ICPG

Instituto Catarinense de Ps-Graduao www.icpg.com.br

ENGENHARIA SOCIAL
Um Perigo Eminente
Marcos Antonio Popper Juliano Tonizetti Brignoli Instituto Catarinense de Ps-Graduao ICPG Gesto Empresarial e Estratgias de Informtica Resumo As empresas esto investindo na modernizao de seus parques tecnolgicos e esto deixando de lado o fator humano. A engenharia social explora essa vulnerabilidade. Os principais alvos so as grandes corporaes porque, segundo pesquisa realizada nos Estados Unidos em 2002 pela revista Information Secutiry, os investimentos em segurana no acompanham o crescimento das empresas. Os ataques de engenharia social no possuem frmula nem mtodo definido. Eles podem ter aspectos fsicos e psicolgicos. No fsico, exploram o local de trabalho, vasculham lixeiras, e por telefone se passam por outra pessoa. No psicolgico, exploram o lado sentimental das pessoas. No Brasil ainda no h uma legislao especfica que puna estes tipos de crimes; ento, alm da conscientizao e treinamentos constantes, as empresas devem possuir um plano de contingncia para eventuais ataques e assim garantir a continuidade dos negcios. Abstract The companies are investing in up-to-dating their technological fields and are not paying attention to the human factor. The social engineering explores this vulnerability. The main targets are the big corporations because, according to a research done in the United Stated in 2002 by the Information Security magazine, the investments in security do not follow the companies growth. The social engineering attacks do not have a formula nor a determined method. They can have physical and psychological aspects. In the physical one, they explore the working place, rummaging garbage cans and, by phone, pretending being another person. In the psychological one, they explore the sentimental side of people. In Brazil, there is not a specific law that punishes these kinds of crimes; so, besides the continuous consciousness-raising and training, the companies must have a contingency plan for eventual attacks and, so, guarantee the business continuity. Palavras Chave: Engenharia Social, Hacker, Informao.

1. INTRODUO Apesar do nome, a Engenharia Social nada tem a ver com cincias exatas ou sociologia. Na verdade, trata-se de uma das mais antigas tcnicas de roubo de informaes importantes de pessoas descuidadas, atravs de uma boa conversa (Virinfo,2002). Com o crescente nmero de invases sofridas pelas empresas em suas bases de dados, estas esto voltando suas atenes para a modernizao de seus parques tecnolgicos, com

ICPG

Instituto Catarinense de Ps-Graduao www.icpg.com.br

atualizaes de firewalls1, formas de criptografia2, e muitos outros mecanismos de segurana, deixando o fator humano em segundo plano. A Engenharia Social, de maneira simples, caracteriza-se por explorar essa fragilidade. Em outras palavras, consiste na habilidade de obter informaes ou acesso indevido a determinado ambiente ou sistema, utilizando tcnicas de persuaso (Vargas,2002).

2. ALVOS DE UM ATAQUE Se formos analisar de forma minuciosa, dificilmente encontraremos algum ou alguma empresa que no tenha sofrido um ataque de engenharia social. O dito popular jogar verde pra colher maduro define bem o tema. Quem nunca se viu envolvido sendo questionado sobre um determinado assunto e, quando se deu conta, j tinha entregue o ouro pro bandido? Isso quando a pessoa se d conta; muitas vezes ela fala e nem percebe o contedo do que foi dito. Podemos citar os mais variados exemplos; entre eles, uma oferta de emprego que nos interessa e, quando chegamos l, nosso amigo j ocupou a vaga, ou quando temos uma venda praticamente concretizada ou uma boa oferta de compra e novamente nosso amigo chegou na frente. Ento nos questionamos: Mas como ele sabia? S que esquecemos da cervejinha de sbado tarde quando estvamos todos juntos jogando conversa fora e sem perceber o assunto foi comentado. Em grandes empresas, instituies financeiras, militares, rgos do governo e at mesmo hospitais, a situao semelhante. S que, nesse caso, envolvem pessoas preparadas, os chamados hackers3, e as formas de ataque utilizadas so mais audaciosas. A meta desses hackers obter acesso no autorizado a sistemas, sabotar informaes, espionagem industrial, roubo de identidade ou simplesmente sobrecarregar os sistemas a ponto de tir-los de operao. Estes tipos de ataques so altamente eficazes e com um custo relativamente baixo, em funo da experincia do atacante. Muitas das empresas atacadas, a exemplo das pessoas, tambm nem percebem que foram alvos de um ataque, porque estes piratas deixam poucos ou falsos rastros, que dificultam a rastreabilidade das aes e a mensurao dos prejuzos decorrentes dos mesmos. Mesmo aquelas que descobrem que foram atacadas, dificilmente admitem o fato, com receio de prejudicarem sua reputao. Na Inglaterra, por exemplo, as empresas j podem ostentar um certificado de que exercitam boas prticas de mercado no que diz respeito segurana da informao, que rapidamente est se tornando um diferencial competitivo para as empresas que souberem administr-lo (Saldanha,2002).
- Firewalls so programas especiais que tm por objetivo evitar acessos no autorizados a computadores (Mdulo,2002). 2 - Criptografia a tcnica de escrever em cifra ou cdigo, composto de tcnicas que permitem tornar incompreensvel uma mensagem transmitida. Somente o destinatrio poder decifr-la (Mdulo,2002). 3 - Hackers so tambm conhecidos como piratas da Internet, que tem como objetivo invadir os computadores desprotegidos utilizando as mais variadas tcnicas para roubar informaes (Mdulo,2002).
1

