Artigo engenharia social

179 visualizações

Publicada em

0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
179
No SlideShare
0
A partir de incorporações
0
Número de incorporações
1
Ações
Compartilhamentos
0
Downloads
4
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Artigo engenharia social

  1. 1. ENGENHARIA SOCIAL (A ARTE DE ENGANAR)Racy Rassilanracy@unipacto.com.brRESUMOA engenharia social consiste na arte de enganar seres humanos, objetivando a obtenção deinformações sigilosas. Onde os criminosos são os engenheiros sociais que vasculham e exploramfalhas humanas. Usando-se para isso muitas vezes métodos ilusórios como: dinheiro fácil, amor,curiosidade (e-mail dizendo que o usuário ganhou um prêmio e outros assuntos atrativos).Conhecidos como Engenheiros Sociais, são pessoas dotadas de conhecimento amplo emtécnicas e esperteza para analisar o perfil de sua vitima, traçando-lhe uma boa estratégia paraconseguir seus objetivos através da ingenuidade das vítimas. Vemos isso acontecendoprincipalmente via internet. As vítimas normalmente, pessoas comuns que não compreendem ounão valorizam suas informações, a ponto de resguardá-las destes agentes. Caem em suas lábias.ABSTRACTThe social engineering consists of the art of deceiving human beings, aiming at theobtaining of secret information. Where the criminals are the social engineers that search and theyexplore human flaws. Being used for that a lot of times illusory methods as: easy money, love,curiosity (e-mail saying that the user won a prize and other attractive subjects).Known as Social Engineers, they are people endowed with wide knowledge in techniques andsmartness to analyze the profile of yours it slays, tracing him/her a good strategy to get yourobjectives through the victims ingenuousness. We see that happening mainly he/she saw internet.The victims usually, common people that dont understand or they dont value your information,to the point of to protect them of these agents. They fall in your cunnings.
  2. 2. INTRODUÇÃOA Engenharia Social é a arte de se enganar pessoas que não tem informação e ouconhecimento suficiente para se livrarem destes ataques. Atualmente, a informação constitui umbem de suma importância para as organizações dos mais variados segmentos. A Internetpopularizada ao longo da década de 90 permitiu a troca e disponibilidade de informações emmassa por meio da WWW (World Wide Web). Outros mecanismos de comunicação e troca deinformações, como correio eletrônico, proporciona benefícios no uso profissional e pessoal,porém, tem quem o use para suas trapaças.Como as informações passaram a ser digitalizadas e trafegadas de um lugar para outro pelomundo virtual surgiram os Engenheiros Sociais (atacantes), pessoas com muito conhecimento emalicia nesta área com o objetivo de obter informações importantes e sigilosas. A engenhariasocial explora sofisticadamente as falhas de segurança humanas, que por falta de treinamentopara esses ataques, podem ser facilmente manipuladas.JUSTIFICATIVAAtualmente as informações são cada vez mais valiosas e todas essas são guardadas emanipuladas pela tecnologia da informação como computadores, redes, internet, banco de dadosestes sistemas são protegidos por senhas e manipulados por seres humanos que muitas vezes nãotem nenhum conhecimento sobre as técnicas de engenharia social e tornam-se vitimas constantesde ataques de pessoas que exploram as falhas não dos sistemas e sim as falhas humanas.Este artigo visa mostrar as principais técnicas usadas pela engenharia social e alguns métodospara evitá-las. Objetiva-se diminuir a vulnerabilidade dos seres humanos a esses ataques, que setornaram constantes e prejudiciais às pessoas físicas e jurídicas.Como profissionais de tecnologia temos que conhecer o máximo de seguimentos possíveis anossa mente, então consoante a esta afirmação devemos compreender sobre ‘engenharia social’.Uma vez que ao fazermos softwares muitas vezes quase ‘perfeitos’ e que acabam sendo violadospor estes agentes, e os usuários colocarão a culpa em quem os criou.
