FACULDADE DE ROLIM DE MOURA – FAROL

COORDENAÇÃO DE SISTEMA DE INFORMAÇÃO - SI

BRUNO FANK
JERRI LIMA DOS SANTOS
JOÃO RICARDO ALVES DE PAULA
MARCOS VINICIUS ROCHA DA SILVA

TÉCNICAS DE OBTENÇÃO E PREVENÇÃO DE INFORMAÇÕES

ATRAVÉS DE ENGENHARIA SOCIAL

ROLIM DE MOURA
2016
 BRUNO FANK
JERRI LIMA DOS SANTOS
JOÃO RICARDO ALVES DE PAULA
MARCOS VINICIUS ROCHA DA SILVA

TÉCNICAS DE OBTENÇÃO E PREVENÇÃO DE INFORMAÇÕES

ATRAVÉS DE ENGENHARIA SOCIAL

Projeto apresentado a Faculdade de Rolim de

Moura – FAROL, como avaliação parcial na
disciplina Interdisciplinar, sob orientação do
Prof. Esp. Claudio Junior Franco dos Santos.

ROLIM DE MOURA
2016
 2

SUMÁRIO

1 INTRODUÇÃO ........................................................................................................ 3

2 PROBLEMATIZAÇÃO ............................................................................................ 4

3 JUSTIFICATIVA ..................................................................................................... 5

4 OBJETIVOS............................................................................................................ 6

4.1 OBJETIVO GERAL ....................................................................................... 6

4.2 OBJETIVOS ESPECÍFICOS ........................................................................ 6

5 FUNDAMENTAÇÃO TEÓRICA .............................................................................. 7

5.1 Engenharia Social ........................................................................................ 7

5.2 Reciprocidade............................................................................................... 8

5.3 Compromisso e coerência ............................................................................ 8

5.4 Aprovação social .......................................................................................... 9

5.5 Afeição ....................................................................................................... 10

5.6 Autoridade .................................................................................................. 10

5.7 Escassez .................................................................................................... 11

5.8 Phising ........................................................................................................ 11

6 METODOLOGIA ................................................................................................... 12

7 DESENVOLVIMENTO .......................................................................................... 13

7.1 Vasculhamento de lixo ............................................................................... 14

7.2 phishing ...................................................................................................... 14

7.3 Contato telefônico ....................................................................................... 15

7.4 Prevenção contra engenharia social .......................................................... 16

8 CONSIDERAÇÕES FINAIS .................................................................................. 18

REFERÊNCIAS ......................................................................................................... 19
 3

1 INTRODUÇÃO

Em segurança da informação, chama-se engenharia social as práticas

utilizadas para obter acesso a informações importantes ou sigilosas em
organizações ou sistemas por meio da enganação ou exploração da confiança das
pessoas. Para isso, golpistas podem se passar, por exemplo, por um profissional
que supostamente deveria ter acesso à determinada informação, e dessa forma
enganar sua vítima e obter o acesso ao conteúdo que deseja.
A engenharia social é uma forma de entrar em organizações que não
necessita de força bruta e nem se aproveitar de erros computacionais para isso.
Essa prática explora as falhas de segurança das próprias pessoas, que quando
desprovidas do conhecimento sobre esse tipo de invasão, podem ser facilmente
manipuladas.
A eficácia das práticas de engenharia social dá-se pelo fato da pessoa não
ter o conhecimento necessário para se proteger desse tipo de técnica. Logo,
preocupa-se apenas em proteger seus sistemas de invasão por métodos tradicionais
como via softwares ou equipamentos, e não através da engenharia social que
explora as vulnerabilidades no fator humano.
Segundo Mitnick (2003, p. 6), o elemento mais vulnerável em qualquer
sistema de informação é o ser humano, pois seu comportamento ou seu psicológico
pode ser facilmente manipulado.
A maioria das técnicas de engenharia social consiste em obter informações
privilegiadas enganando os usuários de um determinado sistema através de
identificações falsas, aquisição de carisma e confiança da vítima. Um ataque de
engenharia social pode se dar através de qualquer meio de comunicação. Tendo-se
destaque para telefonemas, conversas diretas com a vítima, e-mail e entre outros.
 4