ICPG

Instituto Catarinense de Ps-Graduao www.icpg.com.br

3. FORMAS DE ATAQUE As formas de ataque so as mais variadas, sempre explorando a fragilidade e ingenuidade das pessoas. Nenhum artigo sobre ataques de engenharia social estaria completo sem citar Kevin Mitnick (Goodell,1996), que, at ser capturado, era considerado o maior hacker de todos os tempos. Iguais a ele, atualmente existem muitos, e as tticas utilizadas so basicamente as mesmas. Antes de citar as diversas formas de ataque, o ideal citar quem so os atacantes. Enganase quem pensa que os ataques sempre so executados pelos hackers. A tabela a seguir mostra alguns tipos de intrusos e seus principais objetivos. TABELA 1 Tipos de Intrusos Intrusos Estudantes Hackers/Crackers Representantes Comerciais Executivos Ex-funcionrios Contadores Corretores de valores Vigaristas Espies Terroristas Objetivos Bisbilhotar mensagens de correio eletrnico de outras pessoas por diverso; Testar sistemas de segurana, ou roubar informaes; Descobrir planilhas de preos e cadastro de clientes; Descobrir plano estratgico dos concorrentes; Sabotagem por vingana; Desfalques financeiros; Distorcer informaes para lucrar com o valor das aes; Roubar informaes, como senhas e nmeros de cartes de crdito; Descobrir planos militares; Espalhar pnico pela rede e roubo de informaes estratgicas.

Os ataques de Engenharia Social podem ter dois aspectos diferentes: o fsico, como local de trabalho, por telefone, no lixo ou mesmo on-line, e o psicolgico, que se refere maneira como o ataque executado, tal como persuaso.

3.1. Local de Trabalho Nomes, lista de ramais, endereos eletrnicos, organogramas e outros dados da empresa, comumente ficam expostos em lugares onde transitam pessoas estranhas. Um hacker pode simplesmente entrar na empresa como se fosse um tcnico em manuteno ou consultor que tem livre acesso s dependncias da empresa e, enquanto caminha pelos corredores, pode ir captando todas estas informaes que porventura estejam expostas (Maia,2002).

ICPG

Instituto Catarinense de Ps-Graduao www.icpg.com.br

3.2. Engenharia Social por Telefone Esta modalidade de ataque vai desde roubar informaes de funcionrios ingnuos at a clonagem ou grampo telefnico. Um hacker chega na empresa passando-se por um tcnico que far manuteno da central telefnica e, em seguida, desvia uma linha de onde pode efetuar ligaes para qualquer parte do mundo, ou ento pode grampear os telefones de algum executivo. Outro alvo importante, tambm so os call centers4. Os atendentes tm por obrigao atender a todos da melhor maneira possvel, solucionando todas as dvidas possveis. Ento entra em cena o talento do hacker que poder, com isso, conseguir dicas de utilizao dos sistemas e at senhas de acesso (Granger,2001).

