ICPG Instituto Catarinense de Ps-Graduao www.icpg.com.

br 1

ENGENHARIA SOCIAL
Um Perigo Eminente


Marcos Antonio Popper
Juliano Tonizetti Brignoli
Instituto Catarinense de Ps-Graduao ICPG
Gesto Empresarial e Estratgias de Informtica

Resumo

As empresas esto investindo na modernizao de seus parques tecnolgicos e esto
deixando de lado o fator humano. A engenharia social explora essa vulnerabilidade. Os
principais alvos so as grandes corporaes porque, segundo pesquisa realizada nos Estados
Unidos em 2002 pela revista Information Secutiry, os investimentos em segurana no
acompanham o crescimento das empresas. Os ataques de engenharia social no possuem
frmula nem mtodo definido. Eles podem ter aspectos fsicos e psicolgicos. No fsico, exploram
o local de trabalho, vasculham lixeiras, e por telefone se passam por outra pessoa. No
psicolgico, exploram o lado sentimental das pessoas. No Brasil ainda no h uma legislao
especfica que puna estes tipos de crimes; ento, alm da conscientizao e treinamentos
constantes, as empresas devem possuir um plano de contingncia para eventuais ataques e assim
garantir a continuidade dos negcios.

Abstract

The companies are investing in up-to-dating their technological fields and are not paying
attention to the human factor. The social engineering explores this vulnerability. The main
targets are the big corporations because, according to a research done in the United Stated in
2002 by the Information Security magazine, the investments in security do not follow the
companies growth. The social engineering attacks do not have a formula nor a determined
method. They can have physical and psychological aspects. In the physical one, they explore the
working place, rummaging garbage cans and, by phone, pretending being another person. In the
psychological one, they explore the sentimental side of people. In Brazil, there is not a specific
law that punishes these kinds of crimes; so, besides the continuous consciousness-raising and
training, the companies must have a contingency plan for eventual attacks and, so, guarantee the
business continuity.

Palavras Chave: Engenharia Social, Hacker, Informao.


1. INTRODUO

Apesar do nome, a Engenharia Social nada tem a ver com cincias exatas ou sociologia.
Na verdade, trata-se de uma das mais antigas tcnicas de roubo de informaes importantes de
pessoas descuidadas, atravs de uma boa conversa (Virinfo,2002).

Com o crescente nmero de invases sofridas pelas empresas em suas bases de dados,
estas esto voltando suas atenes para a modernizao de seus parques tecnolgicos, com
ICPG Instituto Catarinense de Ps-Graduao www.icpg.com.br 2


atualizaes de firewalls
1
, formas de criptografia
2
, e muitos outros mecanismos de segurana,
deixando o fator humano em segundo plano.

A Engenharia Social, de maneira simples, caracteriza-se por explorar essa fragilidade. Em
outras palavras, consiste na habilidade de obter informaes ou acesso indevido a determinado
ambiente ou sistema, utilizando tcnicas de persuaso (Vargas,2002).


2. ALVOS DE UM ATAQUE

Se formos analisar de forma minuciosa, dificilmente encontraremos algum ou alguma
empresa que no tenha sofrido um ataque de engenharia social.

O dito popular jogar verde pra colher maduro define bem o tema. Quem nunca se viu
envolvido sendo questionado sobre um determinado assunto e, quando se deu conta, j tinha
entregue o ouro pro bandido? Isso quando a pessoa se d conta; muitas vezes ela fala e nem
percebe o contedo do que foi dito.

Podemos citar os mais variados exemplos; entre eles, uma oferta de emprego que nos
interessa e, quando chegamos l, nosso amigo j ocupou a vaga, ou quando temos uma venda
praticamente concretizada ou uma boa oferta de compra e novamente nosso amigo chegou na
frente. Ento nos questionamos: Mas como ele sabia? S que esquecemos da cervejinha de
sbado tarde quando estvamos todos juntos jogando conversa fora e sem perceber o assunto
foi comentado.

Em grandes empresas, instituies financeiras, militares, rgos do governo e at mesmo
hospitais, a situao semelhante. S que, nesse caso, envolvem pessoas preparadas, os
chamados hackers
3
, e as formas de ataque utilizadas so mais audaciosas. A meta desses hackers
obter acesso no autorizado a sistemas, sabotar informaes, espionagem industrial, roubo de
identidade ou simplesmente sobrecarregar os sistemas a ponto de tir-los de operao.