2 PROBLEMATIZAÇÃO

De acordo o jornal O Globo em 2015, cerca de 15 a 20 bilhões são gastos

anualmente com segurança no Brasil, número este que aumenta de 30% a 40% a
cada ano. É uma quantia considerável de investimento em antivírus, firewalls.
O Globo afirma que apesar do investimento em sistemas seguros, eles não
são a prova de invasões, pois os cibercriminosos passaram a atacar o lado mais
vulnerável do sistema, que são as pessoas que os utilizam, através de e-mails, sites
falsos e até ligações telefônicas.
Uma questão que deve ser bem analisada é a forma como funcionários da
empresa reagem a atividades diárias, especialmente, o acesso a informações.
É importante que os colaboradores da empresa tenham ciência dos
possíveis ataques que engenheiros sociais possam realizar contra eles e assim
possam se proteger. Por exemplo, uma pessoa mal-intencionada pode convencer o
funcionário a fornecer informações importantes da empresa através da engenharia
social e assim obter acesso aos sistemas da organização, apenas interagindo com o
colaborador.
Isso demonstra que o fator humano é uma vulnerabilidade importante de um
sistema. O desconhecimento das pessoas e a negligência das empresas em relação
à engenharia social torna esse um dos métodos eficazes para obter informações da
vítima.
 5

3 JUSTIFICATIVA

Este trabalho justifica-se pela importância do conhecimento dos tipos de

ataque por engenharia social e os métodos para se proteger deles. A falta de
conhecimento sobre o assunto pode fazer que a pessoa simplesmente passe seus
dados, ou dados de terceiros, para desconhecidos sem até mesmo notar que faz
isso.
Uma vez em posse de dados sigilosos, a pessoa mal-intencionada pode
realizar chantagens, roubos ou ainda, pode tornar públicas informações que podem
prejudicar a pessoa ou organização vitimada.
Tendo em vista isso, é necessário tomar conhecimento de como se proteger
de eventuais ataques que a engenharia social provoca.
 6

4 OBJETIVOS

4.1 OBJETIVO GERAL

 Apresentar técnicas de obtenção de informações através de

engenharia social e como se prevenir contra elas.

4.2 OBJETIVOS ESPECÍFICOS

 Conceituar engenharia social aplicada à segurança da informação.

 Exemplificar casos desse tipo de técnica.
 Apresentar medidas de prevenção contra-ataques de engenharia
social.
 7

5 FUNDAMENTAÇÃO TEÓRICA

Para que haja o entendimento de como funciona o roubo de informações

utilizando a engenharia social, é necessário que se tenha conhecimento dos tópicos
citados a seguir.

5.1 ENGENHARIA SOCIAL

Conforme a definição de Mitnick (2003, p. 13), a engenharia social é um

conjunto de práticas utilizadas para obter acesso a informações importantes ou
sigilosas em organizações ou sistemas por meio da enganação ou exploração da
confiança das pessoas.
Weidman (2014, p.302) afirma que:

Na área de segurança da informação, é comum dizer que os usuários

representam a vulnerabilidade que jamais pode ser corrigida. Instale todos
os controles de segurança que quiser, mas se um funcionário puder ser
convencido a dar informações sensíveis da empresa, tudo terá sido em vão.
Como efeito, muitos dos hacks mais famosos não incluem nenhuma
exploração de falhas de sistemas.

Este tipo de ataque que explora as vulnerabilidades humanas é chamado de

engenharia social. Esta pode ser feita envolvendo requisitos técnicos e complexos
ou até mesmos nenhuma tecnologia. Vetores comuns de ataques de engenharia
social são e-mails, telefonemas ou até mesmo ataques físicos, como se passar por
um funcionário de TV a cabo com objetivo de acessar o local alvo (WEIDMAN, 2014,
p. 302).
O cérebro humano possui o comportamento baseado em padrões, ou seja,
quando determinado estímulo acontece ele espontaneamente realiza uma ação,
esse processo é chamado "Clique Zum". (CIALDINI 2012, p. 13).
A vantagem desse tipo de reação é que o indivíduo poupa tempo, energia e
capacidade mental com ações triviais. A desvantagem é que ele está sujeito a
cometer erros custosos. Ainda mais se tiver alguém usando de certos estímulos da
engenharia social. (CIALDINI, 2012, p. 13).
 8

