SlideShare uma empresa Scribd logo

Engenharia Social e vulnerabilidades humanas

R
Rafael Magri Gedra

Artigo apresentado à Universidade Estácio de Sá como requisito para formação de MBA em Segurança da Informação. Neste artigo são apresentadas técnicas utilizadas pelos Engenheiros Sociais durante um ataque, e também algumas formas de prevenção.

Tecnologia
1 de 18
Baixar para ler offline
Pós-Graduação em Segurança da Informação da Universidade Estácio de Sá, Ribeirão Preto, 2018 Engenharia Social: Explorando a vulnerabilidade humana Rafael Magri Gedra Resumo Com o passar dos dias e com o crescente avanço da tecnologia, a informação passou a ser um dos ativos mais valiosos das organizações, transformando em um alvo para pessoas más intencionadas. Assim como existe esse tipo de pessoa, também existem aquelas que são bem-intencionadas, ou até mesmo por uma falta de atenção ou inocência, deixam que essas informações caiam em mãos erradas. Devido às essas falhas humanas, os ataques de Engenharia Social têm crescido exponencialmente, e por este motivo, é o tema desse trabalho, cujos objetivos são: levar ao conhecimento das pessoas e organizações este tipo de ameaça, bem como seus modus operandi para que, quando vítimas, possam reconhecer e prevenir que o atacante obtenha sucesso; e, apresentar a necessidade de campanhas internas de conscientização e treinamentos. Palavras-chave: Engenharia Social; Segurança da Informação; vulnerabilidades; 1. Introdução Segundo Mitnick e Simon (2003), por mais que uma empresa possa ter adquirido as melhores ferramentas de cibersegurança, estruturado uma segurança física e seguirem as melhores práticas em segurança, ainda assim essa corporação está completamente vulnerável devido ao fator humano. Sendo assim, ataques de engenharia social podem lograr sucesso facilmente através de pessoas que não foram devidamente instruídas para lidar com essa situação, ou até mesmo por negligência por parte das mesmas. Generalizando, Engenharia Social é uma técnica em que o atacante utiliza a persuasão para conquista de seus alvos. Neste caso, utilizam uma prática de má fé, explorando a ganância, ingenuidade ou até mesmo a boa-fé da vítima em querer sentir-se útil. (CERT, 2012) Estudos empenhados na análise de estratégias de ataques apontam que a primeira fase do ataque, quase sempre, envolve a manipulação de comportamento de algum funcionário, utilizando técnicas de Engenharia Social. Após sucesso na primeira fase, os atacantes utilizam de uma posição dentro das
redes corporativas para que, por meio de movimentação lateral, possam explorar vulnerabilidades internas. (PURICELLI, 2015) Sendo assim, este artigo tem como objetivo levar ao conhecimento de pessoas e empresas as técnicas utilizadas pelos Engenheiros Sociais, para que, quando alvos, possam identificar o ataque e rapidamente, tomarem uma posição correta para evitar o sucesso do atacante. 2. Conceitos de Segurança da Informação e Engenharia Social 2.1 Segurança da Informação Com o efeito da globalização e computadores e usuários fortemente conectados pelas redes, a informação passou a ser um dos maiores patrimônios das organizações. É através dessas informações que a organização permanece competitiva no mercado, por isso, ela deve ser protegida e gerenciada de forma adequada. (MOREIRA, 2013). Segundo a ABNT NBR ISSO/IEC 17799:2005 (2005, p.ix), a informação pode ser apresentada no formato impresso, armazenada de forma eletrônica, filmes, entre outras formas. De qualquer forma, elas devem ser protegidas e armazenadas de forma adequada. Para Peixoto (2006), as informações podem ser categorizadas em pública, interna, particular e confidencial. i. Pública: nesta categoria, as informações são abertas ao público, sem nenhuma restrição. Pode ser utilizada como forma de divulgação nos mais diversos veículos de mídia.; ii. Interna: as informações pertencentes à esta categoria são voltadas aos funcionários e demais integrantes da organização. Este tipo de informação pode ser útil ao Engenheiro Social, pois pode usá-las para se passar por empregado ou fornecedor, e, também conhecer os horários e regras para se infiltrar na organização; iii. Particular: estas informações pertencem ao funcionário ou outro membro da organização. Estas informações podem ser contas bancárias, salários, benefícios e demais informações de uso pessoal que não devem ser expostas ao público.
iv. Confidencial: por fim, nesta categoria estão as informações que pertencem à um grupo restrito de pessoas. São as informações mais valorizadas dentro da organização, consequentemente as mais bem protegidas. Essas informações são os principais alvos de um atacante, pois tratam-se de estratégias de negócios, especificações de produtos, informações de marketing, e, quando vazadas, podem comprometer, algumas vezes de forma irreversível, a estrutura dos negócios. A segurança da informação consiste nos processos e técnicas empregadas que têm como objetivo, proteger essas informações de diversos tipos de ameaças, e pode ser obtida através da implementação de políticas, processos e procedimentos, que devem ser monitorados, analisados e melhorados com o passar do tempo. Quando implementadas, as políticas de segurança da informação visam a preservação de três princípios básicos, considerados como pilares da segurança da informação, que são: i. Confidencialidade: este conceito é empregado para manter as informações confidenciais longe do acesso de pessoas não autorizadas. São empregadas técnicas de criptografia, acesso limitado por senhas e certificados. Devido à curiosidade humana quando algum segredo é envolvido, esse pilar deve ser bem estruturado para não deixar brechas ao atacante. ii. Integridade: busca garantir que a informação não tenha sido alterada indevidamente por algum indivíduo não autorizado. Quando uma informação sofre alterações em sua versão original, ela perde seu valor, podendo ocasionar erros e fraudes. É importante que as informações sejam armazenadas de forma que não haja alterações inapropriadas. iii. Disponibilidade: este princípio busca garantir que a informação esteja disponível para serem utilizadas quando necessário. Aplica-se também à infraestrutura física e tecnológica, o tráfego e armazenamento da informação para que estejam sempre disponíveis de forma segura. Além dos princípios básicos que, quando empregados eram muito abrangentes, hoje em dia, mais dois pilares foram adotados, e também são tão importantes quanto os outros. Estes novos pilares são: autenticidade e irretratabilidade ou não-repúdio, conforme definidos abaixo:
iv. Autenticidade: este conceito busca garantir a informação partiu da fonte anunciada. v. Irretratabilidade: também conhecida como “não-repúdio”, este novo pilar busca garantir que um emissor não negue o envio de uma mensagem ou transação, quando sua autenticidade já foi reconhecida. Para Moreira (2013), no passado, zelar pela segurança da informação era mais simples, pois os arquivos que continham diversos papéis, podiam ser trancados fisicamente, porém, com a chegada das tecnologias da informação e comunicação, essa tarefa passou a ser bem mais complexa. É essencial que uma organização identifique seus requisitos de segurança por meio de uma análise. Os resultados destas análises servirão para direcionar e determinar as ações apropriadas e quais as prioridades. 2.2 Engenharia Social Para a Microsoft (2014), a Engenharia Social vem através de uma pessoa que acha mais fácil explorar a natureza humana ao explorar falhas de software, sem a necessidade de empregar tecnologia sofisticada, mas sim, técnicas. Nesta mesma linha de pensamento, Mitnick e Simon (2003) afirma que o Engenheiro Social usa o poder da persuasão, influência ou manipulação para convencer outras pessoas que ele é alguém que na realidade não é, e desta forma, receber informações usando ou não recursos tecnológicos. A Engenharia Social pode ser utilizada por pessoas bem-intencionadas que, conhecendo as técnicas e ferramentas, pode emprega-las para se protegerem dessas ameaças, mas também pode ser usada por atacantes para burlar os sistemas de segurança, colher as informações e obter algum lucro ilícito. Na maioria das vezes, quando surge a necessidade de proteger as informações, muitos pensam em corrigir falhas computacionais, implementação de firewall, sistemas antivírus e atualizações de sistemas para correção de vulnerabilidades, porém deixam de lado o fator humano, que sempre existirá dentro das organizações. De acordo com o entendimento de Alves (2010), o fator humano está diretamente ligado as maiores causas de ataques a sistemas computacionais,
fazendo necessário a inclusão desse fator como sendo um elemento base da segurança da informação. O ser humano possui algumas características comportamentais e psicológicas que o torna passível de ataques de engenharia social. Dentre estas características, estão: vontade de ser útil, difusão de responsabilidades, procura por novas amizades e relacionamentos. (Inácio, 2008) 3. Ataques de Engenharia Social Ataques de engenharia social podem ser divididos em, basicamente, dois tipos: diretos e indiretos. Nos ataques diretos, o atacante tem um contato pessoal com a vítima, exigindo assim, um planejamento antecipado, devendo ser bem articulado para que não seja descoberto. (Inácio, 2008) Já nos ataques indiretos, o atacante utiliza ferramentas de invasão, como envio de códigos maliciosos, exploração de alguma porta aberta para a Internet e falhas de segurança. (Inácio, 2008) Estes ataques podem ser empregados por meio de diversas técnicas e ferramentas. Dentre elas, algumas podem ser destacadas: i. Contato telefônico: O atacante ter em seu poder as informações que precisa, o mesmo pode utilizar de um contato telefônico para obter algum acesso não autorizado, passando-se por funcionário, fornecedor ou terceiros. Quando o Engenheiro Social utiliza esta técnica, ele já possui informações como: nome de secretária, dados de algum gestor ou até de funcionários responsáveis pela segurança da informação. (Rafael, 2013) ii. E-mail Spoofing: Nesta técnica, o atacante altera o campo de cabeçalho de um e-mail, aparentando assim que ele foi enviado por um determinado remetente, quando na verdade, não foi. Normalmente, por meio de divulgação falsa de promoções, assuntos financeiros ou qualquer outro assunto que chame a atenção da vítima e levem-na a clicar sobre algum link com redirecionamento à uma página falsa para instalação de algum software malicioso ou redirecionamento para página falsas, onde a vítima poderá inserir seus dados bancários, números de cartões de crédito, entre outras informações que podem ser solicitadas pelo atacante.
