SlideShare uma empresa Scribd logo

Engenharia social e seus riscos no cotidiano

N
NaraBarros10

Iniciação Cientifica - Tema: Engenharia social - Realizada na Instituição Toledo de Ensino em 2016

Tecnologia
1 de 13
Baixar para ler offline
A ENGENHARIA SOCIAL VISTA DO NOSSO COTIDIANO Nara Barros da Cruz Silva1 Resumo: Este trabalho procurou identificar as consequências mais importantes da engenharia social, como é aplicada, em quais casos é utilizada, como é feita no nosso dia a dia e uma básica prevenção à respeito. A concepção de engenharia social deu origem a uma série de invasões, ataques a sistemas, empresas e até grandes organizações. Até os dias atuais onde a segurança é grandemente visada e a população conscientizada à respeito, pode-se verificar um alto índice de invasões e acessos ilegais realizados por pessoas e ou grupos especializados e com inúmeras táticas de retirada de informações e dados confidenciais de empresas- alvo. Através de alguns exemplos reais e trechos de relatos será feita a demonstração de todo o contexto, mostrando como age a vítima, o invasor e a organização. Palavras-chave: Engenharia social, invasão, vítima, ilegal, acesso. Introdução A Engenharia Social é uma das técnicas mais conhecidas e utilizadas por Crackers para obter acesso não autorizado a sistemas, redes ou informações com grande valor estratégico para as organizações e conseguir o que lhes é interessante. Os Crackers que utilizam desta técnica são conhecidos como Engenheiros Sociais. O uso dessa tática tem como característica principal a grande capacidade de persuasão, convencimento e proximidade com contatos internos e envolvidos ao sistema, organização ou projeto que se quer envolver, uma das táticas que mais geram vulnerabilidade nos usuários que estão lidando com os engenheiros sociais são as emoções que conseguem causar nos mesmos, sendo elas medo, agitação, culpa, entre outras que colocam a vítima em uma grande desvantagem por estar mais sensível a todo e qualquer truque que for dirigido a mesma, após essa fase, são utilizados de alguns gatilhos psicológicos que levam as pessoas a darem 1 Aluna do 2º ano do Curso de Sistemas de Informação E-mail: narabarroscruz@gmail.com Trabalho orientado pelo Prof. Luis Otavio Marestoni Camalionte e apresentado no programa de Iniciação Científica do Centro Universitário de Bauru no ano de 2016.
respostas sem análises prévias do conteúdo delas, sem medirem o peso do que estão fornecendo a estranhos ou pseudo-estranhos. O atacante carrega consigo armas fundamentais para suas aproximações, são elas alguns comportamentos, como: Simpatia e intimidação, que geram na vítima a liberdade, afeição e uma pequena dose de culpa se não utilizar de tudo que pode e tem acesso para ajudar e retribuir a forma de tratamento que foi recebida, o que a torna instantaneamente vulnerável. Há quem diga que um computador seguro é um computador desligado, essa afirmação é inteligente, porém falsa, pois um engenheiro social convence alguém a entrar no escritório e ligar esse computador. O ponto forte da engenharia social e as seis técnicas mais utilizadas pelos engenheiros: Na abordagem desse tema, é preciso citar Kevin D Mitnick, um dos mais famosos Crackers de todos os tempos, utilizou da engenharia social para muitos dos seus ataques, e deixou seus registros e dicas contidos no livro A arte de enganar, de sua própria autoria, que também foi de muita utilidade nesse artigo, tendo aqui contida uma parte de seu conteúdo. A seguir explicitarei as seis técnicas mais conhecidas e utilizadas nos ataques populares: Analise do lixo: Poucas organizações tomam o cuidado de checar e observar minuciosamente o que está sendo descartado e de que forma está sendo feito esse descarte. O lixo é uma das fontes mais ricas de informações sobre um determinado local, através dele pode-se coletar informações valiosas como nomes de funcionários, telefones, e-mails, senhas, transações, contatos de clientes e fornecedores e até o que causa a maior proximidade na relação funcionário- empresa, que são os jargões2 internos mais utilizados. Internet e redes sociais: Muitas informações podem ser coletadas através da internet e das redes sociais, pois os engenheiros sociais utilizam desse recurso para conhecer melhor a empresa, seus projetos e políticas, suas missões, visões e valores e até mesmo dados dos gestores e do corpo dirigente da mesma, para ter 2 Jargão significa uma linguagem pouco compreensível, em muitos casos por ser específica de determinado grupo profissional ou sociocultural.
uma melhor inteiração em tudo que acontece internamente e agir com mais segurança. Contato telefonico: Após todo o estudo das duas técnicas já citadas, o engenheiro pode iniciar os contatos telefonicos, para assim obter alguns acessos não autorizados, com esses contatos em mãos e um amplo banco de dados de informações confidenciais da organização em questão, o trabalho do engenheiro se torna mais simples e eficaz, podendo se passar por funcionários, conseguir a confirança dos mesmos, e ter acesso a plataformas internas que os mesmos utilizam. Abordagem pessoal: Esta técnica consiste no contato direto do engenheiro com a empresa, onde o mesmo visita pessoalmente o seu alvo e com todo o material que já arrecadou de informações a respeito, pode se passar por um fornecedor, funcionário, cliente e não tem muita dificuldade em convencer seguranças, secretárias, recepcionistas a liberarem acessosque está procurando, é uma fase arriscada da engenharia social, mas que é muito bem aplicada e funciona até os dias atuais. Phishing: Essa é a técnica mais popular dos dias atuais, que realiza o envio de e- mails falsos, manipulados e enviados para organizações com o intuito de aguçar as emoções do receptor, fazendo com que ele aceite-o e haja conforme as operações solicitadas, a maioria dos Phishing possuem anexos ou links que redirecionam o receptor para onde o Cracker deseja fazer o acesso. Falhas humanas: A exploração das emoções cotidianas dos funcionários, onde geram comoção em dialogos vitimistas, ou passam confiança em dialogos cheios de jargões, apelidos, frases típicas da organização, ou até curiosidade em assuntos que já foram coletador e demonstram ser do interesse do funcionário que está em jogo e já foi previamente avaliado e estudado para ser atraído. “Engenharia social usa a influencia e a persuasão para enganar as pessoas e convence-las de que o engenheiro social é alguém que ele não é, ou pela manipulação. Como resultado, o engenheiro social pode aproveitar-se das pessoas para obter as informações com ou sem o uso da tecnologia.”(MITNICK, 2003, p.6.)