3.3. Lixo O lixo das empresas pode ser uma fonte muito rica de informaes para um hacker. Vasculhar o lixo, um mtodo muito usado pelos invasores, porque comum encontrarmos itens como cadernetas com telefones, organograma da empresa, manuais de sistemas utilizados, memorandos, relatrios com informaes estratgicas, aplices de seguro e at anotaes com login e senha de usurios. As listas telefnicas podem fornecer os nomes e nmeros das pessoas-alvo, o organograma mostra quem so as pessoas que esto no comando, as aplices mostram o quanto a empresa segura ou insegura, os manuais dos sistemas ensinam como acessar as informaes e assim todo e qualquer lixo poder ser de grande valia para uma pessoa mal intencionada (Granger,2001).

3.4. Desafio das Senhas As senhas so os principais pontos fracos das empresas. comum as pessoas dividirem senhas com outras ou escolherem senhas fracas, sem a menor preocupao. Muitos usam como senha, palavras que existem em todos os dicionrios, seus apelidos, ou at mesmo o prprio nome que, com um software5 gerenciador de senhas, possvel decifr-las em segundos(Virinfo,2002). Segundo Kevin Mitnick (2001), elas chegam a representar 70% do total de senhas utilizadas nas empresas.

3.5. Engenharia Social On-line Talvez a maneira mais fcil de se conseguir um acesso atravs da internet6. A displicncia dos usurios que criam senhas fceis de serem descobertas, que ficam longos perodos sem alter-las, e ainda utilizam a mesma senha para acesso a vrias contas, torna o ataque mais simples. Basta enviar um cadastro oferecendo um brinde ou a participao em um
4 5

- Call Center so centros de atendimento ou suporte a usurios via telefone. - Software so programas para computadores. 6 - Internet o mesmo que rede mundial de computadores.

ICPG

Instituto Catarinense de Ps-Graduao www.icpg.com.br

sorteio que solicite o nome e senha do usurio e pronto. O hacker ter a sua disposio tudo o que necessrio para um ataque, sem grande esforo (Granger,2001). As salas de bate-papo tambm so um canal explorado para o roubo de informaes. Homens e mulheres se dizem jovens, atraentes e de bom papo. Na verdade podem ser farsantes que manipulam os sentimentos das pessoas em busca de informaes (Maia,2002). Outro meio de se obter informao on-line, se passar pelo administrador da rede, que, atravs de um e-mail7, solicita aos operadores nome e senha. Porm, este tipo de ataque j no mais to eficaz, porque os operadores que trabalham nessas reas geralmente so pessoas mais experientes e no caem nesse tipo de truque to facilmente. Os e-mails tambm podem ser usados como meio para conseguir acesso a um sistema. Por exemplo, um e-mail enviado para algum pode conter um vrus de computador ou cavalos de tria8, que, quando instalados no computador da vtima, podem destruir todas as informaes, ou simplesmente ficar ocultos e transmitindo ao invasor todo tipo de informao como, senhas, nmeros de carto de crdito, ou mesmo abrir o firewall da empresa, deixando-a vulnervel a qualquer tipo de ataque (Granger,2001).

3.6. Persuaso Os prprios hackers vem a engenharia social de um ponto de vista psicolgico, enfatizando como criar o ambiente psicolgico perfeito para um ataque. Os mtodos bsicos de persuaso so: personificao, insinuao, conformidade, difuso de responsabilidade e a velha amizade. Independente do mtodo usado, o objetivo principal convencer a pessoa que dar a informao, de que o engenheiro social , de fato uma pessoa a quem ela pode confiar as informaes prestadas. Outro fator importante nunca pedir muita informao de uma s vez e sim perguntar aos poucos e para pessoas diferentes, a fim de manter a aparncia de uma relao confortvel. Personificao geralmente significa criar algum tipo de personagem e representar um papel. Quanto mais simples esse papel, melhor. s vezes, isto pode ser apenas ligar para algum e dizer: Oi, eu sou Marcos do setor de informtica e preciso da sua senha. Mas isto nem sempre funciona. Outras vezes, o hacker vai estudar uma pessoa de um departamento e esperar at que se ausente para personific-la ao telefone. De acordo com Bernz (1996), um hacker que escreveu extensivamente sobre o assunto, eles usam pequenas caixas para disfarar suas vozes e estudam os padres de fala. Este tipo de ataque menos freqente, pois exige mais tempo de preparo, mas acontece. Outra ttica comum que pode ser utilizada num ataque de personificao o hacker se passar por assistente da gerncia ou mesmo presidncia e pedir a um funcionrio, em nome do seu superior, alguma informao. Para no criar atritos com seu superior, o usurio fornece as informaes sem muitos questionamentos. Numa grande empresa, no h como conhecer todos os funcionrios; ento, fingir uma identidade no um truque muito difcil de ser aplicado.
- E-mail so mensagens enviadas por correio eletrnico usando a Internet como meio de transporte. Cavalos de tria so programas ou fragmentos de cdigos malficos que uma vez instaladas em um computador permitem o roubo de informaes.
8 7