iii. Análise do lixo ou Dumpster diving: Por muitas empresas não tomarem os devidos cuidados com o que é descartado, muitos Engenheiros Sociais vasculham o lixo da empresa em busca de informações como: nome de funcionários, telefone de clientes e fornecedores, comprovantes de transações efetuadas. Após coletadas essas informações, o Engenheiro Social fica munido de material que pode ser usado em outras técnicas, como ligações e e-mails. iv. Pesquisas na Internet: O Engenheiro Social utiliza as informações publicadas na Internet e redes sociais para também colher informações sobre seus alvos. Na Internet o atacante encontra informações sobre as atividades da empresa, processos judiciais abertos ao público, e, consultando as redes sociais, consegue informações sobre funcionários, como: cargos, amizades, perfil pessoal, entre outras. v. Programação neurolinguística: São técnicas utilizadas durante a comunicação com outra pessoa, que serve para confundi-la e fazê-la concordar com o atacante. Uma das técnicas mais utilizadas é fazer com que a vítima acredite que uma ideia foi dela, e não do atacante. vi. Phishing: Por se tratar de uma das técnicas amplamente utilizadas por Engenheiros sociais, esta técnica merece um estudo mais abrangente, que será apresentado mais adiante. vii. Varredura em redes (Scan): Consiste em buscas na rede, com o objetivo de identificar computadores ativos e coletar informações sobre eles. Com base nas informações coletadas, o atacante pode utilizar diversas vulnerabilidades já identificadas aos serviços disponibilizados e programas instalados nestes computadores. (CERT, 2012) viii. Footprint: Consiste na técnica de reconhecimento iniciada pelo atacante, utilizada para coleta de informações da rede, arquitetura de rede, IDS, IPS, firewall utilizado e serviços de rede disponíveis. (Macêdo, 2017) ix. Engenharia social inversa: Tipo de ataque poderoso, onde o atacante consegue criar um problema para a vítima, porém demonstrando a ela que somente ele consegue resolver. Quando o engenheiro utiliza esta técnica, o problema ainda não existe ou não aconteceu, porém ele sabe que acontecerá, pois será ele o causador. (Baldim, 2007) x. BEC (Business Email Compromise): É um tipo de ataque de phishing, que é aplicado somente via e-mail e direcionado à algum alvo. Neste
ataque, o Engenheiro Social utiliza técnicas avançadas de phishing, e são direcionadas ao alvo. Segundo monitoramento realizado pela Trend Micro, os CFO’s (Chief Financial Officer) são os alvos mais visados para este tipo de ataque. (Soares, 2017) 3.1 Phishing O phishing é um dos ataques mais antigos e ainda um dos mais utilizados na Internet. Segundo Payão (2018), o Brasil ocupa a primeira posição no ranking dos países que mais sofrem ataques de phishing no mundo. Para Payão (2018), os ataques de phishing o sucesso da utilização desta técnica é devido à sua facilidade e rapidez, devendo apenas cadastrar um domínio e montar uma página web falsa, e, em seguida disparar os e-mails em massa. No ano de 2017, segundo a CERT, em 85,32% dos ataques relacionados à fraude, foram utilizadas páginas falsas, conforme gráfico abaixo: Figura 1. Gráfico tentativas de fraude Fonte: CERT.br, 2018 Os ataques de phishing têm como objetivo o furto de dados pessoais, e podem ser apresentados de várias maneiras, conforme listados abaixo: i. E-mail ou mensagem falsa: Este é um tipo clássico, que, por meio de e-mail falso, porém que se parecem com empresas reais, como bancos.
Neste modelo, o atacante envia uma solicitação à vítima, como por exemplo a atualização cadastral, e, ao clicar sobre algum link, à vítima é redirecionada para uma página falsa, onde insere seus dados, como número de conta, número de cartão de crédito, etc. (Gedra, 2016) ii. Phishing usando ransomware: Neste ataque, o usuário também recebe um link, e ao clicar, é redirecionado para uma página falsa, que, de forma automática, executa um código malicioso no computador. Após a execução, os arquivos são criptografados, deixando-os inacessíveis. Para ter acesso novamente aos arquivos, o atacante solicita um pagamento. (Silvani, 2018) iii. Pharming: Nesta técnica, o ataque acontece em um servidor DNS, e, a partir daí qualquer acesso a páginas da web podem ser redirecionadas para páginas fraudulentas sem que o usuário desconfie. Após o acesso em página falsa, o atacante pode coletar informações de várias pessoas ao mesmo tempo. (Silvani, 2018) iv. Smishing SMS: O alvo nesta técnica são os aparelhos celulares. O Smishing chega por meio de mensagem de texto, de remetentes desconhecidos, normalmente oferecendo algum tipo de prêmio ou oferta, e quando a vítima clica em algum link, é induzida a inserir seus dados pessoais, bem como bancários. (Silvani, 2018) v. Vishing: Nesta fraude, a vítima recebe uma ligação telefônica e é induzida pelo atacante a fornecer dados pessoais, bancários e até transferência de dinheiro. O Engenheiro Social pode empregar diversas técnicas para conseguir o que precisa, como segurar a vítima em linha telefônica; mascaramento do número telefônico por um já conhecido pela vítima; o atacante já possui diversas informações sobre a vítima, que pode fazer com que a vítima acredite ser uma ligação genuína, entre outras. 3.2 Vulnerabilidades humanas exploradas por Engenheiros Sociais Segundo o Gartner (2002) apud Baldim (2007), o Engenheiro Social age sobre o comportamento humano, utilizando habilidades de persuasão e também fingindo ser uma pessoa que não é. Persuasão pode ser definida como uma arte e uma ciência, que durante alguns estudos, mostraram que humanos possuem
alguns tipos de comportamentos que são explorados mediante uma cuidadosa manipulação. Sendo assim, para Maulais (2016) apud Rosa at al (2012), um Engenheiro Social utiliza conhecidas tendências, falhas psicológicas, sociais e comportamentais do ser humano, como: i. Vaidade (pessoal ou profissional): Quando os argumentos utilizados pelo Engenheiro Social vão de encontro com interesses pessoais ou profissionais da vítima, gera uma maior aceitação por parte da mesma, que fornece as informações ao atacante com maior facilidade. ii. Autoconfiança: É natural do ser humano a vontade de mostrar-se bom em determinado assunto, área ou habilidade, sendo assim, ele procura transmitir segurança, conhecimento e eficiência quando requisitado, criando assim, uma base bem estruturada para início de uma comunicação favorável. iii. Vontade de ser útil: A maioria dos seres humanos gostam de ajudar aos outros, mostrando ser úteis e agindo com cortesia. iv. Propagação de responsabilidade: Explorando esta característica, o Engenheiro Social utiliza para “ajudar” a vítima durante a busca de alguma solução do que foi proposto, trazendo uma sensação de conforto à mesma. v. Busca por novas amizades: Quando elogiado, o ser humano passa a criar um laço de afetuoso e sensação de intimidade, tornando-se um alvo mais vulnerável e aberto para ceder informações. 4. Defesas contra os ataques que utilizam a Engenharia Social Para Mitnick e Simon (2003, p. 3), Uma empresa pode ter adquirido as melhores tecnologias de segurança que o dinheiro pode comprar. Pode ter treinado seu pessoal tão bem que eles trancam todos os segredos antes de ir embora e pode ter contratado guardas para o prédio na melhor empresa de segurança que existe. Mesmo assim essa empresa ainda está vulnerável. Os indivíduos podem seguir cada uma das melhores práticas de segurança recomendadas pelos especialistas, podem instalar cada produto de segurança recomendado e vigiar muito bem a configuração adequada do sistema e a aplicação das correções de segurança. Esses indivíduos ainda estarão completamente vulneráveis.
Mesmo assim, existem algumas técnicas de defesa para estes ataques de Engenharia Social, que devem ser conhecidas e empregadas por todas as pessoas que possuem vínculos diretos com a empresa, inclusive fornecedores e terceiros que possuem acesso em qualquer tipo de informação. Para um Engenheiro Social, uma informação que o funcionário julgue como irrelevante, pode valer muito quando bem aproveitada. É importante ressaltar que por mais treinada que a equipe seja, isso não dispensa o investimento em tecnologias de defesa. O uso de caixas de firewall e boas soluções de AntiSpam, antivírus, IPS (Intrusion Prevention System) e IDS (Intrusion Detection System) são importantes, pois uma solução complementa a outra. Essas ferramentas devem estar devidamente configuradas e instaladas no ambiente. A segurança física do perímetro também deve ser empregada, utilizando controles de acesso ao ambiente, sistemas de monitoramento por imagem e alarmes, pois um Engenheiro Social pode adentrar ao ambiente passando-se por funcionário, fornecedor ou terceiro. O uso de leitores biométricos é indicado para abertura portas e portões. No item 3, Ataques de Engenharia Social, foram listadas algumas das técnicas de ataques mais utilizadas, e, agora serão apresentadas técnicas de defesa para as ameaças já vistas. i. Contato telefônico: O usuário precisa estar preparado e treinado para que não passe determinados tipos de informações por telefone. A empresa deve implementar uma política para que solicitações aconteçam de modo escrito, dentro de algum comunicador interno, por exemplo um sistema em intranet. As gravações devem ser gravadas para serem usadas, caso alguma ameaça seja identificada. ii. E-mail Spoofing: A ativação de filtro de spam é recomendada para que os e-mails que ofereçam alguma ameaça sejam direcionados para uma pasta de lixo eletrônico. Outra recomendação bastante eficiente é que o usuário aprenda a identificar a origem do e-mail através da leitura do cabeçalho da mensagem recebida. Por fim, nunca clicar sobre links ou anexos de mensagens que podem conter ameaças. (Tonello, 2015)
iii. Análise do lixo ou dumpster diving: Todo o lixo da empresa deve contenha algum tipo de informação deve ser armazenado em um local seguro, até que sejam completamente destruídos. Papéis devem ser triturados e mídias magnéticas completamente destruídas. (Assis, 2014) iv. Pesquisas na Internet: Evitar o compartilhamento de informações pessoais, financeiras, viagens, locais frequentados e demais atividades ajudam na prevenção durante pesquisas realizadas pelo Engenheiros Sociais. É ideal que as configurações de privacidade estejam habilitadas para evitar a exposição de informações para pessoas mal-intencionadas. (Bannwart, 2013) v. Programação neolinguística: Esta é uma das ameaças mais difíceis de identificar, pois a vítima deverá estar muito bem preparada, conhecer as técnicas empregadas na neolinguística é essencial para reconhecer quando for vítima. Treinamentos são indicados para isso. vi. Phishing: Para evitar que o atacante tenha sucesso com o phishing, o usuário precisa tomar alguns cuidados como: ler a URL do site com atenção, com o objetivo de identificar se aquele site é verdadeiro, ou se o endereço pode ter sido alterado de maneira discreta; não fornecer senhas nem dados pessoais em ligações recebidas, pois o atacante pode passar por um atendente de banco ou agências de cobrança para conseguir informações como CPF, endereço, número de cartão de crédito, etc. Caso tenha alguma dúvida, interrompa a ligação e procure o banco ou agência mencionada para maiores informações; a utilização de sistemas de segurança que consigam identificar se um site pode ser malicioso por meio de sua reputação na web. Caso tenha alguma dúvida em relação a algum e-mail recebido, encaminhe para a equipe de Segurança da Informação analisar. vii. Varredura em redes (scan): Esta ameaça pode ser identificada por meio do uso de IPS/IDS. Para prevenir, é importante manter sistemas operacionais e demais softwares atualizados, pois as atualizações corrigem falhas que podem ser exploradas por um atacante. As portas de serviço não devem ficar abertas no firewall para serem acessadas sem uma origem conhecida. A utilização de VPN (Virtual Private Netowork) é recomendada para que a conexão externa aos serviços da empresa utilizando a Internet seja criptografado.