5.2 RECIPROCIDADE

De acordo com sociólogos e antropólogos, devido influência da sociedade,

qualquer pessoa tende a retribuir na mesma moeda o que outra pessoa lhe oferecer,
ou seja, todos são treinados desde pequenos a cumprir a regra da reciprocidade ou
poderá ser submetido à desaprovação social. Portanto uma tática de profissionais da
persuasão é dar primeiramente algo antes de pedir qualquer coisa como retribuição.
Isso reduz a capacidade de decidir a quem o indivíduo vai ficar devendo, além de ele
ficar preso à retribuição mesmo ela sendo muito maior do que aquele que recebeu
(CIALDINI 2012, p. 30).
Outra forma que esta técnica pode ser aplicada é o simples fato de se pedir
algo grande, e posteriormente pedir o favor realmente desejado, de forma que a
vitima se sinta na obrigação de atender ao menos a esse pedido de menor
relevância (CIALDINI 2012, p.30-65).
A melhor defesa contra esse tipo de ataque é aceitar sim favores ou
concessões iniciais, porém redefinir sempre qual foi o objetivo desde o início. Após
feito essa revisão da situação o sentimento de necessidade de resposta a iniciativa
inicial será controlado (CIALDINI 2012, p. 55).

5.3 COMPROMISSO E COERÊNCIA

Em ataques de engenharia social, deve-se assumir um compromisso e não

se desprender da coerência inicial. As pessoas têm mais pré-disposição a atender
pedidos que sejam fieis com o compromisso anteriormente assumido. É importante
ressaltar que este compromisso antes do pedido que será feito, para que não
transpasse a sensação de motivação de que ela esteja sendo coagida (CIALDINI
2012, p. 67).
Cialdini (2012, P.119) ressalta que:

Os psicólogos reconhecem um desejo na maioria das pessoas de serem e

parecerem coerentes com suas palavras, crenças, atitudes e ações. [...] ao
ser coerente com as decisões anteriores, a pessoa reduz a necessidade de
processar todas as informações pertinentes em situações semelhantes
futuras. Em vez disso, basta que recorde as decisões anteriores e reaja em
consonância com elas.
 9

Para evitar ser vitimas deste tipo de ataque é importante que

constantemente seja feita uma analise do que estamos sentindo em nosso corpo.
Isto mesmo, analisar sentidos interno do nosso corpo. Tendo cuidados se sentir
qualquer incomodo no estomago ou algum tipo de sentimento que possa parecer vir
do coração na hora que estamos tomando qualquer decisão. Quando identificados
estes sintomas, analise melhor a decisão que esta tomando, dando uma atenção
especial para quais as consequências este ato ira desencadear (CIALDINI 2012, p.
67).

5.4 APROVAÇÃO SOCIAL

Antes de tudo vamos analisar um fator muito interessante que faz parte da
maioria das series humorísticas, as tão chatas trilhas de risadas que parece ter uma
total desaprovação de todo mundo. O fato é o seguinte, apesar de serem seriamente
criticadas essas trilhas sonoras desempenham muito bem o papel para o qual foram
criadas: é cientificamente comprovado por pesquisas que elas despertam de forma
positiva o humor das pessoas mesmo quando o material associado é de má
qualidade (CIALDINI 2012, p.122).
O fato das trilhas de risadas funcionarem bem é explicado pela regra da
aprovação social, ou seja, o ser humano é mais propenso a reagir de forma a ser
compatível com a forma que outras pessoas estão agindo. A aprovação social é
mais influente em duas condições. Primeiramente quando há incerteza ou
insegurança, o ser humano tem tendência a agir de forma que outros estão fazendo.
Em segundo caso temos a semelhança: estáticas indicam que as pessoas então
mais propensas a seguir a liderança de outras pessoas semelhantes a si ou com
histórias parecidas (CIALDINI 2012, p.122).
Cialdini recomendada que estimular a sensibilidade de tomar decisões
movidas por certeza ou por conhecimento real do assunto é a melhor forma de fugir
desse tipo de influência equivocada.
 10