ICPG

Instituto Catarinense de Ps-Graduao www.icpg.com.br

A conformidade um comportamento baseado em grupo, mas pode ser usado ocasionalmente no cenrio individual, convencendo o funcionrio de que todos os demais esto fornecendo determinadas informaes, solicitadas pelo hacker, como se este estivesse personificando a figura de um gerente. Quando os hackers atacam no modo de diviso de responsabilidade, eles convencem os funcionrios a compartilharem suas senhas a fim de dividirem tambm a responsabilidade. Quando em dvida, a melhor maneira de obter informao no ataque de engenharia social ser amigvel. O local para abordagem no necessariamente precisa ser na empresa; pode ser num clube ou numa mesa de bar. O hacker s precisa conquistar a confiana do funcionrio alvo, a ponto de convenc-lo a prestar toda a ajuda solicitada. Alm disso, a maioria dos funcionrios responde bem a gentilezas, especialmente as mulheres. Uma bajulao pode ajudar a convencer o funcionrio alvo a cooperar no futuro. Um hacker esperto sabe quando parar de extrair informaes antes que a vtima suspeite que est sendo alvo de um ataque (Granger,2001).

3.7. Engenharia Social Inversa Um mtodo mais avanado de conseguir informaes ilcitas com a engenharia social inversa. Isto ocorre quando um hacker cria uma personalidade que aparece numa posio de autoridade, de modo que todos os usurios lhe pediro informao. Se pesquisados, planejados e bem executados, os ataques de engenharia social inversa permitem ao hacker extrair dos funcionrios informaes muito valiosas; entretanto, isto requer muita preparao e pesquisa. Os trs mtodos de ataques de engenharia social inversa so, sabotagem, propaganda e ajuda. Na sabotagem, o hacker causa problemas na rede, ento divulga que possui a soluo para este, e se prope a solucion-lo. Na expectativa de ver a falha corrigida, os funcionrios passam para o hacker todas as informaes por ele solicitadas. Aps atingir o seu objetivo, o hacker elimina a falha e a rede volta funcionar normalmente. Resolvido o problema os funcionrios sentem-se satisfeitos e jamais desconfiaro que foram alvos de um hacker (Granger,2001).

3.8. Footprint Nem sempre o invasor consegue coletar as informaes desejadas atravs de um telefonema ou uma conversa amigvel, seja porque as pessoas no detm o conhecimento necessrio ou por no conseguir alcanar pessoas ingnuas. Ento o invasor utiliza uma tcnica conhecida como footprint, que, atravs de softwares especficos, consegue as informaes necessrias ao ataque. Footprint um perfil completo da postura de segurana de uma organizao que se pretende invadir. Usando uma combinao de ferramentas e tcnicas, atacantes podem empregar um fator desconhecido e convert-lo em um conjunto especfico de nomes de domnio, blocos de redes e endereos IP9 individuais de sistemas conectados diretamente na Internet. Embora haja
9

- IP so protocolos da Internet.

