Escolar Documentos
Profissional Documentos
Cultura Documentos
Cássio Bastos Alves: Centro Universitário Do Distrito Federal - UDF Coordenação Do Curso de Sistemas de Informação
Cássio Bastos Alves: Centro Universitário Do Distrito Federal - UDF Coordenação Do Curso de Sistemas de Informação
Braslia
2010
Braslia
2010
Banca Examinadora
__________________________________________________________
____________________________________________________________
____________________________________________________________
AGRADECIMENTO
RESUMO
O presente artigo tem por objetivo principal abordar a engenharia social no que se
refere aos seus mtodos, tcnicas e meios utilizados pelo engenheiro social para
enganar sua vitima e comprometer assim a segurana da informao, de maneira
que o leitor possa reconhecer esse tipo de abordagem para assim no ser mais uma
vitima dessa prtica to comum nos dias de hoje. O artigo tambm tem como
objetivo despertar o interesse e a conscientizao das pessoas e das organizaes
para esse perigo eminente, pois esse o melhor caminho para proteger a
informao. O artigo no tem como objetivo abordar a parte tcnica da segurana da
informao, no que se referem aos protocolos, cdigos e etc. Partindo do princpio
que a maioria dos usurios no compreende isso, pois so leigos nesse assunto. O
artigo foi divido em trs grandes momentos. No primeiro momento ser abordado o
conceito de engenharia social e segurana da informao assim como a importncia
da informao nos dias de hoje para as pessoas e principalmente para as
organizaes. Em um segundo momento, sero expostas algumas caractersticas
inerentes ao ser humano que assim o torna presa fcil, assim como tambm as
caractersticas do engenheiro social, para que assim possa ser reconhecido.
Tambm sero tratados os procedimentos que no podem ficar de fora de uma
poltica de segurana da informao, como por exemplo, os planos de treinamento e
conscientizao dos funcionrios. Por ltimo, sero dadas dicas de como se
proteger para no ser mais uma vitima da engenharia social. Com isso o leitor ter
uma viso mais ampla dos riscos, danos e consequncias causadas pela
engenharia social, assim como o que precisa ser feito para combat-la e como se
proteger.
ABSTRACT
This article aims to address the main social engineering regarding to its methods,
techniques and methods used by social engineers to fool his victim and thereby
compromise the security of information, so that the reader can recognize this kind of
approach for not being a victim of this practice so common nowadays. The article
also aims to arouse interest and awareness of people and organizations for this
imminent danger, because this is the best way to protect information. The article is
not intended to address the technical aspects of information security, as they refer to
protocols, codes and so on. Assuming that most users do not understand this,
because they are laymen in this matter. The article was divided into three great
moments. At first we will address the concept of social engineering and information
security as well as the importance of information nowadays for people and especially
for organizations. In a second stage, it will be exposed some inherent characteristics
of the human being that makes it a so easy prey, as well as the characteristics of the
social engineer, so it can be recognized. It also will address the procedures that can
not be left out of an information security policy, such as plans for training and
awareness of employees. Finally, it will be given tips on how to protect yourself for
not being another victim of social engineering. Thus the reader will have a broader
view of risks, consequences and damage caused by social engineering, as well as
what must be done to combat it and how to protect yourself.