Estes tipos de ataques so altamente eficazes e com um custo relativamente baixo, em
funo da experincia do atacante. Muitas das empresas atacadas, a exemplo das pessoas,
tambm nem percebem que foram alvos de um ataque, porque estes piratas deixam poucos ou
falsos rastros, que dificultam a rastreabilidade das aes e a mensurao dos prejuzos
decorrentes dos mesmos.

Mesmo aquelas que descobrem que foram atacadas, dificilmente admitem o fato, com
receio de prejudicarem sua reputao. Na Inglaterra, por exemplo, as empresas j podem ostentar
um certificado de que exercitam boas prticas de mercado no que diz respeito segurana da
informao, que rapidamente est se tornando um diferencial competitivo para as empresas que
souberem administr-lo (Saldanha,2002).

1
- Firewalls so programas especiais que tm por objetivo evitar acessos no autorizados a computadores
(Mdulo,2002).
2
- Criptografia a tcnica de escrever em cifra ou cdigo, composto de tcnicas que permitem tornar
incompreensvel uma mensagem transmitida. Somente o destinatrio poder decifr-la (Mdulo,2002).
3
- Hackers so tambm conhecidos como piratas da Internet, que tem como objetivo invadir os computadores
desprotegidos utilizando as mais variadas tcnicas para roubar informaes (Mdulo,2002).
ICPG Instituto Catarinense de Ps-Graduao www.icpg.com.br 3



3. FORMAS DE ATAQUE

As formas de ataque so as mais variadas, sempre explorando a fragilidade e ingenuidade
das pessoas. Nenhum artigo sobre ataques de engenharia social estaria completo sem citar Kevin
Mitnick (Goodell,1996), que, at ser capturado, era considerado o maior hacker de todos os
tempos. Iguais a ele, atualmente existem muitos, e as tticas utilizadas so basicamente as
mesmas.

Antes de citar as diversas formas de ataque, o ideal citar quem so os atacantes. Engana-
se quem pensa que os ataques sempre so executados pelos hackers. A tabela a seguir mostra
alguns tipos de intrusos e seus principais objetivos.

TABELA 1 Tipos de Intrusos

Intrusos Objetivos
Estudantes Bisbilhotar mensagens de correio eletrnico de outras
pessoas por diverso;
Hackers/Crackers Testar sistemas de segurana, ou roubar informaes;
Representantes Comerciais Descobrir planilhas de preos e cadastro de clientes;
Executivos Descobrir plano estratgico dos concorrentes;
Ex-funcionrios Sabotagem por vingana;
Contadores Desfalques financeiros;
Corretores de valores Distorcer informaes para lucrar com o valor das aes;
Vigaristas Roubar informaes, como senhas e nmeros de cartes
de crdito;
Espies Descobrir planos militares;
Terroristas Espalhar pnico pela rede e roubo de informaes
estratgicas.

Os ataques de Engenharia Social podem ter dois aspectos diferentes: o fsico, como local
de trabalho, por telefone, no lixo ou mesmo on-line, e o psicolgico, que se refere maneira
como o ataque executado, tal como persuaso.


3.1. Local de Trabalho

Nomes, lista de ramais, endereos eletrnicos, organogramas e outros dados da empresa,
comumente ficam expostos em lugares onde transitam pessoas estranhas. Um hacker pode
simplesmente entrar na empresa como se fosse um tcnico em manuteno ou consultor que tem
livre acesso s dependncias da empresa e, enquanto caminha pelos corredores, pode ir captando
todas estas informaes que porventura estejam expostas (Maia,2002).


ICPG Instituto Catarinense de Ps-Graduao www.icpg.com.br 4



3.2. Engenharia Social por Telefone

Esta modalidade de ataque vai desde roubar informaes de funcionrios ingnuos at a
clonagem ou grampo telefnico. Um hacker chega na empresa passando-se por um tcnico que
far manuteno da central telefnica e, em seguida, desvia uma linha de onde pode efetuar
ligaes para qualquer parte do mundo, ou ento pode grampear os telefones de algum executivo.

Outro alvo importante, tambm so os call centers
4
. Os atendentes tm por obrigao
atender a todos da melhor maneira possvel, solucionando todas as dvidas possveis. Ento entra
em cena o talento do hacker que poder, com isso, conseguir dicas de utilizao dos sistemas e
at senhas de acesso (Granger,2001).