ICPG

Instituto Catarinense de Ps-Graduao www.icpg.com.br

diversas tcnicas diferentes de footprint, seu objetivo primrio descobrir informaes relacionadas a tecnologias de internet, acesso remoto e extranet10 (Verssimo,2002). Os mtodos expostos anteriormente fazem parte das tticas comuns de ataque. Porm existem muitos outros truques no to comuns, como por exemplo: Uma entrevista para uma vaga que no existe, que feita somente para se obter informaes a respeito dos concorrentes; Aquelas que acontecem por acaso, como numa conversa sobre assuntos confidenciais da empresa, em lugares de circulao de pessoas e que algum de passagem sem querer capta alguma informao importante; Manipulao de informaes para alterar o comportamento de usurios a partir de dados falsos ou sutilmente alterados.

4.

FORMAS DE PREVENO

A preveno no uma tarefa fcil. A maioria das empresas no direciona recursos financeiros nem humanos para tal. No entanto, investem na manuteno de sistemas e em novas tecnologias, ao invs de direcionar parte desse investimento para combater um inimigo que pode ser bem mais perigoso, a engenharia social. A ameaa deste inimigo real, tanto quanto as falhas em uma rede. Os seres humanos so seres imperfeitos e multifacetados. Alm disso, situaes de risco modificam seus comportamentos, e, decises sero fortemente baseadas em confiana e grau de criticidade da situao (Vargas,2002). Em funo desses fatores, sempre existiro brechas em seu carter ou comportamento pouco consciente com relao segurana, onde a engenharia social poder ser plenamente eficaz. Para amenizar estes riscos, recomendvel que as empresas criem polticas de segurana centralizada e bem divulgada, para que todos os seus colaboradores saibam como proteger as informaes que esto em seu poder. As intranets11 podem ser um recurso valioso para esta divulgao, assim como boletins peridicos on-line, lembretes no correio eletrnico, requisitos de mudana de senha e treinamento. O maior risco de os funcionrios tornarem-se complacentes e relaxarem na segurana; por isso a importncia da insistncia (Granger,2002). O treinamento deve estender-se por toda a empresa. Diretores, gerentes, supervisores, e demais funcionrios, todos devem ser treinados. Nestes treinamentos devem ser exploradas as tticas comuns de intromisso e as estratgias de preveno. Quando algum captar sinais de um ataque, deve imediatamente alertar os demais, para que no sejam tambm abordados. Na tabela abaixo, esto expostas as principais reas de risco de uma empresa, as tticas mais comuns usadas pelos hackers e tambm as estratgias de combate.

10 11

- Extranet so redes de computadores externas de uma empresa. - Intranets so redes internas de computadores.

ICPG

Instituto Catarinense de Ps-Graduao www.icpg.com.br

TABELA 2 reas de Risco, Tticas e Estratgias

rea de Risco
Suporte de informtica

Ttica do Hacker
Representao e persuaso;

Estratgia de Combate
Desenvolver na empresa uma poltica de mudana freqente de senhas e treinar os demais funcionrios para nunca passarem senhas ou outras informaes confidenciais por telefone; Treinar os funcionrios da segurana para no permitirem o acesso de pessoas sem o devido crach de identificao e mesmo assim fazer uma verificao visual; No digitar senhas na presena de pessoas estranhas, a menos que voc consiga faz-las rapidamente; Os atendentes devem solicitar sempre um cdigo de acesso, para s ento prestarem o suporte solicitado; Todos os visitantes devem ser acompanhados por um funcionrio da empresa; Fechar e monitorar a sala de correspondncia;

Entrada de edifcios

Acesso fsico no autorizado;

Escritrios

Caminhar pelo ambiente;

Suporte telefnico

Escritrios

Usar de disfarces na hora de solicitar ajuda aos atendentes, geralmente se passando por outra pessoa; Caminhar pelos corredores procura de salas desprotegidas; Insero de mensagens falsas;

Sala de correspondncia Sala dos servidores

Instalam programas analisadores de Manter sala dos servidores sempre trancada, e protocolo para conseguirem o inventrio de equipamentos atualizado; informaes confidenciais, alm da remoo de equipamentos; Roubar acesso a linhas telefnicas; Controlar chamadas para o exterior e para longas distncias, e recusar pedidos de transferncias suspeitas; Guardar o lixo da empresa em lugar seguro, triturar todo tipo de documento, e destruir todo o tipo de mdia magntica fora de uso; Criar senhas fortes e fazer uso consciente da mesma, alterando-a periodicamente. Os modens nunca devem ter acesso a intranet da empresa; Manter os documentos confidenciais fora do alcance de pessoas no autorizadas, de preferncia em envelopes fechados.

