Escolar Documentos
Profissional Documentos
Cultura Documentos
Engenharia Social: o Elo Mais Frágil Da Segurança Nas Empresas
Engenharia Social: o Elo Mais Frágil Da Segurança Nas Empresas
29
Resumo
A tecnologia se mostra como fator de sucesso para muitas empresas. Atualizar equipamentos e
sistemas de segurana demanda muita ateno e conhecimento de rea. Mesmo com um sistema
de segurana atualizado empresas ainda se defrontam com um grande problema detectado j por
alguns anos no mercado: vulnerabilidade em relao aos ataques da engenharia social,
profissionais que buscam romper a tecnologia de segurana para ganhos prprios. Este trabalho
objetiva questionar se as pessoas que manipulam tais sistemas possuem atributos para faz-lo da
melhor forma como tambm, informar a todos os interessados que a segurana vai alm dos
equipamentos e que a capacidade humana de persuadir o prximo para conseguir o se quer pode
trazer grandes danos. A engenharia social pode ser o elo mais fraco da segurana de dados e
informaes confidenciais.
Palavras-chave: Engenharia Social. Pessoas. Segurana. Sistema. Tecnologia.
Abstract
The technology shows up as a success factor for many companies. Upgrade equipment and
security systems demand much attention and knowledge of the area. Even with an upgraded
security system companies still face a big problem detected for some years on the market:
vulnerability to social engineering attacks, professionals seeking to break the security technology
for their own gains. This work aims to question whether people who manipulate such systems
possess attributes to make it as best as also inform all stakeholders that security goes beyond the
equipment and the human ability to persuade the next to get what you want can bring great harm.
Social engineering may be the weakest link in the security of sensitive information and data.
Keywords: Social Engineering. People. Security. System. Technology.
1. Introduo
Com o grande avano na tecnologia nesta
dcada (2010 em diante), muitas empresas
mostram-se atentas para atualizar seus
equipamentos computacionais e assim
obterem melhores desempenho e segurana
na transmisso de dados. Espera-se que os
dados no sejam revelados ou roubados
para no lhes exporem e acarretarem
problemas futuros.
Mesmo com um sistema de segurana
sofisticado as empresas ainda enfrentam um
grande problema de vulnerabilidade a
N 02 Dezembro 2012
sofreram abordagem com falsas informaes
onde os agressores as manipulam as
deixando fragilizadas e expostas. Da
capacidade humana de persuadir o prximo
para se conseguir o que se quer se produzem
grandes danos. O interesse de pesquisar
sobre o tema surgiu com a veiculao de
notcias onde a engenharia social vista
como um dos malwares mais velhos do
mundo e mesmo assim continua muito
utilizada.
Controlar
pessoas
pelas
informaes algo difcil, entretanto,
possvel. Declara-se que o elo mais frgil
da segurana de dados e informaes
confidenciais no est no sistema, e sim, na
pessoa que interage com este sistema.
1.1. Problemas de pesquisa
Para este estudo se desenvolvem os
questionamentos/hipteses: Existe a melhor
adequao do sistema ao funcionrio que
opera com este sistema; O funcionrio
uma vitima fcil da engenharia social; As
empresas de mdio e grande porte se
preocupam com este tipo de ataque; O
funcionrio pode entregar dados valiosos.
1.2. Objetivos
A seguir so declarados os objetivos geral e
especfico deste trabalho:
Objetivo Geral deste artigo explicar a
engenharia social, onde ela esta sendo
aplicada no dia a dia, como ela usada e
como passa despercebido pela maioria das
pessoas e empresas, como tambm,
conscientizar sobre os ataques das
ferramentas (de TI). J os Objetivos
Especficos so: mostrar as principais
tcnicas e mtodos usados pelos engenheiros
sociais e como se prevenir dos ataques,
analisar se empresas particulares e privadas
entendem a engenharia social como um fator
importante da segurana, qual o foco dos
engenheiros sociais atualmente.
1.3. Justificativa
Pode se afirmar que o aumento de ataques
de hackers no mundo aumenta a cada dia, e
30
N 02 Dezembro 2012
respectivas tcnicas de ataque. Seguem as
bases conceituais.