3.3. Lixo

O lixo das empresas pode ser uma fonte muito rica de informaes para um hacker.
Vasculhar o lixo, um mtodo muito usado pelos invasores, porque comum encontrarmos itens
como cadernetas com telefones, organograma da empresa, manuais de sistemas utilizados,
memorandos, relatrios com informaes estratgicas, aplices de seguro e at anotaes com
login e senha de usurios.

As listas telefnicas podem fornecer os nomes e nmeros das pessoas-alvo, o
organograma mostra quem so as pessoas que esto no comando, as aplices mostram o quanto a
empresa segura ou insegura, os manuais dos sistemas ensinam como acessar as informaes e
assim todo e qualquer lixo poder ser de grande valia para uma pessoa mal intencionada
(Granger,2001).


3.4. Desafio das Senhas

As senhas so os principais pontos fracos das empresas. comum as pessoas dividirem
senhas com outras ou escolherem senhas fracas, sem a menor preocupao. Muitos usam como
senha, palavras que existem em todos os dicionrios, seus apelidos, ou at mesmo o prprio nome
que, com um software
5
gerenciador de senhas, possvel decifr-las em segundos(Virinfo,2002).
Segundo Kevin Mitnick (2001), elas chegam a representar 70% do total de senhas utilizadas nas
empresas.


3.5. Engenharia Social On-line

Talvez a maneira mais fcil de se conseguir um acesso atravs da internet
6
. A
displicncia dos usurios que criam senhas fceis de serem descobertas, que ficam longos
perodos sem alter-las, e ainda utilizam a mesma senha para acesso a vrias contas, torna o
ataque mais simples. Basta enviar um cadastro oferecendo um brinde ou a participao em um

4
- Call Center so centros de atendimento ou suporte a usurios via telefone.
5
- Software so programas para computadores.
6
- Internet o mesmo que rede mundial de computadores.
ICPG Instituto Catarinense de Ps-Graduao www.icpg.com.br 5


sorteio que solicite o nome e senha do usurio e pronto. O hacker ter a sua disposio tudo o que
necessrio para um ataque, sem grande esforo (Granger,2001).

As salas de bate-papo tambm so um canal explorado para o roubo de informaes.
Homens e mulheres se dizem jovens, atraentes e de bom papo. Na verdade podem ser farsantes
que manipulam os sentimentos das pessoas em busca de informaes (Maia,2002).

Outro meio de se obter informao on-line, se passar pelo administrador da rede, que,
atravs de um e-mail
7
, solicita aos operadores nome e senha. Porm, este tipo de ataque j no
mais to eficaz, porque os operadores que trabalham nessas reas geralmente so pessoas mais
experientes e no caem nesse tipo de truque to facilmente.

Os e-mails tambm podem ser usados como meio para conseguir acesso a um sistema. Por
exemplo, um e-mail enviado para algum pode conter um vrus de computador ou cavalos de
tria
8
, que, quando instalados no computador da vtima, podem destruir todas as informaes, ou
simplesmente ficar ocultos e transmitindo ao invasor todo tipo de informao como, senhas,
nmeros de carto de crdito, ou mesmo abrir o firewall da empresa, deixando-a vulnervel a
qualquer tipo de ataque (Granger,2001).


3.6. Persuaso

Os prprios hackers vem a engenharia social de um ponto de vista psicolgico,
enfatizando como criar o ambiente psicolgico perfeito para um ataque. Os mtodos bsicos de
persuaso so: personificao, insinuao, conformidade, difuso de responsabilidade e a velha
amizade. Independente do mtodo usado, o objetivo principal convencer a pessoa que dar a
informao, de que o engenheiro social , de fato uma pessoa a quem ela pode confiar as
informaes prestadas. Outro fator importante nunca pedir muita informao de uma s vez e
sim perguntar aos poucos e para pessoas diferentes, a fim de manter a aparncia de uma relao
confortvel.

Personificao geralmente significa criar algum tipo de personagem e representar um
papel. Quanto mais simples esse papel, melhor. s vezes, isto pode ser apenas ligar para algum
e dizer: Oi, eu sou Marcos do setor de informtica e preciso da sua senha. Mas isto nem sempre
funciona. Outras vezes, o hacker vai estudar uma pessoa de um departamento e esperar at que se
ausente para personific-la ao telefone. De acordo com Bernz (1996), um hacker que escreveu
extensivamente sobre o assunto, eles usam pequenas caixas para disfarar suas vozes e estudam
os padres de fala. Este tipo de ataque menos freqente, pois exige mais tempo de preparo, mas
acontece.