5.5 AFEIÇÃO

O ser humano tem maior tendência a dizer sim a pessoas que possuem
algum tipo de afeição anterior. Por esse motivo profissionais da persuasão se
aproveitam disto com técnicas simples que estimulam a impressão de afeição com a
vítima alvo. E fatos que aumentam a impressão de afeição são - encontros repetidos
e ligados a circunstâncias positivas, pois as negativas funcionam de forma contraria
a desejada em um ataque. (CIALDINI 2012, p. 170).
Uma estratégia para se reduzir o efeito da afeição é o reconhecimento real
do fato. Separar na mente o que se pede da pessoa que esta fazendo o pedido. E se
tomar a decisão somente no mérito da oferta. Esta análise deve ser feita mesmo
para colegas de trabalho, amigos e pessoas próximas, pois talvez seja mais fácil
para um criminoso conseguir manipular uma pessoa próxima a vítima para que esta
sim faça o pedido e obtenha a informação ou a permissão desejada (CIALDINI 2012,
p.170).

5.6 AUTORIDADE

A autoridade é uma regra muito importante para se explicar engenharia

social. Pessoas em geral nascem vivem e morrem tendo sempre que se submeter a
autoridade de alguém, começando por seus pais e seguindo sua vida submisso a
alguma autoridade, sendo ela a policia, governo, patrões e afins. Fato interessante é
que mesmo pessoas com total convicção que irá realizar coisa erradas, a fará sem
hesitação se ordenada por alguma autoridade. É muito preocupante então que
pessoas reajam automaticamente a símbolos de autoridade e não a sua real
intitulação ou agregador de mérito. Exemplos de símbolos que passam a impressão
de autoridade são títulos, roupas e automóveis (CIALDINI 2012, p. 206).
Para se defender desse tipo de influencia deve-se autoquestionar se a
autoridade é realmente especializada, isso desvia a atenção dos símbolos e conduz
a uma analise da posição de autoridade. Também é importante que se faça uma
analise de confiança desta pessoa. Alerta para traços negativos sobre si, visto que
esta estratégia cria um subsequente convencimento de confiança (CIALDINI 2012,
p. 206).
 11

5.7 ESCASSEZ

Conforme o site Convergência Digital, escassez é uma regra bastante usada

em ataques virtuais. Esse método de ataque consiste em fazer com que as coisas
pareçam ser escassas por tempo determinado e isso gera um impulso de desejo de
consumo do item escasso.
Um exemplo da escassez é um e-mail dizendo que é o ultimo dia de uma
oferta realmente especial, isso provoca a ansiedade de quem visualiza a oferta falsa
de um produto ou serviço que está prestes a acabar, dessa forma segue os passos
para obter o item, como o preenchimento de seus dados pessoais para realizar a
compra. Por causa do senso de urgência ele não percebe que é uma oferta falsa e
passa seus dados ao atacante tornando-se vítima desse processo.

5.8 PHISING

De acordo com o site Internet Segura, o phishing é uma forma de fraude que
emprega um conjunto de técnicas para roubar a identidade eletrônica de um
indivíduo, permitindo o acesso a áreas ou serviços privados em benefício próprio.
Ainda de acordo com o site, a partir de 2003 esse tipo de ataque
popularizou-se, pois houve um aumento de atividades econômicas na internet o que
chamou a atenção de programadores mal-intencionados que desenvolveram
tecnologias para enganar o usuário e assim roubar suas informações pessoais como
dados de cartão de crédito e senhas bancárias para obter vantagens sobre ele.
 12

6 METODOLOGIA

A pesquisa realizada neste trabalho é classificada como descritiva. Segundo

a definição no livro de Maria Luci de Mesquita Prestes. (2011, p. 30), o método
descritivo é:

Na pesquisa descritiva, se observam, registram, classificam e interpretam os

fatos, sem que o pesquisador lhes faça qualquer interferência. Assim, o
pesquisador estuda os fenômenos do mundo físico e humano, mas não os
manipula. Incluem-se entre essas pesquisas, as de opinião, as
mercadológicas, as de levantamentos socioeconômicos e psicossociais.

