Você está na página 1de 9

UM ESTUDO SOBRE ENGENHARIA SOCIAL NA

REA DE TI
Tiago Barbosa de Melo1, Murilo Silveira Gomes2, Lidiane Visintin1, Lucas Scaini2
1
2

Faculdade Senai de Tecnologia - Florianpolis SC Brasil

Programa de Ps-graduao em Engenharia e Gesto do Conhecimento UFSC


Florianpolis SC Brasil
{tbmspr, lilo.flp, lidiane.visintin, luccasscaini}@gmail.com

Abstract. With all the caution employee the security of business assets, the
most all of companies not investing in training from counter-attacks of the
social engineering. Because of this deficiency, the developed research aims to
evaluate, by means of a questionnaire, the vulnerabilities in IT companies and
alert the risks of existing attacks. The results obtained the report show the
level of knowledge of IT professionals on social engineering and if there really
is investment by businesses in information security, not only targeting software
and hardware, but considering the human factor.
Resumo. Com toda a cautela empregado a segurana dos ativos de
negcios, a maioria
de
todas as
empresas
no investem
na
formao de contra-ataques de engenharia social. Devido a esta deficincia, a
pesquisa desenvolvida tem como objetivo avaliar, por meio de
um questionrio, asvulnerabilidades em empresas de TI e alertar os riscos
de ataques existentes. Os resultados obtidos no relatrio mostram o nvel de
conhecimento dos profissionais de TI em engenharia social e se realmente
existe o investimento por parte das empresas em segurana da
informao, no s visando software e hardware, mas considerando o fator
humano.

1. Introduo
Em meio a uma avalanche de informaes valiosas advindas do meio de Internet das
Coisas (IoT), as quais circulam no dia a dia das empresas, um problema relevante
assegurar o sigilo e segurana da informao. Os meios mais utilizados para tal a
preveno por meio de hardware e software com firewall e cmeras de circuito interno.
Os sistemas de hardware e software evoluram muito ao longo dos anos, inibindo
o ataque tradicional por meio de invaso de servidores, programas de combinao
numrica para descobrir senhas e sniffers1 de rede. Mesmo com todos esses recursos
tecnolgicos, as empresas no esto protegidas contra furtos de informao.

Sniffers de rede um programa de computador ou uma pea de hardware de computador que pode
interceptar e registrar o trfego de passagem ao longo de um rede digital ou parte de uma rede.

A medida que especialistas contribuem para o desenvolvimento contnuo de


melhores tecnologias de segurana tornando ainda mais difcil a explorao de
vulnerabilidades tcnicas, faz-se com que os atacantes voltem cada vez mais seus
ataques para a explorao do elemento humano. Quebrar a firewall humana que quase
sempre fcil, no exige nenhum investimento alm do custo de uma ligao telefnica
e envolve um risco mnimo (Mitnick, 2003).
As empresas gastam somas imensas em tecnologia para proteger redes de
computadores e dados, no entanto Beal (2005) relata que 47% dos funcionrios
insatisfeitos cometem algum tipo de dano ou negligncia contra as informaes ou
dados da empresa onde trabalham.
O cracker atual usa de seu conhecimento social para induzir pessoas a fornecer
informaes sigilosas, indo ao ponto mais fraco da segurana (Silva, et. Al. 2012).
Anualmente empresas do mundo todo perdem milhes de dlares com ataques
de engenheiro social, por conta da falta de informao, prtica e normas de segurana
eficazes para minimizar as perdas com esses ataques (Schmidt, 2005).
Por conta desses fatores, o objetivo deste trabalho apresentar dados obtidos
atravs de uma pesquisa, referentes ao conhecimento das pessoas que trabalham na rea
de Tecnologia da Informao (TI), sobre engenharia social na cidade de Florianpolis.
Este trabalho est organizado da seguinte forma: Na seo 2 apresenta-se alguns
conceitos de segurana da informao; na seo 3, apresenta-se os conceitos de
engenharia social, relatando as principais tcnicas de ataque utilizadas por engenheiros
sociais, bem como a armas utilizadas para realizar os ataques, algumas sugestes para se
evitar estes tipos de vulnerabilidades e as punies previstas para pessoas que realizam
este tipo de invaso. Na Seo 4 so descritos os resultados obtidos com a pesquisa
aplicada e por fim, so apresentados os encaminhamentos para futuros trabalhos e
concluses, na seo 5.