Outra ttica comum que pode ser utilizada num ataque de personificao o hacker se
passar por assistente da gerncia ou mesmo presidncia e pedir a um funcionrio, em nome do
seu superior, alguma informao. Para no criar atritos com seu superior, o usurio fornece as
informaes sem muitos questionamentos. Numa grande empresa, no h como conhecer todos
os funcionrios; ento, fingir uma identidade no um truque muito difcil de ser aplicado.

7
- E-mail so mensagens enviadas por correio eletrnico usando a Internet como meio de transporte.
8
Cavalos de tria so programas ou fragmentos de cdigos malficos que uma vez instaladas em um computador
permitem o roubo de informaes.
ICPG Instituto Catarinense de Ps-Graduao www.icpg.com.br 6



A conformidade um comportamento baseado em grupo, mas pode ser usado
ocasionalmente no cenrio individual, convencendo o funcionrio de que todos os demais esto
fornecendo determinadas informaes, solicitadas pelo hacker, como se este estivesse
personificando a figura de um gerente. Quando os hackers atacam no modo de diviso de
responsabilidade, eles convencem os funcionrios a compartilharem suas senhas a fim de
dividirem tambm a responsabilidade.

Quando em dvida, a melhor maneira de obter informao no ataque de engenharia social
ser amigvel. O local para abordagem no necessariamente precisa ser na empresa; pode ser
num clube ou numa mesa de bar. O hacker s precisa conquistar a confiana do funcionrio alvo,
a ponto de convenc-lo a prestar toda a ajuda solicitada. Alm disso, a maioria dos funcionrios
responde bem a gentilezas, especialmente as mulheres. Uma bajulao pode ajudar a convencer o
funcionrio alvo a cooperar no futuro. Um hacker esperto sabe quando parar de extrair
informaes antes que a vtima suspeite que est sendo alvo de um ataque (Granger,2001).


3.7. Engenharia Social Inversa

Um mtodo mais avanado de conseguir informaes ilcitas com a engenharia social
inversa. Isto ocorre quando um hacker cria uma personalidade que aparece numa posio de
autoridade, de modo que todos os usurios lhe pediro informao. Se pesquisados, planejados e
bem executados, os ataques de engenharia social inversa permitem ao hacker extrair dos
funcionrios informaes muito valiosas; entretanto, isto requer muita preparao e pesquisa.

Os trs mtodos de ataques de engenharia social inversa so, sabotagem, propaganda e
ajuda. Na sabotagem, o hacker causa problemas na rede, ento divulga que possui a soluo para
este, e se prope a solucion-lo. Na expectativa de ver a falha corrigida, os funcionrios passam
para o hacker todas as informaes por ele solicitadas. Aps atingir o seu objetivo, o hacker
elimina a falha e a rede volta funcionar normalmente. Resolvido o problema os funcionrios
sentem-se satisfeitos e jamais desconfiaro que foram alvos de um hacker (Granger,2001).


3.8. Footprint

Nem sempre o invasor consegue coletar as informaes desejadas atravs de um
telefonema ou uma conversa amigvel, seja porque as pessoas no detm o conhecimento
necessrio ou por no conseguir alcanar pessoas ingnuas.

Ento o invasor utiliza uma tcnica conhecida como footprint, que, atravs de softwares
especficos, consegue as informaes necessrias ao ataque.

Footprint um perfil completo da postura de segurana de uma organizao que se
pretende invadir. Usando uma combinao de ferramentas e tcnicas, atacantes podem empregar
um fator desconhecido e convert-lo em um conjunto especfico de nomes de domnio, blocos de
redes e endereos IP
9
individuais de sistemas conectados diretamente na Internet. Embora haja

9
- IP so protocolos da Internet.
ICPG Instituto Catarinense de Ps-Graduao www.icpg.com.br 7


diversas tcnicas diferentes de footprint, seu objetivo primrio descobrir informaes
relacionadas a tecnologias deinternet, acesso remoto e extranet
10
(Verssimo,2002).