Uma forma de trapaça comum é atrair a simpatia do empregado com a comoção e os argumentos ensaiados do gênero “Meu chefe não está feliz comigo”, “Eu preciso de algo que só você pode me ajudar”, “Posso me prejudicar se não receber um apoio nessa tarefa”, pois as pessoas em geral não mostram suas emoções particulares e suas intimidades sentimentais no trabalho com frequencia, ou seja, ao fazer esse “apelo” ao empregado, derruba-se uma barreira de defesa dos funcionários contra a engenharia sócia. O truque emocional de “Eu estou com problemas, você pode me ajudar?” gera uma comoção sucedida de um alívio à quemforneceu os dados, por se sentir bem com o fato de ter ajudado alguém, deixando claro o exemplo da estrutura emocional como barreira a segurança organizacional. A esse respeito, Mitnick afirma: “A verdade é que ninguém está imune contra ser enganado por um bom engenheiro social. Devido ao ritmo da vida normal, nem sempre pensamos com cuidado antes de tomarmos as decisões, mesmo em questões que são importantes para nós. As situações complicadas, a falta de tempo, o estado emocional ou a fadiga mental podem facilmente nos distrair. Assim sendo, tomamos um atalho mental e resolvemos sem analisar cuidadosamente as informações, um processo mental conhecido como resposta automática. Isso é válido até para os agentes da lei dos governos federal, estadual e municipal. Somos humanos.” (MITNICK, 2003, p.99). Um exemplo de um telefonema onde ocorre uma coleta de dados feita por um engenheiro social: G. - Bom dia, sou Fulano gerente de relacionamento do banco X, falo com o senhor Cicrano titular da conta n° 123456 ? (o número da conta pode ter conseguido de mil maneiras, por exemplo numa fila de banco ou por alguém ter deixado algum papelzinho num caixa de atendimento automático ou com a cumplicidade de algum funcionário de lojas onde foram feitas compras com cheque). V. - Sim, sou eu... G. - Estamos recadastrando os clientes no novo sistema do banco por razões de segurança e estou ligando para confirmar seus dados ... O senhor nasceu em DD/MM/AAAA (existem várias maneiras para se ter este dado, mas não vou sugerir aqui), mora na rua YYY (pegou esta informação na lista telefônica, ou em documentos que estavam em suas mãos na fila do banco ou novamente de algum funcionário de loja, por exemplo), o seu telefone é ainda o 123456 (idem como
antes), o seu CPF é o 777.777.777-77 (também existem várias maneiras para conseguir isso, num cheque por exemplo) e o RG é 456789 (idem) ?? V. - Sim, os dados são corretos. (nesta altura, visto quantas coisas o interlocutor já sabe sobre ele, a vítima não duvida que se trate mesmo do gerente do banco). G. - Pode me confirmar o número do seu cartão de crédito (ou do banco) ? V. - Sim, o número é 123456789 ... G.- Correto, muito bem os seus dados foram atualizados. Só falta o senhor confirmar tudo através das suas senhas. Vou lhe passar a central de autenticação onde o senhor poderá digitar as senhas diretamente no seu aparelho de telefone. Aí passa uma espécie de sistema automático com voz registrada que pede, para confirmar o cadastro, primeiro para digitar no aparelho a senha do cartão e depois a senha do "internet banking" e demais dados (vencimento do cartão, código de segurança no verso etc...). Essa foi uma demonstração de um dos modos em que um engenheiro social faz sua proximidade e consegue os dados que precisa para algum ataque, eles utilizam de várias coletas, estudos do meio em que estão se infiltrando e depois utilizam tudo que já coletaram à respeito para convencer a vítima. Outra forma de trapaça é a utilização da técnica Advocacia administrativa, que consiste no ato de intimidar com nomes de diretores, gerentes, gestores, utilizando- os para realizar solicitações favoráveis ao ataque em questão, gerando confiança entre todo o corpo empresarial, impondo respeito e exercendo uma grande influencia, deixando todos os envolvidos nas solicitações apreensivos e fazendo com que reajam com extremo cuidado e agilidade. Essa intimidação pode criar o medo de punição e uma grande influencia em todos para que cooperem com o máximo que podem, também é capaz de gerar o medo de uma situação embaraçosa, ou a desqualificação para uma nova promoção, ou algum prestigio similar interno da organização. As pessoas devem ser treinadas para saber lidar com todos os tipos de técnicas já citados e exemplificados, devem ter consciência de que o estado emocional não pode em hipotese alguma estar acima da razão, ética e valores da organização em que fazem parte, também devem estar devidamente aptas a tomarem conhecimento de todas as situações que se envolverem antes de fornecerem todo e qualquer dado empresarial, sendo secreto ou não. “As pessoas devem ser treinadas para saber que não apenas é aceitavel, mas também é esperado o desafio à autoridade quando a segurança está em jogo. O treinamento para a segurança das informações deve incluir o ensino de como desafiar a autoridade de maneiras amistosas ao cliente, sem
danificar os relacionamentos. Além disso, essa expectativa deve receber suporte de cima para baixo. Se um empregado não tiver apoio ao desafiar as pessoas independentemente de seus status, a reação normal é parar o desafio-exatamente o oposto daquilo que você quer.” (MITNICK, 2003, p.90) O fator humano é o elo mais fraco da segurança, e por essa razão, tem de se ter um cuidado maior que a capacidade humana de expor dados e informações, o que é extremamente dificil, porém existem várias formas de se obter esse fator em uma organização, uma delas é ter sempre dispositivos de autenticação, senhas diferentes e o mínimo de acesso possível, tornando públicas somente informações cruciais ao desenvolvimento díario das tarefas dos empregados, também é de extrema eficiencia o uso de tokens, que trabalham com tempo real, cartões inteligentes, grande uso de biometria, uma alta detecção de intrusos e um pessoal altamente treinado, capacitado, com toda a instrução e conscientização necessária sobre todos os tipos de abordagens e técnicas que uma empresa se submete. Outro cuidado extremamente essencial que muitas empresas deixam de tomar e pode ser prejudicial, é o com ex funcionarios, as mesmas precisam estar preparadas para os ataques da engenharia social vindos de ex funcionarios, que podem retornar indiretamente as suas funções por descontentamento, concorrencia, entre outros tipos de sentimentos negativos que podem acontecer no decorrer de uma relação funcionario/empresa. As verificações de histórico, podem ser úteis para detectar funcionários e ex funcionários que tem ou teriam propensão à esse tipo de comportamento, o departamento de recursos humanos deve ter total controle e informação sobre a personalidade, capacidade e comportamentos dos funcionários, para assim ser de fácil detecção as ameaças e futuras ameaças. Em 2012 um site de notícias de uma emissora nacional (G1, Globo) publicou um site e uma matéria de como utiliza-lo para verificar os gostos pessoais de usuários, o tipo de humor que compartilham, quais seus interesses e comportamentos mais frequentes, o que também pode ser utilizado como tática de recursos humanos, para conhecer cada empregado, seus interesses, seu comportamento e verificar possíveis ameaças, insatisfações e capacidades. Segue um exemplo ilustrativo de como realizar a avaliação pessoal:3 3 ¹ Você pode ver todo o conteúdo no link: http://g1.globo.com/tecnologia/noticia/2012/03/site-cria-grafico-para- mostrar-o-que-o-interesse-do-usuario-nas-redes-sociais.html
As empresas que realizam testes de penetração de segurança relatam que tentativas de invasão em sistemas de uma empresa cliente com técnicas de engenharia social tem um índice de sucesso de cem por cento, as tecnologias de segurança podem dificultar grandemente esse processo, porpem o único meio realmente eficaz de amenizar a ameaça da engenharia social é a conscientização combinada a politicas que definem as principais regras de comportamento para o empregado, junto com sua educação e treinamento. Uma comunidade de informações de tecnologia e informática (Computer Word) nacional do canal Terra realizou uma coleta de ferramentas de testes de invasão que reforçam a segurança de uma empresa, são elas: Metasploit: O Metasploit é um framework com inúmeros fãs entre os programadores. Ele adiciona ferramentas de teste customizadas, que procuram fraquezas em sistemas operacionais e aplicações. Os módulos customizados são lançados noGitHub e no Bitbucket, repositórios online para projetos de código. Nessus Vulnerability Scanner: O Nessus Vulnerability Scanner também é popular na localização de vulnerabilidades. A tecnologia vasculha computadores e firewalls à procura de portas abertas para a instalação de software potencialmente