Central telefnica

Depsito de lixo

Vasculhar o lixo;

Internet e intranet

Criar e/ou inserir programas na Internet ou intranet para capturar senhas; Roubar documentos importantes;

Escritrio

ICPG

Instituto Catarinense de Ps-Graduao www.icpg.com.br

4.1. Plano de Resposta a Incidentes Mesmo a melhor infraestrutura de segurana da informao no pode garantir que intrusos ou outras aes maliciosas ocorram. Quando um incidente de segurana ocorre, um fator crtico para a organizao ter meios para responder a esse evento. A velocidade qual uma organizao pode reconhecer, analisar e responder a um incidente de segurana, limita os estragos e diminui os custos de restaurao. A habilidade de usar essa informao para reparar ou prevenir ocorrncias similares, aprimora a segurana geral a uma organizao. O Plano de Resposta a Incidentes um documento que descreve as diretrizes gerais e procedimentos para tratamento dos principais incidentes de segurana que podem ocorrer na organizao, proporcionando ao pessoal de suporte instrues sobre as medidas a serem tomadas para a definio e correo dos mesmos. O tipo de tratamento dado aos incidentes de segurana varia de acordo com a sua intensidade e risco. Porm, o encaminhamento deve ser decidido em acordo com a alta direo da empresa e com o respaldo do departamento jurdico. As aes pertinentes podem envolver o relacionamento com entidades externas (como clientes, parceiros, provedores de servios e outros) ou mesmo exigir o acionamento de autoridades e rgos policiais. Principais pontos a serem considerados em um Plano de Resposta a Incidentes: Procedimentos para identificao e autoria dos ataques: identificar a intensidade e quantificar os prejuzos causados pelo incidente e tambm procurar identificar os responsveis pelo incidente; Divulgao das informaes: divulgar imediatamente o fato ocorrido para que outras reas no sejam tambm abordadas; Procedimentos e pessoal responsvel pela restaurao: as aes de restaurao como, mudana de senhas, troca de pessoal, intensificao dos nveis de controle, devem ser imediatamente tomadas a fim de evitar maiores prejuzos; Contatos com as fontes do ataque e rgos de segurana: contatar os responsveis pelos ataques, a fim de exigir a indenizao dos prejuzos e tambm os rgos de segurana para que fique registrado o fato ocorrido (Medeiros,2001). A gama de formas de ataque de engenharia social muito grande e os procedimentos de resposta a incidentes so particulares. Estas particularidades variam de acordo com o ramo de atividade de cada empresa; o que imprescindvel para uma, pode ser dispensvel para outra. No entanto toda empresa, independente do porte, deve ter o seu Plano de Resposta a Incidentes.

5.

PUNIES PARA OS CRIMES DE ENGENHARIA SOCIAL

Punir os responsveis pelos ataques de engenharia social uma tarefa difcil. Alguns desses delitos nem podem ser considerados crimes, como, por exemplo, captar informaes que estejam expostas sobre uma mesa, vasculhar o lixo ou ouvir uma conversa em um lugar pblico. Outro tipo difcil de ser combatido so os crimes que ocorrem on-line, devido a diversos fatores, entre eles o anonimato e a estrutura virtual. Em primeiro lugar, a rede no respeita fronteiras entre pases, o que dificulta administrar as diferenas culturais ou aplicar leis nacionais.

ICPG

Instituto Catarinense de Ps-Graduao www.icpg.com.br

10

Em segundo, a comunicao tem natureza mista, entre o pblico e o privado. A troca de mensagens de correio eletrnico particular como um telefone; uma mquina na web pblica como um programa de TV. Analisando o exemplo acima, conclui-se que a falta de limites geogrficos estabelecidos na jurisdio, gera problemas relacionados soberania nacional, como nos casos em que dois ou mais pases esto envolvidos. Aparece, ento, o problema relacionado ao princpio da territoriedade, ou seja, definir se a jurisdio se encontra no pas de onde partiram os dados, onde estes dados esto armazenados ou onde o dano foi causado (Gomes,2001). J no mbito nacional, possvel combater alguns desses delitos, entretanto necessria uma legislao que defina bem esses crimes, o que no Brasil ainda no existe.