2. Segurana da Informao
Quando se fala em segurana da informao pensa-se logo em proteo dos dados,
porm manter informaes seguras tem sido um desafio notrio para os especialistas em
segurana. Pode parecer que segurana da informao um produto com o qual pode se
ir a uma loja e comprar, no entanto, no simples assim. Segundo Beal (2005), a mesma
engloba: confidencialidade, integridade e disponibilidade:
A maioria das pessoas lembra de softwares como antivrus, firewall,
monitoramento de rede dentre outros quando cita-se segurana da informao, porm
para que tenha o efeito esperado, os modos de preveno devem ser seguidos risca,
que consiste em trs reas principais: Fsica, Tecnolgica e Humana.

Segurana Fsica: compreende os aspectos de segurana relacionados com


eventos em que existe contato fsico anormal com os equipamentos.

Segurana Lgica: o modo como s informaes so protegidas dentro de um


sistema. Deve-se ter bastante cuidado com a poltica de segurana de sistemas
lgicos, pois o funcionrio utiliza-o quase que o tempo todo de trabalho

Segurana Humana: entende-se como as vulnerabilidades referindo-se ao fator


humano, como falta de treinamentos, conscientizao, o no seguimento das
polticas de segurana. Fonseca (2009) apresenta um pouco mais sobre o
assunto.

O principal assunto desta pesquisa o fator da segurana humana. Para que se


diminua a probabilidade de perda de informao por falhas humanas, necessrio
investir em treinamento e conscientizao dos funcionrios e parceiros comerciais.
De acordo com Mitnick (2003), algumas autoridades recomendam que 40% do
oramento geral para segurana da empresa deve ser destinado a treinamento e
conscientizao de funcionrios, pois h pessoas que podem tentar roubar informaes
fazendo uso de tcnicas de engenharia social.

3. Engenharia Social
Engenharia social faz uso de tcnicas para obter acesso a informaes importantes ou
sigilosas em organizaes ou sistemas por meio da enganao ou explorao da
confiana das pessoas.
Segundo Mitnick (2003), a engenharia social usa a influncia e a persuaso para
enganar as pessoas e convenc-las de que o engenheiro social algum que na verdade
ele no , ou pela manipulao. Como resultado, o engenheiro social pode aproveitar-se
das pessoas para obter as informaes com ou sem o uso da tecnologia. Segundo
Mitnick (2003, p. 13) fazer com que as pessoas faam coisas que normalmente no
fariam para um estranho.
O ser humano o ponto mais vulnervel de todo o sistema, no qual ele tem um
trao comportamental e um psicolgico muito oscilante onde torna-se um alvo fcil para
a engenharia social, dentre muitas categorias se destaca algumas como: vaidade pessoal
e/ou profissional, autoconfiana e vontade de ser til (Gualberto, et al., 2012).
Engana-se quem acha que engenheiros sociais so exclusivamente hackers ou
crackers. Na tabela 1 apresenta-se os principais tipos de pessoas as quais utilizam as
tcnicas da engenharia social, de acordo com Popper e Brignoli (2002, p. 3).
Tabela 1 Tipos de intrusos

Fonte: Popper e Brignoli (2002)

Parece difcil acreditar que um engenheiro social aplicando algumas tcnicas e


explorando traos da psicologia humana possa manipular algum; entretanto, para
ilustrar a atuao de um engenheiro social a seguir apresenta-se um breve caso de fraude
Peixoto (2006, p. 95):
Mesmo sendo considerado o maior especialista em engenharia social do qual
se tem notcias, o prprio Mitnick, em sua apresentao, conta que foi vtima
de engenharia social. Foi perto do lanamento do seu livro, The Art of
Deception (A arte de enganar) , lembra. O ex-hacker conta que recebeu uma
ligao de um jornalista dizendo que havia conversado com seu diretor.
Desatento, Mitnick confiou na palavra do jornalista e deu uma entrevista
sobre o livro. Quando a reportagem foi publicada meu editor me ligou
furioso. Afinal de contas, toda estratgia para o lanamento havia sido
prejudicada por aquela entrevista, que ele nunca autorizou. S a eu percebi
que havia sido enganado.