2.1. Engenharia Social
De acordo com FERREIRA (2009) tm-se
os seguintes significados para Engenharia:
aplicao de conhecimentos cientficos e
empricos e certas habilitaes especificam a
criao de estruturas, dispositivos e
processos para converter recursos naturais
em formas adequadas ao atendimento das
necessidades humanas (p. 754) e Social: da
sociedade ou relativo a ela, socivel (p.
1864).
Ou seja, Engenharia Social a aplicao
de conhecimentos empricos e cientficos de
um modo socivel de acordo com as
necessidades
humanas
para
obter
informaes (como dados pessoais e contas
bancarias). uma ao onde se manipula
uma possvel vitima de modo que ela no
perceba e acabe fornecendo as informaes
pedidas pelo engenheiro social. A
engenharia social passa muitas vezes
despercebida por muitas pessoas, pois as
vitimas adquirem confiana pelo agressor
e assim se tornam alvo fcil de ser
manipulado e enganado por ele. O
agressor finge ser funcionrio motivado e
amigo que estuda a empresa e pessoas
percebendo onde estas no esto realmente
capacitadas e que possam lhe fornecer
informaes importantes causando-lhes
danos financeiros.
De acordo com Mitnick e Simon (2003)
uma empresa pode ter adquirido as melhores
tecnologias de segurana que o dinheiro
pode comprar, pode ter treinado seu pessoal
to bem que eles trancam todos os segredos
antes de ir embora e pode ter contratado
guardas para o prdio na melhor empresa de
segurana que existe. Mesmo assim essa
empresa ainda estar vulnervel. Os
indivduos podem seguir cada uma das
melhores
prticas
de
segurana
recomendadas pelos especialistas, podem
instalar cada produto de segurana
recomendado e vigiar muito bem a
configurao adequada do sistema e a
31
N 02 Dezembro 2012
A etapa de adequao deveria ser levada
muito mais adiante, antes mesmo que se
pensasse em comprar um sistema de
segurana mais sofisticado o conhecimento
sobre o processo essencial. Conhecendo o
processo e tendo um sistema de segurana
robusto
instalado,
um
profissional
capacitado de segurana da informao e
conhecedor de normas tambm necessrio.
Ento tem-se segurana. A empresa estar
mais
adequada,
sem
pontos
de
vulnerabilidade onde engenheiros sociais
consigam ter acesso.
De acordo com Artigonal (2010) a
engenharia social no exclusivamente
utilizada em informtica, uma ferramenta
onde se exploram falhas humanas em
organizaes fsicas ou jurdicas onde
operadores do sistema de segurana da
informao possuem poder de deciso
parcial ou total ao sistema de segurana da
informao seja ele fsico ou virtual, porm
deve-se considerar que as informaes
pessoais, no documentadas, conhecimentos,
saberes, no so informaes fsicas ou
virtuais, elas fazem parte de um sistema em
que
possuem
caractersticas
comportamentais e psicolgicas na qual a
engenharia social passa a ser auxiliada por
outras tcnicas como: leitura e linguagem
corporal. Delas se obtm informaes que
no so fsicas ou virtuais e sim
comportamentais e psicolgicas.
Segundo Mitnick e Simon (2003) a
grande
maioria
dos
colaboradores
transferidos, demitidos ou rebaixados no
causam problemas. Mesmo assim entre mil
dos citados preciso apenas um deles para
prejudicar a empresa. Estatsticas mostram
que a maior ameaa para a empresa vem de
dentro e so as pessoas que tm um
conhecimento grande do lugar onde ficam e
tem acesso as informaes valiosas.
Ento, ironicamente, o maior perigo para
empresa vem dela prpria, pois, alguns
engenheiros sociais conhecem a empresa
mesmo nunca tendo trabalhado nela (atravs
de algum funcionrio demitido ou
transferido) ou at mesmo o prprio
funcionrio com pouco conhecimento sobre
32
N 02 Dezembro 2012
equivocada na internet. Segundo Ciouol
(2011) novos empregados so mais
propensos a carem em golpes de engenharia
social, segundo o relatrio. Em seguida
aparecem os terceirizados (44%), assistentes
executivos (38%), recursos humanos (33%),
lderes de negcio (32%) e pessoal de TI
(23%). Contudo, quase um tero das
organizaes afirmou no ter programas de
alerta e preveno de engenharia social.