A finalidade é observar, registrar e analisar os sistemas técnicos, sem,

contudo, entrar no mérito dos conteúdos. Porque assim podemos estar abordando
diretamente o tema do trabalho. O tipo de metodologia do trabalho escolhido foi o
dedutivo, “No método dedutivo, a racionalização ou a combinação de ideias em
sentido interpretativo tem mais valor que a experimentação caso a caso, ou seja,
utiliza-se a dedução, raciocínio que caminha do geral para o particular. ” (PRESTES,
2011, p. 36).
Assim nota-se a facilidade no desenvolvimento da pesquisa, usando de
informações contidas em livros e internet. Esse trabalho realiza-se por meio de
método cientifico que segundo Galliano (1979, p. 6): “é um conjunto de etapas,
ordenamento dispostas, a serem vencidas na investigação da verdade, no estudo de
uma ciência ou para alcançar determinado fim”.
 13

7 DESENVOLVIMENTO

O uso indevido da engenharia social deve-se ao fato da evolução rápida e

contínua das tecnologias, em que quanto mais evoluído e cheio de recursos em um
determinado equipamento ou sistema, menos o usuário conhece sobre o seu
funcionamento.
Os mecanismos de segurança da informação evoluem de forma a
acompanhar a evolução das tecnologias para qual foram criadas para proteger, no
entanto as técnicas para quebrar esses mecanismos evoluem na mesma velocidade.
Exemplo disto é que cada vez mais empresas investem em mecanismos
como firewalls, sistemas de detecção de invasões, ou de autenticação mais forte, o
que teoricamente devem tornar seus sistemas e dispositivos totalmente à prova de
falhas, mas isso não ocorre. Pois nenhuma tecnologia no mundo evita o ataque de
um engenheiro social (MITNICK, 2003, P. 195).
De acordo com O Globo, os criminosos passaram a atacar os usuários
através de e-mails, sites falsos e até mesmo telefonemas e assim obter acesso ao
que precisam, dessa forma os dispositivos de segurança se tornam ineficientes.
Isto acontece por que apesar de existir segurança nas tecnologias de
proteção a dados, o fator humano ainda é um elo fraco. Como Mitnick (2003, p. 30)
discorre, a segurança é uma ilusão, especialmente quando a credulidade, a
ingenuidade e a ignorância entram em jogo.
Existem vários métodos para obter informações pessoais da vítima, que vão
desde vasculhar o lixo até casos onde o criminoso pode ir pessoalmente até o alvo
para aplicar as técnicas de engenharia social. Elas são divididas em duas categorias
diferentes, no que diz respeito ao modo de atuação: a física e a psicológica.
(DAWEL, 2005, p. 72).
Na maioria dos casos, o certo é que não existe ainda o preparo necessário
das pessoas e empresas para enfrentar ataques por engenharia social. Para
impressionar seu alvo e conseguir a informação desejada, o engenheiro social, que
é uma pessoa curiosa e age de maneira detalhista, é capaz de estudá-lo por tempo
indefinido, mostrando ser o que não é, mudando a forma de se vestir, utilizando
frases de efeito e demonstrando grande conhecimento sobre determinados
assuntos.
 14

A seguir estão técnicas utilizadas por engenheiros sociais para obtenção de

informações de seu interesse.