malicioso. Nmap: O Nmap determina os tipos de computadores, servidores e hardware que as empresas possuem conectados às redes corporativas. A possibilidade de essas máquinas serem identificáveis via escaneamento externo é por si só uma vulnerabilidade, explorada por agressores para estabelecer planos de ataque. O uso do Nmap também pode ser feito para procurar hosts, portas abertas, versões de software, sistemas operacionais, hardware e fragilidades, geralmente mapeando a superfície de ataque da rede. Ele é útil em cada etapa dos testes de penetração, identificando os componentes conectados ao entrar em um novo segmento de rede. Burp Suite: A Burp Suite é outra aplicação de testes de penetração. Ele mapeia e analisa aplicações web, encontrando e explorando fraquezas. Utilizada com seu navegador para mapear as aplicações na web. As ferramentas dentro da suíte descobrem buracos de segurança e lançam ataques customizados. Além disso, a Burp Suite automatiza funções repetitivas enquanto retém a escolha do usuário quando o utilizador precisa ter o controle das opções individualizadas. OWASP ZAP: Sem fins lucrativos, a OWASP ZAP oferece escaneamento manual e automático de aplicações web, tanto para novatos quanto para veteranos em testes de penetração. Com código aberto, ela está disponível no GitHub. A ferramenta desempenha uma variedade de testes, incluindo escaneamento de portas, ataque de força bruta e fuzzing, tudo para identificar códigos maliciosos.
Um exemplo de segurança muito utilizado nos dias atuais, onde podemos ver até em aplicativos populares e de uso cotidiano como o Whatsapp, é a criptografia, que consiste em um conjunto de técnicas usadas para manter a informação segura. Com ela é possível transformar palavras escritas e outros tipos de mensagens em “frases” desconexas e inteligiveis para receptores não autorizados, já quando se trata de um receptor autorizado, o mesmo transforma o conteúdo da mensagem em algo perfeitamente compreensível. Um exemplo para o melhor entendimento: “A SSL é um protocolo criptografico.” - Mensagem a ser criptografada “ÇW@>[“ - Mensagem já criptografada. Embora existam inúmeras formas de assegurar os usos empresariais de máquinas, acessos e dados, como já citados até aqui, ainda se tem a necessidade de uma política de segurança eficaz, vista como um processo contínuo e colaborativo, a revisão constante da mesma é necessária para salvaguardar as redes, os riscos nunca podem ser totalmente eliminados, porém com essas melhorias aplicadas e uma melhor relação entre TI e RH, fazem com que a política e a tecnologia caminhem juntas e a segurança se torna mais rigida. Segundo Jhon Mutch e Brian Anderson no livro Gerenciando Privilégios em Tecnologia da Informação, 48% das quebras da segurança de dados foram causadas por pessoas do ramo interno da organização (+26%), 48% envolveram abuso de privilégios (+26%) e 98% de todas as quebras de segurança de dados vieram de servidores. São as ameaças: Internas: Administração de identidade privilegiadas (PIM*) e segurança de dados e prevenção de vazamentos. Externas: Antivirus, firewalls, detecção e prevenção de invasores, segurança de e- mails, segurança na web. *O gerenciamento de identidades privilegiadas (PIM) é parte da família de tecnologias gerais de gerenciamento de identidade e acesso (IAM), que juntas proporcionam às corporações mecanismos para controlar quem, o que, onde, quando e por que do gerenciamento de acesso seguro. Todas as empresas estão sujeitas a sofrerem ataques de diversas formas, em dezembro de 2009, a Google informou que foi vítima de um ataque virtual que partiu da China. Na verdade, ela não foi a única empresa a ter sua segurança quebrada. Na mesma ocasião, empresas como Adobe, Yahoo, Symantec e outras passaram
pelo mesmo problema. No total, foram 20 companhias do 4 Vale do Silício visadas pelos crackers, e o ataque foi realizado com sucesso na maioria delas. 4 Você pode ver toda a matéria em: http://www.tecmundo.com.br/seguranca/26476-os-9-maiores-roubos-de- dados-da-internet.htm
CONCLUSÃO No contexto apresentado acima, a necessidade de prover segurança da informação tem sido uma questão constante nas organizações. A segurança da informação visa proteger os sistemas através de um conjunto de medidas que preservam informações e explicam a engenharia social de forma sucinta e conscientizam as organizações dos perigos que correm e de táticas que estão submissas, de forma que possam se defender e resguardar a estrutura organizacional de ataques, invasões e até mesmo perda da mesma. Embora a grande maioria das organizações e usuários comuns possua mecanismos técnicos defensivos contra ataques, os quais exigem o usuário informar não apenas seu login (ou nome de usuário num sistema) e respectiva senha, bem como verifica a existência de vírus em arquivos, ainda assim os sistemas atuais são susceptíveis a ataques não técnicos decorrentes da engenharia social, por esta razão foram apresentados os mesmos, alguns exemplos claros, as necessidades das empresas e os perfis pessoais das vítimas, crackers e organizações em geral. A segurança da informação, contudo, está mais ligada a um fator humano, a uma maior conscientização, que há tecnologias avançadas, alguns conceitos se fazem úteis à respeito da afirmação: Segundo (Behrouz A. Forouzan, 2006, pg. 711) a segurança da informação deve proporcionar a garantia de cinco princípios quando se trata de segurança aplicada à informação, sendo eles: Confidencialidade: É a garantia de que as informações transmitidas chegarão ao seu destino sem que dissipem para outro lugar onde não devia passar. Várias tecnologias como, por exemplo, criptografia e autenticações podem ser usadas, desde que mantenham a integridade das informações. Integridade:É a garantia de que as informações não sofreram nenhuma modificação durante o trajeto entre a pessoa que enviou e a pessoa que recebeu a informação, garantindo assim a sua real veracidade após chegarem ao destino. Disponibilidade:De nada adianta possuir integridade e confidencialidade, se a informação nunca está disponível, pois o grande desafio é manter esta estrutura de passagem de informações de formas confiável e integral sem que haja impossibilidade de captar as informações. Autenticidade: Conhecido como responsabilidade final e tem como objetivo verificar a identidade e autenticidade de alguém ou até mesmo de um agente exterior a fim de garantir a integridade de origem.
Não Repúdio: A “Negação” é o termo chave para este requisito, onde o usuário tentará negar que executou tal tarefa que de fato o fez, na maioria das vezes para se livrar de consequências. Dessa maneira poderíamos ilustrar o modelo acima com a imagem abaixo:
POPPER’S CONCEPTION OF SCIENCE AND THE TEACHING OF SCIENCES Abstract: This work sought to identify the most important consequences of social engineering, how is your application, its use in daily life and a basic prevention regarding. The meaning of social engineering has given rise invasions, attacks on systems, companies and large organizations In the present day, where security is very targeted, and people know much about has great invasions and illegal access made by individuals or specialized groups and with many tactics to corrupt information and confidential data. With real examples and stories of excerpts the victim mode will be presented, the attacker and the company. Keywords: Social engineering, invasion, victim, illegal access
REFERÊNCIAS MITNICK, Kevin A arte de enganar Person Education 2003. MACHADO, Felipe Segurança da Informação - Princípios e Controle de Ameaças Editora Erica 2014. MUTCH, Jhon Gerenciando Privilégios Em Tecnologia da Informação NOVATEC 2012.