Entre os pesquisados, 34% no tm qualquer
treinamento de funcionrios ou polticas de
segurana para prevenir tcnicas de
engenharia social. No entanto, 19%
afirmaram ter planos de implant-los.
O contentamento ao conseguir um
emprego novo ou o empenho nos primeiros
dias de trabalho torna-se perigosos para o
novo funcionrio, pois a forma de agir e
mostrar dedicao, ajudar a empresa a
crescer ocasiona s vezes o inverso. Se o
novo funcionrio no souber lidar com a
emoo, agir com competncia e calma, o
trabalho pode tornar seu trabalho uma
armadilha. O funcionrio novo ser vigiado
pelo engenheiro social e muitas vezes este
entrega de forma fcil as informaes
sigilosas, mostrando que muitas empresas
atualmente no possuem uma poltica de
segurana e/ou um sistema robusto contra
este tipo de ataque, e que muitos
funcionrios no recebem uma capacitao
ou orientao sobre o assunto, fazendo com
que a prpria empresa d uma ajuda para
o engenheiro social, facilite o seu trabalho
na captura de informaes desejadas.
Mitnick e Simon (2006) descrevem o
engenheiro social como o profissional que
emprega tcnicas persuasivas no dia-a-dia.
Assumindo
papis,
tentando
obter
credibilidade e cobrando obrigaes
recprocas. Mas, ao contrrio da maioria dos
profissionais, o engenheiro social aplica
essas tcnicas de maneira manipuladora,
enganosa, altamente antitica e em geral
com efeito devastador. Mesmo existindo
poltica de segurana na empresa ela ainda
estar vulnervel, pois, as habilidades de um
engenheiro social ultrapassam tais barreiras.
Parecem inofensivos e so capazes de
33
N 02 Dezembro 2012
os engenheiros sociais bem-sucedidos tm
uma habilidade muito boa em lidar com as
pessoas. Eles so charmosos, educados e
agradam
facilmente,
traos
sociais
necessrios para estabelecer a afinidade e
confiana. Um engenheiro social experiente
pode ter acesso a praticamente qualquer
informao alvo usando as estratgias e
tticas da sua habilidade (MITNICK;
SIMON 2003, p. 18)
O que o engenheiro social precisa
adquirir a confiana de sua vtima, pois, com
isso suas chances de sucesso so maiores.
Como maioria das pessoas no tm o hbito
de duvidar de todo mundo, se um
engenheiro social chegar bem apresentvel,
for bem educado e se mostrar prestativo, que
quer ajudar, logo a pessoa j o considera
amigvel. Nesse momento cai na armadilha.
Ao simular uma amizade consegue tornar
mais fcil a captura de informaes, pois a
amizade uma das primeiras tcnicas usadas
por um engenheiro. A amizade a base para
um ataque bem sucedido. Muitas vezes a
vtima mal sabe que est sendo atacada.
Segundo Mitnick e Simon (2003) todos
tm desafetos ou inimigos. Desde a infncia
sempre existe aquele amiguinho no se
enturma e que sempre arruma confuso.
Pessoas que convivem com ele, se
pudessem, fariam de tudo pra prejudica-lo,
ou seja, desde pequeno se tem inimigos.
Nas empresas isso tambm sempre
existiu. Deve-se assumir que em cada
empresa cada pessoa tambm tenha os seus
impares.
Os
atacantes
visam
a
infraestrutura da rede para comprometer os
segredos da empresa. Questionam os
desafetos para conseguirem informaes.
Ter uma poltica de segurana rigorosa,
treinamento especializado e bem planejado
essencial para a minimizao dos riscos que
se corre diante das aes de uma pessoa ou
empresa rival. A capacidade do ser humano
em achar que todo mundo confivel que
toda empresa tica ajuda com que os
engenheiros sociais tenham menos trabalho
em conseguir informaes.