viii. Footprint: As mesmas recomendações para evitar varredura de redes são utilizadas para evitar footprint. ix. Engenharia social inversa: Nesta ameaça, a pessoa deverá conhecer técnicas de engenharia social para que possa identificar quando for vítima desta técnica. Treinamentos e conscientização são indicados para prevenção desse tipo de ataque. x. BEC (Business Email Compromise): Por se tratar de um ataque que utiliza as mesmas técnicas do phishing, porém utilizando recursos mais avançados e de forma direcionada, as mesmas recomendações para evitar o phishing devem ser empregadas para prevenir o BEC. 4.1 Conscientização e Treinamento em Segurança da Informação Segundo Baldim (2007) apud Peixoto (2006), a conscientização é importante por parte de todos os empregados, amenizando assim os ataques de Engenharia Social. As campanhas de conscientizações devem ser dinâmicas e convincentes, para que junto com as condutas segmentadas às regras definidas surtam efeito. Para Mitnick e Simon (2003), uma campanha de conscientização sobre a segurança da informação deve abordar os aspectos do comportamento humano e da Engenharia Social, incluindo: i. Descrição das formas pelas quais um atacante utiliza a Engenharia Social para enganar as pessoas; ii. Métodos que são utilizados pelo Engenheiros Sociais para alcançarem seus objetivos; iii. Técnicas de como reconhecer um provável ataque de Engenharia Social; iv. Os procedimentos que devem ser adotados mediante uma solicitação suspeita; v. A quem informar sobre tentativas de ataques de Engenharia Social ou os ataques que foram bem-sucedidos;
vi. A importância do questionamento às pessoas que fizeram qualquer tipo de solicitação suspeita, independente do cargo ou importância da pessoa na empresa; vii. A obrigação de cada empregado em atender às políticas e as consequências quando as mesmas não forem empregadas. Como a Engenharia Social, necessariamente, envolve algum tipo de interação humana, um atacante utiliza métodos e tecnologias para alcançar seu objetivo, por isso, no programa de conscientização, alguns itens merecem atenção, como: (Mitnick e Simon, 2003) i. Políticas de segurança relacionadas com senhas de computador; ii. Procedimentos para divulgação de informações ou materiais classificados como confidenciais; iii. Políticas de utilização de serviços de e-mail, incluindo regras para evitar ataques maliciosos; iv. Requisitos de segurança física, como uso de crachás e uniformes; v. Descarte adequado de lixos que contenham informações relevantes à empresa; vi. Responsabilidade das pessoas em questionar aquelas que não estão devidamente identificadas por crachás ou outro dispositivo de identificação utilizada nas instalações da empresa. Para Baldim (2007) apud Sêmola (2003), existem algumas maneiras para implantação da cultura de segurança da informação nas empresas, como: i. Seminários: Os seminários são utilizados no início dos trabalhos, como o objetivo de compartilhar as percepções dos riscos associados às atividades da empresa, seus impactos e comprometimento dos processos críticos caso alguma ameaça concretizar. ii. Campanha e divulgação: As diretrizes e políticas de segurança devem ser conhecidas por todos e instruções apresentadas à grupos de perfis semelhantes das atividades. Com isso, cada membro compreende suas responsabilidades dentro de cada modelo de segurança, motivando-o a colaborar. iii. Carta do presidente: A manifestação por parte do alto escalão da empresa, de certa forma, oficializa os interesses da empresa em adequar seus níveis de segurança a partir do envolvimento de todos. Essa carta pode ser
disponibilizada ou então encaminhada individualmente a cada funcionário, formalizando o movimento. iv. Termo de Responsabilidade e Confidencialidade: Este termo tem o objetivo de firmar um entendimento entre funcionário e empresa em relação à proteção das informações que o mesmo manipula. É neste termo que também contém informações sobre as punições cabíveis pelos desvios de conduta e esclarecer que a empresa é a legítima detentora daquelas informações. v. Cursos de capacitação e Certificação: São voltados para funcionários que necessitam de um maior domínio dos conceitos, métodos e técnicas de segurança da informação. Exemplo disso é a capacitação do responsável pelo departamento de segurança da informação da empresa, que deve ter condições de definir, medir e avaliar índices e indicadores de segurança para então planejar a gestão da segurança da informação. Nestes casos, apenas campanhas de conscientização não são suficientes. O processo de monitoramento e análise dos riscos devem ser contínuos e aprimorados, acompanhando a evolução dos recursos, ferramentas e técnicas utilizadas pelos atacantes. Manter os funcionários motivados a aplicar as medidas de segurança com reconhecimentos, cursos de qualificação, brindes ou prêmios pode colaborar de forma significativa para a diminuição de ataques sofridos. (Baldim, 2007 apud Peixoto, 2006) 5. Conclusão Pode-se concluir que mesmo com a crescente descoberta de novas tecnologias e a evolução das já existentes, o ser humano ainda é o elo mais frágil da segurança da informação, pois os Engenheiros Sociais são conhecedores das técnicas que, de certa forma, mexem com os sentimentos humanos. Sendo assim, a maneira mais eficiente em prevenir que as ameaças sejam concretizadas, é implementando recursos tecnológicos de proteção aliados às campanhas de conscientização das pessoas, pois um depende do outro para obterem sucesso.
Políticas de segurança da informação devem ser adotadas, monitoradas e aprimorados com o passar do tempo. Com essa técnica é possível identificar vulnerabilidades e trata-las antes que possa ser explorada por um atacante. Mitnick e Simon (2003) finalizam seu livro a “Arte de Enganar” com uma frase que todos devem ter em mente, a qual resume o objetivo deste trabalho: “Todas as ações que você realiza a pedido de outras pessoas podem resultar em comprometimento dos bens da sua empresa. Verifique. Verifique. Verifique”.
Referências ABNT – Associação Brasileira de Normas Técnicas. NBR ISSO/IEC 17799. Tecnologia da Informação – Técnicas de segurança – Código de prática para a gestão da segurança da informação. Rio de Janeiro, ABNT, 2005. ASSIS, Francisco. As Vulnerabilidades em Ambientes Corporativos Mediante os Ataques de Engenharia Social, 2014. Disponível em: http://clubedosgeeks.com.br/artigos/as-vulnerabilidades-em-ambientes- corporativos-mediante-os-ataques-da-engenharia-social. Acesso em: 20 ago. 2018 BALDIM, Natália Pimenta. Engenharia Social e Segurança da Informação no ambiente corporativo: uma análise focada nos profissionais do Secretariado Executivo. 2007. 127 f. Monografia – Universidade Federal de Viçosa, Viçosa, 2007. BALDIM, Natália Pimenta. Engenharia Social e Segurança da Informação no ambiente corporativo: uma análise focada nos profissionais do Secretariado Executivo. 2007. 127 f. Monografia – Universidade Federal de Viçosa, Viçosa, 2007 apud PEIXOTO, Mário César Pintaudi. Engenharia Social & Segurança da Informação na Gestão Corporativa. 1ª ed. Rio de Janeiro: Brasport, 2006. BALDIM, Natália Pimenta. Engenharia Social e Segurança da Informação no ambiente corporativo: uma análise focada nos profissionais do Secretariado Executivo. 2007. 127 f. Monografia – Universidade Federal de Viçosa, Viçosa, 2007 apud SÊMOLA, Marcos. Gestão da Segurança da Informação: uma visão executiva da segurança da informação. 9ª reimpressão. Rio de Janeiro: Elsevier, 2003. BANNWART, Claudio. Engenharia Social nas Redes Sociais: a inteligência usada para o mal, 2013. Disponível em: https://canaltech.com.br/seguranca/Engenharia-Social-nas-Redes-Sociais/. Acesso em: 13 ago. 2018. CARDOSO, Fabio E.; OLIVEIRA, Paulo C. Política de Segurança da Informação nas Empresas – Faculdade de Tecnologia de Ourinhos (FATEC), 2013. Disponível em: https://s.profissionaisti.com.br/wp- content/uploads/2013/06/Politica-de-Seguran%C3%A7a-nas-Empresas.pdf. Acesso em: 07 ago. 2018. CERT. Cartilha de Segurança para Internet versão 4.0 – São Paulo: Comitê Gestor da Internet no Brasil, 2012. GEDRA, Rafael Magri. Segurança em Redes de Computadores Utilizando Firewall iptables, 2016. 28 f. Faculdade Anhanguera de Ribeirão Preto, Ribeirão Preto, 2016.
INÁCIO, Sandra R. L. Entendendo e evitando a engenharia social: protegendo sistemas e informações. 2008. Disponível em: https://www.webartigos.com/artigos/entendendo-e-evitando-a-engenharia- social-protegendo-sistemas-e-informacoes/11227. Acesso em: 14 ago. 2018. KEYWORTH, Marie. Vishing and smishing: The rise of social engineering fraud, 2016. Disponível em: https://www.bbc.com/news/business-35201188. Acesso em: 16 ago. 2018 MACÊDO, Diego. Footprint, 2017. Disponível em: https://www.diegomacedo.com.br/footprinting/. Acesso em: 25 jul. 2018 MAULAIS, Claudio Nunes do S. Engenharia Social: Técnicas e estratégias de defesa em ambientes virtuais vulneráveis, 2016. 79f. Universidade Fumec, Belo Horizonte, 2016. Disponível em: http://www.fumec.br/revistas/sigc/article/viewFile/3733/2031. Acesso em: 20 ago. 2018 MITNICK, Kevin D.; SIMON, William L., A Arte de Enganar, São Paulo: Pearson, 2003 MOREIRA, Ademilson. A importância da segurança da informação, 2013. Disponível em: https://www.oficinadanet.com.br/artigo/1124/a_importancia_da_seguranca_da_i nformacao. Acesso em: 07 ago. 2018. PEIXOTO, Mário César Pintaudi. Engenharia Social & Segurança da Informação na Gestão Corporativa. Rio de Janeiro: Brasport, 2006. PEREIRA, Leandro; MARTINS, Daves. Engenharia Social: Segurança da Informação Aplicada à Gestão de Pessoas – Estudo de Caso – Centro de Ensino Superior de Juíz de Fora, 2014. Disponível em https://seer.cesjf.br/index.php/cesi/article/view/129. Acesso em: 07 ago. 2018. PURICELLI, Roberto. Engenharia Social: uma ameaça subestimada na governança e gestão de segurança de TI. ISACA Journal, v. 3, 2015. Disponível em: https://www.isaca.org/Journal/archives/2015/Volume- 3/Pages/the-underestimated-social-engineering-threat-portuguese.aspx. Acesso em: 13 ago. 2018. RAFAEL, Gustavo de Castro. Engenharia Social: as técnicas de ataques mais utilizadas, 2013. Disponível em: https://www.profissionaisti.com.br/2013/10/engenharia-social-as-tecnicas-de- ataques-mais-utilizadas/. Acesso em: 17 jul. 2018. SILVANI, Mirella. Os dez tipos de phishing mais comuns, 2018. Disponível em: https://www.techtudo.com.br/listas/2018/06/os-dez-tipos-de-phishing-mais- comuns.ghtml. Acesso em: 16 ago. 2018.
TONELLO, Leandro Narezi. Spoofing e E-mail Spoofing: como se prevenir?, 2015. Disponível em: https://imasters.com.br/devsecops/spoofing-e-e-mail- spoofing-como-se-prevenir. Acesso em: 17 ago. 2018 SOARES, Joelson. 5 dicas para evitar e se prevenir de ataques de phising, 2017. Disponível em: http://blog.trendmicro.com.br/5-dicas-para-evitar-e-se- prevenir-de-ataques-de-phishing/. Acesso em: 12 ago. 2018.