Recomendados

Engenharia social
Engenharia socialEngenharia social
Engenharia socialcavalherepcdf
 
Hackers
HackersHackers
HackersMarcos Marinho
 
Segurança dos sistemas de informação parte 2
Segurança dos sistemas de informação parte 2Segurança dos sistemas de informação parte 2
Segurança dos sistemas de informação parte 2Rodrigo Gomes da Silva
 
Segurança dos sistemas de informação
Segurança dos sistemas de informaçãoSegurança dos sistemas de informação
Segurança dos sistemas de informaçãoRodrigo Gomes da Silva
 
Engenharia Social
Engenharia SocialEngenharia Social
Engenharia SocialLuis Guilherme Rodrigues
 
Artigo engenharia social
Artigo engenharia socialArtigo engenharia social
Artigo engenharia socialEmbratel
 
E-book sobre Engenharia Social
E-book sobre Engenharia SocialE-book sobre Engenharia Social
E-book sobre Engenharia SocialMiguel Reis
 
Engenharia Social.docx
Engenharia Social.docxEngenharia Social.docx
Engenharia Social.docxThaisCristina656020
 

Recomendados

Engenharia social
Engenharia socialEngenharia social
Engenharia socialcavalherepcdf
 
Hackers
HackersHackers
HackersMarcos Marinho
 
Segurança dos sistemas de informação parte 2
Segurança dos sistemas de informação parte 2Segurança dos sistemas de informação parte 2
Segurança dos sistemas de informação parte 2Rodrigo Gomes da Silva
 
Segurança dos sistemas de informação
Segurança dos sistemas de informaçãoSegurança dos sistemas de informação
Segurança dos sistemas de informaçãoRodrigo Gomes da Silva
 
Engenharia Social
Engenharia SocialEngenharia Social
Engenharia SocialLuis Guilherme Rodrigues
 
Artigo engenharia social
Artigo engenharia socialArtigo engenharia social
Artigo engenharia socialEmbratel
 
E-book sobre Engenharia Social
E-book sobre Engenharia SocialE-book sobre Engenharia Social
E-book sobre Engenharia SocialMiguel Reis
 
Engenharia Social.docx
Engenharia Social.docxEngenharia Social.docx
Engenharia Social.docxThaisCristina656020
 
Segurança dos sistemas de informação
Segurança dos sistemas de informaçãoSegurança dos sistemas de informação
Segurança dos sistemas de informaçãoRodrigo Gomes da Silva
 
FIREWALL 04.pptx
FIREWALL 04.pptxFIREWALL 04.pptx
FIREWALL 04.pptxADASVIEIRAArmazmPara
 
Engenharia Social: Explorando a Vulnerabilidade Humana
Engenharia Social: Explorando a Vulnerabilidade HumanaEngenharia Social: Explorando a Vulnerabilidade Humana
Engenharia Social: Explorando a Vulnerabilidade HumanaRafael Magri Gedra
 
ENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdf
ENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdfENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdf
ENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdfHelenaReis48
 
Estudo De Viabilidade Na Utilização De Ferramente De Mineração De Dados Como ...
Estudo De Viabilidade Na Utilização De Ferramente De Mineração De Dados Como ...Estudo De Viabilidade Na Utilização De Ferramente De Mineração De Dados Como ...
Estudo De Viabilidade Na Utilização De Ferramente De Mineração De Dados Como ...Cleyton Kano
 
Palestra Segurança da Informação
Palestra Segurança da InformaçãoPalestra Segurança da Informação
Palestra Segurança da Informaçãomastroianni oliveira
 
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicosCapítulo I: A segurança de sistemas da informação & aspectos sociotécnicos
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicosUniversity of North Carolina at Chapel Hill
 
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...University of North Carolina at Chapel Hill Balloni
 
Engenharia Social - Pequenas Informações de Grande Importância
Engenharia Social - Pequenas Informações de Grande ImportânciaEngenharia Social - Pequenas Informações de Grande Importância
Engenharia Social - Pequenas Informações de Grande ImportânciaCassio Henrique. F. Ramos, CRISC
 
Engenharia Social - A arte de enganar
Engenharia Social - A arte de enganarEngenharia Social - A arte de enganar
Engenharia Social - A arte de enganarAnderson Zardo
 
iNTRODUCAO-A-ENGENHARIA-SOCIAL-PRATICA-pdf - Copia.pdf
iNTRODUCAO-A-ENGENHARIA-SOCIAL-PRATICA-pdf - Copia.pdfiNTRODUCAO-A-ENGENHARIA-SOCIAL-PRATICA-pdf - Copia.pdf
iNTRODUCAO-A-ENGENHARIA-SOCIAL-PRATICA-pdf - Copia.pdfHelenaReis48
 
Introdução à Cibersegurança.pdf
Introdução à Cibersegurança.pdfIntrodução à Cibersegurança.pdf
Introdução à Cibersegurança.pdfDanielSantos740668
 
Apostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasApostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasCapitu Tel
 
O "erro humano" e a engenharia social
O "erro humano" e a engenharia socialO "erro humano" e a engenharia social
O "erro humano" e a engenharia socialRicardo Cavalcante
 
[36717-11301-1-571046][31100-36717]AD4_Envio_versao_final_artigo_apos_defesa
[36717-11301-1-571046][31100-36717]AD4_Envio_versao_final_artigo_apos_defesa[36717-11301-1-571046][31100-36717]AD4_Envio_versao_final_artigo_apos_defesa
[36717-11301-1-571046][31100-36717]AD4_Envio_versao_final_artigo_apos_defesaLuciano Madeira
 
Segurança da informação - Maio 2011
Segurança da informação - Maio 2011Segurança da informação - Maio 2011
Segurança da informação - Maio 2011Márcio Bortolini dos Santos
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicosGuilherme Neves
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicosGuilherme Neves
 
Seguranca - básico
Seguranca - básicoSeguranca - básico
Seguranca - básicoJErickPPTs
 
Engenharia Social
Engenharia SocialEngenharia Social
Engenharia SocialData Security
 
Uc 9362e690-63d7-411a-a4f7-18c375ea7615
Uc 9362e690-63d7-411a-a4f7-18c375ea7615Uc 9362e690-63d7-411a-a4f7-18c375ea7615
Uc 9362e690-63d7-411a-a4f7-18c375ea7615NaraBarros10
 
Inteligencia Emocional - CONQUER
Inteligencia Emocional - CONQUERInteligencia Emocional - CONQUER
Inteligencia Emocional - CONQUERNaraBarros10
 

Mais conteúdo relacionado

Semelhante a Engenharia social e seus riscos no cotidiano

Segurança dos sistemas de informação
Segurança dos sistemas de informaçãoSegurança dos sistemas de informação
Segurança dos sistemas de informaçãoRodrigo Gomes da Silva
 
Engenharia Social: Explorando a Vulnerabilidade Humana
Engenharia Social: Explorando a Vulnerabilidade HumanaEngenharia Social: Explorando a Vulnerabilidade Humana
Engenharia Social: Explorando a Vulnerabilidade HumanaRafael Magri Gedra
 
ENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdf
ENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdfENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdf
ENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdfHelenaReis48
 
Estudo De Viabilidade Na Utilização De Ferramente De Mineração De Dados Como ...
Estudo De Viabilidade Na Utilização De Ferramente De Mineração De Dados Como ...Estudo De Viabilidade Na Utilização De Ferramente De Mineração De Dados Como ...
Estudo De Viabilidade Na Utilização De Ferramente De Mineração De Dados Como ...Cleyton Kano
 
Palestra Segurança da Informação
Palestra Segurança da InformaçãoPalestra Segurança da Informação
Palestra Segurança da Informaçãomastroianni oliveira
 
Engenharia Social - Pequenas Informações de Grande Importância
Engenharia Social - Pequenas Informações de Grande ImportânciaEngenharia Social - Pequenas Informações de Grande Importância
Engenharia Social - Pequenas Informações de Grande ImportânciaCassio Henrique. F. Ramos, CRISC
 
