articulao para que o plano seja bem
sucedido. Os ataques indiretos: Caracterizam-se pela utilizao de
softwares ou ferramentas para invadir como, por exemplo, vrus,
Cavalos de Troia ou atravs de sites e e-mails falsos para assim
obter informaes desejadas. A figura abaixo ilustra o ciclo de
ataque da engenharia social que consiste em quatro fases (Reunir
Informaes, Desenvolver o Relacionamento com a vtima, Explorao e
Execuo). Cada ataque de engenharia social nico, com a possibilidade
de envolver mltiplas fases/ciclos e/ou pode at mesmo agregar o uso
de outras tcnicas de ataque mais tradicionais para atingir o
resultado final desejado (ALLEN, 2006, p. 5, traduo nossa).
Figura 1 O ciclo Fonte: (ALLEN, 2006)
1.2. O QUE INFORMAO E QUAL A SUA IMPORTNCIA
A informao representa a inteligncia competitiva dos negcios e
reconhecida como ativo crtico para a continuidade operacional da
empresa. (PEIXOTO, 2006, p. 37). Informao tambm se define como: Ato
ou efeito de informar ou informar-se; comunicao, indagao ou
devassa. Conjunto de conhecimentos sobre algum ou alguma coisa;
conhecimentos obtidos por algum. Fato ou acontecimento que levado
ao conhecimento de algum ou de um pblico atravs de palavras, sons
ou imagens. Elemento de conhecimento suscetvel de ser transmitido e
conservado graas a um suporte e um cdigo (PEIXOTO, 2006, p. 4). O
Cdigo de prtica para a gesto da segurana da informao diz o
seguinte: A informao um ativo que, como qualquer outro ativo
importante, essencial para os negcios de uma organizao e
consequentemente necessita ser adequadamente protegida. Isto
especialmente importante no ambiente dos negcios, cada vez mais
interconectado. Como um resultado deste incrvel aumento da
interconectividade, a informao est agora exposta a um crescente
nmero e a uma grande variedade de ameaas e vulnerabilidades
(ASSOCIAO BRASILEIRA DE NORMAS TCNICAS-ABNT, 2005, p.2) 1.3. O QUE
SEGURANA DA INFORMAO. De acordo com Peixoto (2006, p. 37), O termo
segurana da informao pode ser designado como uma rea do
conhecimento
que salvaguarda os chamados ativos da informao, contra acessos
indevidos, modificaes no autorizadas ou at mesmo sua no
disponibilidade. De acordo com as pesquisas mais recentes,
aproximadamente 53% das empresas brasileiras apontam os funcionrios
insatisfeitos como a maior ameaa segurana da informao, 40% delas
afirmam ter sido vtimas de algum tipo de invaso, 31% no sabem dizer
se sofreram ataques e somente 29% alegam nunca ter sofrido ataques,
[...]. Em 22% dos casos de ataque, as organizaes no conseguiram
detectar as causas e em 85% dos casos no souberam quantificar o
prejuzo. (BANNWART, 2001 apud PEIXOTO, 2006, p. 36). A segurana da
informao formada pelos seguintes pilares bsicos, que podem ser
definidos da seguinte maneira (PEIXOTO, 2006):
Confidencialidade: a garantia de que as informaes transmitidas
chegaro ao seu destino sem que se dissipem para outro lugar onde no
deveria passar. Vrias tecnologias como, por exemplo, criptografia e
autenticaes podem ser usadas, desde que mantenham a integridade das
informaes; Integridade: a garantia de que as informaes no sofreram
nenhuma modificao durante o trajeto entre a pessoa que enviou e a
pessoa que recebeu a informao, garantindo assim a sua real
veracidade aps chegarem ao destino.
Disponibilidade: De nada adianta possuir integridade e
confidencialidade, se a informao nunca est disponvel. Ento, o
grande desafio manter essa estrutura de passagem de informaes de
forma confivel e integra sem que haja impossibilidade de captar as
informaes.
Alguns modelos chegam a incluir mais dois pilares bsicos que
seriam os seguintes:
No repdio e autenticidade: Conhecido como responsabilidade
final, tem como objetivo verificar a identidade e autenticidade de
algum ou at mesmo de um agente exterior a fim de garantir a
integridade de origem.
Dessa maneira o modelo seria representado como na imagem
abaixo:
Figura 2 Os pilares da Segurana da Informao Fonte: (PILARES...,
[200-?])
Os pilares acima refletem na organizao e tambm envolvem trs
aspectos principais:
Pessoas: Usurios conscientizados.
bem
orientados,
treinados
e
Processos: Regras bem claras para utilizao dos recursos
tecnolgicos fornecidos pela empresa e leis que venham punir de
maneira rigorosa os infratores em caso de desvio de informaes.
Tecnologia: Sistemas bem implementados para garantir a proteo das
informaes da empresa.
Figura 3 - Aspectos da segurana da informao Fonte: (SKYLAN,
2010) A informao precisa ser protegida, pois: A informao um ativo
que, como qualquer outro ativo importante, essencial para os
negcios de uma organizao e consequentemente necessita ser
adequadamente protegida. Isto especialmente importante no ambiente
dos negcios, cada vez mais interconectado. Como um resultado deste
incrvel aumento da interconectividade, a informao est agora exposta
a um crescente nmero e a uma grande variedade de ameaas e
vulnerabilidades (ABNT, 2005, p.2). A segurana da informao
necessria pelos seguintes motivos:
A informao e os processos de apoio, sistemas e redes so
importantes ativos para os negcios. Definir, alcanar, manter e
melhorar a segurana da informao podem ser atividades essenciais
para assegurar a competitividade, o fluxo de caixa, a
lucratividade, o atendimento aos requisitos legais e a imagem da
organizao junto ao mercado. [...] a funo da segurana da informao
viabilizar os negcios[...] (ABNT, 2005, p.2). Como o prprio Comit
Gestor da Internet no Brasil diz: Computadores domsticos so
utilizados para realizar inmeras tarefas, tais como: transaes
financeiras, sejam elas bancrias ou mesmo compra de produtos e
servios; comunicao, por exemplo, atravs de e-mails; armazenamento
de dados, sejam eles pessoais ou comerciais, etc. (COMIT GESTOR DA
INTERNET NO BRASIL, 2006, p. 1). E altamente recomendado que voc se
preocupe com a segurana do seu microcomputador, pois ningum
gostaria que:
Suas senhas e cartes de crdito fossem furtados e utilizados por
outras pessoas; Sua conta do Internet Banking fosse utilizada por
terceiros; Seus dados pessoais fossem alterados, destrudos ou
visualizados por terceiros; Seu computador fosse danificado e
arquivos importantes perdidos;
Segundo (COMIT GESTOR DA INTERNET NO BRASIL, 2006), pessoas mal
intencionadas tentam invadir computadores a fim de:
Usar computador de terceiros para atividades ilcitas para
dificultar sua identificao; Lanar ataques contra outros
computadores; Usar seu disco rgido para armazenar dados. Destruir
informaes; Disseminar Spam; Se passar por outras pessoas em
mensagens de e-mail; Espalhar vrus de computador; Furtar nmero de
cartes de credito ou senhas de banco; Furtar dados do seu
computador em geral como, por exemplo, informaes do seu imposto de
renda.
O rpido crescimento do uso do computador e a difuso da Internet
tm contribudo para um crescimento fenomenal de crimes de computador
e uma diversidade significativa de criminosos de computador. Embora
a maioria dos ataques que causam perda financeira venha de dentro,
estudos mostram que a maioria dos ataques vm de fora da organizao.
(PIPKIN, 2003, p. 8, traduo nossa). 1.4. TIPOS DE VULNERABILIDADES
Os principais tipos de vulnerabilidades existentes podem ser do
tipo: (PEIXOTO, 2006).
Fsicas: Salas de CPD mal planejadas, estrutura de segurana fora
dos padres exigidos;
Naturais: computadores so propensos a sofrerem danos naturais,
como tempestades, incndio, alm, por exemplo, de falta de energia,
acmulo de poeira, aumento da umidade e temperatura. Hardware:
Desgaste do equipamento, obsolescncia ou m utilizao; Software: M
instalao, erros de configurao, vazamento de informaes e, dependendo
do caso, perda de dados ou indisponibilidade de recursos; Mdias:
Disquetes e CDs podem ser perdidos ou danificados, e a radiao
eletromagntica pode causar danos s vezes irreparveis nas mdias;
Comunicao: Acessos no autorizados ou perda de comunicao; Humanas:
Tratadas anteriormente, como, por exemplo, as tcnicas de engenharia
social, as vulnerabilidades referindo-se ao fator humano, como
falta de treinamentos, conscientizao, o no seguimento das polticas
de segurana.
Como afirma Peixoto (2006, p. 39), Infelizmente ainda no da
cultura de nosso pas as empresas adotarem potencial investimento em
segurana digital mais especificamente na segurana das informaes.
Pesquisa feita pela Symantec com 200 companhias sedadas no Brasil
revela que 80% investem at 10% do oramento total em segurana e 57%
dedicam at 5%. O estudo mostra ainda que os vrus e cdigos
maliciosos seriam a causa de 54% dos problemas digitais
enfrentados. Em seguida estariam as vulnerabilidades de software
e hardware com 32% e os ataques causados por funcionrios 30%.