Recomendados

Endpoint Protection
Endpoint ProtectionEndpoint Protection
Endpoint ProtectionSophos
 
Solution de Déploiement et de Gestion de Réseaux de HotSpot WiFi
Solution de Déploiement et de Gestion de Réseaux de HotSpot WiFiSolution de Déploiement et de Gestion de Réseaux de HotSpot WiFi
Solution de Déploiement et de Gestion de Réseaux de HotSpot WiFiAudience
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatiqueSouhaib El
 
Sécurité des réseaux sans fil WIFI
Sécurité des réseaux sans fil WIFISécurité des réseaux sans fil WIFI
Sécurité des réseaux sans fil WIFISoukaina Boujadi
 
Introduction IDS
Introduction IDSIntroduction IDS
Introduction IDSHitesh Mohapatra
 
Sécurité asterisk web
Sécurité asterisk webSécurité asterisk web
Sécurité asterisk webAgarik
 
ETUDE DE L'EVOLUTION DU COEUR PAQUET 3G VERS L'EPC
ETUDE DE L'EVOLUTION DU COEUR PAQUET 3G VERS L'EPCETUDE DE L'EVOLUTION DU COEUR PAQUET 3G VERS L'EPC
ETUDE DE L'EVOLUTION DU COEUR PAQUET 3G VERS L'EPCOkoma Diby
 
Cisco routing slm v40
Cisco routing slm v40Cisco routing slm v40
Cisco routing slm v40ydrice arnaud NDOUAGUEU
 

Recomendados

Endpoint Protection
Endpoint ProtectionEndpoint Protection
Endpoint ProtectionSophos
 
Solution de Déploiement et de Gestion de Réseaux de HotSpot WiFi
Solution de Déploiement et de Gestion de Réseaux de HotSpot WiFiSolution de Déploiement et de Gestion de Réseaux de HotSpot WiFi
Solution de Déploiement et de Gestion de Réseaux de HotSpot WiFiAudience
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatiqueSouhaib El
 
Sécurité des réseaux sans fil WIFI
Sécurité des réseaux sans fil WIFISécurité des réseaux sans fil WIFI
Sécurité des réseaux sans fil WIFISoukaina Boujadi
 
Introduction IDS
Introduction IDSIntroduction IDS
Introduction IDSHitesh Mohapatra
 
Sécurité asterisk web
Sécurité asterisk webSécurité asterisk web
Sécurité asterisk webAgarik
 
ETUDE DE L'EVOLUTION DU COEUR PAQUET 3G VERS L'EPC
ETUDE DE L'EVOLUTION DU COEUR PAQUET 3G VERS L'EPCETUDE DE L'EVOLUTION DU COEUR PAQUET 3G VERS L'EPC
ETUDE DE L'EVOLUTION DU COEUR PAQUET 3G VERS L'EPCOkoma Diby
 
Cisco routing slm v40
Cisco routing slm v40Cisco routing slm v40
Cisco routing slm v40ydrice arnaud NDOUAGUEU
 
Eset India General Presentation
Eset India General PresentationEset India General Presentation
Eset India General PresentationKsenia Kondratieva
 
Etude et Mise en oeuvre d'une architecture de téléphonie sur IP sécurisée au ...
Etude et Mise en oeuvre d'une architecture de téléphonie sur IP sécurisée au ...Etude et Mise en oeuvre d'une architecture de téléphonie sur IP sécurisée au ...
Etude et Mise en oeuvre d'une architecture de téléphonie sur IP sécurisée au ...stepmike
 
Asterisk presentation v1.1
Asterisk presentation v1.1Asterisk presentation v1.1
Asterisk presentation v1.1Farhan Fuad
 
Sophos XG Firewall
Sophos XG FirewallSophos XG Firewall
Sophos XG FirewallDeServ - Tecnologia e Servços
 
Etude de la VoIP
Etude de la VoIPEtude de la VoIP
Etude de la VoIPChiheb Ouaghlani
 
La Sécurité informatiques
La Sécurité informatiquesLa Sécurité informatiques
La Sécurité informatiquesNouriddin BEN ZEKRI
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUCHAOUACHI marwen
 
Alphorm.com Formation CCNA 200-301 version 2020 (1of6) : Les Fondamentaux des...
Alphorm.com Formation CCNA 200-301 version 2020 (1of6) : Les Fondamentaux des...Alphorm.com Formation CCNA 200-301 version 2020 (1of6) : Les Fondamentaux des...
Alphorm.com Formation CCNA 200-301 version 2020 (1of6) : Les Fondamentaux des...Alphorm
 
COUPLAGE ENTRE Asterisk et OpenIMSCore
COUPLAGE ENTRE Asterisk et OpenIMSCoreCOUPLAGE ENTRE Asterisk et OpenIMSCore
COUPLAGE ENTRE Asterisk et OpenIMSCoreAbdou Lahad SYLLA
 
Cisco Call Manager on CISCO IOS
Cisco Call Manager on CISCO IOSCisco Call Manager on CISCO IOS
Cisco Call Manager on CISCO IOSHermann GBILIMAKO
 
Understanding SASE
Understanding SASE Understanding SASE
Understanding SASE Haris Chughtai
 
Check Point Solutions Portfolio- Detailed
Check Point Solutions Portfolio- DetailedCheck Point Solutions Portfolio- Detailed
Check Point Solutions Portfolio- DetailedMoti Sagey מוטי שגיא
 
XG Firewall
XG FirewallXG Firewall
XG FirewallDeServ - Tecnologia e Servços
 
Project Cloud / Sécurité - Analyse de risques
Project Cloud / Sécurité - Analyse de risquesProject Cloud / Sécurité - Analyse de risques
Project Cloud / Sécurité - Analyse de risquesSébastien Kieger
 
Curriculum vitae pour technicien superieur en réseaux et télécommunication
Curriculum vitae pour technicien superieur en réseaux et télécommunicationCurriculum vitae pour technicien superieur en réseaux et télécommunication
Curriculum vitae pour technicien superieur en réseaux et télécommunicationAnis Nouri
 
Sophos EndUser Protection
Sophos EndUser ProtectionSophos EndUser Protection
Sophos EndUser ProtectionSophos
 
Microsoft Zero Trust
Microsoft Zero TrustMicrosoft Zero Trust
Microsoft Zero TrustDavid J Rosenthal
 
Technologie wdm
Technologie wdmTechnologie wdm
Technologie wdmSalvator Fayssal
 
Sécuriter informatiques
Sécuriter informatiquesSécuriter informatiques
Sécuriter informatiquesAmadou Dary diallo
 
Network security 10EC832 vtu notes
Network security 10EC832 vtu notesNetwork security 10EC832 vtu notes
Network security 10EC832 vtu notesJayanth Dwijesh H P
 
Engenharia Social.docx
Engenharia Social.docxEngenharia Social.docx
Engenharia Social.docxThaisCristina656020
 
Segurança dos sistemas de informação
Segurança dos sistemas de informaçãoSegurança dos sistemas de informação
Segurança dos sistemas de informaçãoRodrigo Gomes da Silva
 

Mais conteúdo relacionado

Mais procurados

Eset India General Presentation
Eset India General PresentationEset India General Presentation
Eset India General PresentationKsenia Kondratieva
 
Etude et Mise en oeuvre d'une architecture de téléphonie sur IP sécurisée au ...
Etude et Mise en oeuvre d'une architecture de téléphonie sur IP sécurisée au ...Etude et Mise en oeuvre d'une architecture de téléphonie sur IP sécurisée au ...
Etude et Mise en oeuvre d'une architecture de téléphonie sur IP sécurisée au ...stepmike
 
Asterisk presentation v1.1
Asterisk presentation v1.1Asterisk presentation v1.1
Asterisk presentation v1.1Farhan Fuad
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUCHAOUACHI marwen
 
Alphorm.com Formation CCNA 200-301 version 2020 (1of6) : Les Fondamentaux des...
Alphorm.com Formation CCNA 200-301 version 2020 (1of6) : Les Fondamentaux des...Alphorm.com Formation CCNA 200-301 version 2020 (1of6) : Les Fondamentaux des...
Alphorm.com Formation CCNA 200-301 version 2020 (1of6) : Les Fondamentaux des...Alphorm
 
COUPLAGE ENTRE Asterisk et OpenIMSCore
COUPLAGE ENTRE Asterisk et OpenIMSCoreCOUPLAGE ENTRE Asterisk et OpenIMSCore
COUPLAGE ENTRE Asterisk et OpenIMSCoreAbdou Lahad SYLLA
 
Cisco Call Manager on CISCO IOS
Cisco Call Manager on CISCO IOSCisco Call Manager on CISCO IOS
Cisco Call Manager on CISCO IOSHermann GBILIMAKO
 
Project Cloud / Sécurité - Analyse de risques
Project Cloud / Sécurité - Analyse de risquesProject Cloud / Sécurité - Analyse de risques
Project Cloud / Sécurité - Analyse de risquesSébastien Kieger
 
Curriculum vitae pour technicien superieur en réseaux et télécommunication
Curriculum vitae pour technicien superieur en réseaux et télécommunicationCurriculum vitae pour technicien superieur en réseaux et télécommunication
Curriculum vitae pour technicien superieur en réseaux et télécommunicationAnis Nouri
 
Sophos EndUser Protection
Sophos EndUser ProtectionSophos EndUser Protection
Sophos EndUser ProtectionSophos
 
Network security 10EC832 vtu notes
Network security 10EC832 vtu notesNetwork security 10EC832 vtu notes
Network security 10EC832 vtu notesJayanth Dwijesh H P
 

Mais procurados (20)

Eset India General Presentation
Eset India General PresentationEset India General Presentation
Eset India General Presentation
 
Etude et Mise en oeuvre d'une architecture de téléphonie sur IP sécurisée au ...
Etude et Mise en oeuvre d'une architecture de téléphonie sur IP sécurisée au ...Etude et Mise en oeuvre d'une architecture de téléphonie sur IP sécurisée au ...
Etude et Mise en oeuvre d'une architecture de téléphonie sur IP sécurisée au ...
 