LISTA DE FIGURAS
Figura 1 O ciclo .....................................................................................................16
Figura 2 Os pilares da Segurana da Informao .................................................19
Figura 3 Aspectos da segurana da informao ...................................................19
Figura 4 Atual modelo da segurana da informao. ............................................24
Figura 5 Proposta de novo modelo para Segurana da Informao. ....................24
Figura 6 Elo mais fraco..........................................................................................25
Figura 7 Como metade de oito para o Engenheiro Social. .................................29
Figura 8 Ambiente sem polticas de Segurana. ...................................................32
LISTA DE TABELAS
SUMRIO
INTRODUO ..........................................................................................................12
1. CONCEITOS DE ENGENHARIA SOCIAL E SEGURANA DA
INFORMAO ......................................................................................................15
1.1. O QUE A ENGENHARIA SOCIAL ...................................................................15
1.2. O QUE INFORMAO E QUAL A SUA IMPORTNCIA ................................17
1.3. O QUE SEGURANA DA INFORMAO. .....................................................17
1.4. TIPOS DE VULNERABILIDADES.......................................................................21
2. O FATOR HUMANO..............................................................................................23
2.1. SUAS VULNERABILIDADES..............................................................................25
2.2. COMO AGE O ENGENHEIRO SOCIAL .............................................................27
3. A IMPORTNCIA DA POLTICA DE SEGURANA, TREINAMENTO E
CONSCIENTIZAO ............................................................................................30
3.1. AMEAAS ..........................................................................................................30
3.2. POLTICA DE SEGURANA ..............................................................................31
3.2.1. Plano de treinamento e conscientizao ....................................................34
3.2.2. Plano de resposta a incidentes....................................................................39
4. TIPOS DE FRAUDES USANDO A ENGENHARIA SOCIAL, SUAS
TCNICAS E MEIOS UTILIZADOS ......................................................................42
4.1. MEIOS MAIS COMUNS PARA ATACAR............................................................42
4.2. TCNICAS DE ATAQUE MAIS COMUNS..........................................................43
5. DICAS PARA NO SER MAIS UMA VTIMA DA ENGENHARIA SOCIAL .........47
5.1. COMO SE PROTEGER ......................................................................................47
5.1.1. Elaborando senhas fortes ............................................................................55
CONCLUSO ...........................................................................................................59
REFERNCIAS.........................................................................................................61
12
INTRODUO
de
segurana
evoluem
dificultando
assim
explorao
de
13
14
15
16
Figura 1 O ciclo
Fonte: (ALLEN, 2006)
17
18
Disponibilidade:
De
nada
adianta
possuir
integridade
19
20
21
Destruir informaes;
Disseminar Spam;
22
23
2. O FATOR HUMANO
24
25
26
27
Intrusos
Estudantes
Crackers
Representantes
Comerciais
Executivos
Espies
Objetivos
Vasculhar mensagens de e-mail alheias por diverso ou curiosidade.
Quebrar sistemas de segurana e roubar informaes.
Encontrar planilhas referentes a preos ou cadastro de clientes.
Descobrir plano estratgico dos seus concorrentes.
Descobrir planos militares.
28
Tabela 1 Tipos de intrusos e seus objetivos.
Intrusos
Terroristas
Contadores
Corretores de valores
Ex-funcionrios
Vigaristas
Objetivos
Causar pnico pela rede e roubar informaes estratgicas.
Desfalques financeiros.
Adulterar informaes para obter lucro com o valor das aes.
Causar prejuzos apenas por vingana.
Roubar informaes, como senhas e nmeros de cartes de crdito.
Fonte: (POPPER; BRIGNOLI, 2003).
29
Dificilmente um ser humano teria essa viso. Quase todo mundo tem
somente a viso matemtica, ou seja, o mais obvio, mas o engenheiro social nem
sempre se guia pelo mais lgico. Muitas vezes o ilgico pode ser a melhor resposta
para o problema em questo. (MARCELO; PEREIRA, 2005).
30
3.1. AMEAAS
Concordando com o que diz Peixoto (2006), muitas vezes nos sentimos
ameaados em determinadas situaes, mas isso no quer dizer necessariamente
que voc se sente vulnervel. J na situao oposta, quando algum se considera
vulnervel, certamente essa pessoa se v ameaada. No uma regra, mas
valida se comparada com o que diz respeito s informaes.
Na tica de Peixoto (2006), As ameaas so o resultado das
vulnerabilidades existentes, o que prova a perda dos elementos bsicos para existir
segurana da informao que so eles a confidencialidade, integridade e
disponibilidade. Essas ameaas podem ser divididas em:
Involuntrias:
Aquelas
que
ocorrem
por
causa
do
31
por
exemplo,
aes
de
Crackers,
espies,
32
33
desenvolver
uma
poltica
de
segurana,
deve-se
levar
em
34
de
segurana
da
informao
baseados
de
acordo
com
suas
35
para proteger o ativo mais importante da empresa que so suas informaes. Esses
funcionrios ainda precisam ser treinamos e educados de maneira que possam ter
conscincia das informaes que precisam ser protegidas e como proteg-las para
que assim possam identificar facilmente um ataque de engenharia social. Esses
programas de treinamento e conscientizao devem ser realizados constantemente,
pois com o passar do tempo o preparo das pessoas diminui alm de novas ameaas
e tcnicas usadas pelos engenheiros sociais surgirem constantemente, o que faz
com que seja necessrio reforar e atualizar os princpios da segurana da
informao na mente dos colaboradores.
Uma empresa que realmente leva a questo da segurana da informao
a srio e como uma prioridade em sua cultura corporativa, passa a treinar seus
funcionrios assim que so admitidos, de maneira que nenhum funcionrio possa
receber acesso a um microcomputador antes de participar de pelo menos uma aula
bsica sobre conscientizao em segurana da informao.