7.1 VASCULHAMENTO DE LIXO

Pessoas anotam informações importantes em papéis para que não as

esqueçam, e depois os descarta. Quem aplica a engenharia social geralmente utiliza
o método de vasculhar o lixo, no qual o mesmo vai até a lixeira da vítima a procura
de alguma fonte de informação, nesse caso a folha de papel. Com ela em mãos ele
poderá talvez ter acesso a diversos serviços que a vítima utiliza, como por exemplo
senhas de conta bancária, senhas de sites entre outras informações sigilosas. As
empresas também são vítimas desse tipo de ataque: mesmo em empresas que
adotam uma política de baixo consumo de papel, ainda hoje é possível observar um
grande uso de documentos impressos, que podem ser descartados nas lixeiras e
vão ficar na frente da casa ou da empresa exposto em espaço público, onde
qualquer pessoa pode ter acesso.
Por exemplo, uma secretaria que faz um contrato e esse contrato por algum
motivo ficou errado, simplesmente o descarta para lixeira, e mesmo estando na
lixeira este papel contém informações sobre negócios da empresa, dados pessoais
entre outras informações que podem ser usadas para infringir a lei. Portanto convém
descartá-lo de maneira que seu conteúdo se torne inutilizável.
Para evitar esse tipo de técnica é recomendável que o usuário anote essas
informações em algo mais seguro, algo que ele não poderá descartar tão facilmente,
como salvar em alguma ferramenta de texto no computador, ou então caso for
necessário descartar esse rascunho onde estão anotadas essas informações, a
melhor maneira é queimá-lo. Mas se for descartá-lo no lixo, é melhor rasgar os
papéis de forma a inutilizar a informação e aguardar a chegada do serviço de saúde
do município.

7.2 PHISHING

Conceitualmente falando, esta técnica aplica-se principalmente em e-mail,

onde o invasor adiciona de forma oculta algum tipo de arquivo infectado mascarado
 15

por outro tipo de arquivo como imagem, áudio ou vídeo. Desta forma uma vez
infectada esse vírus pode absorver informações do computador ou realizar algum
dano no computador infectado ou na rede onde se encontra conectado.
O phishing geralmente é provocado com falsas mensagens promocionais,
avisos bancários, comunicado de premiação ou similares que estimulam o usuário a
clicar em algum link fornecido na mensagem e assim passe suas informações
pessoais ao agente que enviou a mensagem.
Outra forma de phishing é quando uma página que simula um site legítimo,
como a tela de acesso de um banco ou rede social, e por descuido do usuário este
acaba fornecendo seus dados de acesso para o site por acreditar que está no site
certo. Com essas informações os hackers tomam posse da conta da vítima a podem
utilizar para qualquer fim de seu interesse, como transferências bancárias, ou
publicação de mensagens com links invasivos para os contatos da vítima.
Muitos usuários de redes sociais têm costume de expor sua vida pessoal na
internet, sem se quer pensar que aquelas informações podem ser usadas para
prejudicar alguém ou alguma instituição. Essas informações podem ser utilizadas
por um engenheiro social como elementos de persuasão em um ataque de phishing.
Por exemplo, uma pessoa que está sempre compartilhando postagens de
animais, há maiores chances de clicar em um link malicioso de um e-mail de
phishing que se trata de animais, pois provavelmente terá mais interesse em ler o e-
mail que contenha esse tipo assunto.
Em grande parte dos ataques de phishing ocorrem erros de escrita. Isto é
devido ao emprego de tradutores para passar a mensagem de sua língua original
para outras. Além disso, outros detalhes podem expor um ataque: o domínio do site,
dados conflitantes na mensagem, links para outros domínios estranhos, falta de
certificado de segurança na página, entre outros. Conferindo as informações
recebidas e não acreditando em tudo à primeira vista, o usuário consegue se
prevenir de ataques de phishing.

7.3 CONTATO TELEFÔNICO

Essa técnica é mais bem convincente se o engenheiro social já possuir

algum tipo de informação da vítima, que poderia ser obtida com algum dos métodos
 16

antes citados. Informações como nome da vítima, e-mail e local onde ela trabalha já
seriam o suficiente para o engenheiro social dar um telefonema e com a utilização
das técnicas de engenharia social se passar por outra pessoa, de preferência uma
do círculo de confiança da vítima, fica mais fácil conseguir informações relevantes
pessoais ou da empresa em que trabalha.