Asterisk presentation v1.1
Asterisk presentation v1.1Asterisk presentation v1.1
Asterisk presentation v1.1
 
Sophos XG Firewall
Sophos XG FirewallSophos XG Firewall
Sophos XG Firewall
 
Etude de la VoIP
Etude de la VoIPEtude de la VoIP
Etude de la VoIP
 
La Sécurité informatiques
La Sécurité informatiquesLa Sécurité informatiques
La Sécurité informatiques
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAU
 
Alphorm.com Formation CCNA 200-301 version 2020 (1of6) : Les Fondamentaux des...
Alphorm.com Formation CCNA 200-301 version 2020 (1of6) : Les Fondamentaux des...Alphorm.com Formation CCNA 200-301 version 2020 (1of6) : Les Fondamentaux des...
Alphorm.com Formation CCNA 200-301 version 2020 (1of6) : Les Fondamentaux des...
 
COUPLAGE ENTRE Asterisk et OpenIMSCore
COUPLAGE ENTRE Asterisk et OpenIMSCoreCOUPLAGE ENTRE Asterisk et OpenIMSCore
COUPLAGE ENTRE Asterisk et OpenIMSCore
 
Cisco Call Manager on CISCO IOS
Cisco Call Manager on CISCO IOSCisco Call Manager on CISCO IOS
Cisco Call Manager on CISCO IOS
 
Understanding SASE
Understanding SASE Understanding SASE
Understanding SASE
 
Check Point Solutions Portfolio- Detailed
Check Point Solutions Portfolio- DetailedCheck Point Solutions Portfolio- Detailed
Check Point Solutions Portfolio- Detailed
 
XG Firewall
XG FirewallXG Firewall
XG Firewall
 
Project Cloud / Sécurité - Analyse de risques
Project Cloud / Sécurité - Analyse de risquesProject Cloud / Sécurité - Analyse de risques
Project Cloud / Sécurité - Analyse de risques
 
Curriculum vitae pour technicien superieur en réseaux et télécommunication
Curriculum vitae pour technicien superieur en réseaux et télécommunicationCurriculum vitae pour technicien superieur en réseaux et télécommunication
Curriculum vitae pour technicien superieur en réseaux et télécommunication
 
Sophos EndUser Protection
Sophos EndUser ProtectionSophos EndUser Protection
Sophos EndUser Protection
 
Microsoft Zero Trust
Microsoft Zero TrustMicrosoft Zero Trust
Microsoft Zero Trust
 
Technologie wdm
Technologie wdmTechnologie wdm
Technologie wdm
 
Sécuriter informatiques
Sécuriter informatiquesSécuriter informatiques
Sécuriter informatiques
 
Network security 10EC832 vtu notes
Network security 10EC832 vtu notesNetwork security 10EC832 vtu notes
Network security 10EC832 vtu notes
 

Semelhante a Engenharia Social e vulnerabilidades humanas

Segurança dos sistemas de informação
Segurança dos sistemas de informaçãoSegurança dos sistemas de informação
Segurança dos sistemas de informaçãoRodrigo Gomes da Silva
 
Segurança dos sistemas de informação
Segurança dos sistemas de informaçãoSegurança dos sistemas de informação
Segurança dos sistemas de informaçãoRodrigo Gomes da Silva
 
Estudo De Viabilidade Na Utilização De Ferramente De Mineração De Dados Como ...
Estudo De Viabilidade Na Utilização De Ferramente De Mineração De Dados Como ...Estudo De Viabilidade Na Utilização De Ferramente De Mineração De Dados Como ...
Estudo De Viabilidade Na Utilização De Ferramente De Mineração De Dados Como ...Cleyton Kano
 
ENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdf
ENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdfENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdf
ENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdfHelenaReis48
 
O "erro humano" e a engenharia social
O "erro humano" e a engenharia socialO "erro humano" e a engenharia social
O "erro humano" e a engenharia socialRicardo Cavalcante
 
A IMPORTÂNCIA DO USO DE ESTRATÉGIAS DE SEGURANÇA DA INFORMAÇÃO NAS ORGANIZAÇÕES
A IMPORTÂNCIA DO USO DE ESTRATÉGIAS DE SEGURANÇA DA INFORMAÇÃO NAS ORGANIZAÇÕESA IMPORTÂNCIA DO USO DE ESTRATÉGIAS DE SEGURANÇA DA INFORMAÇÃO NAS ORGANIZAÇÕES
A IMPORTÂNCIA DO USO DE ESTRATÉGIAS DE SEGURANÇA DA INFORMAÇÃO NAS ORGANIZAÇÕESCarla Ferreira
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicosGuilherme Neves
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicosGuilherme Neves
 
Segurança da informação - Aula 01
Segurança da informação - Aula 01Segurança da informação - Aula 01
Segurança da informação - Aula 01profandreson
 
Apostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasApostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasCapitu Tel
 
Segurança física e lógica e análise de vunerabilidade (abnt)
Segurança física e lógica e análise de vunerabilidade (abnt)Segurança física e lógica e análise de vunerabilidade (abnt)
Segurança física e lógica e análise de vunerabilidade (abnt)Diego BBahia
 

Semelhante a Engenharia Social e vulnerabilidades humanas (20)

Engenharia Social.docx
Engenharia Social.docxEngenharia Social.docx
Engenharia Social.docx
 
Segurança dos sistemas de informação
Segurança dos sistemas de informaçãoSegurança dos sistemas de informação
Segurança dos sistemas de informação
 
Segurança dos sistemas de informação
Segurança dos sistemas de informaçãoSegurança dos sistemas de informação
Segurança dos sistemas de informação
 
Estudo De Viabilidade Na Utilização De Ferramente De Mineração De Dados Como ...
Estudo De Viabilidade Na Utilização De Ferramente De Mineração De Dados Como ...Estudo De Viabilidade Na Utilização De Ferramente De Mineração De Dados Como ...
Estudo De Viabilidade Na Utilização De Ferramente De Mineração De Dados Como ...
 
Engenharia social
Engenharia socialEngenharia social
Engenharia social
 
ENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdf
ENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdfENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdf
ENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdf
 
Engenharia Social
Engenharia SocialEngenharia Social
Engenharia Social
 
FIREWALL 04.pptx
FIREWALL 04.pptxFIREWALL 04.pptx
FIREWALL 04.pptx
 
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicosCapítulo I: A segurança de sistemas da informação & aspectos sociotécnicos
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos
 
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
 
O "erro humano" e a engenharia social
O "erro humano" e a engenharia socialO "erro humano" e a engenharia social
O "erro humano" e a engenharia social
 
A IMPORTÂNCIA DO USO DE ESTRATÉGIAS DE SEGURANÇA DA INFORMAÇÃO NAS ORGANIZAÇÕES
A IMPORTÂNCIA DO USO DE ESTRATÉGIAS DE SEGURANÇA DA INFORMAÇÃO NAS ORGANIZAÇÕESA IMPORTÂNCIA DO USO DE ESTRATÉGIAS DE SEGURANÇA DA INFORMAÇÃO NAS ORGANIZAÇÕES
A IMPORTÂNCIA DO USO DE ESTRATÉGIAS DE SEGURANÇA DA INFORMAÇÃO NAS ORGANIZAÇÕES
 
Segurança da informação - Maio 2011
Segurança da informação - Maio 2011Segurança da informação - Maio 2011
Segurança da informação - Maio 2011
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos
 
Segurança da informação - Aula 01
Segurança da informação - Aula 01Segurança da informação - Aula 01
Segurança da informação - Aula 01
 
Conceitos TI
Conceitos TIConceitos TI
Conceitos TI
 
Apostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasApostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemas
 
Segurança física e lógica e análise de vunerabilidade (abnt)
Segurança física e lógica e análise de vunerabilidade (abnt)Segurança física e lógica e análise de vunerabilidade (abnt)
Segurança física e lógica e análise de vunerabilidade (abnt)
 
Tecnologia da Informação AVM aula 2
Tecnologia da Informação AVM aula 2Tecnologia da Informação AVM aula 2
Tecnologia da Informação AVM aula 2
 