Os mtodos expostos anteriormente fazem parte das tticas comuns de ataque. Porm
existem muitos outros truques no to comuns, como por exemplo:
Uma entrevista para uma vaga que no existe, que feita somente para se obter
informaes a respeito dos concorrentes;
Aquelas que acontecem por acaso, como numa conversa sobre assuntos confidenciais da
empresa, em lugares de circulao de pessoas e que algum de passagem sem querer capta
alguma informao importante;
Manipulao de informaes para alterar o comportamento de usurios a partir de dados
falsos ou sutilmente alterados.


4. FORMAS DE PREVENO

A preveno no uma tarefa fcil. A maioria das empresas no direciona recursos
financeiros nem humanos para tal. No entanto, investem na manuteno de sistemas e em novas
tecnologias, ao invs de direcionar parte desse investimento para combater um inimigo que pode
ser bem mais perigoso, a engenharia social. A ameaa deste inimigo real, tanto quanto as falhas
em uma rede.

Os seres humanos so seres imperfeitos e multifacetados. Alm disso, situaes de risco
modificam seus comportamentos, e, decises sero fortemente baseadas em confiana e grau de
criticidade da situao (Vargas,2002).

Em funo desses fatores, sempre existiro brechas em seu carter ou comportamento
pouco consciente com relao segurana, onde a engenharia social poder ser plenamente
eficaz.

Para amenizar estes riscos, recomendvel que as empresas criem polticas de segurana
centralizada e bem divulgada, para que todos os seus colaboradores saibam como proteger as
informaes que esto em seu poder. As intranets
11
podem ser um recurso valioso para esta
divulgao, assim como boletins peridicos on-line, lembretes no correio eletrnico, requisitos de
mudana de senha e treinamento. O maior risco de os funcionrios tornarem-se complacentes e
relaxarem na segurana; por isso a importncia da insistncia (Granger,2002).

O treinamento deve estender-se por toda a empresa. Diretores, gerentes, supervisores, e
demais funcionrios, todos devem ser treinados. Nestes treinamentos devem ser exploradas as
tticas comuns de intromisso e as estratgias de preveno. Quando algum captar sinais de um
ataque, deve imediatamente alertar os demais, para que no sejam tambm abordados.

Na tabela abaixo, esto expostas as principais reas de risco de uma empresa, as tticas
mais comuns usadas pelos hackers e tambm as estratgias de combate.


10
- Extranet so redes de computadores externas de uma empresa.
11
- Intranets so redes internas de computadores.
ICPG Instituto Catarinense de Ps-Graduao www.icpg.com.br 8




TABELA 2 reas de Risco, Tticas e Estratgias


rea de Risco


Ttica do Hacker

Estratgia de Combate
Suporte de informtica Representao e persuaso;

Desenvolver na empresa uma poltica de
mudana freqente de senhas e treinar os
demais funcionrios para nunca passarem
senhas ou outras informaes confidenciais por
telefone;
Entrada de edifcios

Acesso fsico no autorizado; Treinar os funcionrios da segurana para no
permitirem o acesso de pessoas sem o devido
crach de identificao e mesmo assim fazer
uma verificao visual;

Escritrios Caminhar pelo ambiente; No digitar senhas na presena de pessoas
estranhas, a menos que voc consiga faz-las
rapidamente;
Suporte telefnico Usar de disfarces na hora de
solicitar ajuda aos atendentes,
geralmente se passando por outra
pessoa;
Os atendentes devem solicitar sempre um
cdigo de acesso, para s ento prestarem o
suporte solicitado;

Escritrios Caminhar pelos corredores
procura de salas desprotegidas;

Todos os visitantes devem ser acompanhados
por um funcionrio da empresa;
Sala de correspondncia Insero de mensagens falsas; Fechar e monitorar a sala de correspondncia;

Sala dos servidores Instalam programas analisadores de
protocolo para conseguirem
informaes confidenciais, alm da
remoo de equipamentos;

Manter sala dos servidores sempre trancada, e
o inventrio de equipamentos atualizado;
Central telefnica Roubar acesso a linhas telefnicas; Controlar chamadas para o exterior e para
longas distncias, e recusar pedidos de
transferncias suspeitas;

Depsito de lixo Vasculhar o lixo; Guardar o lixo da empresa em lugar seguro,
triturar todo tipo de documento, e destruir todo
o tipo de mdia magntica fora de uso;

Internet e intranet

Criar e/ou inserir programas na
Internet ou intranet para capturar
senhas;
Criar senhas fortes e fazer uso consciente da
mesma, alterando-a periodicamente. Os
modens nunca devem ter acesso a intranet da
empresa;
Escritrio Roubar documentos importantes; Manter os documentos confidenciais fora do
alcance de pessoas no autorizadas, de
preferncia em envelopes fechados.