(MAGALHES, 2004 apud PEIXOTO, 2006, p. 39). 2. O FATOR HUMANO
Segundo Kevin Mitnick: Uma empresa pode ter adquirido as melhores
tecnologias de segurana que o dinheiro pode comprar, pode ter
treinado seu pessoal to bem que eles trancam todos os segredos
antes de ir embora e pode ter contratado guardas para o prdio na
melhor empresa de segurana que existe. Mesmo assim essa empresa
ainda estar vulnervel. Os indivduos podem seguir cada uma das
melhores prticas de segurana recomendadas pelos especialistas,
podem instalar cada produto de segurana recomendado e vigiar muito
bem a configurao adequada do sistema e a aplicao das correes de
segurana. Esses indivduos ainda estaro completamente
vulnerveis.(MITNICK; SIMON, 2003, p. 3). Em qualquer organizao, por
maior que seja a sua segurana, sempre haver um fator de
desequilbrio chamado fator humano. O velho ditado que diz que um
segredo deixa de ser um segredo quando mais algum sabe uma das
mximas existentes dentro da segurana da informao. Os maiores
engenheiros sociais tiram proveito das fraquezas ou gostos pessoais
de seus alvos para assim aproximar e conseguir alcanar seus
objetivos. (MARCELO; PEREIRA, 2005).
Um dos maiores problemas hoje em dia na segurana da informao est
relacionado ao ser humano e sua ignorncia. Prticas que permitem o
acesso no autorizado a dados, lugares, objetos e entre outros,
fragiliza qualquer esquema de segurana da informao, uma vez que as
pessoas acabam tendo acesso a informaes indevidas, colocando em
risco a segurana da informao. A questo comportamental pode afetar
significativamente as demais medidas de segurana, por mais modernas
que elas sejam. (SILVA, M.; COSTA, 2009) Um dos grandes assuntos
discutidos atualmente a questo da incluso do fator humano como um
dos elementos base da segurana da informao. Existem propostas de
modelos para incluso desse fator primordial como um dos pilares
fundamentais da segurana da informao, pois o modela atual considera
o fator humano em um nvel no base.
Figura 4 Atual modelo da segurana da informao. Fonte: (SILVA,
M.; COSTA, 2009)
Figura 5 Proposta de novo modelo para Segurana da Informao.
Fonte: (SILVA, M.; COSTA, 2009)
O fator humano uma das maiores causas de invases e ataques,
devido a vrios motivos que sero abordados de maneira mais profunda
posteriormente, como por exemplo, a escolha de senhas fracas ou
pelo esquecimento de algum cuidado bsico de segurana. Algo que pode
ser facilmente percebido que usurios no ligam para a empresa na
qual trabalha. Eles s se preocupam mesmo com o pagamento, sua
avaliao e aumento de salrio. (SCHWARTAU, 2010). 2.1. SUAS
VULNERABILIDADES Podemos destacar as seguintes caractersticas do
ser humano que o torna vulnervel e suscetvel a ataques de
engenharia social: (JUNIOR, 2006).
Vontade de se tornar til: O ser humano procura ser Cortez ou
ajudar os outros quando necessrio. Buscar amizades: Os humanos
costumam se sentir bem ao serem elogiados, de maneira que muitas
vezes ficam abertos para fornecer informaes.
Prorrogar responsabilidades: Muitas vezes o ser humano considera
no ser o nico responsvel pelo conjunto de responsabilidades ou
atividades. Persuaso: caracterizada pela capacidade de convencer,
buscando assim a respostas desejadas para alcanar o objetivo. Isso
acontece porque o ser humano possui caractersticas que o tornam
vulnerveis a manipulao.
Outra grande vulnerabilidade dentro da empresa o prprio
funcionrio insatisfeito, desmotivado e desvalorizado. Todo o
investimento em tecnologia, treinamentos e conscientizao, pode ser
jogado fora se a companhia no cuidar e valorizar seus funcionrios.
(PRESCOTT, 2007).
Figura 6 - Elo mais fraco Fonte: (PEIXOTO, 2006)
Eu no sou criptoanalista, nem matemtico. Apenas sei como as
pessoas cometem erros e elas cometem sempre os mesmos erros.
(MITNICK; SIMON, 2005, p. 247, traduo nossa). Os seres humanos so
seres imperfeitos e multifacetados. Alm disso, situaes de risco
modificam seus comportamentos, e, decises sero fortemente baseadas
em confiana e grau de
criticidade da situao. (VARGAS, 2002 citado por POPPER;
BRIGNOLI, 2003, p. 7). Em razo de todos esses fatores, sempre
havero brechas de segurana devido ao comportamento humano e sua
falta de conscincia com relao segurana da informao, onde a
engenharia social poder produzir bons resultados. Mesmo aqueles que
descobrem que foram atacados, dificilmente admitem o fato, com
receio de prejudicarem sua reputao. Na Inglaterra, por exemplo, as
empresas j podem ostentar um certificado de que exercitam boas
prticas de mercado no que diz respeito segurana da informao, que
rapidamente est se tornando um diferencial competitivo para as
empresas que souberem administr-lo. (SALDANHA, 2002 citado por
POPPER; BRIGNOLI, 2003, p. 2). Aps uma meticulosa anlise, pode-se
concluir que dificilmente haver algum ou alguma companhia que nunca
tenha sofrido pelo menos uma tentativa de ataque utilizando a
engenharia social. A falta de conscincia das pessoas a respeito das
tcnicas de Engenharia Social e o seu excesso de autoconfiana (pois
a maioria das pessoas no se considerara ingnuas e acham que no
podem ser ludibriadas) so os principais aspectos que favorecem o
sucesso da Engenharia Social. A maioria dos funcionrios acha que o
problema da segurana da informao tratado somente pela tecnologia em
si como, por exemplo, firewalls, antivrus e outras tecnologias, por
isso de fundamental importncia criar programas de treinamento e
conscientizao sobre a segurana da informao, pois o fator humano a
linha de frente para proteo geral da empresa. Esse assunto ser
abordado de maneira mais detalhada no captulo subsequente.
Com o aumento crescente de ataques e invases sofridos pelas
empresas, estas esto procurando modernizar seus parques
tecnolgicos, adquirir novos produtos como firewalls, formas de
criptografia, Sistemas de Deteco de Intruso (IDS), dispositivos de
autenticao cada vez mais poderosos e muitos outros mecanismos de
segurana, e acabam muitas vezes deixando em segundo plano outro
aspecto to importante quanto tecnologia, e esse aspecto o fator
humano. No h Patch contra a Burrice Humana. (MARCELO; PEREIRA,
2005, p. 3). 2.2. COMO AGE O ENGENHEIRO SOCIAL Geralmente o
engenheiro social um tipo de pessoa agradvel. Ou seja, uma pessoa
educada, simptica, carismtica. Mas, sobretudo criativa, flexvel e
dinmica. Possuindo uma conversa bastante envolvente. (ARAUJO, 2005,
p. 27). A tabela abaixo exibe os tipos de intrusos e seus
respectivos objetivos ao utilizar a engenharia social. (POPPER;
BRIGNOLI, 2003). Tabela 1 Tipos de intrusos e seus
objetivos.Intrusos Estudantes Crackers Representantes Comerciais
Executivos Espies Objetivos Vasculhar mensagens de e-mail alheias
por diverso ou curiosidade. Quebrar sistemas de segurana e roubar
informaes. Encontrar planilhas referentes a preos ou cadastro de
clientes. Descobrir plano estratgico dos seus concorrentes.
Descobrir planos militares.
Tabela 1 Tipos de intrusos e seus objetivos.
Intrusos Terroristas Contadores Corretores de valores
Ex-funcionrios Vigaristas
Objetivos Causar pnico pela rede e roubar informaes estratgicas.
Desfalques financeiros. Adulterar informaes para obter lucro com o
valor das aes. Causar prejuzos apenas por vingana. Roubar
informaes, como senhas e nmeros de cartes de crdito.
Fonte: (POPPER; BRIGNOLI, 2003).
Os ataques de engenharia social so normalmente praticados por
Crackers, que so hackers mal intencionados, pois ainda existe uma
confuso enorme com relao a esses dois termos, pois o termo Hacker
est mais relacionado ao indivduo que possui um elevadssimo grau de
conhecimento em assuntos relacionados computao como, por exemplo,
linguagens de programao, redes de computadores e entre outros
conhecimentos e muitas vezes esses eruditos utilizam todo o seu
conhecimento para melhorar softwares de forma legal ao contrrio dos
Crackers que tm como objetivo trazer danos, roubar informaes,
dinheiro e etc. A ideia de hackear pode invocar imagens estilizadas
de vandalismo eletrnico, espionagem, cabelo tingido e piercing. A
maioria das pessoas associa hackear com violao da lei, portanto
insinuam que todos aqueles que se dedicam a atividades hackers so
criminosos. verdade que existem pessoas l fora, que utilizam
tcnicas hackers para quebrar a lei, mas hackear no est muito
relacionado a isso. Na verdade, hackear est mais relacionado a
seguir a lei do que quebr-la. (ERICKSON, 2009, p. 1, traduo nossa).