Engenharia Social e vulnerabilidades humanas

  • 1. Pós-Graduação em Segurança da Informação da Universidade Estácio de Sá, Ribeirão Preto, 2018 Engenharia Social: Explorando a vulnerabilidade humana Rafael Magri Gedra Resumo Com o passar dos dias e com o crescente avanço da tecnologia, a informação passou a ser um dos ativos mais valiosos das organizações, transformando em um alvo para pessoas más intencionadas. Assim como existe esse tipo de pessoa, também existem aquelas que são bem-intencionadas, ou até mesmo por uma falta de atenção ou inocência, deixam que essas informações caiam em mãos erradas. Devido às essas falhas humanas, os ataques de Engenharia Social têm crescido exponencialmente, e por este motivo, é o tema desse trabalho, cujos objetivos são: levar ao conhecimento das pessoas e organizações este tipo de ameaça, bem como seus modus operandi para que, quando vítimas, possam reconhecer e prevenir que o atacante obtenha sucesso; e, apresentar a necessidade de campanhas internas de conscientização e treinamentos. Palavras-chave: Engenharia Social; Segurança da Informação; vulnerabilidades; 1. Introdução Segundo Mitnick e Simon (2003), por mais que uma empresa possa ter adquirido as melhores ferramentas de cibersegurança, estruturado uma segurança física e seguirem as melhores práticas em segurança, ainda assim essa corporação está completamente vulnerável devido ao fator humano. Sendo assim, ataques de engenharia social podem lograr sucesso facilmente através de pessoas que não foram devidamente instruídas para lidar com essa situação, ou até mesmo por negligência por parte das mesmas. Generalizando, Engenharia Social é uma técnica em que o atacante utiliza a persuasão para conquista de seus alvos. Neste caso, utilizam uma prática de má fé, explorando a ganância, ingenuidade ou até mesmo a boa-fé da vítima em querer sentir-se útil. (CERT, 2012) Estudos empenhados na análise de estratégias de ataques apontam que a primeira fase do ataque, quase sempre, envolve a manipulação de comportamento de algum funcionário, utilizando técnicas de Engenharia Social. Após sucesso na primeira fase, os atacantes utilizam de uma posição dentro das
  • 2. redes corporativas para que, por meio de movimentação lateral, possam explorar vulnerabilidades internas. (PURICELLI, 2015) Sendo assim, este artigo tem como objetivo levar ao conhecimento de pessoas e empresas as técnicas utilizadas pelos Engenheiros Sociais, para que, quando alvos, possam identificar o ataque e rapidamente, tomarem uma posição correta para evitar o sucesso do atacante. 2. Conceitos de Segurança da Informação e Engenharia Social 2.1 Segurança da Informação Com o efeito da globalização e computadores e usuários fortemente conectados pelas redes, a informação passou a ser um dos maiores patrimônios das organizações. É através dessas informações que a organização permanece competitiva no mercado, por isso, ela deve ser protegida e gerenciada de forma adequada. (MOREIRA, 2013). Segundo a ABNT NBR ISSO/IEC 17799:2005 (2005, p.ix), a informação pode ser apresentada no formato impresso, armazenada de forma eletrônica, filmes, entre outras formas. De qualquer forma, elas devem ser protegidas e armazenadas de forma adequada. Para Peixoto (2006), as informações podem ser categorizadas em pública, interna, particular e confidencial. i. Pública: nesta categoria, as informações são abertas ao público, sem nenhuma restrição. Pode ser utilizada como forma de divulgação nos mais diversos veículos de mídia.; ii. Interna: as informações pertencentes à esta categoria são voltadas aos funcionários e demais integrantes da organização. Este tipo de informação pode ser útil ao Engenheiro Social, pois pode usá-las para se passar por empregado ou fornecedor, e, também conhecer os horários e regras para se infiltrar na organização; iii. Particular: estas informações pertencem ao funcionário ou outro membro da organização. Estas informações podem ser contas bancárias, salários, benefícios e demais informações de uso pessoal que não devem ser expostas ao público.
  • 3. iv. Confidencial: por fim, nesta categoria estão as informações que pertencem à um grupo restrito de pessoas. São as informações mais valorizadas dentro da organização, consequentemente as mais bem protegidas. Essas informações são os principais alvos de um atacante, pois tratam-se de estratégias de negócios, especificações de produtos, informações de marketing, e, quando vazadas, podem comprometer, algumas vezes de forma irreversível, a estrutura dos negócios. A segurança da informação consiste nos processos e técnicas empregadas que têm como objetivo, proteger essas informações de diversos tipos de ameaças, e pode ser obtida através da implementação de políticas, processos e procedimentos, que devem ser monitorados, analisados e melhorados com o passar do tempo. Quando implementadas, as políticas de segurança da informação visam a preservação de três princípios básicos, considerados como pilares da segurança da informação, que são: i. Confidencialidade: este conceito é empregado para manter as informações confidenciais longe do acesso de pessoas não autorizadas. São empregadas técnicas de criptografia, acesso limitado por senhas e certificados. Devido à curiosidade humana quando algum segredo é envolvido, esse pilar deve ser bem estruturado para não deixar brechas ao atacante. ii. Integridade: busca garantir que a informação não tenha sido alterada indevidamente por algum indivíduo não autorizado. Quando uma informação sofre alterações em sua versão original, ela perde seu valor, podendo ocasionar erros e fraudes. É importante que as informações sejam armazenadas de forma que não haja alterações inapropriadas. iii. Disponibilidade: este princípio busca garantir que a informação esteja disponível para serem utilizadas quando necessário. Aplica-se também à infraestrutura física e tecnológica, o tráfego e armazenamento da informação para que estejam sempre disponíveis de forma segura. Além dos princípios básicos que, quando empregados eram muito abrangentes, hoje em dia, mais dois pilares foram adotados, e também são tão importantes quanto os outros. Estes novos pilares são: autenticidade e irretratabilidade ou não-repúdio, conforme definidos abaixo:
  • 4. iv. Autenticidade: este conceito busca garantir a informação partiu da fonte anunciada. v. Irretratabilidade: também conhecida como “não-repúdio”, este novo pilar busca garantir que um emissor não negue o envio de uma mensagem ou transação, quando sua autenticidade já foi reconhecida. Para Moreira (2013), no passado, zelar pela segurança da informação era mais simples, pois os arquivos que continham diversos papéis, podiam ser trancados fisicamente, porém, com a chegada das tecnologias da informação e comunicação, essa tarefa passou a ser bem mais complexa. É essencial que uma organização identifique seus requisitos de segurança por meio de uma análise. Os resultados destas análises servirão para direcionar e determinar as ações apropriadas e quais as prioridades. 2.2 Engenharia Social Para a Microsoft (2014), a Engenharia Social vem através de uma pessoa que acha mais fácil explorar a natureza humana ao explorar falhas de software, sem a necessidade de empregar tecnologia sofisticada, mas sim, técnicas. Nesta mesma linha de pensamento, Mitnick e Simon (2003) afirma que o Engenheiro Social usa o poder da persuasão, influência ou manipulação para convencer outras pessoas que ele é alguém que na realidade não é, e desta forma, receber informações usando ou não recursos tecnológicos. A Engenharia Social pode ser utilizada por pessoas bem-intencionadas que, conhecendo as técnicas e ferramentas, pode emprega-las para se protegerem dessas ameaças, mas também pode ser usada por atacantes para burlar os sistemas de segurança, colher as informações e obter algum lucro ilícito. Na maioria das vezes, quando surge a necessidade de proteger as informações, muitos pensam em corrigir falhas computacionais, implementação de firewall, sistemas antivírus e atualizações de sistemas para correção de vulnerabilidades, porém deixam de lado o fator humano, que sempre existirá dentro das organizações. De acordo com o entendimento de Alves (2010), o fator humano está diretamente ligado as maiores causas de ataques a sistemas computacionais,
  • 5. fazendo necessário a inclusão desse fator como sendo um elemento base da segurança da informação. O ser humano possui algumas características comportamentais e psicológicas que o torna passível de ataques de engenharia social. Dentre estas características, estão: vontade de ser útil, difusão de responsabilidades, procura por novas amizades e relacionamentos. (Inácio, 2008) 3. Ataques de Engenharia Social Ataques de engenharia social podem ser divididos em, basicamente, dois tipos: diretos e indiretos. Nos ataques diretos, o atacante tem um contato pessoal com a vítima, exigindo assim, um planejamento antecipado, devendo ser bem articulado para que não seja descoberto. (Inácio, 2008) Já nos ataques indiretos, o atacante utiliza ferramentas de invasão, como envio de códigos maliciosos, exploração de alguma porta aberta para a Internet e falhas de segurança. (Inácio, 2008) Estes ataques podem ser empregados por meio de diversas técnicas e ferramentas. Dentre elas, algumas podem ser destacadas: i. Contato telefônico: O atacante ter em seu poder as informações que precisa, o mesmo pode utilizar de um contato telefônico para obter algum acesso não autorizado, passando-se por funcionário, fornecedor ou terceiros. Quando o Engenheiro Social utiliza esta técnica, ele já possui informações como: nome de secretária, dados de algum gestor ou até de funcionários responsáveis pela segurança da informação. (Rafael, 2013) ii. E-mail Spoofing: Nesta técnica, o atacante altera o campo de cabeçalho de um e-mail, aparentando assim que ele foi enviado por um determinado remetente, quando na verdade, não foi. Normalmente, por meio de divulgação falsa de promoções, assuntos financeiros ou qualquer outro assunto que chame a atenção da vítima e levem-na a clicar sobre algum link com redirecionamento à uma página falsa para instalação de algum software malicioso ou redirecionamento para página falsas, onde a vítima poderá inserir seus dados bancários, números de cartões de crédito, entre outras informações que podem ser solicitadas pelo atacante.