7.4 PREVENÇÃO CONTRA ENGENHARIA SOCIAL

A engenharia social é o ponto chave quando se fala em segurança de

informações sigilosas de empresas, visto que explora o lado sensível do ser humano
no intuito de obter informações relevantes.
Desta forma qualquer empresa que deseja adotar uma política inteligente de
segurança da informação deve preparar seu contingente humano para se defender
de ataques de engenharia social, evitando prejuízos.
É imprescindível, portanto que haja treinamentos constantes de todos os
funcionários da empresa incluindo até mesmo a diretoria, e tais treinamentos, para
terem eficiência, devem ser constantemente mudados e ajustados afim de não se
tornarem ultrapassados. Daí a necessidade de uma constante reciclagem dos
funcionários (Jander, 2014 p. 34).
Merece uma atenção especial, a orientação aos colaboradores da empresa
sobre o uso de redes sociais. Sempre os conscientizando sobre a divulgação de
informações não autorizadas sobre a empresa.
Uma boa política é a elaboração de um regulamento interno para que sejam
estabelecidas normas referentes ao uso de equipamento tecnológicos, fluxo de e-
mails, uso de redes sociais e afins.
Também deve ser sempre observado que toda a regra aplicada aos
funcionários também deve ser aplicada a terceirizados, ou até melhor, deve-se
estabelecer normas ainda mais rigorosas a estes. É indicado a formulação de
contrato que especifique bem as políticas de segurança, para que em um eventual
caso de quebra deste, sejam tomadas ações judiciais cabíveis (Jander, 2014 p. 35).
Apesar da conscientização, ainda é possível que haja desvio de colaborares
em relação às regras de segurança da informação. Visando tal fator, novas teologias
 17

surgem e ajudam reduzir o risco nesse processo. Exemplo disto é o recentemente

sistema de monitoramento chamado vídeo analytic (vídeo analítico).
Segundo o site Aster Segurança e Facilities, o sistema de monitoramento
vídeo analítico, consiste em um software que usa um sistema de inteligência artificial
para fazer o monitoramento das câmeras de segurança. Este sistema já é capaz de
identificar um padrão de comportamento dos empregados nas atividades diárias na
empresa.
O sistema de vídeo analítico é capaz de identificar empregados, visitantes
ou clientes não autorizados circulando em locais de acesso restrito e até objetos
incomuns no ambiente. E caso existam anomalias no ambiente o sistema gera
alertas para o setor responsável pela segurança que deve tomar as medidas de
seguranças de acordo com a política do local.
É recomendável que dispositivos eletrônicos como celulares ou tablets
devam ser restritos, ou monitorados, em ambientes contendo dados sensíveis da
organização. Outro fator de segurança em locais sensíveis é a adoção de horários
limitados de acesso para minimizar riscos, é o que afirma o site Aster.
Para evitar ser enganada através da engenharia social a pessoa deve ficar
atenta a telefonemas de pessoas que se dizem ser conhecidas ou então que
possuam algum cargo da empresa. Exigir dados de identificação detalhados sempre,
para não coloque em risco o patrimônio da empresa ou a si mesmo, recomenda J.
H. Saltzer (2001, p. 159).
Segundo Dawel (2005, p. 78), sobre a proteção de engenharia social: “para
evitar esse tipo de ataque, todas as pessoas da empresa precisam receber
treinamento e reciclagem periódica. Todos precisam estar atentos o tempo todo.
Precisam conhecer os procedimentos que a empresa definiu para se defender
desses ataques”.
 18