O profissional da arte de enganar pessoas utiliza-se de tcnicas de
persuaso e explorao da ingenuidade dos usurios, criando um ambiente
psicolgico perfeito para seu ataque, como por exemplo, utilizando
identificaes falsas, carisma e o apelo sentimental a fim
de conquistar a confiana da vtima. Normalmente o engenheiro
social procura deixar sua vtima bem tranquila, passando-se por
algum do mesmo nvel hierrquico ou superior dentro da organizao ou
at mesmo por clientes e fornecedores de maneira a induzi-los a
fornecer informaes, executar programas ou at mesmo fornecer senhas
de acesso. Esses profissionais da arte de enganar podem utilizar
como pretexto situaes de emergncia ou de segurana da empresa e
geralmente, no pedem muita informao de uma s vez para a mesma
pessoa e sim aos poucos e para pessoas diferentes, para que ningum
desconfie dele. Muitas vezes eles usam disfarces dos mais variados
tipos como, por exemplo: faxineiros, consultores, gerentes e etc. O
chamado engenheiro social dotado de um enorme poder de
criatividade. Essa criatividade to grande que na maioria das vezes,
a vtima nem imagina que foi usada e muito menos que acabou de abrir
o caminho para um invasor. Para que um ataque de engenharia social
seja bem sucedido, necessria bastante pacincia e persistncia e essa
uma das grandes caractersticas dos engenheiros sociais. Uma das
primeiras e mais obvias maneiras de atravessar um firewall a
trapaa. (RUSSELL, 2003, p. 283, traduo nossa). Se algum perguntar a
uma pessoa normal quanto a metade de oito, normalmente essa pessoa
ir responder quatro, mas o Engenheiro Social v a resposta como na
imagem abaixo:
Figura 7 - Como metade de oito para o Engenheiro Social. Fonte:
(MARCELO; PEREIRA, 2005)
Dificilmente um ser humano teria essa viso. Quase todo mundo tem
somente a viso matemtica, ou seja, o mais obvio, mas o engenheiro
social nem sempre se guia pelo mais lgico. Muitas vezes o ilgico
pode ser a melhor resposta para o problema em questo. (MARCELO;
PEREIRA, 2005). 3. A IMPORTNCIA DA POLTICA TREINAMENTO E
CONSCIENTIZAO Mitnick afirma o seguinte: Como diz o ditado; at
mesmo os verdadeiros paranicos [sic] provavelmente tm inimigos.
Devemos assumir que cada empresa tambm tem os seus os atacantes que
visam a infra-estrutura [sic] da rede para comprometer os segredos
da empresa. No acabe sendo uma estatstica nos crimes de
computadores; est mais do que na hora de armazenar as defesas
necessrias implementando controles adequados por meio de polticas
de segurana e procedimentos bem planejados. (MITNICK; SIMON, 2003,
p. 23). 3.1. AMEAAS Concordando com o que diz Peixoto (2006),
muitas vezes nos sentimos ameaados em determinadas situaes, mas
isso no quer dizer necessariamente que voc se sente vulnervel. J na
situao oposta, quando algum se considera vulnervel, certamente essa
pessoa se v ameaada. No uma regra, mas valida se comparada com o
que diz respeito s informaes. Na tica de Peixoto (2006), As ameaas
so o resultado das vulnerabilidades existentes, o que prova a perda
dos elementos bsicos para existir segurana da informao que so eles
a DE SEGURANA,
confidencialidade, integridade e disponibilidade. Essas ameaas
podem ser divididas em:
Naturais: Fenmenos da natureza. Como por exemplo, raios que
danificam equipamentos, chuvas, umidade, terremotos e etc.
Involuntrias: Aquelas que ocorrem por causa desconhecimento, erros
ou acidentes e entre outros. do
Voluntrias: Ss aquelas propositais, resultantes de aes como, por
exemplo, aes deCrackers, espies, disseminadores de vrus de
computador.
3.2. POLTICA DE SEGURANA Para evitar ou diminuir o risco de
informaes confidenciais serem acessadas indevidamente, perdidas ou
at mesmo adulteradas dentro das organizaes, necessrio que haja uma
srie de procedimentos claramente estabelecidos aonde quer que estas
informaes venham transitar. Ns no tocamos em redes, ns tocamos nas
pessoas. Porque, no fim, o elo mais fraco em todas essas coisas a
pessoa que est frente da tela. (SCHWARTAU, 2010 p. 1). Poltica de
segurana da informao pode ser definida como uma srie de instrues
bem claras a fim de fornecer orientao para preservar as informaes.
Esse um elemento essencial para o controle efetivo da segurana da
informao de maneira a combater e prevenir possveis ameaas ou
ataques que venham a comprometer a segurana da informao nas
empresas ou organizaes. Essas polticas esto entre as mais
significativas no que diz respeito a evitar e detectar os ataques
da engenharia social. (FONSECA, 2009).
Figura 8 - Ambiente sem polticas de Segurana. Fonte: (PEIXOTO,
2006)
Concordando com o que diz Fonseca (2009), o controle efetivo da
segurana posto em prtica atravs do treinamento dos funcionrios, bem
como atravs de polticas e procedimentos que devem ser muito bem
documentados. importante salientar que uma poltica de segurana no
elimina a possibilidade de ataques de engenharia social, mesmo que
a poltica seja seguida corretamente por todos os funcionrios. Sendo
assim, o objetivo tornar mnimo o risco, a um nvel que seja
aceitvel. As polticas de segurana que sero apresentadas neste
artigo incluem questes que talvez no estejam diretamente
direcionadas a engenharia social, mas de maneira indireta fazem
parte das tcnicas normalmente utilizadas nos ataques de engenharia
social. Um bom exemplo so as polticas relacionadas abertura de
anexos em e-mails, que podem ocasionar a instalao de vrus, Cavalos
de Troia e etc., fazendo com que o invasor tenha controle da mquina
da vtima. Esse tipo de ato bastante utilizado por engenheiros
sociais. Concordando com o que diz Fonseca (2009), um bom programa
de segurana da informao deve comear com uma avaliao dos riscos
visando determinar as seguintes questes:
Quais informaes, ou que tipo informao precisar estar protegida e
qual o seu nvel de proteo. Quais ameaas ou que tipo de ameaa pode
atingir a empresa. Quais prejuzos a empresa teria se um desses
sinistros viesse a acontecer.
Concordando com o que diz Fonseca (2009), o objetivo da avaliao
dos riscos levantar as informaes que precisam de proteo imediata
para que assim possam ser priorizadas. Tambm dever haver uma anlise
de custo/benefcio a fim de saber o custo da informao que ser
protegida, lembrando de um ponto importantssimo nessa poltica de
segurana o apoio firme da alta gerncia, demonstrando claramente seu
interesse e comprometimento por considerar isso fundamental para o
bom funcionamento da empresa ou organizao, de maneira que os
prprios funcionrios venham perceber esse interesse da alta gerncia.
Ao desenvolver uma poltica de segurana, deve-se levar em considerao
que existem funcionrios que no tm conhecimento da linguagem tcnica.
Portando, os jarges tcnicos no devem ser usados para que o
documento possa ser facilmente entendido por qualquer funcionrio. O
documento tambm deve deixar bem claro a importncia da poltica de
segurana para que dessa maneira os funcionrios no encarem isso como
perca de tempo. Devem ser criados dois documentos separadamente,
onde um deles apresentar as polticas e o outro abordar os
procedimentos. Isso deve acontecer porque os procedimentos usados
para implementar as polticas, podem mudar com maior frequncia do
que a prpria poltica em si. Alm disso, ao redigir as polticas,
deve-se tambm analisar se a tecnologia que ser utilizada para
implantar determinada poltica poder realmente ser usada pela
empresa,
levando em considerao o custo/benefcio. Ento, os redatores da
poltica de segurana de uma organizao devem manter o foco em
polticas adequadas de acordo com o ambiente e objetivo do negcio da
empresa, pois cada empresa possui uma cultura organizacional
particular, assim como requisitos de segurana da informao baseados
de acordo com suas necessidades. (FONSECA, 2009). importante
ressaltar tambm que a poltica de segurana nunca deve ser imutvel ou
inflexvel, pois as novas tcnicas de ataques usando a engenharia
social esto surgindo a cada dia assim como as prprias tecnologias e
ou procedimentos para combat-las. Para que a poltica de segurana
esteja sempre atualizada, devem-se estabelecer procedimentos
regulares com o objetivo de identificar as novas ameaas e assim
combat-las atravs das tecnologias e ou procedimentos adequados.
Lembrando que esse documento atualizado deve sempre estar disponvel
em um lugar bem acessvel a todos os funcionrios. Isso facilitar
bastante a consulta dos funcionrios ao surgir alguma dvida
relacionada s polticas e procedimento de segurana. Quanto mais
rpido o funcionrio conseguir acessar esse documento, melhor ser.