Engenharia Social - A arte de enganar
Engenharia Social - A arte de enganarEngenharia Social - A arte de enganar
Engenharia Social - A arte de enganarAnderson Zardo
 
iNTRODUCAO-A-ENGENHARIA-SOCIAL-PRATICA-pdf - Copia.pdf
iNTRODUCAO-A-ENGENHARIA-SOCIAL-PRATICA-pdf - Copia.pdfiNTRODUCAO-A-ENGENHARIA-SOCIAL-PRATICA-pdf - Copia.pdf
iNTRODUCAO-A-ENGENHARIA-SOCIAL-PRATICA-pdf - Copia.pdfHelenaReis48
 
Introdução à Cibersegurança.pdf
Introdução à Cibersegurança.pdfIntrodução à Cibersegurança.pdf
Introdução à Cibersegurança.pdfDanielSantos740668
 
Apostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasApostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasCapitu Tel
 
O "erro humano" e a engenharia social
O "erro humano" e a engenharia socialO "erro humano" e a engenharia social
O "erro humano" e a engenharia socialRicardo Cavalcante
 
[36717-11301-1-571046][31100-36717]AD4_Envio_versao_final_artigo_apos_defesa
[36717-11301-1-571046][31100-36717]AD4_Envio_versao_final_artigo_apos_defesa[36717-11301-1-571046][31100-36717]AD4_Envio_versao_final_artigo_apos_defesa
[36717-11301-1-571046][31100-36717]AD4_Envio_versao_final_artigo_apos_defesaLuciano Madeira
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicosGuilherme Neves
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicosGuilherme Neves
 
Seguranca - básico
Seguranca - básicoSeguranca - básico
Seguranca - básicoJErickPPTs
 

Semelhante a Engenharia social e seus riscos no cotidiano (20)

Segurança dos sistemas de informação
Segurança dos sistemas de informaçãoSegurança dos sistemas de informação
Segurança dos sistemas de informação
 
FIREWALL 04.pptx
FIREWALL 04.pptxFIREWALL 04.pptx
FIREWALL 04.pptx
 
Engenharia Social: Explorando a Vulnerabilidade Humana
Engenharia Social: Explorando a Vulnerabilidade HumanaEngenharia Social: Explorando a Vulnerabilidade Humana
Engenharia Social: Explorando a Vulnerabilidade Humana
 
ENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdf
ENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdfENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdf
ENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdf
 
Estudo De Viabilidade Na Utilização De Ferramente De Mineração De Dados Como ...
Estudo De Viabilidade Na Utilização De Ferramente De Mineração De Dados Como ...Estudo De Viabilidade Na Utilização De Ferramente De Mineração De Dados Como ...
Estudo De Viabilidade Na Utilização De Ferramente De Mineração De Dados Como ...
 
Palestra Segurança da Informação
Palestra Segurança da InformaçãoPalestra Segurança da Informação
Palestra Segurança da Informação
 
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicosCapítulo I: A segurança de sistemas da informação & aspectos sociotécnicos
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos
 
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
 
Engenharia Social - Pequenas Informações de Grande Importância
Engenharia Social - Pequenas Informações de Grande ImportânciaEngenharia Social - Pequenas Informações de Grande Importância
Engenharia Social - Pequenas Informações de Grande Importância
 
Engenharia Social - A arte de enganar
Engenharia Social - A arte de enganarEngenharia Social - A arte de enganar
Engenharia Social - A arte de enganar
 
iNTRODUCAO-A-ENGENHARIA-SOCIAL-PRATICA-pdf - Copia.pdf
iNTRODUCAO-A-ENGENHARIA-SOCIAL-PRATICA-pdf - Copia.pdfiNTRODUCAO-A-ENGENHARIA-SOCIAL-PRATICA-pdf - Copia.pdf
iNTRODUCAO-A-ENGENHARIA-SOCIAL-PRATICA-pdf - Copia.pdf
 
Introdução à Cibersegurança.pdf
Introdução à Cibersegurança.pdfIntrodução à Cibersegurança.pdf
Introdução à Cibersegurança.pdf
 
Apostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasApostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemas
 
O "erro humano" e a engenharia social
O "erro humano" e a engenharia socialO "erro humano" e a engenharia social
O "erro humano" e a engenharia social
 
[36717-11301-1-571046][31100-36717]AD4_Envio_versao_final_artigo_apos_defesa
[36717-11301-1-571046][31100-36717]AD4_Envio_versao_final_artigo_apos_defesa[36717-11301-1-571046][31100-36717]AD4_Envio_versao_final_artigo_apos_defesa
[36717-11301-1-571046][31100-36717]AD4_Envio_versao_final_artigo_apos_defesa
 
Segurança da informação - Maio 2011
Segurança da informação - Maio 2011Segurança da informação - Maio 2011
Segurança da informação - Maio 2011
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos
 
Seguranca - básico
Seguranca - básicoSeguranca - básico
Seguranca - básico
 
Engenharia Social
Engenharia SocialEngenharia Social
Engenharia Social
 

Mais de NaraBarros10

Uc 9362e690-63d7-411a-a4f7-18c375ea7615
Uc 9362e690-63d7-411a-a4f7-18c375ea7615Uc 9362e690-63d7-411a-a4f7-18c375ea7615
Uc 9362e690-63d7-411a-a4f7-18c375ea7615NaraBarros10
 
Inteligencia Emocional - CONQUER
Inteligencia Emocional - CONQUERInteligencia Emocional - CONQUER
Inteligencia Emocional - CONQUERNaraBarros10
 
Certificado - Cypress
Certificado - CypressCertificado - Cypress
Certificado - CypressNaraBarros10
 
Certificado - FIGMA
Certificado - FIGMACertificado - FIGMA
Certificado - FIGMANaraBarros10
 
Certificado de Conclusao - Tecnicas de Comunicacao Interpessoal
Certificado de Conclusao - Tecnicas de Comunicacao InterpessoalCertificado de Conclusao - Tecnicas de Comunicacao Interpessoal
Certificado de Conclusao - Tecnicas de Comunicacao InterpessoalNaraBarros10
 
Certificado hackaton
Certificado hackatonCertificado hackaton
Certificado hackatonNaraBarros10
 
Desenvolvimento de exploits
Desenvolvimento de exploitsDesenvolvimento de exploits
Desenvolvimento de exploitsNaraBarros10
 

Mais de NaraBarros10 (10)

Uc 9362e690-63d7-411a-a4f7-18c375ea7615
Uc 9362e690-63d7-411a-a4f7-18c375ea7615Uc 9362e690-63d7-411a-a4f7-18c375ea7615
Uc 9362e690-63d7-411a-a4f7-18c375ea7615
 
Inteligencia Emocional - CONQUER
Inteligencia Emocional - CONQUERInteligencia Emocional - CONQUER
Inteligencia Emocional - CONQUER
 
Certificado - PDI
Certificado - PDICertificado - PDI
Certificado - PDI
 
Certificado - Cypress
Certificado - CypressCertificado - Cypress
Certificado - Cypress
 
Certificado - FIGMA
Certificado - FIGMACertificado - FIGMA
Certificado - FIGMA
 
Scrum
ScrumScrum
Scrum
 
Certificado - AWS
Certificado - AWSCertificado - AWS
Certificado - AWS
 
Certificado de Conclusao - Tecnicas de Comunicacao Interpessoal
Certificado de Conclusao - Tecnicas de Comunicacao InterpessoalCertificado de Conclusao - Tecnicas de Comunicacao Interpessoal
Certificado de Conclusao - Tecnicas de Comunicacao Interpessoal
 