Para o engenheiro social, as informaes so como um quebra-cabea, cada parte


ou pea do quebra-cabea importante. A informao nas mos de um funcionrio
despreparado um prato cheio para um engenheiro social. Com as tcnicas apropriadas,
o engenheiro social consegue rapidamente montar o quebra-cabea que o levar s
informaes confidenciais, Peixoto (2006).
A primeira tcnica abordada ser a "conquista da confiana". As pessoas em
geral so vaidosas, gostam de contar vantagem, sendo mais fcil conseguir informao
de algum a quem confiamos. Segundo Mitnick (2003), "aps conseguir a sua
Intrusos

Objetivos

Estudantes

Bisbilhotar mensagens de correio eletrnico de outras pessoas por


diverso;

Hackers/Crackers

Testar sistemas de segurana, ou roubar informaes;

Representantes
Comerciais

Descobrir planilhas de preos e cadastro de clientes;

Executivos

Descobrir plano estratgico dos concorrentes;

Ex-funcionrios

Sabotagem por vingana;

Contadores

Desfalques financeiros;

Corretores de valores

Distorcer informaes;

Vigaristas

Roubar informaes, como senhas e nmeros de cartes de


crdito;

Espies

Descobrir planos militares;

Terroristas
Espalhar pnico pela rede e roubo de informaes estratgicas;
confiana, a ponte levadia abaixada e o porto do castelo se abre para que ele entre e
obtenha as informaes desejadas".
Parece bvio, porm a forma mais simples de conseguir uma informao
"simplesmente pedindo". Nessa situao que entra a segunda tcnica abordada.
Primeiramente preciso que se tenha alguma informao preliminar, como, por

exemplo, jargo da empresa, termos tcnicos e estrutura da empresa. Sabendo-se onde


se est pisando mais fcil fazer a pergunta. De acordo com Peixoto (2006), aps se ter
conhecimento suficiente para demonstrar que sabe o que est falando alm da confiana
de quem est falando e sobretudo, onde se quer chegar, manipulando de forma segura e
convicta, faz com que a vtima seja quase que sufocada a dispor a informao
requisitada.
Uma das tcnicas mais poderosas cujo engenheiro social faz uso "engenharia
social inversa" em que o atacante oferece ajuda vtima, criando um problema em que
ele, o atacante, tem a soluo. Peixoto (2006) ressalta que, "caso algum venha lhe fazer
um favor e mais tarde vier pedir outro em troca, no v imediatamente retribuir, sem ao
menos pensar cuidadosamente nas consequncias que possam vir a acontecer no
presente momento, ou futuramente, s vezes irreparveis".
Para que o engenheiro social tenha uma maior assertividade em seus ataques,
faz-se necessrio o uso de algumas ferramentas. De acordo com Peixoto (2006), so
elas: Telefone, internet, e-mail, pessoalmente, chats, cartas/correspondncia, spyware.
Para elaborao de um programa de treinamento e conscientizao prtico,
devem-se incluir tpicos como alguns sugeridos por Peixoto (2006):
Uma descrio do modo como os atacantes usam habilidades da engenharia
social para enganar as pessoas;
Os mtodos usados pelos engenheiros sociais para atingir seus objetivos;
O procedimento para o tratamento de uma solicitao suspeita;
A quem relatar as tentativas da engenharia social ou os ataques bem-sucedidos;
A importncia de questionar todos os que fazem uma solicitao suspeita,
independentemente da posio ou importncia que a pessoa alega ter;
A localizao das polticas e dos procedimentos de segurana da empresa e a sua
importncia para a proteo das informaes e dos sistemas de informaes
corporativas;
Somente seguindo um processo de segurana da informao que se pode ter
um nvel aceitvel de proteo contra-ataques de engenheiros sociais.
Muito importante ressaltar que a utilizao das tcnicas que a engenharia social
prope crime. Uma lei entrou em vigor no Brasil para proteger contra crimes
informticos. Segundo a lei n 12.737, de 13 de novembro de 2012, art. 154-A, invadir
dispositivo informtico alheio, conectado ou no rede de computadores, mediante
violao indevida de mecanismo de segurana e com o fim de obter, adulterar ou
destruir dados ou informaes sem autorizao expressa ou tcita do titular do
dispositivo ou instalar vulnerabilidades para obter vantagem ilcita: Pena deteno, de 3
(trs) meses a 1 (um) ano, e multa.
Como no s de invaso de computadores que vive um engenheiro social, os
usos de suas tcnicas podem ser enquadrados em vrios outros crimes, tais como:
falsidade ideolgica, estelionato e roubo. Tais crimes esto previstos no cdigo civil e
punies podem ser aplicadas mediante provas concretas.