(MITNICK; SIMON, 2003). 3.2.1. Plano de treinamento e conscientizao
Talvez haja pouqussimos assuntos de extrema importncia e ao mesmo
tempo to entediantes para a maioria dos funcionrios, pelo qual
devero ainda passar por treinamentos como a questo da segurana da
informao. Por isso vital que haja artifcios para prender suas
atenes e inclusive entusiasm-los. (FONSECA, 2009). Concordando com
o que diz Fonseca (2009), um programa de conscientizao sobre
segurana da informao em uma empresa, tem como objetivo principal,
influenciar os funcionrios a mudarem
seus hbitos e motiv-los a participarem do treinamento, para
assim conscientiz-los que eles so parte da segurana da informao na
empresa e que ela poder sofrer um ataque a qualquer momento. Com
essa conscincia e bem motivados, eles buscaro cumprir sua parte
para proteger o ativo mais importante da empresa que so suas
informaes. Esses funcionrios ainda precisam ser treinamos e
educados de maneira que possam ter conscincia das informaes que
precisam ser protegidas e como proteg-las para que assim possam
identificar facilmente um ataque de engenharia social. Esses
programas de treinamento e conscientizao devem ser realizados
constantemente, pois com o passar do tempo o preparo das pessoas
diminui alm de novas ameaas e tcnicas usadas pelos engenheiros
sociais surgirem constantemente, o que faz com que seja necessrio
reforar e atualizar os princpios da segurana da informao na mente
dos colaboradores. Uma empresa que realmente leva a questo da
segurana da informao a srio e como uma prioridade em sua cultura
corporativa, passa a treinar seus funcionrios assim que so
admitidos, de maneira que nenhum funcionrio possa receber acesso a
um microcomputador antes de participar de pelo menos uma aula bsica
sobre conscientizao em segurana da informao. Um timo aspecto a ser
abordado que pode funcionar como um grande agente motivador para os
funcionrios esclarec-los de que a segurana da informao no um
assunto de interesse somente da empresa, mas tambm dos prprios
funcionrios, pois a prpria empresa possui informaes particulares a
respeito dos seus funcionrios. Inclusive algumas analogias podem
ser feitas para criar entusiasmo nos empregados, como por exemplo,
informlos de que no cuidar da segurana das informaes no ambiente de
trabalho o mesmo que no cuidar do carto do banco ou do nmero do
carto de crdito de algum. Ou seja, os funcionrios
percebero que ao colaborarem estaro protegendo no somente
informaes da empresa, mas tambm suas informaes pessoais. Outro bom
artifcio seria a demonstrao das tcnicas de engenharia social atravs
da dramatizao, reportagens ou atravs de vdeos educativos sobre o
assunto, que exibam casos reais de maneira que seja ao mesmo tempo
algo educativo e divertido. (FONSECA, 2009). Concordando com o que
diz Fonseca (2009), interessante deixar bem claro que nem sempre um
programa desse tipo deve ser encarado como algo genrico para todas
as reas da empresa. Muito pelo contrrio, muitas vezes o treinamento
deve ser adaptado de acordo com os requisitos especficos de cada
grupo dentro da organizao, pois apesar de muitas vezes as polticas
serem aplicadas a todos os funcionrios, h situaes em que ser
necessria a existncia de polticas especficas para determinados
cargos ou grupos distintos dentro das organizaes, como por exemplo,
os gestores, o pessoal da tecnologia, os usurios de
microcomputadores, o pessoal das reas no tcnicas, os assistentes
administrativos, recepcionistas e o pessoal da segurana fsica da
empresa. Uma observao interessante a ser feita com relao aos
funcionrios da segurana fsica que normalmente esse tipo de
funcionrio no tem acesso aos microcomputadores e s vezes nem mesmo
possuem proficincia para oper-los, mas nem por isso devem ser
excludos do treinamento, pois os engenheiros sociais costumam
utiliz-los como peas importantes para conseguirem acesso
privilegiado a locais restritos como, por exemplo, algumas salas ou
escritrios que venham posteriormente permitir a invaso de algum
computador. Por isso em alguns casos, o treinamento precisa sofrer
adaptaes. Como no exemplo supracitado, os guardas da segurana no
precisariam passar pelo treinamento completo que os usurios de
microcomputadores deveriam passar. J aqueles funcionrios que no
puderem participar dos treinamentos em classe, devero ser
includos no treinamento atravs de outras formas de instruo como,
por exemplo, vdeos, treinamentos baseado em computadores, cursos
on-line ou por material escrito. Tambm muito importante ressaltar a
questo dos empregados que mudarem de cargo, funo e etc. Esses
funcionrios devero passar por um novo processo de treinamento
ajustado s suas novas atribuies. fundamental em um programa de
conscientizao deixar bem claro a importncia de seguir as polticas
de segurana corretamente e os danos que a empresa poder vir a
sofrer se estas no forem seguidas perfeitamente. Os funcionrios
tambm devem ser advertidos a respeito das consequncia que sofrero
se no cumprirem as normas e procedimentos estabelecidos, pois
muitas vezes, os prprios funcionrios ignoram ou at mesmo
negligenciam os procedimentos que acham desnecessrios, ou aqueles
considerados tediosos segundo entendimento prprio. Elaborar um
resumo dessas consequncias e divulg-los amplamente um timo
procedimento a ser realizado. Algo muito interessante que tambm
pode ser colocado em prtica a recompensa para os funcionrios que
seguem as boas prticas de segurana da empresa de maneira correta.
Pois sabemos que o incentivo sempre algo muito motivador. Tambm
interessante divulgar amplamente por toda empresa atravs de
circulares internas, boletins peridicos on-line ou pela prpria
Intranet, os casos frustrados de quebra de segurana onde um
funcionrio atuou de maneira correta evitando algum sinistro.
(MITNICK; SIMON, 2003). Como o prprio ditado diz: A melhor maneira
de resolver um problema evit-lo. No entanto a questo da preveno nas
empresas uma tarefa nada fcil, pois a maioria das empresas no d a
devida ateno para essa questo. Elas concentram seus recursos
financeiros somente na manuteno de sistemas e em
novas tecnologias, ao invs de destinar parte desses recursos
para treinamento e conscientizao dos funcionrios para combater a
engenharia social. Recursos comoIntranet ou correio eletrnico podem
ser to teis para a divulgao, por exemplo, de lembretes de segurana
como mudana de senhas, pois o grande risco quando os funcionrios
relaxam na questo da segurana. Por isso de extrema importncia
insistir, j que esse tipo de ameaa to real nos dias de hoje, quanto
s falhas tcnicas de segurana. Concordando com o que diz Fonseca
(2009), um bom e objetivo processo de conscientizao sobre segurana
da informao no pode deixar de lado os seguintes tpicos:
Descrever a forma com que engenheiros sociais utilizam suas
aptides para manipular e ludibriar. Tticas empregadas pelos
engenheiros sociais para cumprirem suas metas. Como identificar a
ao de um engenheiro social. Como agir ao desconfiar de alguma
solicitao suspeita. A quem reportar as tentativas de ataque
fracassadas ou que tiveram xito. Questionar solicitaes,
independentemente do cargo ou importncia que o solicitante julga
ter. No confiar em pessoas que fazem solicitaes de informaes, sem
antes examinar perfeitamente sua real identidade. Como proceder
para proteger informaes sigilosas.
Como encontrar as polticas e procedimentos de segurana da
informao e sua importncia na proteo das informaes. Sintetizar e
explicar o sentido de cada poltica de segurana como, por exemplo, a
questo da criao de senhas difceis de serem descobertas. A obrigao
do cumprimento das polticas de segurana e as consequncias para o
empregado e para a organizao caso haja algum descumprimento. Como
divulgar material ou informao restrita. Melhores prticas de uso do
correio eletrnico de maneira a no se tornar vtima da engenharia
social, vrus e armadilhas em geral. Questes fsicas da segurana
como, por exemplo, a utilizao de crachs e o questionamento para com
aqueles que esto nas dependncias da organizao sem utiliz-lo.
Eliminao de documentos que contenham informaes confidenciais
independentemente se sua natureza fsica ou eletrnica. Deixar bem
claro que testes sero feitos periodicamente dentro da organizao
para verificar quais funcionrios esto procedendo corretamente e
quais no esto. Fornecer material informativo como, por exemplo,
lembretes atravs do meio de comunicao que julgar conveniente.
Parabenizar publicamente o(s) funcionrio(s) destaque(s) na segurana
da informao.
Testes de intruso e vulnerabilidades usando a engenharia social
podem ser feitos periodicamente com o objetivo de encontrar falhas
ou descobrir o descumprimento das polticas de segurana e at mesmo
pontos fracos no prprio treinamento dos funcionrios. interessante
avisar os funcionrios que testes desse tipo sero realizados
periodicamente. (MITNICK; SIMON, 2003). Tudo isso se resume em uma
reeducao na organizao de maneira a inserir uma nova cultura que
abrange cem por cento da empresa, pois qualquer falha poder ser
fatal. Pode-se considerar que o programa de treinamento teve um bom
aproveitamento se todos que participaram do programa estiverem
convencidos e motivados com a conscincia de que a segurana da
informao faz parte do seu trabalho dirio. (FONSECA, 2009). 3.2.2.