Um timo aspecto a ser abordado que pode funcionar como um grande
agente motivador para os funcionrios esclarec-los de que a segurana da
informao no um assunto de interesse somente da empresa, mas tambm dos
prprios funcionrios, pois a prpria empresa possui informaes particulares a
respeito dos seus funcionrios. Inclusive algumas analogias podem ser feitas para
criar entusiasmo nos empregados, como por exemplo, inform-los de que no cuidar
da segurana das informaes no ambiente de trabalho o mesmo que no cuidar
do carto do banco ou do nmero do carto de crdito de algum. Ou seja, os
funcionrios percebero que ao colaborarem estaro protegendo no somente
informaes da empresa, mas tambm suas informaes pessoais. Outro bom
artifcio seria a demonstrao das tcnicas de engenharia social atravs da
dramatizao, reportagens ou atravs de vdeos educativos sobre o assunto, que
exibam casos reais de maneira que seja ao mesmo tempo algo educativo e
divertido. (FONSECA, 2009).
Concordando com o que diz Fonseca (2009), interessante deixar bem
claro que nem sempre um programa desse tipo deve ser encarado como algo
36
genrico para todas as reas da empresa. Muito pelo contrrio, muitas vezes o
treinamento deve ser adaptado de acordo com os requisitos especficos de cada
grupo dentro da organizao, pois apesar de muitas vezes as polticas serem
aplicadas a todos os funcionrios, h situaes em que ser necessria a existncia
de polticas especficas para determinados cargos ou grupos distintos dentro das
organizaes, como por exemplo, os gestores, o pessoal da tecnologia, os usurios
de microcomputadores, o pessoal das reas no tcnicas, os assistentes
administrativos, recepcionistas e o pessoal da segurana fsica da empresa. Uma
observao interessante a ser feita com relao aos funcionrios da segurana
fsica que normalmente esse tipo de funcionrio no tem acesso aos
microcomputadores e s vezes nem mesmo possuem proficincia para oper-los,
mas nem por isso devem ser excludos do treinamento, pois os engenheiros sociais
costumam utiliz-los como peas importantes para conseguirem acesso privilegiado
a locais restritos como, por exemplo, algumas salas ou escritrios que venham
posteriormente permitir a invaso de algum computador. Por isso em alguns casos,
o treinamento precisa sofrer adaptaes. Como no exemplo supracitado, os guardas
da segurana no precisariam passar pelo treinamento completo que os usurios de
microcomputadores deveriam passar. J aqueles funcionrios que no puderem
participar dos treinamentos em classe, devero ser includos no treinamento atravs
de outras formas de instruo como, por exemplo, vdeos, treinamentos baseado em
computadores, cursos on-line ou por material escrito. Tambm muito importante
ressaltar a questo dos empregados que mudarem de cargo, funo e etc. Esses
funcionrios devero passar por um novo processo de treinamento ajustado s suas
novas atribuies.
fundamental em um programa de conscientizao deixar bem claro a
importncia de seguir as polticas de segurana corretamente e os danos que a
empresa poder vir a sofrer se estas no forem seguidas perfeitamente. Os
funcionrios tambm devem ser advertidos a respeito das consequncia que
sofrero se no cumprirem as normas e procedimentos estabelecidos, pois muitas
vezes, os prprios funcionrios ignoram ou at mesmo negligenciam os
procedimentos que acham desnecessrios, ou aqueles considerados tediosos
37
38
Questionar
solicitaes,
independentemente
do
cargo
ou
Eliminao
de
documentos
que
contenham
informaes
39
40
importante que as experincias anteriores com outros incidentes sejam usadas para
prevenir ocorrncias semelhantes no futuro ou at mesmo para aprimorar a
segurana atual. O documento que define as diretrizes para tratar incidentes de
segurana chama-se Plano de Resposta a Incidentes. Ele possui os procedimentos
e medidas a serem tomadas para remediar, corrigir ou contornar os incidentes. O
tratamento de cada incidente depender de alguns fatores como, por exemplo, a sua
magnitude e o risco que trar para a empresa. (POPPER; BRIGNOLI, 2003).
Como j foi abordado anteriormente, cada empresa possui suas
particularidades e culturas organizacionais, portanto, os procedimentos de respostas
para os incidentes so tambm muito particulares, pois variam de organizao para
organizao. O mais importante que independente do porte da empresa ou do seu
ramo de atividades, ela dever possuir o seu prprio Plano de Respostas a
Incidentes.