De acordo com Tecmundo (2008)
engenheiros sociais utilizam o telefone para
34
N 02 Dezembro 2012
A maioria das empresas possui uma
forma de se comunicar internamente entre
seus funcionrios. uma tcnica que ajuda a
prevenir muitos tipos de ataques, pois, s
pela conversa voc j analisa se realmente
aquele funcionrio trabalha ou no na
empresa. Porm, elas ainda esto
vulnerveis, pois, se o engenheiro social
consegue ter acesso ao tipo de conversa
consegue se passar por um funcionrio.
Uma tcnica de preveno seria a adoo
de um cdigo interno para a transferncia de
dados, ou seja, s ocorre a transferncia de
qualquer tipo de informao mediante senha
e contrasenha, se a pessoa do outro lado da
linha ou pessoalmente conhecer o cdigo de
autorizao de dados a conversa acontece.
Consegue-se mais resistncia ao engenheiro.
Para TecMundo (2008) boa parte das
pessoas possuem perfis e contas em redes
sociais, o que facilita a engenharia social
criminosa. Ao criar perfis em sites de
relacionamento preciso ter cautela com os
dados ali fornecidos, pois muitas vezes eles
podem ser usados para prejudicar voc. No
aconselhvel colocar telefones, endereo,
empresa na qual trabalha e qualquer tipo de
informao pessoal em seu perfil.
Os engenheiros sociais provocam um
momento de condescendncia ao fazer uma
srie de solicitaes, a comear pelas
inofensivas (MITNICK; SIMON 2006,
p.200). No dia a dia, ao atacar, esses
profissionais comeam com perguntas que
mal fazem diferena na vida de cada um em
responder, porm, com o tempo o bate papo
continua e o engenheiro social acaba se
aprofundando mais nas perguntas mais
abusadas. Aumenta a confiana e a vtima
acaba entregando informaes valiosas.
Alm da amizade... Simpatia. Nos
ataques mais comuns esta a arma utilizada
principalmente para obter dados bancrios e
financeiros das pessoas, como nmero de
conta, senha, nmero do carto de crdito,
etc. Os assuntos dos e-mails normalmente
so pertinentes a notcias divulgadas na
mdia, seja pelo jornal, televiso, rdio ou
Internet (TECMUNDO, 2008).
35
N 02 Dezembro 2012
36
N 02 Dezembro 2012
A melhor maneira de se prevenir nunca
usar folhas impressas erradas e tambm no
jogar nenhum tipo de comprovante, recibo
ou extrato de conta bancaria no lixo ou na
rua. mais seguro queimar ou picotar esse
tipo de dado do que deixar exposto para
muitas pessoas.
Em relao a melhor postura de combate
ao engenheiro social mal-intencionado,
Peixoto (2006) afirma que se todo
funcionrio fosse to questionador como
uma criana, demonstrando interesse nos
mnimos detalhes, ouvindo mais, estando
fortemente atento a tudo a sua volta, e
principalmente fazendo o uso dos poderosos
porqus, com certeza as empresas
transformariam os frgeis cadeados em
legtimos dispositivos dificultantes da
segurana da informao. Se o ser humano
continuasse com a mesma curiosidade de
quando era criana, muitos ataques
poderiam ser evitados. Para entender o
mundo muitas vezes quando crianas ns
questionamos. Os porqus so inevitveis,
os pais ou quem foi interrogado pela criana
no conseguem ou no sabem responder de
uma maneira objetiva o que realmente a
criana pergunta ou no respondem de
forma que ela entenda. Se todos os
funcionrios continuassem com esse habito
de questionamento, dificultaria e muito para
que o engenheiro social tenha um ataque
com 100% de eficcia, pois, muitos deles j
vm com respostas prontas para algumas
perguntas, mas no para todas as
perguntas. No atacariam totalmente
seguros. Mas, sabe-se que em muitas
empresas a cultura do questionamento no
permitida e fazem que grande maioria dos
funcionrios apenas trabalhem alheios as
informaes adicionais.
3. Pesquisa de Campo
3.1. Como foi feita (quanto tempo, quem
participou)
Apoiando a bibliografia exposta no captulo
anterior, foi realizada uma Pesquisa de
Campo atravs de um questionrio
qualitativo elaborado pelo autor e
37
N 02 Dezembro 2012
ativo de IT da empresa. Qual a sua
opinio sobre esse ponto?