  • 6. iii. Análise do lixo ou Dumpster diving: Por muitas empresas não tomarem os devidos cuidados com o que é descartado, muitos Engenheiros Sociais vasculham o lixo da empresa em busca de informações como: nome de funcionários, telefone de clientes e fornecedores, comprovantes de transações efetuadas. Após coletadas essas informações, o Engenheiro Social fica munido de material que pode ser usado em outras técnicas, como ligações e e-mails. iv. Pesquisas na Internet: O Engenheiro Social utiliza as informações publicadas na Internet e redes sociais para também colher informações sobre seus alvos. Na Internet o atacante encontra informações sobre as atividades da empresa, processos judiciais abertos ao público, e, consultando as redes sociais, consegue informações sobre funcionários, como: cargos, amizades, perfil pessoal, entre outras. v. Programação neurolinguística: São técnicas utilizadas durante a comunicação com outra pessoa, que serve para confundi-la e fazê-la concordar com o atacante. Uma das técnicas mais utilizadas é fazer com que a vítima acredite que uma ideia foi dela, e não do atacante. vi. Phishing: Por se tratar de uma das técnicas amplamente utilizadas por Engenheiros sociais, esta técnica merece um estudo mais abrangente, que será apresentado mais adiante. vii. Varredura em redes (Scan): Consiste em buscas na rede, com o objetivo de identificar computadores ativos e coletar informações sobre eles. Com base nas informações coletadas, o atacante pode utilizar diversas vulnerabilidades já identificadas aos serviços disponibilizados e programas instalados nestes computadores. (CERT, 2012) viii. Footprint: Consiste na técnica de reconhecimento iniciada pelo atacante, utilizada para coleta de informações da rede, arquitetura de rede, IDS, IPS, firewall utilizado e serviços de rede disponíveis. (Macêdo, 2017) ix. Engenharia social inversa: Tipo de ataque poderoso, onde o atacante consegue criar um problema para a vítima, porém demonstrando a ela que somente ele consegue resolver. Quando o engenheiro utiliza esta técnica, o problema ainda não existe ou não aconteceu, porém ele sabe que acontecerá, pois será ele o causador. (Baldim, 2007) x. BEC (Business Email Compromise): É um tipo de ataque de phishing, que é aplicado somente via e-mail e direcionado à algum alvo. Neste
  • 7. ataque, o Engenheiro Social utiliza técnicas avançadas de phishing, e são direcionadas ao alvo. Segundo monitoramento realizado pela Trend Micro, os CFO’s (Chief Financial Officer) são os alvos mais visados para este tipo de ataque. (Soares, 2017) 3.1 Phishing O phishing é um dos ataques mais antigos e ainda um dos mais utilizados na Internet. Segundo Payão (2018), o Brasil ocupa a primeira posição no ranking dos países que mais sofrem ataques de phishing no mundo. Para Payão (2018), os ataques de phishing o sucesso da utilização desta técnica é devido à sua facilidade e rapidez, devendo apenas cadastrar um domínio e montar uma página web falsa, e, em seguida disparar os e-mails em massa. No ano de 2017, segundo a CERT, em 85,32% dos ataques relacionados à fraude, foram utilizadas páginas falsas, conforme gráfico abaixo: Figura 1. Gráfico tentativas de fraude Fonte: CERT.br, 2018 Os ataques de phishing têm como objetivo o furto de dados pessoais, e podem ser apresentados de várias maneiras, conforme listados abaixo: i. E-mail ou mensagem falsa: Este é um tipo clássico, que, por meio de e-mail falso, porém que se parecem com empresas reais, como bancos.
  • 8. Neste modelo, o atacante envia uma solicitação à vítima, como por exemplo a atualização cadastral, e, ao clicar sobre algum link, à vítima é redirecionada para uma página falsa, onde insere seus dados, como número de conta, número de cartão de crédito, etc. (Gedra, 2016) ii. Phishing usando ransomware: Neste ataque, o usuário também recebe um link, e ao clicar, é redirecionado para uma página falsa, que, de forma automática, executa um código malicioso no computador. Após a execução, os arquivos são criptografados, deixando-os inacessíveis. Para ter acesso novamente aos arquivos, o atacante solicita um pagamento. (Silvani, 2018) iii. Pharming: Nesta técnica, o ataque acontece em um servidor DNS, e, a partir daí qualquer acesso a páginas da web podem ser redirecionadas para páginas fraudulentas sem que o usuário desconfie. Após o acesso em página falsa, o atacante pode coletar informações de várias pessoas ao mesmo tempo. (Silvani, 2018) iv. Smishing SMS: O alvo nesta técnica são os aparelhos celulares. O Smishing chega por meio de mensagem de texto, de remetentes desconhecidos, normalmente oferecendo algum tipo de prêmio ou oferta, e quando a vítima clica em algum link, é induzida a inserir seus dados pessoais, bem como bancários. (Silvani, 2018) v. Vishing: Nesta fraude, a vítima recebe uma ligação telefônica e é induzida pelo atacante a fornecer dados pessoais, bancários e até transferência de dinheiro. O Engenheiro Social pode empregar diversas técnicas para conseguir o que precisa, como segurar a vítima em linha telefônica; mascaramento do número telefônico por um já conhecido pela vítima; o atacante já possui diversas informações sobre a vítima, que pode fazer com que a vítima acredite ser uma ligação genuína, entre outras. 3.2 Vulnerabilidades humanas exploradas por Engenheiros Sociais Segundo o Gartner (2002) apud Baldim (2007), o Engenheiro Social age sobre o comportamento humano, utilizando habilidades de persuasão e também fingindo ser uma pessoa que não é. Persuasão pode ser definida como uma arte e uma ciência, que durante alguns estudos, mostraram que humanos possuem
  • 9. alguns tipos de comportamentos que são explorados mediante uma cuidadosa manipulação. Sendo assim, para Maulais (2016) apud Rosa at al (2012), um Engenheiro Social utiliza conhecidas tendências, falhas psicológicas, sociais e comportamentais do ser humano, como: i. Vaidade (pessoal ou profissional): Quando os argumentos utilizados pelo Engenheiro Social vão de encontro com interesses pessoais ou profissionais da vítima, gera uma maior aceitação por parte da mesma, que fornece as informações ao atacante com maior facilidade. ii. Autoconfiança: É natural do ser humano a vontade de mostrar-se bom em determinado assunto, área ou habilidade, sendo assim, ele procura transmitir segurança, conhecimento e eficiência quando requisitado, criando assim, uma base bem estruturada para início de uma comunicação favorável. iii. Vontade de ser útil: A maioria dos seres humanos gostam de ajudar aos outros, mostrando ser úteis e agindo com cortesia. iv. Propagação de responsabilidade: Explorando esta característica, o Engenheiro Social utiliza para “ajudar” a vítima durante a busca de alguma solução do que foi proposto, trazendo uma sensação de conforto à mesma. v. Busca por novas amizades: Quando elogiado, o ser humano passa a criar um laço de afetuoso e sensação de intimidade, tornando-se um alvo mais vulnerável e aberto para ceder informações. 4. Defesas contra os ataques que utilizam a Engenharia Social Para Mitnick e Simon (2003, p. 3), Uma empresa pode ter adquirido as melhores tecnologias de segurança que o dinheiro pode comprar. Pode ter treinado seu pessoal tão bem que eles trancam todos os segredos antes de ir embora e pode ter contratado guardas para o prédio na melhor empresa de segurança que existe. Mesmo assim essa empresa ainda está vulnerável. Os indivíduos podem seguir cada uma das melhores práticas de segurança recomendadas pelos especialistas, podem instalar cada produto de segurança recomendado e vigiar muito bem a configuração adequada do sistema e a aplicação das correções de segurança. Esses indivíduos ainda estarão completamente vulneráveis.
  • 10. Mesmo assim, existem algumas técnicas de defesa para estes ataques de Engenharia Social, que devem ser conhecidas e empregadas por todas as pessoas que possuem vínculos diretos com a empresa, inclusive fornecedores e terceiros que possuem acesso em qualquer tipo de informação. Para um Engenheiro Social, uma informação que o funcionário julgue como irrelevante, pode valer muito quando bem aproveitada. É importante ressaltar que por mais treinada que a equipe seja, isso não dispensa o investimento em tecnologias de defesa. O uso de caixas de firewall e boas soluções de AntiSpam, antivírus, IPS (Intrusion Prevention System) e IDS (Intrusion Detection System) são importantes, pois uma solução complementa a outra. Essas ferramentas devem estar devidamente configuradas e instaladas no ambiente. A segurança física do perímetro também deve ser empregada, utilizando controles de acesso ao ambiente, sistemas de monitoramento por imagem e alarmes, pois um Engenheiro Social pode adentrar ao ambiente passando-se por funcionário, fornecedor ou terceiro. O uso de leitores biométricos é indicado para abertura portas e portões. No item 3, Ataques de Engenharia Social, foram listadas algumas das técnicas de ataques mais utilizadas, e, agora serão apresentadas técnicas de defesa para as ameaças já vistas. i. Contato telefônico: O usuário precisa estar preparado e treinado para que não passe determinados tipos de informações por telefone. A empresa deve implementar uma política para que solicitações aconteçam de modo escrito, dentro de algum comunicador interno, por exemplo um sistema em intranet. As gravações devem ser gravadas para serem usadas, caso alguma ameaça seja identificada. ii. E-mail Spoofing: A ativação de filtro de spam é recomendada para que os e-mails que ofereçam alguma ameaça sejam direcionados para uma pasta de lixo eletrônico. Outra recomendação bastante eficiente é que o usuário aprenda a identificar a origem do e-mail através da leitura do cabeçalho da mensagem recebida. Por fim, nunca clicar sobre links ou anexos de mensagens que podem conter ameaças. (Tonello, 2015)
  • 11. iii. Análise do lixo ou dumpster diving: Todo o lixo da empresa deve contenha algum tipo de informação deve ser armazenado em um local seguro, até que sejam completamente destruídos. Papéis devem ser triturados e mídias magnéticas completamente destruídas. (Assis, 2014) iv. Pesquisas na Internet: Evitar o compartilhamento de informações pessoais, financeiras, viagens, locais frequentados e demais atividades ajudam na prevenção durante pesquisas realizadas pelo Engenheiros Sociais. É ideal que as configurações de privacidade estejam habilitadas para evitar a exposição de informações para pessoas mal-intencionadas. (Bannwart, 2013) v. Programação neolinguística: Esta é uma das ameaças mais difíceis de identificar, pois a vítima deverá estar muito bem preparada, conhecer as técnicas empregadas na neolinguística é essencial para reconhecer quando for vítima. Treinamentos são indicados para isso. vi. Phishing: Para evitar que o atacante tenha sucesso com o phishing, o usuário precisa tomar alguns cuidados como: ler a URL do site com atenção, com o objetivo de identificar se aquele site é verdadeiro, ou se o endereço pode ter sido alterado de maneira discreta; não fornecer senhas nem dados pessoais em ligações recebidas, pois o atacante pode passar por um atendente de banco ou agências de cobrança para conseguir informações como CPF, endereço, número de cartão de crédito, etc. Caso tenha alguma dúvida, interrompa a ligação e procure o banco ou agência mencionada para maiores informações; a utilização de sistemas de segurança que consigam identificar se um site pode ser malicioso por meio de sua reputação na web. Caso tenha alguma dúvida em relação a algum e-mail recebido, encaminhe para a equipe de Segurança da Informação analisar. vii. Varredura em redes (scan): Esta ameaça pode ser identificada por meio do uso de IPS/IDS. Para prevenir, é importante manter sistemas operacionais e demais softwares atualizados, pois as atualizações corrigem falhas que podem ser exploradas por um atacante. As portas de serviço não devem ficar abertas no firewall para serem acessadas sem uma origem conhecida. A utilização de VPN (Virtual Private Netowork) é recomendada para que a conexão externa aos serviços da empresa utilizando a Internet seja criptografado.