Plano de resposta a incidentes No existe infraestrutura de segurana
da informao que venha garantir cem por cento de proteo, pois as
falhas sempre existiro, por mais remotas que sejam. Portanto as
empresas devem estar preparadas para reconhecer, analisar e
responder aos incidentes de segurana o mais rpido possvel, pois
isso fator fundamental para amenizar os estragos ou diminuir custos
com reparos. importante que as experincias anteriores com outros
incidentes sejam usadas para prevenir ocorrncias semelhantes no
futuro ou at mesmo para aprimorar a segurana atual. O documento que
define as diretrizes para tratar incidentes de segurana chama-se
Plano de Resposta a Incidentes. Ele possui os procedimentos e
medidas a serem tomadas para remediar, corrigir ou contornar os
incidentes. O tratamento de cada incidente depender de alguns
fatores como, por exemplo, a sua magnitude e o risco que trar para
a empresa. (POPPER; BRIGNOLI, 2003).
Como j foi abordado anteriormente, cada empresa possui suas
particularidades e culturas organizacionais, portanto, os
procedimentos de respostas para os incidentes so tambm muito
particulares, pois variam de organizao para organizao. O mais
importante que independente do porte da empresa ou do seu ramo de
atividades, ela dever possuir o seu prprio Plano de Respostas a
Incidentes. As seguintes medidas no podem ser deixadas de lado em
um Plano de Resposta a Incidentes: (POPPER; BRIGNOLI, 2003).
Identificar a autoria dos ataques, assim como sua seriedade,
estragos causados e responsveis pelo incidente. Divulgar o mais
rpido possvel o acontecimento ocorrido para que o mesmo incidente
no ocorra em outras reas da empresa. Tomar as medidas necessrias
para restaurar aquilo que foi afetado como, por exemplo, mudar
senhas, trocar funcionrios, aumentar o nvel de controle. Contatar
os rgos de segurana para que o fato seja registrado, assim como
tentar entrar em contado com os responsveis pelos ataques.
Esse captulo apresentou alguns dos procedimentos que creio ser
fundamentais na criao de uma poltica de segurana da informao que
procura se proteger de ataques de engenharia social, no devendo ser
considerada como uma lista completa de procedimentos, at mesmo
porque isso varia de acordo com o planejamento de cada empresa, ou
seja, esses procedimentos so uma base para a criao de uma poltica
de segurana que se ajuste as necessidades peculiares de cada
empresa.
4. TIPOS DE FRAUDES USANDO A ENGENHARIA SOCIAL, SUAS TCNICAS E
MEIOS UTILIZADOS Nesse captulo, sero abordadas as vrias tcnicas
usadas pelos engenheiros sociais, assim como os meios utilizados
para alcanarem o objetivo de enganar suas vtimas. 4.1. MEIOS MAIS
COMUNS PARA ATACAR Os engenheiros sociais utilizam-se normalmente
dos seguintes meios para atacar suas vtimas: (POPPER; BRIGNOLI,
2003).
Telefone convencional ou VolP (voz sobre IP): O engenheiro
social usa suas tcnica e habilidades passandose por algum para
ludibriar a vtima. Internet: Coletar informaes sensveis dos usurios
como, por exemplo, login e senha ao serem digitados. Intranet: Tem
por objetivo acessar remotamente algum microcomputador da rede com
o objetivo de se passar por algum. E-mail: Enviar e-mails falsos
para induzir a vtima a clicar em links que instalaro vrus, Cavalos
de Troia ou redirecionaro para pginas falsas que capturam dados
digitados. Pessoalmente: Tentar persuadir a vtima. Chats: Tentar se
passar por outra pessoa nas salas de bate-papo. Fax: Obter
informaes primrias para posteriormente fazer um ataque melhor
elaborado.
Correio convencional: Envia correspondncias ou cartas falsas
para as vtimas. um mtodo considerado nada atual, mas muito
utilizado para enganar pessoas mais antigas ou idosas. Spyware: um
software espio que microcomputador sem que a vtima perceba.
monitora o
Redes P2P (Peer-to-Peer): Essa uma tecnologia que permite o
compartilhamento de arquivos entre diversos computadores. O
atacante usa essa tecnologia para espalhar vrus, Cavalos de Troia e
muitas outras pragas, alm de claro oferecer ajuda para suas vtimas
a fim de trapace-las. Redes Sociais: Os sites de relacionamento so
cada vez mais utilizados pelos usurios. O que muitos deles talvez
no saibam e que esses sites deixam um rastro das informaes de
maneira que pessoas mal intencionadas podem se passar por outras
pessoas, camuflando assim sua real identidade. Isso contribui
bastante para o sucesso de um ataque de engenharia social.
4.2. TCNICAS DE ATAQUE MAIS COMUNS Abaixo, encontram-se as
tcnicas e mtodos de ataque mais comuns usados pelos engenheiros
sociais: (POPPER; BRIGNOLI, 2003).
Pesquisa: Essa ttica concerne no colhimento de materiais com a
finalidade de descobrir quem so as pessoas que guardam as informaes
desejadas. O prximo passo ser procurar meios para absorver as
informaes desejadas dessas pessoas.
Personificao e impostura: A personificao se baseia na criao de
um personagem. Um exemplo clssico aquele em que o engenheiro social
faz uma ligao passando-se por algum da rea de informtica da empresa
e diz precisar da senha da pessoa ou se passar por um assistente da
presidncia ou gerencia e pedir informaes em nome do seu chefe.
Muitos engenheiros sociais chegam a estudar padres de fala e o tipo
de linguagem utilizada por suas vtimas, pois cada organizao possui
suas prprias linguagem e expresses. Isso acontece porque ao
conversar com algum utilizando a mesma linguagem, se torna mais
fcil persuadi-lo, pois a vtima se sente mais segura. Em grandes
empresas difcil conhecer todos os funcionrios e devido a isso,
normalmente a vtima acaba cedendo. Diviso de responsabilidades: A
tcnica da diviso de responsabilidades tambm bem comum e se resume
em convencer os funcionrios a compartilharem as senhas com o
objetivo de dividirem determinadas tarefas ou responsabilidades.
Spoofing: Uma nova tcnica utilizada o chamado Spoofing do nmero
telefnico, que tem por objetivo defraudar o sistema de identificao
de chamadas, fazendo com que o nmero exibido pelo identificador de
chamadas seja aquele desejado pelo fraudador. E-mails falsos: Essa
tcnica uma das mais comuns aplicadas pelos engenheiros sociais para
conseguirem dados alheios como, por exemplo, senhas, contas
bancrias, cartes de crdito e etc. Normalmente esses emails falsos
abordam assuntos que esto em alta na mdia, atualizaes de segurana,
recuperao de dados bancrios, promoes, premiaes ou qualquer
outro
assunto que venha despertar a curiosidade da vtima para que ela
seja persuadida a clicar em links que instalaro vrus, cavalos de
troia ou direcionaro para pginas falsas, que capturaro os dados da
vtima ao serem digitados.
Phishing: Criao de sites falsos que possuem o endereo muito
parecido com o site original, tirando assim proveito de erros de
digitao comuns. Ao digitar informaes nesse site, automaticamente os
dados so enviados para os criminosos. Por isso a importncia de ter
certeza se o site verdadeiro antes de enviar qualquer informao.
Engenharia Social Inversa: A engenharia social inversa uma tcnica
mais avanada e que exige muito mais preparao e pesquisa. Nessa
tcnica os papeis se invertem. O atacante finge ser uma autoridade,
de maneira que os funcionrios passaro a pedir informao para ele, at
chegar um ponto que o criminoso extrara informaes valiosas sem que
ningum desconfie. Footprint: Essa tcnica tem por objetivo maior
descobrir informaes a respeito de algumas tecnologias usadas pela
empresa, referentes principalmente ao acesso remoto, Internet e
extranet. Essa tcnica utiliza-se de softwares especiais para
coletar as informaes desejadas e normalmente utilizada quando o
invasor no consegue absorver as informaes desejadas atravs de
outras tcnicas de persuaso devido falta de conhecimento por parte
das vtimas a respeito do assunto desejado pelo invasor.
Vasculhamento do lixo: Por incrvel que parea, o vasculhamento do
lixo da empresa um dos grandes mtodos usados por esses criminosos
para conseguirem acessar informaes sensveis, pois muitas empresas
no
se preocupam com o destino do seu lixo ou sequer utilizam
mquinas fragmentadoras ou trituradoras de papel para que os
diversos documentos sigilosos no sejam recuperados por pessoas mal
intencionadas.
Olhar pessoas digitando: Essa tcnica tem por objetivo descobrir
as senhas das pessoas enquanto elas digitam no teclado. Programao
neurolingustica: Essa tcnica se baseia em imitar o jeito de ser da
vtima como, por exemplo, sua maneira de falar, se expressar, gestos
e entre outros, por um determinado tempo para assim confundi-la, de
maneira a formar certa intimidade, deixando a vtima pensar que est
no comando da situao. At que a partir de certo momento, o
engenheiro social passa a comandar o dialogo sem que a vtima sequer
perceba, capturando assim as informaes desejadas. (JUNIOR,
2006).