As seguintes medidas no podem ser deixadas de lado em um Plano de
Resposta a Incidentes: (POPPER; BRIGNOLI, 2003).
41
42
Intranet:
Tem
por
objetivo
acessar
remotamente
algum
43
44
Diviso
de
responsabilidades:
tcnica
da
diviso
de
45
comuns.
Ao
digitar
informaes
nesse
site,
Footprint:
Essa
tcnica
tem
por
objetivo
maior
descobrir
46
47
48
49
50
enfeites
podem
estar
guardados,
escondidos
ou
Seminrios de sensibilizao;
Cursos de capacitao;
Crachs de identificao;
Procedimentos
especficos
para
demisso
admisso
de
funcionrios;
Termo de responsabilidade;
Termo de confidencialidade;
51
A maior prova para se ter certeza de que voc ser a prxima vtima da
engenharia social simplesmente subestimar o praticante desta arte. Mas
como ao certo saber quem afinal o engenheiro social naquele dado
momento, lugar ou situao? No saber, na primeira instncia. Apenas
desconfiar de algum suspeito medida que voc v adquirindo
conhecimento das tcnicas padres e revolucionrias da engenharia social.
E assim percebendo algumas gafes do engenheiro social, deixar a
incerteza para ento capturar o alvo certo.
Use seu antivrus para verificar todo arquivo baixado antes de abrilo ou execut-lo pela primeira vez;
52
Jamais abra arquivos que terminem com PIF, SCR, BAT, VBS e,
principalmente, os terminados com EXE e COM;
Ao
realizar
compras
pela
Internet
procure
por
sites
reconhecidamente seguros;
53
cdigos
maliciosos,
instalados
por
pessoas
mal-
54
rea de Risco
Ttica do invasor
Suporte de
Informtica
Representao e
persuaso
Entrada de edifcios
Acesso fsico no
autorizado;
Escritrios
Suporte telefnico
Escritrios
Estratgia de Combate
Desenvolver na empresa uma poltica de
mudana frequente de senhas e treinar os
demais funcionrios para nunca passarem
senhas ou outras informaes confidenciais
por telefone;
Treinar os funcionrios da segurana para no
permitirem o acesso de pessoas sem o devido
crach de identificao e mesmo assim fazer
uma verificao visual;
No digitar senhas na presena de pessoas
estranhas, a no ser que voc consiga fazer
isso rapidamente;
Os atendentes devem solicitar sempre um
cdigo de acesso, para s ento prestarem o
suporte solicitado;
Todos os visitantes devem ser acompanhados
por um funcionrio da empresa;
Sala de
correspondncia
Insero de mensagens
falsas;
Instalam programas
analisadores de protocolo
para conseguirem
informaes confidenciais,
alm da remoo de
equipamentos;
Central telefnica
Internet e intranet
Depsito de lixo
Vasculhar o lixo;
55
Tabela 2 reas de Risco, Tticas e Estratgias
rea de Risco
Ttica do invasor
Estratgia de Combate
Escritrio
56
A displicncia dos usurios que criam senhas fceis de serem descobertas,
que ficam longos perodos sem alter-las, e ainda utilizam a mesma senha
para acesso a vrias contas, torna o ataque mais simples. Basta enviar um
cadastro oferecendo um brinde ou a participao em um sorteio que solicite
o nome e senha do usurio e pronto. O hacker ter a sua disposio tudo o
que necessrio para um ataque, sem grande esforo (GRANGER, 2001
apud POPPER; BRIGNOLI, 2003, p. 4-5).
Para um engenheiro social, uma senha forte ser aquela composta por
uma sequncia aleatria de caracteres. Os seguintes critrios podem ajudar sua
senha a se tornar forte: (MICROSOFT CORPORATION, 2006).
Uma frase secreta fcil de lembrar e por ser mais longa, ser
senha. Uma senha que possui quinze caracteres composta somente por letras e
nmeros aleatrios cerca de 33.000 vezes mais forte do que uma senha de oito
caracteres que composta por elementos de todo o teclado. lgico que uma
senha ideal possui vrios tipos de caracteres diferentes e ao mesmo tempo longa.
Use a tecla "Shift", pois sua senha ser muito mais forte se voc
Use frases ou palavras que voc lembre com facilidade, mas que
57
de
documentos,
informaes
de
familiares,
pois
58
Use uma senha diferente para cada site ou sistema. Pois se voc
utiliza a mesma senha para tudo e algum descobrir, todas as
outras tambm sero descobertas e a catstrofe ser bem maior.
59
CONCLUSO
60
61
REFERNCIAS
62
63