Certificado hackaton
Certificado hackatonCertificado hackaton
Certificado hackaton
 
Desenvolvimento de exploits
Desenvolvimento de exploitsDesenvolvimento de exploits
Desenvolvimento de exploits
 

Engenharia social e seus riscos no cotidiano

  • 1. A ENGENHARIA SOCIAL VISTA DO NOSSO COTIDIANO Nara Barros da Cruz Silva1 Resumo: Este trabalho procurou identificar as consequências mais importantes da engenharia social, como é aplicada, em quais casos é utilizada, como é feita no nosso dia a dia e uma básica prevenção à respeito. A concepção de engenharia social deu origem a uma série de invasões, ataques a sistemas, empresas e até grandes organizações. Até os dias atuais onde a segurança é grandemente visada e a população conscientizada à respeito, pode-se verificar um alto índice de invasões e acessos ilegais realizados por pessoas e ou grupos especializados e com inúmeras táticas de retirada de informações e dados confidenciais de empresas- alvo. Através de alguns exemplos reais e trechos de relatos será feita a demonstração de todo o contexto, mostrando como age a vítima, o invasor e a organização. Palavras-chave: Engenharia social, invasão, vítima, ilegal, acesso. Introdução A Engenharia Social é uma das técnicas mais conhecidas e utilizadas por Crackers para obter acesso não autorizado a sistemas, redes ou informações com grande valor estratégico para as organizações e conseguir o que lhes é interessante. Os Crackers que utilizam desta técnica são conhecidos como Engenheiros Sociais. O uso dessa tática tem como característica principal a grande capacidade de persuasão, convencimento e proximidade com contatos internos e envolvidos ao sistema, organização ou projeto que se quer envolver, uma das táticas que mais geram vulnerabilidade nos usuários que estão lidando com os engenheiros sociais são as emoções que conseguem causar nos mesmos, sendo elas medo, agitação, culpa, entre outras que colocam a vítima em uma grande desvantagem por estar mais sensível a todo e qualquer truque que for dirigido a mesma, após essa fase, são utilizados de alguns gatilhos psicológicos que levam as pessoas a darem 1 Aluna do 2º ano do Curso de Sistemas de Informação E-mail: narabarroscruz@gmail.com Trabalho orientado pelo Prof. Luis Otavio Marestoni Camalionte e apresentado no programa de Iniciação Científica do Centro Universitário de Bauru no ano de 2016.
  • 2. respostas sem análises prévias do conteúdo delas, sem medirem o peso do que estão fornecendo a estranhos ou pseudo-estranhos. O atacante carrega consigo armas fundamentais para suas aproximações, são elas alguns comportamentos, como: Simpatia e intimidação, que geram na vítima a liberdade, afeição e uma pequena dose de culpa se não utilizar de tudo que pode e tem acesso para ajudar e retribuir a forma de tratamento que foi recebida, o que a torna instantaneamente vulnerável. Há quem diga que um computador seguro é um computador desligado, essa afirmação é inteligente, porém falsa, pois um engenheiro social convence alguém a entrar no escritório e ligar esse computador. O ponto forte da engenharia social e as seis técnicas mais utilizadas pelos engenheiros: Na abordagem desse tema, é preciso citar Kevin D Mitnick, um dos mais famosos Crackers de todos os tempos, utilizou da engenharia social para muitos dos seus ataques, e deixou seus registros e dicas contidos no livro A arte de enganar, de sua própria autoria, que também foi de muita utilidade nesse artigo, tendo aqui contida uma parte de seu conteúdo. A seguir explicitarei as seis técnicas mais conhecidas e utilizadas nos ataques populares: Analise do lixo: Poucas organizações tomam o cuidado de checar e observar minuciosamente o que está sendo descartado e de que forma está sendo feito esse descarte. O lixo é uma das fontes mais ricas de informações sobre um determinado local, através dele pode-se coletar informações valiosas como nomes de funcionários, telefones, e-mails, senhas, transações, contatos de clientes e fornecedores e até o que causa a maior proximidade na relação funcionário- empresa, que são os jargões2 internos mais utilizados. Internet e redes sociais: Muitas informações podem ser coletadas através da internet e das redes sociais, pois os engenheiros sociais utilizam desse recurso para conhecer melhor a empresa, seus projetos e políticas, suas missões, visões e valores e até mesmo dados dos gestores e do corpo dirigente da mesma, para ter 2 Jargão significa uma linguagem pouco compreensível, em muitos casos por ser específica de determinado grupo profissional ou sociocultural.
  • 3. uma melhor inteiração em tudo que acontece internamente e agir com mais segurança. Contato telefonico: Após todo o estudo das duas técnicas já citadas, o engenheiro pode iniciar os contatos telefonicos, para assim obter alguns acessos não autorizados, com esses contatos em mãos e um amplo banco de dados de informações confidenciais da organização em questão, o trabalho do engenheiro se torna mais simples e eficaz, podendo se passar por funcionários, conseguir a confirança dos mesmos, e ter acesso a plataformas internas que os mesmos utilizam. Abordagem pessoal: Esta técnica consiste no contato direto do engenheiro com a empresa, onde o mesmo visita pessoalmente o seu alvo e com todo o material que já arrecadou de informações a respeito, pode se passar por um fornecedor, funcionário, cliente e não tem muita dificuldade em convencer seguranças, secretárias, recepcionistas a liberarem acessosque está procurando, é uma fase arriscada da engenharia social, mas que é muito bem aplicada e funciona até os dias atuais. Phishing: Essa é a técnica mais popular dos dias atuais, que realiza o envio de e- mails falsos, manipulados e enviados para organizações com o intuito de aguçar as emoções do receptor, fazendo com que ele aceite-o e haja conforme as operações solicitadas, a maioria dos Phishing possuem anexos ou links que redirecionam o receptor para onde o Cracker deseja fazer o acesso. Falhas humanas: A exploração das emoções cotidianas dos funcionários, onde geram comoção em dialogos vitimistas, ou passam confiança em dialogos cheios de jargões, apelidos, frases típicas da organização, ou até curiosidade em assuntos que já foram coletador e demonstram ser do interesse do funcionário que está em jogo e já foi previamente avaliado e estudado para ser atraído. “Engenharia social usa a influencia e a persuasão para enganar as pessoas e convence-las de que o engenheiro social é alguém que ele não é, ou pela manipulação. Como resultado, o engenheiro social pode aproveitar-se das pessoas para obter as informações com ou sem o uso da tecnologia.”(MITNICK, 2003, p.6.)