Kevin Mitnick tambm ressalta que: prtica comum pedir que um
colega ou subordinado faa um favor. Os engenheiros sociais sabem
como explorar o desejo natural das pessoas de ajudar e fazer parte
de uma equipe. Um atacante explora esse trao humano positivo para
enganar empregado desavisado para que executem aes que o coloquem
mais perto de seu objetivo. importante entender esse conceito
simples para que voc reconhea quando outra pessoa est tentando
manipul-lo. (MITNICK; SIMON, 2003, p. 163). 5. DICAS PARA NO SER
MAIS UMA VTIMA DA ENGENHARIA SOCIAL
De acordo com (PEIXOTO, 2006, p. 20). Se todo funcionrio fosse
to questionador como uma criana, demonstrando interesse nos mnimos
detalhes, ouvindo mais, estando fortemente atento a tudo sua volta,
e principalmente fazendo o uso dos poderosos por qus, com certeza
as empresas transformariam os frgeis cadeados em legtimos
dispositivos dificultantes de segurana da informao. 5.1. COMO SE
PROTEGER O bom senso fundamental nesses casos. Fique bastante
atento com relao a qualquer tipo de abordagem, independente do meio
utilizado, como por exemplo, e-mails, telefone e etc. No fornea
informaes confidenciais como, por exemplo, senhas. J nos casos de
mensagens que tentam induzir a clicar em links contidos no e-mail
ou em alguma pgina da Internet, a melhor coisa a fazer entrar em
contato com o remetente do e-mail ou com a instituio se for o caso,
para certificar-se a respeito do assunto. (COMIT GESTOR DA INTERNET
NO BRASIL, 2006). Esses so alguns dos maiores erros cometidos
dentro do ambiente corporativo que aumentam potencialmente o risco
de se tornar uma vtima da engenharia social: (PEIXOTO, 2006)
Mencionar senha por telefone um erro gravssimo, pois antes de
disponibilizar qualquer tipo de informao, deve-se saber com quem se
fala e de onde fala, alm de conferir atravs de aparelhos
identificadores de chamada se o telefone de origem da ligao est
realmente batendo com o mencionado. Tambm importante conferir o
motivo pelo qual solicitaram determinada informao. Lembrando que
existe uma tcnica j abordada no captulo anterior
chamada Spoofing, que faz com que o nmero exibido pelo
identificador de chamadas seja aquele desejado pelo fraudador.
Portanto, no seguro confiar somente nessa informao para ter certeza
que o solicitante realmente quem diz ser;
Visitantes terem acesso rea interna na empresa, obtendo contato
com as informaes confidenciais; Entrega de informaes sem o devido
conhecimento real de quem as est levando; Entrada de pessoas no
autorizadas ou principalmente sem identificao, com portas abertas e
expostas entrada de qualquer um; Recebimento de informaes digitais
(disquete, CD etc.) sem o prvio conhecimento da procedncia (de onde
realmente vem e de quem vem e do que se trata), sem fazer
primeiramente uma inspeo do material recebido em algum lugar ou
equipamento que no comprometa a empresa ou organizao; Descarte
incorreto de material que se acha intil, como por exemplo, no
triturar documentos antes de jog-los fora e de preferncia em
diversas lixeiras ou o descarte de disquetes, CDs e outros, sem
eliminar definitivamente as informaes contidas neles; Gavetas
abertas, de fcil acesso a documentos. Jogo via internet ou mesmo
por disquetes, Pen-drives ou CD-ROM so passveis de conter
armadilhas, como ativao de worms, cavalos de troia, vrus e dentre
outros perigos que se escondem por trs dos envolventes jogos, ou
diverses oferecidas;
Deixar expostos arquivos de backup, no guardando em lugar seguro
e confivel, alm de demonstrar explicitamente que um backup. Nome de
usurio e senhas expostas para qualquer um que passar ver e ter
acesso. Disquetes, Pen-drives, CDs, documentos, material particular
como bolsas, carteiras em cima da mesa ou expostos, com grande
facilidade de algum se apoderar ou ter acesso, principalmente se as
portas ou janelas ficam sempre abetas. Programas, documentos
digitais gravados em disquete ou CDs, no sendo devidamente
guardados em lugares seguros onde somente aqueles que podem ter
realmente acesso seriam portadores da informao; Computador ligado
exibindo informaes confidenciais como senha, login de usurio,
cdigos fontes; Acessos a sites indevidos, no confiveis, ou fora das
polticas de trabalho da empresa; Computador ligado e, sobretudo,
logado com a senha e nome de algum usurio esquecidinho, deixando o
uso da mquina disponvel para algum no autorizado. Sistema de alarme
desativado, desligado ou inoperante, em caso de alguma urgncia ou
emergncia; Softwares em lugar no seguro; bem como livros, apostilas
etc., que contenham informaes que sirvam como um facilitador em
trazer palavras de cunho tcnico de modo a disponibilizar id,
senhas, sejam elas default ou no;
Enfeites, como vasos, quadros, dentre outros, servindo como mera
distrao, fugindo do habitual e tradicional layout de arranjo do
ambiente de trabalho, podendo ser alvo de suspeita, pois atrs
desses enfeites podem estar guardados, escondidos ou implantados
sistemas de escuta, gravadores, dentre outros pequenos sistemas que
podem colher informaes ditas ou vivenciadas naquele ambiente.
Paranoias e neuroses parte, todo cuidado pouco;
Quanto aos riscos inerentes aos fatores humanos, podem-se
destacar como exemplo os seguintes controles: (SMOLA, 2003 citado
por PEIXOTO, 2006, p. 53).
Seminrios de sensibilizao; Cursos de capacitao; Campanhas de
divulgao da poltica de segurana; Crachs de identificao;
Procedimentos especficos para demisso e admisso de funcionrios;
Termo de responsabilidade; Termo de confidencialidade; Softwares de
auditoria de acessos; Softwares de monitoramento e filtragem de
contedo;
As prticas acima citadas ajudaro a minimizar a possibilidade da
empresa se tornar mais uma vitima da engenharia social. Podemos
constatar na viso de (PEIXOTO, 2006, p. 54)
A maior prova para se ter certeza de que voc ser a prxima vtima
da engenharia social simplesmente subestimar o praticante desta
arte. Mas como ao certo saber quem afinal o engenheiro social
naquele dado momento, lugar ou situao? No saber, na primeira
instncia. Apenas desconfiar de algum suspeito medida que voc v
adquirindo conhecimento das tcnicas padres e revolucionrias da
engenharia social. E assim percebendo algumas gafes do engenheiro
social, deixar a incerteza para ento capturar o alvo certo. Abaixo,
mais algumas dicas para manter seu computador seguro ao acessar a
Internet. (SISTEMA DE COOPERATIVAS DE CRDITO DO BRASIL,
[200-?]).
Instale um bom programa de antivrus e, pelo menos uma vez por
semana, faa uma verificao completa do computador; Use sempre cpia
original do programa de antivrus, pois as cpias piratas geralmente
j esto infectadas e no funcionam corretamente; Configure seu
antivrus para procurar por atualizaes diariamente; Use seu antivrus
para verificar todo arquivo baixado antes de abri-lo ou execut-lo
pela primeira vez; Cpias originais do Windows so mais seguras e so
atualizadas periodicamente pela Microsoft;
Mantenha o sistema operacional do seu computador e seus
programas sempre atualizados para proteg-los contra as falhas de
segurana, que so descobertas todos os dias; Somente instale
programas de fontes confiveis. Evite os servios de compartilhamento
(por exemplo: Kazaa, Bittorrent, Limeware, Emule, etc.). Eles so
uma das principais fontes de disseminao de programas nocivos; No
abra e-mails e arquivos enviados por desconhecidos; No abra
programas ou fotos que dizem oferecer prmios; Cuidado com os
e-mails falsos de bancos, lojas e cartes de crdito; Jamais abra
arquivos que terminem com PIF, SCR, BAT, VBS e, principalmente, os
terminados com EXE e COM; Se voc desconfiar de um e-mail recebido,
mesmo quando enviado por pessoa conhecida, cuidado, pois pode ser
um e-mail falso; Verifique se o endereo que est aparecendo em seu
navegador realmente o que voc queria acessar; No confie em tudo o
que v ou l; No autorize instalao de software de desconhecidos ou de
sites estranhos; Antes de clicar em um link, veja na barra de
status do navegador se o endereo de destino do link est de acordo
com a descrio do mesmo; Sempre desconfie de ofertas e sorteios dos
quais no tenha prvio conhecimento.