4. Resultados e Discusses
Este captulo apresenta detalhes da pesquisa desenvolvida para verificar o conhecimento
dos profissionais de TI entrevistados sobre engenharia social. Participou deste
questionrio um total de cem profissionais de algumas das reas de TI. O questionrio
foi disponibilizado no Google Drive e divulgado por e-mail, para a regio de
Florianpolis.
De acordo com o resultado do questionrio, pode ser observado que os aspectos
relacionados segurana da informao tradicional, nas reas fsica e lgica foram
satisfatrios. O questionamento sobre a preocupao das empresas em polticas de
defesa e sigilo da informao gerou o resultado apresentado no Grfico 1.
Fonte: Dos Autores

Grfico 1: Preocupao das empresas quanto s polticas de defesa e sigilo da


informao.

Entrando no foco desta pesquisa, o questionrio revelou pontos importantes


sobre o conhecimento dos profissionais de TI sobre o assunto engenharia social que a
mais sensvel das reas da segurana da informao, a segurana humana. Foi
questionado aos participantes sobre o conhecimento em engenharia social, com os
nmeros demonstrados no Grfico 2:
Fonte: Dos Autores

Grfico 2: Conhecimento dos profissionais de TI sobre engenharia social

Chegando a ltima pergunta do questionrio, um dos pontos mais importantes


para a preveno em segurana da informao na rea humana. Foi questionado aos
profissionais de TI se a empresa onde trabalham investe em treinamento contra ataques
por meio de engenharia social. O resultado demonstrado pelo Grfico 3:
Fonte: Dos Autores

Grfico 3: Preocupao das empresas quanto ao treinamento de seus funcionrios


contra engenharia social

O resultado desta pergunta foi o ponto mais alarmante do questionrio, com 12%
das respostas positivas comprova que as empresas de TI em geral no investem em
treinamento e preveno na rea de segurana humana.
A confirmao da vulnerabilidade em que as empresas contidas nesta pesquisa,
est nos 86% de respostas negativas, mostrando que a parte mais importante para o
processo de preveno contra os ataques por meio de engenharia social no est sendo
feita, pois quando o funcionrio sabe o que engenharia social e tem o devido
treinamento, no impede que sofra um ataque, porem o deixa em melhores condies
para perceber e evitar o ataque.
Os dados compilados atravs desta pesquisa revelaram uma situao alarmante,
onde as empresas de TI cujos participantes trabalham, investem em proteo nas reas
fsica e lgica porem investem muito pouco em segurana na rea humana sendo que a
mesma a mais frgil.
Quando foi perguntado aos profissionais de TI se eles tinham conhecimento de
engenharia social os nmeros no foram to expressivos, por outro lado, quando
questionado se a empresa onde trabalhavam investia em treinamento em segurana da
informao com enfoque em engenharia social os nmeros foram alarmantes.
Onde no h treinamento adequado junto aos funcionrios, incentivando a suas
prticas, implementando um plano de defesa na rea de segurana humana, no
possvel ter um grau de segurana aceitvel. Basta que apenas um funcionrio no
perceba que est sendo manipulado ou que queira vingar-se de algo que no concorde
para que todo o sistema de segurana fique comprometido. fcil de perceber o quanto
a rea de segurana humana crtica e com a realizao deste estudo pode-se ver a
validao deste ponto.
5. CONCLUSO
Vulnerabilidades em reas fsicas e lgicas esto se tornando fatores preocupantes no
contexto de IoT, pois ainda no h garantia de segurana e de privacidade das
informaes para os produtos j desenvolvidos neste contexto. No entanto, ainda h a
engenharia social, que atravs deste estudo pode-se perceber que um assunto pouco
difundido e que as empresas no fazem grandes investimentos para o controle de
ataques deste gnero.