Em sua opinio, necessrio prevenir
ataques de Engenharia Social ou esse
um assunto de menos importncia na
poltica de segurana da empresa?
Voc j detectou algum ataque de
Engenharia Social na empresa? Se sim,
voc pode descrever como foi feito o
ataque e como foi detectado?
3.2. Resultados e Discusso
Diante exposto pelos autores Mitnick e
Simon (2003), nota-se nas respostas dos
entrevistados que novos funcionrios
realmente esto mais vulnerveis aos
ataques de engenharia social. Como foi
comentado por um dos entrevistados, muitas
vezes pessoas ficam muito exaltadas pelo
novo emprego e acabam no prestando
ateno na poltica de segurana e s vezes
fazem algo proibido pela empresa.
Quando questionado se o mesmo assinou
um contrato de poltica de segurana sobre o
uso indevido de equipamentos da empresa
ele afirma: No assinei nada e no vi nada
sobre isso. Isso algo que a empresa
deveria tomar mais cuidado, pois a maioria
dos funcionrios muitas vezes tomam
decises erradas e precipitadas. Conforme
Martins, a maioria das pessoas revela
informaes em redes sociais sem nenhum
conhecimento do reflexo que isso traz.
Para Peixoto (2006), tais informaes
confidenciais encontradas em redes sociais,
ou at mesmo nos lixos causam danos. Foi
comentado por um entrevistado que a
maioria das pessoas no tem nenhum
conhecimento, so leigas e acabam se
abrindo mais do que deveriam a
desconhecidos, no s em redes sociais,
mas, tambm em conversas presenciais, ou,
ento simplesmente jogam algum papel com
dados (que pra ele no tinha nenhum
problema) no lixo. Tornam-se um grande
problema para a empresa/instituio. Muitos
usam o simples comentrio: uma vez s
no tem problema algum. s vezes essa
nica vez poder causar grandes transtornos
38
N 02 Dezembro 2012
3.2.1.1. Sobre a Poltica de Segurana
Os colaboradores da
empresa esto
Sim 63%
No 38%
39
H medidas de para
prevenir ataques de
Sim -
No
N 02 Dezembro 2012
Tambm foi visto que no s as empresas
seguem com este grande gargalo de entender
e trabalhar com o fator humano. Governo,
igreja e corporaes militares tambm
possuem grandes dificuldades em analisar o
que esta acontecendo com as pessoas e oque
realmente pode-se fazer.
Ainda em pesquisa com as pessoas de
grandes empresas possuidoras de tecnologia
(na aplicao do questionrio) pode-se
perceber que algumas delas no conheciam
o que era a engenharia social. Duas
instituies tem poltica de segurana
considerada adequada, entretanto, no
oferecem nenhum treinamento especfico
para esse tipo de ataque.
Agindo por impulso ou por confiana
extrema pessoas passam informaes
valiosas dessas instituies. O que se espera
com este trabalho que se diagnostique e
que se divulgue o problema de sistema de
segurana e que se providencie mais
treinamento e maior dedicao ao lado
humano dos funcionrios, e assim, que o
profissional da engenharia social tenha mais
dificuldade para adentrar, retirar e divulgar
informaes sigilosas.
Referncias
ARTIGONAL. Desvendando Engenharia
Social.
Disponvel
em:
<HTTP//www.artigonal.com/tecnologias/en
genharia-social.html>.
Acesso
em:
16/09/2011.
CIOUOL. Novos Funcionrios Esto Mais
Propensos a Ataques de Engenharia
Social.
Disponvel
em:
<http://cio.uol.com.br/noticias/2011/09/21/n
ovos-funcionarios-estao-mais-propensos-aataques-de-engenharia-social/>. Acesso em:
03/11/2011.
FERREIRA, A. B. H. Novo Dicionrio
Aurlio da Lngua Portuguesa. 4. Ed.
Paran: Positivo, 2009.
MITNICK, K. D.; SIMON, W. L. A Arte de
Enganar: ataques de hackers controlando
40