O documento discute como o erro humano e a engenharia social são grandes vulnerabilidades nos sistemas de segurança da informação. Apresenta técnicas comuns de engenharia social como análise de lixo, phishing e contato telefônico. Também fornece dicas para proteger sistemas, como classificar dados, restringir acesso e analisar como dados sensíveis são transmitidos.
3. Introdução
Grande parte das vulnerabilidade nos sistemas de corporações ou
sistemas de uso pessoal provém de erros humanos. Tais
vulnerabilidades ,atualmente, são muito utilizadas por pessoas más
intencionadas para fins de diversas formas ,desde simples acessos a
dados pessoais até roubo de dados sigilosos de multinacionais.
Esta apresentação tem o intuito de mostrar a eficiência e a incrível
capacidade que técnicas simples de manipulação de indivíduos para o
ganho de privilégios em sistemas ou acesso a informações sigilosas.
Além disso , algumas dicas serão dadas para que você mesmo consiga
proteger seus dados de forma a dificultar possíveis tentativas por parte
de pessoas más intencionadas.
4. Introdução
segundo a edição 2014 do Network Barometer Report, da Dimension
Data ,apenas 16% dos 91 mil incidentes em serviços de TI registados
pela Dimension Data em 2013 estavam relacionadas com dispositivos,
enquanto os outros 84% dos incidentes se relacionam com questões
como erro humano, falhas de comunicação ou questões ambientais.
Mais 6% de erros de configuração e 26% de erros humanos poderiam
ser potencialmente evitados.
5. Atualmente, grande parte dos usuários finais e
das organizações que usufruem dos mecanismos
e ferramentas oferecidos pela internet e por
computadores reconhecem os possíveis riscos de
um uso desprotegido da tecnologia. No entanto
buscam apenas investir em “blindar” duas
máquinas e esquecem de se policiar e preparar a
si mesmos ou os seus empregados ao uso de tais
sistemas de forma segura.
Por que?
6.
7. Além disso o uso da engenharia social é uma
ferramenta muito importante para o levantamento
de informações sobre um alvo e ,
consequentemente, se torna um amplificador e
facilitador dos outros setores , como o forense e o
pen test.
Por que?
10. ◇ O ser humano é sucessível tem por si só o instinto de ajudar o
próximo caso ache necessário ou agir de forma despretensiosa e
desatenta às consequências, e algumas técnicas funcionam como
gatilhos para uma maior manipulação como:
■ Vaidade pessoal e/ou profissional
■ Autoconfiança
■ Vontade de ser útil
■ Busca por novas amizades
■ Propagação de responsabilidade
■ Persuasão
13. “
“A engenharia social não é exclusivamente utilizada em
informática, a engenharia social é uma ferramenta
onde exploram-se falhas humanas em organizações
físicas ou jurídicas onde operadores do sistema de
segurança da informação possuem poder de decisão
parcial ou total ao sistema de segurança da informação
seja ele físico ou virtual”
14. ◇ Na engenharia social algumas técnicas são mais praticadas e
garantem um taxa de sucesso considerável ,tendo em vista a
ausência de preparo dos funcionários e na negligência de algumas
etapas importantes. Tais técnicas são:
■ Análise do Lixo
■ Internet e Redes Sociais
■ Contato Telefônico
■ Abordagem Pessoal
■ Phishing
19. ◇ Conhecimento das ameaças
◇ Quanto menos conteúdo público melhor
◇ O pessoal e o profissional não devem se
relacionar
◇ Todos são suspeitos
◇ Prevenir é melhor que remediar
Técnicas gerais
20. Ao contrário do que se imagina, os ataques que exploram o
erro humano são os mais ocorrentes e seus danos podem
atingir sua vida diretamente.
No entanto , com atenção e com um constante policiamento
das suas ações durante o uso da internet , por exemplo, tais
ataques podem ser identificados e evitados.
Técnicas pessoais
25. Downloads
◇ Observe as extensões dos
arquivos
◇ Baixe de fontes confiáveis
◇ Verifica nas propriedades do
programa, a extensão do
arquivo
26. ◇ Classificar e restringir o acesso aos dados.
◇ Além de restringir o acesso aos dados sensíveis,
implementar processos e ferramentas de
autenticação para acesso aos dados.
◇ Analisar como são transmitidos internamente os
dados sensíveis de clientes ou financeiros
◇ Criar uma política de interna de segurança da
informação
Técnicas para a gestão
28. Na gestão , diminuir tal fator é um desafio para os
profissionais encarregados devido alguns fatores:
◇ Lidar com os empregados
◇ Distribuir o conhecimento
◇ Garantia de cumprimento das normas
O desafio do “erro humano”
29. ◇ Reforço da importância
◇ Incentivo
◇ Tornar fácil e universal o acesso às normas
◇ Constante atualização das normas
◇ Constante auto analise mediante a testes de
penetração utilizando as técnicas da engenharia
social
Possíveis soluções