ICPG Instituto Catarinense de Ps-Graduao www.icpg.com.br 9



4.1. Plano de Resposta a Incidentes

Mesmo a melhor infraestrutura de segurana da informao no pode garantir que intrusos
ou outras aes maliciosas ocorram. Quando um incidente de segurana ocorre, um fator crtico
para a organizao ter meios para responder a esse evento. A velocidade qual uma organizao
pode reconhecer, analisar e responder a um incidente de segurana, limita os estragos e diminui
os custos de restaurao. A habilidade de usar essa informao para reparar ou prevenir
ocorrncias similares, aprimora a segurana geral a uma organizao.

O Plano de Resposta a Incidentes um documento que descreve as diretrizes gerais e
procedimentos para tratamento dos principais incidentes de segurana que podem ocorrer na
organizao, proporcionando ao pessoal de suporte instrues sobre as medidas a serem tomadas
para a definio e correo dos mesmos.
O tipo de tratamento dado aos incidentes de segurana varia de acordo com a sua
intensidade e risco. Porm, o encaminhamento deve ser decidido em acordo com a alta direo da
empresa e com o respaldo do departamento jurdico. As aes pertinentes podem envolver o
relacionamento com entidades externas (como clientes, parceiros, provedores de servios e
outros) ou mesmo exigir o acionamento de autoridades e rgos policiais. Principais pontos a
serem considerados em um Plano de Resposta a Incidentes:
Procedimentos para identificao e autoria dos ataques: identificar a intensidade e
quantificar os prejuzos causados pelo incidente e tambm procurar identificar os
responsveis pelo incidente;
Divulgao das informaes: divulgar imediatamente o fato ocorrido para que outras
reas no sejam tambm abordadas;
Procedimentos e pessoal responsvel pela restaurao: as aes de restaurao como,
mudana de senhas, troca de pessoal, intensificao dos nveis de controle, devem ser
imediatamente tomadas a fim de evitar maiores prejuzos;
Contatos com as fontes do ataque e rgos de segurana: contatar os responsveis pelos
ataques, a fim de exigir a indenizao dos prejuzos e tambm os rgos de segurana
para que fique registrado o fato ocorrido (Medeiros,2001).

A gama de formas de ataque de engenharia social muito grande e os procedimentos de
resposta a incidentes so particulares. Estas particularidades variam de acordo com o ramo de
atividade de cada empresa; o que imprescindvel para uma, pode ser dispensvel para outra. No
entanto toda empresa, independente do porte, deve ter o seu Plano de Resposta a Incidentes.


5. PUNIES PARA OS CRIMES DE ENGENHARIA SOCIAL

Punir os responsveis pelos ataques de engenharia social uma tarefa difcil. Alguns
desses delitos nem podem ser considerados crimes, como, por exemplo, captar informaes que
estejam expostas sobre uma mesa, vasculhar o lixo ou ouvir uma conversa em um lugar pblico.

Outro tipo difcil de ser combatido so os crimes que ocorrem on-line, devido a diversos
fatores, entre eles o anonimato e a estrutura virtual. Em primeiro lugar, a rede no respeita
fronteiras entre pases, o que dificulta administrar as diferenas culturais ou aplicar leis nacionais.
ICPG Instituto Catarinense de Ps-Graduao www.icpg.com.br 10

Em segundo, a comunicao tem natureza mista, entre o pblico e o privado. A troca de
mensagens de correio eletrnico particular como um telefone; uma mquina na web pblica
como um programa de TV.

Analisando o exemplo acima, conclui-se que a falta de limites geogrficos estabelecidos
na jurisdio, gera problemas relacionados soberania nacional, como nos casos em que dois ou
mais pases esto envolvidos. Aparece, ento, o problema relacionado ao princpio da
territoriedade, ou seja, definir se a jurisdio se encontra no pas de onde partiram os dados, onde
estes dados esto armazenados ou onde o dano foi causado (Gomes,2001).