A principal contribuio deste trabalho foi apresentar os dados obtidos atravs


da pesquisa realizada, demonstrando a situao em que as empresas encontram-se
atualmente e considerando que estes pontos elencados pelo trabalho, podem ser
preocupantes para as empresas. Com esta pesquisa pode se concluir que segurana da
informao na rea humana no simples como um produto, preciso todo um
processo de conscientizao, incentivo e treinamentos bem planejados e executados,
para que se possa obter maneiras viveis de prevenir ataques por meio de engenharia
social.
Os resultados apresentados relatam a realidade que revela um baixo
conhecimento e por consequncia um nmero ainda menor em investimentos na
segurana da informao na rea humana.
Como trabalho futuro, prope-se realizar uma pesquisa para verificar se h uma
preocupao por parte das empresas no desenvolvimento de produtos para IoT, visando
as trs principais reas da segurana da informao.

References
BEAL, Adriana. Segurana da informao: princpios e melhores prticas para a
proteo dos ativos de informao nas organizaes. So Paulo, SP: Atlas, 2005
xii, 175 p.
FONSECA, Paula F. Gesto de Segurana da Informao: O Fator Humano. 2009. 16 f.
Artigo (Especializao) Redes e Segurana de Computadores, Pontifcia
Universidade Catlica do Paran, Curitiba, 2009.
GUALBERTO, E. F., SOUZA Jr, R. T., DEUS, F.E.G., DUQUE, C.G.. InfoSecRM:
Uma Abordagem Ontolgica para a Gesto de Riscos de Segurana da Informao.
In: VIII Simpsio Brasileiro de Sistemas de Informao (SBSI 2012), p. 1-12, So
Paulo
MITNICK, Kevin D.; SIMON, William L. Mitnick: A arte de enganar : ataques de
hackers: controlando o fator humano na segurana da informao. So Paulo (SP):
Makron Books, c2003. xiv, 284 p.
PEIXOTO, Mrio Csar Pintaudi. Engenharia social e segurana da informao na
gesto corporativa. Rio de Janeiro (RJ): Brasport, 2006 xii, 132p.
POPPER ,Marcos Antonio. BRIGNOLI , Juliano Tonizetti. ENGENHARIA SOCIAL
Um Perigo Eminente. Instituto Catarinense de Ps-Graduao ICPG . Gesto
Empresarial e Estratgias de Informtica, 2002.
SILVA, Clayton S. ROSA, Adriano C. M. CHAIM, Daniel F. CARVALHO, Roberto J.
CHIMENDES, Vanessa C. G. Engenharia Social: o elo mais frgil da segurana nas
empresas. In: Revista Eletrnica do Alto Vale do Itaja (REAVI 2012), p. 29-40,
dezembro de 2012.
SCHMIDT, Anderson L. O papel das vulnerabilidades humanas frente prtica da
engenharia social. 2005. 205 f. Monografia (Bacharelado) Sistemas de Informao,
Instituto Superior Tupy, Joinville, 2005.