6.

CONCLUSO

A maior parte dos desastres e incidentes com a segurana das informaes tem como fator predominante a interveno humana. Segurana tem a ver com pessoas e processos, antes de ter a ver com tecnologia. Segundo especialistas em segurana da informao, a engenharia social ser a maior ameaa continuidade dos negcios desta dcada. Ento de nada valero os milhes investidos em tecnologia, se o fator humano for deixado em segundo plano. recomendvel que haja uma poltica de segurana centralizada e bem divulgada, para que todos saibam como se defender e a quem recorrer em caso de dvidas. No necessrio fazer com que as pessoas se tornem paranicas, mas que estejam sempre alertas s solicitaes que a elas sejam feitas e que saibam o valor das informaes pelas quais so responsveis. As ferramentas de engenharia social esto de posse de todos; o uso consciente e planejado delas que faz a diferena. Quanto mais bem preparados estiverem os colaboradores de uma empresa, mais segura ela ser.

7.

REFERNCIAS BIBLIOGRFICAS

BERNZ. The Complete Social Engineering FAQ!, 1996. Disponvel em: <http://packetstorm.decepticons.org/docs/social-engineering/socialen.txt>. Acesso em: 08 de outubro de 2002, s 12:30h. GOMES Jos Olavo Anchieschi. A Criminalidade Ciberntica e suas Conseqncias Legais. Security Magazine- Revista de Segurana em Informtica,So Paulo, ano II, n. 8, pg. 5-7, jan/dez. 2001. GOODELL, Jeff. O Pirata Eletrnico e o Samurai - A Verdadeira Histria de Kevin Mitnick e do Homem que o Caou na Estrada Digital. Rio de Janeiro. Editora Campus. 1996.Trad. Ana Beatriz Rodrigues. Ttulo Original: The Cyberthief and the Samurai. GRANGER, Sarah. Social Engineering Fundamentals, Part I: Hacker Tactics. Atualizado em 18 de Dezembro de 2001. Disponvel em: <http://online.securityfocus.com/infocus/1527>. Acesso em 15 de Abril de 2002, s 18:30h.

ICPG

Instituto Catarinense de Ps-Graduao www.icpg.com.br

11

______. Social Engineering Fundamentals, Part II: Combat Strategies. Atualizado em: 09 de Janeiro de 2002. Disponvel em: <http://online.securityfocus.com/infocus/1533>. Acesso em 15 de Abril de 2002, s 19:00 h. MAIA, Marco Aurlio. Formas de Ataque. Disponvel em: <http://www.scua.net/segurana/conceitos/ataques_engsocial.htm>. Acesso em: 15 de Julho de 2002, s 13:00 h MEDEIROS, Carlos Diego Russo. Implantao de Medidas e Ferramentas de Segurana da Informao. Joinville. 2001. Monografia (Concluso de Estgio do Curso de Informtica). Universidade da Regio de Joinville. MITNICK, Kevin. My First RSA Conference, Security Focus, April 30, 2001. Disponvel em: <http://online.securityfocus.com/news/199>. Acesso em: 13 de agosto de 2002 s 18:00h. MDULO SECURITY MAGAZINE. Glossrio. Disponvel <http://www.modulo.com.br/index.jsp>. Acesso em: 02 de outubro de 2002, 15:00 h. em:

SALDANHA. Cuidado com os Hackers [mensagem pessoal]. Mensagem recebida por marcos@fischer.com.br em 11 de junho de 2002, s 08:00 h. VARGAS, Alexandre. Ameaa alm do Firewall. Porque as empresas devem se preparar contra a Engenharia Social [mensagem pessoal]. Mensagem recebida por marcos@fischer.com.br em 11 de abril de 2002, s 08:45 h. VERSSIMO, Fernando. Segurana em Redes sem Fio. Rio de Janeiro.2002. Monografia (PsGraduao em Programa de Engenharia de Sistemas e Computao). Universidade Federal do Rio de Janeiro. VIRINFO. Engenharia Social. Disponvel em: < http://www.virinfo.kit.net/engesoc.htm>. Acesso em: 08 de Agosto de 2002, s 12:50 h.