  • 4. Uma forma de trapaça comum é atrair a simpatia do empregado com a comoção e os argumentos ensaiados do gênero “Meu chefe não está feliz comigo”, “Eu preciso de algo que só você pode me ajudar”, “Posso me prejudicar se não receber um apoio nessa tarefa”, pois as pessoas em geral não mostram suas emoções particulares e suas intimidades sentimentais no trabalho com frequencia, ou seja, ao fazer esse “apelo” ao empregado, derruba-se uma barreira de defesa dos funcionários contra a engenharia sócia. O truque emocional de “Eu estou com problemas, você pode me ajudar?” gera uma comoção sucedida de um alívio à quemforneceu os dados, por se sentir bem com o fato de ter ajudado alguém, deixando claro o exemplo da estrutura emocional como barreira a segurança organizacional. A esse respeito, Mitnick afirma: “A verdade é que ninguém está imune contra ser enganado por um bom engenheiro social. Devido ao ritmo da vida normal, nem sempre pensamos com cuidado antes de tomarmos as decisões, mesmo em questões que são importantes para nós. As situações complicadas, a falta de tempo, o estado emocional ou a fadiga mental podem facilmente nos distrair. Assim sendo, tomamos um atalho mental e resolvemos sem analisar cuidadosamente as informações, um processo mental conhecido como resposta automática. Isso é válido até para os agentes da lei dos governos federal, estadual e municipal. Somos humanos.” (MITNICK, 2003, p.99). Um exemplo de um telefonema onde ocorre uma coleta de dados feita por um engenheiro social: G. - Bom dia, sou Fulano gerente de relacionamento do banco X, falo com o senhor Cicrano titular da conta n° 123456 ? (o número da conta pode ter conseguido de mil maneiras, por exemplo numa fila de banco ou por alguém ter deixado algum papelzinho num caixa de atendimento automático ou com a cumplicidade de algum funcionário de lojas onde foram feitas compras com cheque). V. - Sim, sou eu... G. - Estamos recadastrando os clientes no novo sistema do banco por razões de segurança e estou ligando para confirmar seus dados ... O senhor nasceu em DD/MM/AAAA (existem várias maneiras para se ter este dado, mas não vou sugerir aqui), mora na rua YYY (pegou esta informação na lista telefônica, ou em documentos que estavam em suas mãos na fila do banco ou novamente de algum funcionário de loja, por exemplo), o seu telefone é ainda o 123456 (idem como
  • 5. antes), o seu CPF é o 777.777.777-77 (também existem várias maneiras para conseguir isso, num cheque por exemplo) e o RG é 456789 (idem) ?? V. - Sim, os dados são corretos. (nesta altura, visto quantas coisas o interlocutor já sabe sobre ele, a vítima não duvida que se trate mesmo do gerente do banco). G. - Pode me confirmar o número do seu cartão de crédito (ou do banco) ? V. - Sim, o número é 123456789 ... G.- Correto, muito bem os seus dados foram atualizados. Só falta o senhor confirmar tudo através das suas senhas. Vou lhe passar a central de autenticação onde o senhor poderá digitar as senhas diretamente no seu aparelho de telefone. Aí passa uma espécie de sistema automático com voz registrada que pede, para confirmar o cadastro, primeiro para digitar no aparelho a senha do cartão e depois a senha do "internet banking" e demais dados (vencimento do cartão, código de segurança no verso etc...). Essa foi uma demonstração de um dos modos em que um engenheiro social faz sua proximidade e consegue os dados que precisa para algum ataque, eles utilizam de várias coletas, estudos do meio em que estão se infiltrando e depois utilizam tudo que já coletaram à respeito para convencer a vítima. Outra forma de trapaça é a utilização da técnica Advocacia administrativa, que consiste no ato de intimidar com nomes de diretores, gerentes, gestores, utilizando- os para realizar solicitações favoráveis ao ataque em questão, gerando confiança entre todo o corpo empresarial, impondo respeito e exercendo uma grande influencia, deixando todos os envolvidos nas solicitações apreensivos e fazendo com que reajam com extremo cuidado e agilidade. Essa intimidação pode criar o medo de punição e uma grande influencia em todos para que cooperem com o máximo que podem, também é capaz de gerar o medo de uma situação embaraçosa, ou a desqualificação para uma nova promoção, ou algum prestigio similar interno da organização. As pessoas devem ser treinadas para saber lidar com todos os tipos de técnicas já citados e exemplificados, devem ter consciência de que o estado emocional não pode em hipotese alguma estar acima da razão, ética e valores da organização em que fazem parte, também devem estar devidamente aptas a tomarem conhecimento de todas as situações que se envolverem antes de fornecerem todo e qualquer dado empresarial, sendo secreto ou não. “As pessoas devem ser treinadas para saber que não apenas é aceitavel, mas também é esperado o desafio à autoridade quando a segurança está em jogo. O treinamento para a segurança das informações deve incluir o ensino de como desafiar a autoridade de maneiras amistosas ao cliente, sem
  • 6. danificar os relacionamentos. Além disso, essa expectativa deve receber suporte de cima para baixo. Se um empregado não tiver apoio ao desafiar as pessoas independentemente de seus status, a reação normal é parar o desafio-exatamente o oposto daquilo que você quer.” (MITNICK, 2003, p.90) O fator humano é o elo mais fraco da segurança, e por essa razão, tem de se ter um cuidado maior que a capacidade humana de expor dados e informações, o que é extremamente dificil, porém existem várias formas de se obter esse fator em uma organização, uma delas é ter sempre dispositivos de autenticação, senhas diferentes e o mínimo de acesso possível, tornando públicas somente informações cruciais ao desenvolvimento díario das tarefas dos empregados, também é de extrema eficiencia o uso de tokens, que trabalham com tempo real, cartões inteligentes, grande uso de biometria, uma alta detecção de intrusos e um pessoal altamente treinado, capacitado, com toda a instrução e conscientização necessária sobre todos os tipos de abordagens e técnicas que uma empresa se submete. Outro cuidado extremamente essencial que muitas empresas deixam de tomar e pode ser prejudicial, é o com ex funcionarios, as mesmas precisam estar preparadas para os ataques da engenharia social vindos de ex funcionarios, que podem retornar indiretamente as suas funções por descontentamento, concorrencia, entre outros tipos de sentimentos negativos que podem acontecer no decorrer de uma relação funcionario/empresa. As verificações de histórico, podem ser úteis para detectar funcionários e ex funcionários que tem ou teriam propensão à esse tipo de comportamento, o departamento de recursos humanos deve ter total controle e informação sobre a personalidade, capacidade e comportamentos dos funcionários, para assim ser de fácil detecção as ameaças e futuras ameaças. Em 2012 um site de notícias de uma emissora nacional (G1, Globo) publicou um site e uma matéria de como utiliza-lo para verificar os gostos pessoais de usuários, o tipo de humor que compartilham, quais seus interesses e comportamentos mais frequentes, o que também pode ser utilizado como tática de recursos humanos, para conhecer cada empregado, seus interesses, seu comportamento e verificar possíveis ameaças, insatisfações e capacidades. Segue um exemplo ilustrativo de como realizar a avaliação pessoal:3 3 ¹ Você pode ver todo o conteúdo no link: http://g1.globo.com/tecnologia/noticia/2012/03/site-cria-grafico-para- mostrar-o-que-o-interesse-do-usuario-nas-redes-sociais.html
  • 7. As empresas que realizam testes de penetração de segurança relatam que tentativas de invasão em sistemas de uma empresa cliente com técnicas de engenharia social tem um índice de sucesso de cem por cento, as tecnologias de segurança podem dificultar grandemente esse processo, porpem o único meio realmente eficaz de amenizar a ameaça da engenharia social é a conscientização combinada a politicas que definem as principais regras de comportamento para o empregado, junto com sua educação e treinamento. Uma comunidade de informações de tecnologia e informática (Computer Word) nacional do canal Terra realizou uma coleta de ferramentas de testes de invasão que reforçam a segurança de uma empresa, são elas: Metasploit: O Metasploit é um framework com inúmeros fãs entre os programadores. Ele adiciona ferramentas de teste customizadas, que procuram fraquezas em sistemas operacionais e aplicações. Os módulos customizados são lançados noGitHub e no Bitbucket, repositórios online para projetos de código. Nessus Vulnerability Scanner: O Nessus Vulnerability Scanner também é popular na localização de vulnerabilidades. A tecnologia vasculha computadores e firewalls à procura de portas abertas para a instalação de software potencialmente malicioso. Nmap: