ENGENHARIA SOCIAL

O que engenharia social?

o processo de conseguir alguma informao importante ou sigilosa que se tem interesse atravs de truques ou artimanhas explorando a confiana das pessoas. Este processo pode ser empregado de forma natural no cotidiano ou criminalmente, aonde esta ltima pode ser tipificada no cdigo penal. Cotidiana: Descobrir algo que a pessoa gosta atravs de algum amigo ou observao com o intuito de vender algo direcionado a esta pessoa. Criminal: Enganar pessoas mediante falsa identidade para roubar uma informao e vende-la ou obter vantagem atravs de chantagem.

Falsa Identidade Art. 307 - Atribuir-se ou atribuir a terceiro falsa identidade para obter vantagem, em proveito prprio ou alheio, ou para causar dano a outrem: Pena - deteno, de 3 (trs) meses a 1 (um) ano, ou multa, se o fato no constitui elemento de crime mais grave. Qual o alvo da engenharia social? A engenharia social compreende utilizar-se da falta de atualizao dos usurios perante ao desenvolvimento da tecnologia quanto a importncia do valor das informao e como protege-las de forma consciente. Por mais que desenvolva-se ferramentas de proteo de sistemas computacionais as informaes presentes neles ainda continuam vulnerveis devido a suscetibilidade do elemento mais fraco nesta negociao, o ser humano, sendo que este possui traos comportamentais e psicolgicos que o deixa mais frgil a ataques de engenharia social.

Quais as Fragilidades Exploradas? Vaidade pessoal e/ou profissional; O ser humano sempre mais receptivo a avaliaes positivas deixando-o suscetvel a recompensar tal avaliao com um retorno de ao de ajuda. Autoconfiana; O ser humano busca sempre mostrar o seu saber, fazer e dominar tal assunto buscando formar uma base para iniciar uma comunicao, desta maneira acaba expondo informaes que podem ser sigilosas. Vontade de ser til; Por padro o ser humano buscar agir com cortesia e ajudar os outros quando se mostra necessrio. Busca por novas amizades; Quando elogiado o ser humano busca se relacionar com o indivduo que o fez, ficando assim mais suscetvel e aberto a dar informaes.

Propagao de responsabilidade; Por no se achar o nico responsvel por determinada informao o mesmo julga que no cabe zelar por ela. Persuaso; O ser humano possui traos comportamentais que o deixam vulnerveis a manipulao quando aplicada como uma arte bem treinada por um indivduo munido de algumas informaes superficiais sobre o mesmo.

Quais as principais tcnicas empregadas? Contato Telefnico; Engenheiros sociais que utilizam esta tcnica tem por finalidade passar-se por funcionrios, colegas de trabalho ou autoridade externa como auditores ou fiscais e tem como primeiros alvos secretrias, recepcionistas ou seguranas pois estes tem contato direto ou indireto com os funcionrios de cargo elevado dentro da organizao, assim pode-se obter informaes importantes sobre aquelas mais bem posicionadas na cadeia de hierarquia. Linguagem Corporativa; Toda empresa possui sua prpria linguagem e expresses que so utilizadas por seus funcionrios no cotidiano corporativo, assim golpistas estudam estes detalhes e os utilizam em seus ataques por um motivo bem simples, se algum fala com voc na mesma linguagem de sua empresa no ambiente de trabalho bem mais fcil baixarmos a guarda e fornecermos informaes internas da organizao. Msica de Espera; Uma tcnica inusitada e que vem sendo muito utilizada explorar a pacincia e os detalhes internos da empresa com o a msica de espera na transferncia telefnica entre os departamentos, pois ao ouvir a msica a qual est habituado o funcionrio conclui que quem est do outro lado da linha telefnica realmente trabalha dentro da mesma organizao e acaba concedendo as informaes que lhe so solicitadas. Spoofing Telefnico ou de E-mail; Uma tcnica que utiliza um certo grau de aplicao de tecnologia mascarar o real nmero de um telefone em um identificador de chamada mostrando um nmero alterado e que seja conhecido do receptor da ligao, esta mesma tcnica vem sendo largamente empregada no envio de e-mail com a alterao do verdadeiro remetente por endereos conhecidos do destinatrio. SPAM, Phishing, Spywares; Atualmente segundo o cert.br este o segundo maior problema dentre os incidentes reportados ao site ficando atrs apenas dos scans (varredura de servios ativos em computadores em busca de vulnerabilidades). Este tipo de

ataque principalmente utilizado para obteno de dados bancrios e financeiros das pessoas, como nmero de contas bancrias, nmeros de cartes de crdito, senhas pessoais de internet banking, o meio mais comum de propagao destes ataques o e-mail, e estes esto quase sempre relacionados a notcias atuais do cotidiano induzindo-nos a clicar em links no corpo das mensagens que encaminham para pginas falsas de instituies bancrias, governamentais, sites de relacionamentos adulterados que ao serem acessados instalam spywares capazes de monitorar a atividades dos computadores e report-las a maquinas remotas que pertencem aos fraudadores. Redes Sociais; Um dos grandes repositrios de informaes que podem ser acessadas por pessoas mal intencionadas so os perfis dos usurios em redes sociais na qual postam detalhes de seu cotidiano e informaes pessoais completas que esto abertas a qualquer usurio da mesma rede, expondo at mesmo detalhes das organizaes na qual prestam servios. Erros de Digitao; Uma das novas tcnicas empregadas pelos engenheiros sociais se aproveitar dos erros de digitao cometidos pelos usurios, sites falsos so criados com endereos muito semelhantes aos dos sites originais, e quando acessados enviam tudo o que for digitado neles para a mquina dos criminosos, este tipo de ataque tambm categorizado como Phishing. Pump-and-Dump Este o termo internacional utilizado para denominar a conhecida tcnica Boato = Queda e tem por objetivo abalar a confiana de uma empresa espalhando boatos de cunho negativo sobre determinado acontecimento, pode ser espalhado notcias de quebra financeira, infraes de ordem religiosa e tica, etc. Tem o objetivo apenas de diminuir seu valor frente as suas concorrentes e uma das principais tcnicas de engenharia social aplicada em grandes massas para abalar uma instituio junto ao mercado financeiro.

Como se proteger da engenharia social? Por mais suscetvel a falhas comportamentais e psicolgicas que o ser humano esteja exposto, este tipo de ataque pode ser minimizado ao extremo com treinamentos voltados a segurana da informao e cuidados simples no exerccios dirio de suas funes, tais como: Evite fornecer qualquer tipo de informao importante ou sigilosa por telefone ou email, e caso seja extremamente necessrio confirme se o receptor realmente da empresa buscando por informaes de registro do funcionrio dentro dos ncleos de recursos humanos da organizao; Sempre desconfie de elogios sem o devido mrito pela recompensa, elogios realmente verdadeiros so poucos, raros e apenas alcanados com esforo a altura;

Verifique sempre o endereo de pginas pela qual navega, caso sejam de instituies financeiras verifiquem se so pginas seguras com prefixos https:// e se possuem o cadeado e certificado vlido de instituies conhecidas como VeriSign e CertiSign; Nunca exponha dados pessoais tais como telefone, endereo e dados da organizao na qual trabalha em sites de relacionamento, redes sociais e evite sempre expor sua rotina a pessoas desconhecidas na internet; Quanto a proteo dos dispositivos, mantenha sempre um software antivrus instalado e atualizado, software de firewall, assim como aplicativos que detectem spywares e malwares.

NA SEGURANA DA INFORMAO O ELO MAIS FRACO O SER HUMANO E NO OS SISTEMAS COMPUTACIONAIS.