  3. 3. COMPREENDENDO A ENGENHARIA SOCIALSegurança de sistemas computacionais, termo utilizado para qualificar os tipos de instruçõesnão técnicas, dá-se ênfase à interação humana. Freqüentemente envolve infelizmente a habilidadede enganar pessoas objetivando violar procedimentos de segurança.É importante salientar que, independente do hardware, software e plataforma utilizada, oelemento mais vulnerável de qualquer sistema é o usuário. Uma vez que este é quem manipula asinformações muitas vezes de forma descuidosa tornado-o susceptível a ataques de engenhariasocial.O QUE A ENGENHARIA SOCIAL DEPENDE PARA OBTER SUCESSOO sucesso da engenharia social depende diretamente do quanto sua vítima é desinformadasobre o assunto que ela trabalhará para manipulá-lo, seu envolvimento e interesse sobre o mesmo.Podemos dizer que administradores de sistemas, especialistas em segurança computadorizada,técnicos e pessoas que se interessam pela computação, são os mais envolvidos em engenhariasocial, tornando-se ‘hackers’ e ‘crackers’’.Pessoas realmente envolvidas pela computação e sem informação susceptíveis são mais fáceisde persuadir com bons argumentos. Estes, porém devem trabalhar a cabeça da vítima de forma anão gerar desconfiança, de forma eficaz, que garantirá a confiabilidade do receptor. Basicamente,pessoas sem conhecimento necessário da malícia informatizada, infelizmente serão facilmentepersuadidas pela engenharia social.
  4. 4. OS ATAQUESOs ataques são sempre feitos por pessoas mal intencionadas que usa a confiança das pessoaspara obter informações sigilosas e importantes. Geralmente esses enganadores se passam poroutras pessoas ou mesmo usam nome de empresas de ‘nome’, que inspiram confiança na vítima.Fazem-se passar por prestadores de serviço como: agente imobiliário, agente de seguros e outros.O objetivo do ataque é sempre o mesmo obter informações custe o que custar, explorando,sobretudo, as falhas humanas.Para isso, esses vilões começam pela coleta de informações sobre suas vitimas, como gostos porfilme, jogos, comidas, mulheres, homens e etc. Cria-se um ambiente descontraído para a vitimase sentir confortável com o vilão, e assim começar a falar sobre coisas que o engenheiro desejasaber. Conseguem até tornarem-se amigos das vitimas, de tanta confiança que inspiram.MÉTODOS MAIS UTILIZADOS• Aproximação:Quando o ataque não é virtual, os engenheiros se aproximam da vitima, lançando-lhe paposque possivelmente serão de seu interesse. Objetivando é claro, conquistar sua confiança,deixando-o à vontade, descontraída e com isso fale coisas sigilosas sem nem perceber que asfalou.• Vírus que se espalham por e-mail:Engenheiros Sociais com conhecimento em programação geralmente usam vírus que seespalham via e-mail. Uma vez que o e-mail é infectado, envia uma informação para outro e-maileste outro e-mail também ficará infectado. O vírus de e-mails geralmente tem como assunto,conteúdos de interesse do usuário como: promoções, sexo, jogos, vídeos e etc.Um dos exemplos mais clássicos é o vírus ‘I Love You’, este chegava ao e-mail das pessoasusando este mesmo nome. Ao receber a mensagem, muitos pensavam que tinham um(a)admirador(a) secreto(a) e na expectativa de descobrir quem era, clicavam no anexo e contaminam
  5. 5. o computador. Repare que neste caso, o autor explorou um assunto que mexe com qualquerpessoa (Relacionamento Amoroso).• E-mails falsos (scam):Esta técnica tem sido a mais utilizada pelos criminosos de engenharia social para roubaremsenhas de banco. Uma vez que os sistemas dos bancos cada vez são mais invioláveis os clientesse despreocupam ao usar os sistemas, tornando fácil a ação dos engenheiros sociais agirem sobreeles. Os passos para este método primeiramente é adquirir uma lista de e-mails de grandequantidade de clientes de um determinado banco, enviar para estes endereços informações epromoções falsas, requisitando dados dos mesmos para participarem, estes caem no golpepreenchendo os formulários idênticos aos originais de seu banco, mas que na verdade são falsos etransmitirão os dados aos golpistas que o usaram em seu benefício.• Salas de bate-papo (chats):Nas salas de bate papo os engenheiros procuram conhecer suas futuras vítimas. Explorando-as, descobrindo suas fraquezas sentimentais, para poder explorá-los de uma forma a não levantarsuspeitas, usando táticas como papo sobre amor, carros, esporte. Assuntos considerados emalguns sites como perguntas secretas. Um exemplo disto é quando se faz uma conta de e-mail nohotmail.com, onde é requisitado que se escolha uma pergunta secreta e sua respectiva respostacomo local de nascimento da mãe, o nome do primeiro carro, professor favorito e etc. Então oengenheiro toma saber qual é a pergunta secreta do usuário e começa a perguntá-lo coisasassociadas à mesma.