8 CONSIDERAÇÕES FINAIS

As interações sociais são inevitáveis em uma sociedade, é impraticável

privar a comunicação do indivíduo com seus semelhantes. Com poucas interações é
possível controlar aquilo que é transmitido a outros indivíduos durante a
comunicação e é mais fácil restringir o acesso à informação.
A evolução dos meios de comunicação que possibilitou a ampla e rápida
comunicação entre pessoas provocou a ampliação do número de interações sociais,
a seletividade e cautela com o que é divulgado deve ser uma das preocupações,
pois a informação com alguém mal-intencionado pode causar grandes prejuízos
materiais e morais.
O acesso de dados por terceiros, por mais simples que possam parecer,
deve ser sempre questionado e tratado como uma questão séria. O cruzamento de
informações pode ser feito através de dados coletados em diferentes fontes e juntos
podem ser utilizados na obtenção de vantagens sobre a vítima.
Apesar das poucas estatísticas existentes sobre os efeitos do uso indevido
da engenharia social, principalmente na informática, Mitnick (2003, p. 71) afirma que:
“As empresas que realizam teste de penetração de segurança relatam que suas
tentativas de invadir os sistemas de computadores de uma empresa cliente com
métodos da engenharia social têm um índice de sucesso de quase 100 por cento”.
Isto nos leva a concluir que, praticamente, não existem tecnologias
disponíveis que evitem um ataque de engenharia social. Partindo do princípio de que
a informação tem um valor imensurável para a organização, e que esta não tem
como assegurar ser impossível impedir a invasão do seu sistema por um engenheiro
social, pelo menos deve torná-la extremamente difícil, implementando políticas de
segurança, investindo não somente em equipamentos e recursos tecnológicos,
como firewalls, antivírus e outras tantas ferramentas, mas principalmente na
capacitação e conscientização dos seus funcionários.
Dessa forma a segurança é reforçada na medida em que as pessoas
conhecem como podem ser atacadas e quais táticas devem adotar para se proteger.
 19

REFERÊNCIAS

ASTER. Segurança para empresas: Tudo o que você precisa saber. Disponível
em: <http://www.aster.com.br/blog/seguranca-patrimonial/seguranca-para-empresas-
tudo-o-que-voce-precisa-saber/>. Acessado em 25 de out de 2016.

CIALDINI, Robert B. As Armas da Persuasão: como Influenciar e Não Se Deixar

Influenciar. [Tradução de Ivo Korytowski]; Rio de Janeiro: Sextante, 2012.

Convergência Digital. Engenharia social prejudica cibersegurança. Disponível

em: <http://sis-
publique.convergenciadigital.com.br/cgi/cgilua.exe/sys/start.htm?infoid=39030>.
Acessado em: 25 de out. 2016.

DAWEL, George. A Segurança da Informação nas Empresas. Rio de Janeiro:

Editora Ciência Moderna Ltda., 2005.

GALLIANO, A. G. O. Método científico: Teoria e prática. São Paulo: Habra, 1979.

NETO, João Sobrima. Investimento em segurança da informação cresce mais

no país. Disponível em: <http://oglobo.globo.com/economia/negocios/investimento-
em-seguranca-da-informacao-cresce-mais-no-pais-17645471>. Acessado em: 23 de
out. 2016.

MITNICK, Kevin D. SOMIN, William L. A arte de enganar, Araques de Hackers:

Controlando o Fator Humano na Segurança da Informação. Tradução: Kátia
Aparecida Roque. São Paulo: Person Education, 2003.

Movimento Internet Segura. Phishing: não morda esta isca. Disponível em:
<http://www.internetsegura.org/nsegura/phising.asp>. Acessado em: 28 de out.
2016.

NETO, João Sobrima. Investimento em segurança da informação cresce mais

no país. Disponível em: <http://oglobo.globo.com/economia/negocios/investimento-
em-seguranca-da-informacao-cresce-mais-no-pais-17645471#ixzz4OcUtJkwb>.
Acessado em: 25 de out 2016.

RAFAEL, Gustavo de Castro. Engenharia Social: as técnicas de ataques mais

utilizadas. Disponível em: <https://www.profissionaisti.com.br/2013/10/engenharia-
social-as-tecnicas-de-ataques-mais-utilizadas/>. Acessado em: 22 de out. 2016.

RAMON, Jander, Segurança da Informação para empresas. São Paulo: Fischer2

2014.

ROHR, Altieres. Prêmios falsos via SMS são isca para “fraude nigeriana” no
Brasil. Disponível em: <http://g1.globo.com/Noticias/Tecnologia/0,,MUL1311723-
6174,00-PREMIOS+FALSOS+VIA+SMS.html>. Acessado em: 23 out. 2016.
 20

WEIDMAN, Georgia. Testes de Invasão: uma introdução prática ao hacking. São

Paulo: NOVATEC, 2014.