J no mbito nacional, possvel combater alguns desses delitos, entretanto necessria
uma legislao que defina bem esses crimes, o que no Brasil ainda no existe.


6. CONCLUSO

A maior parte dos desastres e incidentes com a segurana das informaes tem como fator
predominante a interveno humana. Segurana tem a ver com pessoas e processos, antes de ter a
ver com tecnologia. Segundo especialistas em segurana da informao, a engenharia social ser
a maior ameaa continuidade dos negcios desta dcada. Ento de nada valero os milhes
investidos em tecnologia, se o fator humano for deixado em segundo plano. recomendvel que
haja uma poltica de segurana centralizada e bem divulgada, para que todos saibam como se
defender e a quem recorrer em caso de dvidas. No necessrio fazer com que as pessoas se
tornem paranicas, mas que estejam sempre alertas s solicitaes que a elas sejam feitas e que
saibam o valor das informaes pelas quais so responsveis.
As ferramentas de engenharia social esto de posse de todos; o uso consciente e planejado
delas que faz a diferena. Quanto mais bem preparados estiverem os colaboradores de uma
empresa, mais segura ela ser.


7. REFERNCIAS BIBLIOGRFICAS

BERNZ. The Complete Social Engineering FAQ!, 1996. Disponvel em:
<http://packetstorm.decepticons.org/docs/social-engineering/socialen.txt>.
Acesso em: 08 de outubro de 2002, s 12:30h.

GOMES J os Olavo Anchieschi. A Criminalidade Ciberntica e suas Conseqncias Legais.
Security Magazine- Revista de Segurana em Informtica,So Paulo, ano II, n. 8, pg. 5-7,
jan/dez. 2001.

GOODELL, J eff. O Pirata Eletrnico e o Samurai - A Verdadeira Histria de Kevin Mitnick e do
Homem que o Caou na Estrada Digital. Rio de J aneiro. Editora Campus. 1996.Trad. Ana Beatriz
Rodrigues. Ttulo Original: The Cyberthief and the Samurai.

GRANGER, Sarah. Social Engineering Fundamentals, Part I: Hacker Tactics. Atualizado em
18 de Dezembro de 2001. Disponvel em: <http://online.securityfocus.com/infocus/1527>.
Acesso em 15 de Abril de 2002, s 18:30h.

ICPG Instituto Catarinense de Ps-Graduao www.icpg.com.br 11



______. Social Engineering Fundamentals, Part II: Combat Strategies.
Atualizado em: 09 de J aneiro de 2002. Disponvel em:
<http://online.securityfocus.com/infocus/1533>. Acesso em 15 de Abril de 2002, s 19:00 h.

MAIA, Marco Aurlio. Formas de Ataque. Disponvel em:
<http://www.scua.net/segurana/conceitos/ataques_engsocial.htm>.
Acesso em: 15 de J ulho de 2002, s 13:00 h

MEDEIROS, Carlos Diego Russo. Implantao de Medidas e Ferramentas de Segurana da
Informao. J oinville. 2001. Monografia (Concluso de Estgio do Curso de Informtica).
Universidade da Regio de J oinville.

MITNICK, Kevin. My First RSA Conference, Security Focus, April 30, 2001. Disponvel
em: <http://online.securityfocus.com/news/199>. Acesso em: 13 de agosto de 2002 s 18:00h.

MDULO SECURITY MAGAZINE. Glossrio. Disponvel em:
<http://www.modulo.com.br/index.jsp>. Acesso em: 02 de outubro de 2002, 15:00 h.

SALDANHA. Cuidado com os Hackers [mensagem pessoal]. Mensagem recebida por
marcos@fischer.com.br em 11 de junho de 2002, s 08:00 h.

VARGAS, Alexandre. Ameaa alm do Firewall. Porque as empresas devem se preparar
contra a Engenharia Social [mensagem pessoal]. Mensagem recebida por
marcos@fischer.com.br em 11 de abril de 2002, s 08:45 h.
VERSSIMO, Fernando. Segurana em Redes sem Fio. Rio de J aneiro.2002. Monografia (Ps-
Graduao em Programa de Engenharia de Sistemas e Computao). Universidade Federal do
Rio de J aneiro.
VIRINFO. Engenharia Social. Disponvel em: <http://www.virinfo.kit.net/engesoc.htm>.
Acesso em: 08 de Agosto de 2002, s 12:50 h.