  6. 6. DISTORÇÃO DE PERSONALIDADENormalmente o aplicador não se mostrará assim como ele é e sim por uma pessoa que agradaráde alguma forma a vítima. O aplicador se incumbirá de fazer um e-mail falso, dar nomesugestivo, com interesse falso para agradar sua vítima. Mas não podemos descartar o fato de quese o aplicador realmente necessitar invadir o sistema daquela pessoa, ele pode mostrar-se assimmesmo como ele é, numa prestação de serviço. O problema é que se alguma coisa der errada avítima estará ciente de quem foi à última pessoa a lhe fornecer ajuda no computador. Esse é omotivo da camuflagem de personalidade.COMO NÃO SE TORNAR UMA DAS VITMASEspecialistas afirmam, à medida que a sociedade torna-se cada vez mais dependente dainformação, a engenharia social tende a crescer e constituir-se numa das principais ameaças aossistemas de segurança das (grandes) organizações. Na era digital em qual vivemos devemostomar consciência dos nossos atos e para isso existem alguns passos a serem seguidos para não setornar uma vítima de engenharia social:O primeiro e principal passo, é ter bom senso analisar calmamente as situações eprincipalmente as novas pessoas que entram do nada em nossas vidas, muitas vezes sem motivoalgum aparente. Ficando assim bem atento a qualquer tipo de abordagem, seja ela de qualnatureza for como, e-mail, carta, ou até mesmo pessoalmente, onde uma pessoa (atacante) tentao induzir a fornecer informações confidenciais pessoais e até mesmo sobre a empresa em quetrabalha.O segundo Passo ficar atento quando lhe for requisitado informações pessoais por ligação, e-mail ou pessoalmente, como: CPF, RG, Números de Cartão de Credito. A vítima antes de tudo
  7. 7. deve verificar a autenticidade da ligação que esta recebendo, do crachá que o atacante apresentoue etc.O terceiro Passo Evitar clicar em link’s que direcionam para arquivos com extensões (.exe,.com, .bat, .src), uma vez que estes são executáveis e podem fazer algo indesejável em seucomputador. Para saber isto basta deixar o mouse um tempo parado sobre o link e na barrainferior aparecerá o endereço que aquele link o direcionará. E assim será mostrado o link mais onome do arquivo com a extensão do arquivo que ele ira abrir se o mesmo tiver referenciandoalguma das extensões mencionadas não clique e exclua o e-mail.O quarto Passo este passo cabe mais a empresa, no sentido de treinar seus funcionários quelidam com informações sigilosas. Ministrando cursos que elevem seus conhecimentos sobreengenharia social. A fim de eliminar a vazão de informações sobre os processos realizados naempresa, o que a prejudicará muito se acontecer.CONCLUSÃONa engenharia social existe dois principais personagens o enganador e o enganado. Oenganador é o engenheiro social, que usa seus diversos métodos pra conseguir informaçõessigilosas para seu benefício. Já o enganado é a vítima humana que infelizmente possui falhasfavoráveis ao enganador.Devemos tomar consciência que no mundo em que vivemos hoje em dia, as informações setornaram cada vez mais valiosas. Nisso surgiram mais e mais pessoas interessadas em apoderar-se das mesmas, para seu uso malicioso. Deve-se então protegê-las de tais pessoas malintencionadas, evitando passar informações, como: CPF, RG, data de nascimento, assuntosparticulares, etc. Para não ter dor de cabeça depois, com saques não autorizados, compras, eoutras fraudes em sua conta.Precisa-se ter cuidado ate mesmo com pessoas que se pareçam sérias. Deve-se pesquisá-las eanalisa-las para poder dar um passo seguro. Sobretudo sobre informações trafegadas via internet,torna-se necessária mais cautela, uma vez que não se tem contato diretamente com a pessoa. Agircom a razão é a melhor maneira para não se tornar vítima da engenharia social que utiliza aemoção como ferramenta principal de persuasão.
  8. 8. BIBLIOGRAFIALivro:Engenharia Social e Segurança da Informação na Gestão CorporativaAutor:Mário César Pintaudi PeixotoLivro:A Arte de EnganarAutor:Kevin MitnickSites:Wikipédia, a enciclopédia livre.http://pt.wikipedia.org/wiki/Engenharia_social

×