Ao realizar compras pela Internet procure reconhecidamente
seguros;
por
sites
Se for utilizar o seu carto de crdito ou tiver que fornecer
dados bancrios, verifique se a pgina acessada utiliza tecnologia de
criptografia, ou seja, o endereo da pgina acessada deve comear com
https e deve aparecer o cone de um cadeado na barra de status
(parte inferior) ou direita da caixa do endereo, dependendo do
navegador. Uma observao importante a ser feita, que Crackers
colocam imagens de cadeados para fazer com que os usurios pensem
que o site seguro, mas na realidade no . Se voc desconfiar de um
site de compra, deixe-o de lado e compre em outro lugar. Ao
preencher qualquer cadastro seja ele virtual ou no, s fornea
informaes de extrema necessidade. No acredite em todos os e-mails
sobre vrus, principalmente aqueles de origem duvidosa que trazem
anexo arquivo para ser executado, prometendo solucionar o problema;
Jamais acredite em pedidos de pagamento, correo de senhas ou
solicitao de qualquer dado pessoal por e-mail. Comunique-se por
telefone com a instituio que supostamente enviou o e-mail e confira
o assunto. Nunca realize operaes bancrias ou transaes pela internet
que possuam informaes pessoais de lugares pblicos como, por
exemplo, LAN-Houses, pois computadores pblicos muitas vezes contm
cdigos maliciosos, instalados por pessoas mal-intencionadas,
capazes, por exemplo, de registrar tudo o que voc digitar
no teclado, facilitando a quebra de sigilo dos seus dados
confidenciais. Os mecanismos de busca da Internet indexam um nmero
enorme de pginas Web e outros recursos.Crackers podem usar esses
mecanismos para fazer ataques annimos, procurar por vitimas e
adquirir o conhecimento necessrio para montar um poderoso ataque
contra a rede. Os mecanismos de busca so perigosos em grande parte
porque usurios so descuidados. Alm disso, os mecanismos de busca
podem ajudar a evitar a identificao dos Crackers. Mecanismos de
busca tornam a descoberta de maquinas expostas quase sem esforo.
Nos ltimos anos, os mecanismos de busca tm recebido uma grande
quantidade de ateno negativa por expor informaes confidenciais.
Como resultado, o mais interessante que so as consultas, no retorna
mais resultados teis. (MCCLURE; SCAMBRAY; KURTZ, 2009, p. 553,
traduo nossa). A tabela abaixo exibe as reas de risco da empresa, a
ttica do invasor e a respectiva estratgia de combate, para assim
evitar ser mais uma vtima. (POPPER; BRIGNOLI, 2003). Tabela 2 reas
de Risco, Tticas e Estratgiasrea de Risco Ttica do invasor
Estratgia de Combate Desenvolver na empresa uma poltica de mudana
frequente de senhas e treinar os demais funcionrios para nunca
passarem senhas ou outras informaes confidenciais por telefone;
Treinar os funcionrios da segurana para no permitirem o acesso de
pessoas sem o devido crach de identificao e mesmo assim fazer uma
verificao visual; No digitar senhas na presena
Suporte de Informtica
Representao e persuaso
Entrada de edifcios
Acesso fsico no autorizado;
Escritrios
Caminhar pelo ambiente;
Suporte telefnico
Usar de disfarces na hora de solicitar ajuda aos atendentes,
geralmente se passando por outra pessoa; Caminhar pelos corredores
procura de salas desprotegidas; Insero de mensagens falsas;
Escritrios Sala de correspondncia Sala dos servidores
de pessoas estranhas, a no ser que voc consiga fazer isso
rapidamente; Os atendentes devem solicitar sempre um cdigo de
acesso, para s ento prestarem o suporte solicitado; Todos os
visitantes devem ser acompanhados por um funcionrio da empresa;
Fechar e monitorar a sala de correspondncia;
Instalam programas analisadores de Manter sala dos servidores
protocolo para conseguirem sempre trancada, e o inventrio informaes
confidenciais, alm da de equipamentos atualizado; remoo de
equipamentos; Controlar chamadas para o exterior e para longas
Central telefnica Roubar acesso a linhas telefnicas distncias, e
recusar pedidos de transferncias suspeitas; Criar e/ou inserir
programas Criar senhas fortes e fazer uso Internet eintranet
naInternet ou intranet para capturar consciente da mesma, senhas;
alterando-a periodicamente. Guardar o lixo da empresa em lugar
seguro, triturar todo tipo Depsito de lixo Vasculhar o lixo; de
documento, e destruir todo o tipo de mdia magntica fora de uso;
Tabela 2 reas de Risco, Tticas e Estratgiasrea de Risco
Escritrio Ttica do invasor Estratgia de Combate
Manter os documentos confidenciais fora do alcance Roubar
documentos de pessoas no autorizadas, de preferncia em importantes;
envelopes fechados.
Fonte: (POPPER; BRIGNOLI, 2003). Quase todos esses ataques
poderiam ser evitados se o empregado alvo seguisse estas
etapas:
Verificar a identidade da pessoa para ter certeza se ela
realmente quem diz ser.
Certificar se a pessoa realmente possui autorizao. Ficar sempre
atento ao ser abordado por algum, principalmente se voc no conhece
a pessoa. Independente se a abordagem foi feita atravs do telefone,
carta ou e-mail, no fornea informaes sensveis, pessoais ou at mesmo
da organizao onde trabalha. No clicar em links antes de verificar a
autenticidade da solicitao. Vrias so as vtimas de e-mails falsos.
Para no ser mais uma vtima dessa armadilha, entre em contato com a
fonte da solicitao seja ela uma pessoa, empresa, rgo pblico e etc.
A melhor coisa a fazer enquanto estiver navegando na Web ser
cauteloso e manter o antivrus e detectores de pragas virtuais em
geral sempre atualizados. Escolher senhas fortes e no compartilhar
com outras pessoas.
5.1.1. Elaborando senhas fortes Com relao elaborao de senhas: A
displicncia dos usurios que criam senhas fceis de serem
descobertas, que ficam longos perodos sem alter-las, e ainda
utilizam a mesma senha para acesso a vrias contas, torna o ataque
mais simples. Basta enviar um cadastro oferecendo um brinde ou a
participao em um sorteio que solicite o nome e senha do usurio e
pronto. O hacker ter a sua disposio tudo o que necessrio para um
ataque, sem grande esforo (GRANGER, 2001 apud POPPER; BRIGNOLI,
2003, p. 4-5).
Isso pode ser reforado pela seguinte opinio: Muitos usam como
senha, palavras que existem em todos os dicionrios, seus apelidos,
ou at mesmo o prprio nome que, com um software gerenciador de
senhas, possvel decifr-las em segundos. (VIRINFO, 2002 apud POPPER;
BRIGNOLI, 2003, p. 4). Para um engenheiro social, uma senha forte
ser aquela composta por uma sequncia aleatria de caracteres. Os
seguintes critrios podem ajudar sua senha a se tornar forte:
(MICROSOFT CORPORATION, 2006).
Escolha senhas longas, pois para cada caractere adicionado,
maior ser a proteo. A quantidade mnima de caracteres recomendvel
oito para uma senha segura. O ideal seria no mnimo quatorze
caracteres. Uma frase secreta fcil de lembrar e por ser mais longa,
ser mais seguro ainda. A combinao de letras, nmeros e smbolos
ajudam bastante a aumentar a fora da senha. Quanto maior a
variedade de caracteres, mais poderosa ser a senha. Quanto menor a
variedade de caracteres maior dever ser a senha. Uma senha que
possui quinze caracteres composta somente por letras e nmeros
aleatrios cerca de 33.000 vezes mais forte do que uma senha de oito
caracteres que composta por elementos de todo o teclado. lgico que
uma senha ideal possui vrios tipos de caracteres diferentes e ao
mesmo tempo longa. Use a tecla "Shift", pois sua senha ser muito
mais forte se voc combinar os smbolos gerados atravs dessa
tecla.
Use frases ou palavras que voc lembre com facilidade, mas que ao
mesmo tempo seja difcil de algum adivinhar.
Vejamos alguns passos para criar sua senha forte: 1) Escolha uma
frase fcil de lembrar como por exemplo. "Meu filho Carlos tem trs
anos ou ento utilize a primeira letra de cada palavra que ficaria
assim mfctta. 2) Uma tima opo se o sistema aceitar a utilizao de
espaos entre as palavras ou caracteres. 3) Lembre-se de que quanto
maior e mais complexas as combinaes forem, mais forte ser a senha,
ento ao invs de usar mfctta como no primeiro exemplo, pode-se usar
MfcTtA, Meu FilhO CarLos tem 3 aNos ou MeuFilhO KrlOs t&m 3
@no$.. Essa a oportunidade de usar a imaginao. Teste sua senha em
um verificador de senhas. Este um recurso que ajuda a medir a fora
da sua senha. (MICROSOFT CORPORATION, [200-?]). Estratgias para
evitar senhas fracas
Evite escolher sequencias repetidas como, por exemplo: 123456,
3333333, abcdefg ou letras prximas no teclado. Evite tambm
substituies semelhantes como, '1' no lugar de 'i' ou '@' no lugar
de 'a', como em "M1cr0$0ft" ou "Senh@", lembrando que essas
substituies podem sim se tornar fortes mais somente quando
combinadas com vrios outros caracteres. No use nome de login, data
de aniversrio, parte do nome, nmero de documentos, informaes de
familiares, pois
informaes pessoais e de familiares so as primeiras a serem
testadas pelos invasores.