  • 12. viii. Footprint: As mesmas recomendações para evitar varredura de redes são utilizadas para evitar footprint. ix. Engenharia social inversa: Nesta ameaça, a pessoa deverá conhecer técnicas de engenharia social para que possa identificar quando for vítima desta técnica. Treinamentos e conscientização são indicados para prevenção desse tipo de ataque. x. BEC (Business Email Compromise): Por se tratar de um ataque que utiliza as mesmas técnicas do phishing, porém utilizando recursos mais avançados e de forma direcionada, as mesmas recomendações para evitar o phishing devem ser empregadas para prevenir o BEC. 4.1 Conscientização e Treinamento em Segurança da Informação Segundo Baldim (2007) apud Peixoto (2006), a conscientização é importante por parte de todos os empregados, amenizando assim os ataques de Engenharia Social. As campanhas de conscientizações devem ser dinâmicas e convincentes, para que junto com as condutas segmentadas às regras definidas surtam efeito. Para Mitnick e Simon (2003), uma campanha de conscientização sobre a segurança da informação deve abordar os aspectos do comportamento humano e da Engenharia Social, incluindo: i. Descrição das formas pelas quais um atacante utiliza a Engenharia Social para enganar as pessoas; ii. Métodos que são utilizados pelo Engenheiros Sociais para alcançarem seus objetivos; iii. Técnicas de como reconhecer um provável ataque de Engenharia Social; iv. Os procedimentos que devem ser adotados mediante uma solicitação suspeita; v. A quem informar sobre tentativas de ataques de Engenharia Social ou os ataques que foram bem-sucedidos;
  • 13. vi. A importância do questionamento às pessoas que fizeram qualquer tipo de solicitação suspeita, independente do cargo ou importância da pessoa na empresa; vii. A obrigação de cada empregado em atender às políticas e as consequências quando as mesmas não forem empregadas. Como a Engenharia Social, necessariamente, envolve algum tipo de interação humana, um atacante utiliza métodos e tecnologias para alcançar seu objetivo, por isso, no programa de conscientização, alguns itens merecem atenção, como: (Mitnick e Simon, 2003) i. Políticas de segurança relacionadas com senhas de computador; ii. Procedimentos para divulgação de informações ou materiais classificados como confidenciais; iii. Políticas de utilização de serviços de e-mail, incluindo regras para evitar ataques maliciosos; iv. Requisitos de segurança física, como uso de crachás e uniformes; v. Descarte adequado de lixos que contenham informações relevantes à empresa; vi. Responsabilidade das pessoas em questionar aquelas que não estão devidamente identificadas por crachás ou outro dispositivo de identificação utilizada nas instalações da empresa. Para Baldim (2007) apud Sêmola (2003), existem algumas maneiras para implantação da cultura de segurança da informação nas empresas, como: i. Seminários: Os seminários são utilizados no início dos trabalhos, como o objetivo de compartilhar as percepções dos riscos associados às atividades da empresa, seus impactos e comprometimento dos processos críticos caso alguma ameaça concretizar. ii. Campanha e divulgação: As diretrizes e políticas de segurança devem ser conhecidas por todos e instruções apresentadas à grupos de perfis semelhantes das atividades. Com isso, cada membro compreende suas responsabilidades dentro de cada modelo de segurança, motivando-o a colaborar. iii. Carta do presidente: A manifestação por parte do alto escalão da empresa, de certa forma, oficializa os interesses da empresa em adequar seus níveis de segurança a partir do envolvimento de todos. Essa carta pode ser
  • 14. disponibilizada ou então encaminhada individualmente a cada funcionário, formalizando o movimento. iv. Termo de Responsabilidade e Confidencialidade: Este termo tem o objetivo de firmar um entendimento entre funcionário e empresa em relação à proteção das informações que o mesmo manipula. É neste termo que também contém informações sobre as punições cabíveis pelos desvios de conduta e esclarecer que a empresa é a legítima detentora daquelas informações. v. Cursos de capacitação e Certificação: São voltados para funcionários que necessitam de um maior domínio dos conceitos, métodos e técnicas de segurança da informação. Exemplo disso é a capacitação do responsável pelo departamento de segurança da informação da empresa, que deve ter condições de definir, medir e avaliar índices e indicadores de segurança para então planejar a gestão da segurança da informação. Nestes casos, apenas campanhas de conscientização não são suficientes. O processo de monitoramento e análise dos riscos devem ser contínuos e aprimorados, acompanhando a evolução dos recursos, ferramentas e técnicas utilizadas pelos atacantes. Manter os funcionários motivados a aplicar as medidas de segurança com reconhecimentos, cursos de qualificação, brindes ou prêmios pode colaborar de forma significativa para a diminuição de ataques sofridos. (Baldim, 2007 apud Peixoto, 2006) 5. Conclusão Pode-se concluir que mesmo com a crescente descoberta de novas tecnologias e a evolução das já existentes, o ser humano ainda é o elo mais frágil da segurança da informação, pois os Engenheiros Sociais são conhecedores das técnicas que, de certa forma, mexem com os sentimentos humanos. Sendo assim, a maneira mais eficiente em prevenir que as ameaças sejam concretizadas, é implementando recursos tecnológicos de proteção aliados às campanhas de conscientização das pessoas, pois um depende do outro para obterem sucesso.
  • 15. Políticas de segurança da informação devem ser adotadas, monitoradas e aprimorados com o passar do tempo. Com essa técnica é possível identificar vulnerabilidades e trata-las antes que possa ser explorada por um atacante. Mitnick e Simon (2003) finalizam seu livro a “Arte de Enganar” com uma frase que todos devem ter em mente, a qual resume o objetivo deste trabalho: “Todas as ações que você realiza a pedido de outras pessoas podem resultar em comprometimento dos bens da sua empresa. Verifique. Verifique. Verifique”.
  • 16. Referências ABNT – Associação Brasileira de Normas Técnicas. NBR ISSO/IEC 17799. Tecnologia da Informação – Técnicas de segurança – Código de prática para a gestão da segurança da informação. Rio de Janeiro, ABNT, 2005. ASSIS, Francisco. As Vulnerabilidades em Ambientes Corporativos Mediante os Ataques de Engenharia Social, 2014. Disponível em: http://clubedosgeeks.com.br/artigos/as-vulnerabilidades-em-ambientes- corporativos-mediante-os-ataques-da-engenharia-social. Acesso em: 20 ago. 2018 BALDIM, Natália Pimenta. Engenharia Social e Segurança da Informação no ambiente corporativo: uma análise focada nos profissionais do Secretariado Executivo. 2007. 127 f. Monografia – Universidade Federal de Viçosa, Viçosa, 2007. BALDIM, Natália Pimenta. Engenharia Social e Segurança da Informação no ambiente corporativo: uma análise focada nos profissionais do Secretariado Executivo. 2007. 127 f. Monografia – Universidade Federal de Viçosa, Viçosa, 2007 apud PEIXOTO, Mário César Pintaudi. Engenharia Social & Segurança da Informação na Gestão Corporativa. 1ª ed. Rio de Janeiro: Brasport, 2006. BALDIM, Natália Pimenta. Engenharia Social e Segurança da Informação no ambiente corporativo: uma análise focada nos profissionais do Secretariado Executivo. 2007. 127 f. Monografia – Universidade Federal de Viçosa, Viçosa, 2007 apud SÊMOLA, Marcos. Gestão da Segurança da Informação: uma visão executiva da segurança da informação. 9ª reimpressão. Rio de Janeiro: Elsevier, 2003. BANNWART, Claudio. Engenharia Social nas Redes Sociais: a inteligência usada para o mal, 2013. Disponível em: https://canaltech.com.br/seguranca/Engenharia-Social-nas-Redes-Sociais/. Acesso em: 13 ago. 2018. CARDOSO, Fabio E.; OLIVEIRA, Paulo C. Política de Segurança da Informação nas Empresas – Faculdade de Tecnologia de Ourinhos (FATEC), 2013. Disponível em: https://s.profissionaisti.com.br/wp- content/uploads/2013/06/Politica-de-Seguran%C3%A7a-nas-Empresas.pdf. Acesso em: 07 ago. 2018. CERT. Cartilha de Segurança para Internet versão 4.0 – São Paulo: Comitê Gestor da Internet no Brasil, 2012. GEDRA, Rafael Magri. Segurança em Redes de Computadores Utilizando Firewall iptables, 2016. 28 f. Faculdade Anhanguera de Ribeirão Preto, Ribeirão Preto, 2016.
  • 17. INÁCIO, Sandra R. L. Entendendo e evitando a engenharia social: protegendo sistemas e informações. 2008. Disponível em: https://www.webartigos.com/artigos/entendendo-e-evitando-a-engenharia- social-protegendo-sistemas-e-informacoes/11227. Acesso em: 14 ago. 2018. KEYWORTH, Marie. Vishing and smishing: The rise of social engineering fraud, 2016. Disponível em: https://www.bbc.com/news/business-35201188. Acesso em: 16 ago. 2018 MACÊDO, Diego. Footprint, 2017. Disponível em: https://www.diegomacedo.com.br/footprinting/. Acesso em: 25 jul. 2018 MAULAIS, Claudio Nunes do S. Engenharia Social: Técnicas e estratégias de defesa em ambientes virtuais vulneráveis, 2016. 79f. Universidade Fumec, Belo Horizonte, 2016. Disponível em: http://www.fumec.br/revistas/sigc/article/viewFile/3733/2031. Acesso em: 20 ago. 2018 MITNICK, Kevin D.; SIMON, William L., A Arte de Enganar, São Paulo: Pearson, 2003 MOREIRA, Ademilson. A importância da segurança da informação, 2013. Disponível em: https://www.oficinadanet.com.br/artigo/1124/a_importancia_da_seguranca_da_i nformacao. Acesso em: 07 ago. 2018. PEIXOTO, Mário César Pintaudi. Engenharia Social & Segurança da Informação na Gestão Corporativa. Rio de Janeiro: Brasport, 2006. PEREIRA, Leandro; MARTINS, Daves. Engenharia Social: Segurança da Informação Aplicada à Gestão de Pessoas – Estudo de Caso – Centro de Ensino Superior de Juíz de Fora, 2014. Disponível em https://seer.cesjf.br/index.php/cesi/article/view/129. Acesso em: 07 ago. 2018. PURICELLI, Roberto. Engenharia Social: uma ameaça subestimada na governança e gestão de segurança de TI. ISACA Journal, v. 3, 2015. Disponível em: https://www.isaca.org/Journal/archives/2015/Volume- 3/Pages/the-underestimated-social-engineering-threat-portuguese.aspx. Acesso em: 13 ago. 2018. RAFAEL, Gustavo de Castro. Engenharia Social: as técnicas de ataques mais utilizadas, 2013. Disponível em: https://www.profissionaisti.com.br/2013/10/engenharia-social-as-tecnicas-de- ataques-mais-utilizadas/. Acesso em: 17 jul. 2018. SILVANI, Mirella. Os dez tipos de phishing mais comuns, 2018. Disponível em: https://www.techtudo.com.br/listas/2018/06/os-dez-tipos-de-phishing-mais- comuns.ghtml. Acesso em: 16 ago. 2018.
  • 18. TONELLO, Leandro Narezi. Spoofing e E-mail Spoofing: como se prevenir?, 2015. Disponível em: https://imasters.com.br/devsecops/spoofing-e-e-mail- spoofing-como-se-prevenir. Acesso em: 17 ago. 2018 SOARES, Joelson. 5 dicas para evitar e se prevenir de ataques de phising, 2017. Disponível em: http://blog.trendmicro.com.br/5-dicas-para-evitar-e-se- prevenir-de-ataques-de-phishing/. Acesso em: 12 ago. 2018.