O Nmap determina os tipos de computadores, servidores e hardware que as empresas possuem conectados às redes corporativas. A possibilidade de essas máquinas serem identificáveis via escaneamento externo é por si só uma vulnerabilidade, explorada por agressores para estabelecer planos de ataque. O uso do Nmap também pode ser feito para procurar hosts, portas abertas, versões de software, sistemas operacionais, hardware e fragilidades, geralmente mapeando a superfície de ataque da rede. Ele é útil em cada etapa dos testes de penetração, identificando os componentes conectados ao entrar em um novo segmento de rede. Burp Suite: A Burp Suite é outra aplicação de testes de penetração. Ele mapeia e analisa aplicações web, encontrando e explorando fraquezas. Utilizada com seu navegador para mapear as aplicações na web. As ferramentas dentro da suíte descobrem buracos de segurança e lançam ataques customizados. Além disso, a Burp Suite automatiza funções repetitivas enquanto retém a escolha do usuário quando o utilizador precisa ter o controle das opções individualizadas. OWASP ZAP: Sem fins lucrativos, a OWASP ZAP oferece escaneamento manual e automático de aplicações web, tanto para novatos quanto para veteranos em testes de penetração. Com código aberto, ela está disponível no GitHub. A ferramenta desempenha uma variedade de testes, incluindo escaneamento de portas, ataque de força bruta e fuzzing, tudo para identificar códigos maliciosos.
  • 8. Um exemplo de segurança muito utilizado nos dias atuais, onde podemos ver até em aplicativos populares e de uso cotidiano como o Whatsapp, é a criptografia, que consiste em um conjunto de técnicas usadas para manter a informação segura. Com ela é possível transformar palavras escritas e outros tipos de mensagens em “frases” desconexas e inteligiveis para receptores não autorizados, já quando se trata de um receptor autorizado, o mesmo transforma o conteúdo da mensagem em algo perfeitamente compreensível. Um exemplo para o melhor entendimento: “A SSL é um protocolo criptografico.” - Mensagem a ser criptografada “ÇW@>[“ - Mensagem já criptografada. Embora existam inúmeras formas de assegurar os usos empresariais de máquinas, acessos e dados, como já citados até aqui, ainda se tem a necessidade de uma política de segurança eficaz, vista como um processo contínuo e colaborativo, a revisão constante da mesma é necessária para salvaguardar as redes, os riscos nunca podem ser totalmente eliminados, porém com essas melhorias aplicadas e uma melhor relação entre TI e RH, fazem com que a política e a tecnologia caminhem juntas e a segurança se torna mais rigida. Segundo Jhon Mutch e Brian Anderson no livro Gerenciando Privilégios em Tecnologia da Informação, 48% das quebras da segurança de dados foram causadas por pessoas do ramo interno da organização (+26%), 48% envolveram abuso de privilégios (+26%) e 98% de todas as quebras de segurança de dados vieram de servidores. São as ameaças: Internas: Administração de identidade privilegiadas (PIM*) e segurança de dados e prevenção de vazamentos. Externas: Antivirus, firewalls, detecção e prevenção de invasores, segurança de e- mails, segurança na web. *O gerenciamento de identidades privilegiadas (PIM) é parte da família de tecnologias gerais de gerenciamento de identidade e acesso (IAM), que juntas proporcionam às corporações mecanismos para controlar quem, o que, onde, quando e por que do gerenciamento de acesso seguro. Todas as empresas estão sujeitas a sofrerem ataques de diversas formas, em dezembro de 2009, a Google informou que foi vítima de um ataque virtual que partiu da China. Na verdade, ela não foi a única empresa a ter sua segurança quebrada. Na mesma ocasião, empresas como Adobe, Yahoo, Symantec e outras passaram
  • 9. pelo mesmo problema. No total, foram 20 companhias do 4 Vale do Silício visadas pelos crackers, e o ataque foi realizado com sucesso na maioria delas. 4 Você pode ver toda a matéria em: http://www.tecmundo.com.br/seguranca/26476-os-9-maiores-roubos-de- dados-da-internet.htm
  • 10. CONCLUSÃO No contexto apresentado acima, a necessidade de prover segurança da informação tem sido uma questão constante nas organizações. A segurança da informação visa proteger os sistemas através de um conjunto de medidas que preservam informações e explicam a engenharia social de forma sucinta e conscientizam as organizações dos perigos que correm e de táticas que estão submissas, de forma que possam se defender e resguardar a estrutura organizacional de ataques, invasões e até mesmo perda da mesma. Embora a grande maioria das organizações e usuários comuns possua mecanismos técnicos defensivos contra ataques, os quais exigem o usuário informar não apenas seu login (ou nome de usuário num sistema) e respectiva senha, bem como verifica a existência de vírus em arquivos, ainda assim os sistemas atuais são susceptíveis a ataques não técnicos decorrentes da engenharia social, por esta razão foram apresentados os mesmos, alguns exemplos claros, as necessidades das empresas e os perfis pessoais das vítimas, crackers e organizações em geral. A segurança da informação, contudo, está mais ligada a um fator humano, a uma maior conscientização, que há tecnologias avançadas, alguns conceitos se fazem úteis à respeito da afirmação: Segundo (Behrouz A. Forouzan, 2006, pg. 711) a segurança da informação deve proporcionar a garantia de cinco princípios quando se trata de segurança aplicada à informação, sendo eles: Confidencialidade: É a garantia de que as informações transmitidas chegarão ao seu destino sem que dissipem para outro lugar onde não devia passar. Várias tecnologias como, por exemplo, criptografia e autenticações podem ser usadas, desde que mantenham a integridade das informações. Integridade:É a garantia de que as informações não sofreram nenhuma modificação durante o trajeto entre a pessoa que enviou e a pessoa que recebeu a informação, garantindo assim a sua real veracidade após chegarem ao destino. Disponibilidade:De nada adianta possuir integridade e confidencialidade, se a informação nunca está disponível, pois o grande desafio é manter esta estrutura de passagem de informações de formas confiável e integral sem que haja impossibilidade de captar as informações. Autenticidade: Conhecido como responsabilidade final e tem como objetivo verificar a identidade e autenticidade de alguém ou até mesmo de um agente exterior a fim de garantir a integridade de origem.
  • 11. Não Repúdio: A “Negação” é o termo chave para este requisito, onde o usuário tentará negar que executou tal tarefa que de fato o fez, na maioria das vezes para se livrar de consequências. Dessa maneira poderíamos ilustrar o modelo acima com a imagem abaixo:
  • 12. POPPER’S CONCEPTION OF SCIENCE AND THE TEACHING OF SCIENCES Abstract: This work sought to identify the most important consequences of social engineering, how is your application, its use in daily life and a basic prevention regarding. The meaning of social engineering has given rise invasions, attacks on systems, companies and large organizations In the present day, where security is very targeted, and people know much about has great invasions and illegal access made by individuals or specialized groups and with many tactics to corrupt information and confidential data. With real examples and stories of excerpts the victim mode will be presented, the attacker and the company. Keywords: Social engineering, invasion, victim, illegal access
  • 13. REFERÊNCIAS MITNICK, Kevin A arte de enganar Person Education 2003. MACHADO, Felipe Segurança da Informação - Princípios e Controle de Ameaças Editora Erica 2014. MUTCH, Jhon Gerenciando Privilégios Em Tecnologia da Informação NOVATEC 2012.