Tambm no use palavras encontradas em dicionrios, pois existem
softwares sofisticadssimos que utilizam essa tcnica, e inclusive
palavras de trs para frente, erros comuns de digitao, substituies e
at mesmo aquelas palavras que um adulto consciente jamais falaria
perto das crianas. Use uma senha diferente para cada site ou
sistema. Pois se voc utiliza a mesma senha para tudo e algum
descobrir, todas as outras tambm sero descobertas e a catstrofe ser
bem maior.
O objetivo maior dessas dicas minimizar ou dificultar ao mximo a
possibilidade de um ataque de engenharia social. Pois segundo o
prprio Kevin Mitnick, considerado o maior entendido do assunto: A
verdade que no existe uma tecnologia no mundo que evite o ataque de
um engenheiro social (MITNICK; SIMON, 2003, p. 195). O prprio
Mitnick considerado o maior especialista em engenharia social do
qual se tem notcias, em uma das suas raras vindas ao Brasil no
final do ano de 2003, concedeu uma entrevista para a Information
Week Brasil, onde declarou que foi vtima de engenharia social ao
receber uma ligao de um jornalista dizendo que havia conversado com
seu editor. Desatento, Mitnick confiou na palavra do jornalista e
deu uma entrevista sobre o livro. Depois, quando a reportagem foi
publicada o editor de Mitnick ligou para ele furioso, pois toda a
estratgia para o lanamento do livro The Art of Deception (A arte de
enganar) havia sido prejudicada por causa da entrevista, que o
editor no havia autorizado. (PEIXOTO, 2006). CONCLUSO
O presente artigo procurou abordar a engenharia social de
maneira a esclarecer o que realmente essa prtica to utilizada nos
dias atuais para alcanar algum objetivo atravs da trapaa. Assim
como a importncia que a informao tem para as organizaes e a
necessidade de proteg-la. A maioria dos incidentes envolvendo a
segurana da informao est diretamente ligada ao fator humano, pois
este est totalmente relacionado com a segurana da informao. A
segurana da informao tem um inicio e termina nas pessoas. Segurana
da informao est mais relacionada com processos do que com a prpria
tecnologia. Por isso no adiantar nada investir pesado em tecnologia
e deixar de lado o fator humano. A conscientizao fundamental, sem
ela a empresa corre um risco enorme, pois as vulnerabilidades
humanas so evidentes e bem exploradas pelos engenheiros sociais. O
artigo atingiu os objetivos estabelecidos, que eram colaborar como
um instrumento de conscientizao a respeito do tema proposto,
mostrando ao leitor o quanto as pessoas so manipuladas e
ludibriadas nos dias de hoje atravs da engenharia social. Fazer
tambm com que o leitor possa identificar um suposto ataque de
engenharia social e, sobretudo reconhea o prprio engenheiro social
atravs de suas caractersticas marcantes. Expor tambm procedimentos
bsicos que no podem de maneira alguma ficar de fora de uma poltica
de segurana para treinamento e conscientizao dos funcionrios. E
finalmente dar dicas ao leitor que podem ajud-lo a no cair nas
armadilhas do engenheiro social e assim no vir a se tornar mais uma
vtima dessa prtica. Conforme proposto no inicio, o artigo procurou
no abordar a parte tcnica da segurana da informao que envolve
abordagens a respeito de cdigos, protocolos e etc. Buscou sim
abordar bem os mtodos e tcnicas utilizadas pelos intrusos para
roubarem informaes e comprometerem a segurana da informao.
Espero ter alcanado as expectativas do leitor e ter tambm
contribudo de alguma maneira para a difuso do conhecimento
adquirido atravs dessa pesquisa que resultou na criao do artigo
proposto. REFERNCIAS ALLEN, Malcolm. Social Engineering: A Means to
Violate a Computer System. SANS Institute InfoSec Reading Room.
[S.l.], 13 f., june./dec. 2006. Disponvel em: . Acesso em: 20 ago.
2010. ARAUJO, Eduardo E. de. A VULNERABILIDADE HUMANA NA SEGURANA
DA INFORMAO. 2005. 85 f. Monografia (Graduao) Faculdade de Cincias
Aplicadas de Minas, Unio Educacional Minas Gerais S/C LTDA,
Uberlndia, 2005. Disponvel em: . Acesso em: 14 out. 2010. ASSOCIAO
BRASILEIRA DE NORMAS TCNICAS. NBR ISO/IEC 17799: tecnologia da
informao: tcnicas de segurana cdigo de prtica para a gesto da
segurana da informao. Rio de Janeiro, 2005. 120 p. Disponvel em:
< http://xa.yimg.com/kq/groups/21758149/952693400/name/ABNT+N
BR+ISO+IEC+17799+-+27001-2005++Tecnologia+da+Informa
%C3%A7%C3%A3o+-+T%C3%A9cnicas+de+Seguran%C3%A7a++C%C3%B3digo+de+Pr%C3%A1tica+para+a+Gest%C3%A3o>.
Acesso em: 24 set. 2010. COMIT GESTOR DA INTERNET NO BRASIL. Centro
de Estudos, Resposta e Tratamento de Incidentes de Segurana.
Cartilha de Segurana para Internet. So Paulo, 2006. 95 p. Disponvel
em: . Acesso em: 23 ago. 2010. ERICKSON, Jon. Hacking: the art of
exploitation. San Francisco: No Starch Press, 2003.
FONSECA, Paula F. Gesto de Segurana da Informao: O Fator Humano.
2009. 16 f. Monografia (Especializao) Redes e Segurana de
Computadores, Pontifcia Universidade Catlica do Paran, Curitiba,
2009. Disponvel em: . Acesso em: 24 ago. 2010. JUNIOR, Guilherme.
Entendendo o que Engenharia Social. [S.l.: s.n.], 2006. Disponvel
em: . Acesso em: 5 set. 2010. MARCELO, Antonio; PEREIRA, Marcos. A
Arte de Hackear Pessoas. Rio de Janeiro: Brasport, 2005. MCCLURE,
Stuart; SCAMBRAY, Joel; KURTZ, George. Hacking exposed 6: network
security secrets & solutions. [S.l.]: The McGraw-Hill
Companies, 2009. MICROSOFT CORPORATION. Ajude a proteger suas
informaes pessoais com senhas fortes. [S.l.:s.n.], 2006. Disponvel
em: . Acesso em: 20 ago. 2010. MICROSOFT CORPORATION. Verificador
de senha. [S.l.:s.n.], [200-?]. Disponvel em: . Acesso em: 20 ago.
2010. MITNICK, Kevin D.; SIMON, William L. A arte de enganar:
Ataques de Hackers: Controlando o Fator Humano na Segurana da
Informao. So Paulo: Pearson Education, 2003. MITNICK, Kevin D.;
SIMON, William L. The art of intrusion: the real stories behind the
exploits of hackers, intruders, and deceivers. Indianapolis: Wiley
Publishing, 2005. PEIXOTO, Mrio C. P. Engenharia Social e Segurana
da Informao na Gesto Corporativa. Rio de Janeiro: Brasport, 2006.
PILARES da segurana da informao. Disponvel em: . Acesso em: 31 out.
2010.
PIPKIN, Donald L. Halting the hacker: a practical guide to
computer security. 2nd ed. Upper Saddle River: Pearson Education,
2003. POPPER, Marcos Antonio; BRIGNOLI, Juliano Tonizetti.
ENGENHARIA SOCIAL: Um Perigo Eminente. [2003]. 11 f. Monografia
(Especializao) Gesto Empresarial e Estratgias de Informtica,
Instituto Catarinense de Ps-Graduao ICPG, [S.l.], [2003]. Disponvel
em: . Acesso em: 19 ago. 2010. PRESCOTT, Roberta. Fator humano: um
dos pilares da segurana da informao. [S.l.:s.n.], 2007. Disponvel
em: . Acesso em: 03 out. 2010. RUSSELL, Ryan. Stealing the network:
how to own the box. Rockland: Syngress Publishing, 2003. SANTOS,
Luciano A. L. O impacto da engenharia social na segurana da
informao. 2004. 82 f. Monografia (Especializao) Universidade
Tiradentes, Aracaju, 2004. Disponvel em: . Acesso em: 14 out. 2010.
SCHWARTAU, Winn. Engenharia social: pessoas ainda so elo mais
fraco. [S.l.:s.n.], 2010. Disponvel em: . Acesso em: 15 out. 2010.
SILVA, Elaine M. da. Cuidado com a engenharia social: Saiba dos
cuidados necessrios para no cair nas armadilhas dos engenheiros
sociais. [S.l.:s.n.], 2008. Disponvel em: . Acesso em: 20 out. 2010
SILVA, Maicon H. L. F. da; COSTA, V. A. de S. F. O fator humano
como pilar da Segurana da Informao: uma proposta alternativa. Serra
Talhada (PE), 2009. Disponvel em: . Acesso em: 31 out. 2010.
SISTEMA DE COOPERATIVAS DE CRDITO DO BRASIL; CONFEDERAO NACIONAL
DE COOPERATIVAS DE CRDITO. Cartilha de Segurana da Informao.
[S.l.:s.n.], [200?]. Disponvel em: . Acesso em: 24 ago. 2010.
SKYLAN: technology. Disponvel em: . Acesso em: 31 out. 2010.