Escolar Documentos
Profissional Documentos
Cultura Documentos
______________________________________________________________________________
¹ Graduado em Sistema de Informação pela Universidade Estácio de Sá, Rio de Janeiro, RJ;
Especialista em Segurança da Informação pela Universidade Estácio de Sá, Rio de Janeiro, RJ; e
Especialista em CyberCrime e Cybersecurity: Prevenção e Investigação de Crimes Digitais, pela
Faculdade Unyleya, Rio de Janeiro, carlos_loio_20@hotmail.com
2
ABSTRACT - Information has become essential to the company. When it comes to a correct and effective,
identified by the institution's executives, it becomes a success factor. Through it, it is possible to realize
the opportunities and obtain opportunities for the organization's business, providing the improvement of
the decision-making process. Thus, it is imperative to protect yourself from any kind of threat, whether
natural, intentional or involuntary. To get this example, several companies invest in physical and logical
security, however, must be forgotten from the weakest system, the human being, the main one is the main
target of social engineering. In this way, this topic addresses as main forms of asset protection and as
forms of protection against these threats.
Keyword: Social engineering, threats, techniques, companies, vulnerabilities, information and human
resources.
1. INTRODUÇÃO
3. ENGENHARIA SOCIAL
Em Segurança da informação, engenharia social pode ser definida como ações que
viabilizam a obtenção de acesso à informações sigilosas e importantes, de forma enganosa e
utilizando-se, normalmente, da confiança. Vale destacar que a engenharia social está contida em
um universo mais amplo que a informática. Diversas profissões utilizam-se desta técnica para
alcançar seus objetivos, conforme descrito por Silva, 2011:
4. VULNERABILIDADE
O engenheiro social ou o atacante hábil que usa a arte de enganar como uma das
armas de seu kit de ferramentas, procura explorar as melhores qualidades da
natureza humana: a tendência natural de ajudar, dar apoio, ser educado,
participante de uma equipe e o desejo de realizar um trabalho. (MITNICK;
SIMONS, 2003).
O Engenheiro Social age com confiança e naturalidade. Utiliza-se de boa aparência para
influenciar as pessoas e da simpatia para ganhar a confiança de seus alvos. Adaptam-se ao
cenário, assumindo posturas conforme forem necessárias. Utilizam-se da fraqueza psicológica e
6
dos sinais não verbais de suas vítimas. Cobrem seus rastros, disfarçando e mudando de assunto,
impedindo que a vítima perceba a transmissão de informações importantes e sigilosas.
A Engenharia Social é uma ferramenta bastante antiga, porém suas técnicas estão se
aprimorando, principalmente com a ajuda da tecnologia da informação. Existem diversas
técnicas, a escolha de uma delas ou de algumas será de acordo com o tipo de vítima e a
dificuldade de se alcançar o objetivo. As técnicas mais comuns em ataques de engenharia social
envolvendo empresas são:
a) Abordagem pessoal
Esta técnica trata de um ataque físico e direto, o qual o atacante comparece pessoalmente
na empresa, se passando por um amigo do diretor, fornecedor ou alguém importante com algum
vínculo com a empresa e, através da persuasão aliada ao despreparo dos funcionários, consegue
obter acesso à informações que buscava. Mesmo sendo uma técnica antiga e bastante utilizada em
filmes, ainda é utilizada por Crackers.
b) Contato telefônico
Normalmente, este ataque sucede outros ataques que já obtiveram informações básicas
para um ataque. O atacante, de posse de algumas informações, telefona para a empresa se
passando por alguém que possui vínculo com a empresa, obtendo acesso a informações
necessárias.
c) Phishing
d) Análise de lixo
O descarte inapropriado do lixo da empresa pode ser uma grande fonte de informação.
Muitos funcionários descartam lista telefônica, e-mails, senhas, transações relacionadas à
empresa, que podem servir de base para outros tipos de ataques.
e) Shoulder surf
Técnica simples que consiste em obter informação apenas observando a vítima desatenta.
Muito utilizada para obter senhas quando alguém descuidado digita senhas perto de atacantes.
Com o surgimento das redes sociais, muitas pessoas disponibilizam informações de suas
vidas na Internet. Não é difícil obter informações sobre local de trabalho, nome de pessoas do
convívio pessoal e de trabalho, data de nascimento, números de telefones, locais que costuma
frequentar e diversas outras informações valiosas para o atacante.
g) Bating
O atacante deixa à disposição da vítima um dispositivo infectado com malware. A vítima
curiosa conecta o dispositivo em uma máquina e acaba instalando o malware sem perceber.
h) Tailgating
Esta técnica física ocorre quando o atacante não autorizado acompanha alguém autorizado
até localizações seguras. Por exemplo, quando o atacante, com as mãos ocupadas, solicita que o
indivíduo a qual destravou a porta, a segure para ele poder passar.
8
7. COMO SE PROTEGER
7.1 PRINCÍPIOS
Desta forma, pode-se afirmar que, com os investimentos realizados, tanto em hardware,
software e recursos humanos, será possível reduzir as vulnerabilidades, possibilitando uma
melhor segurança e diminuindo as probabilidades de ocorrerem ataques bem sucedidos. É
fundamental manter a segurança modernizada e atualizada, pois a tecnologia evolui rapidamente
e a cada dia surgem novas vulnerabilidades.
Segundo Edison Fontes (2006) em seu livro “Segurança da Informação - O Usuário faz a
diferença”: “A informação, independentemente de seu formato, é um ativo importante da
organização. Por isso, os ambientes e os equipamentos utilizados para seu processamento, seu
armazenamento e sua transmissão devem ser protegidos.”
funcionários ou visitantes sem autorização, acessem informações ou áreas restritas que não são de
sua competência. As CREDSEG devem sempre estar atualizadas, ou seja, se um funcionário é
retirado de suas funções, a sua autorização deve ser suspensa ou cancelada imediatamente.
Setores da empresa devem ser classificados quanto ao nível de acesso, áreas detentoras de
informações secretas, devem ter níveis de acesso mais restritos que áreas públicas. Vale ressaltar
que mesmo as áreas públicas devem ser monitoradas, visto que engenheiro social obtém
informações em lugares mais inusitados. É fundamental a utilização de mecanismos de controle
de acesso físico, tais como fechaduras eletrônicas, câmeras de vídeo, alarmes, dentre outros.
Atualmente a autenticação é baseada em três métodos distintos, que são:
a) Autenticação baseada no conhecimento (O que você sabe): Método que exige uma
informação ou conhecimento pessoal para obter acesso a informações ou locais,
normalmente utilizam-se senhas. Esse método é bastante frágil, pois senhas podem ser
descobertas, principalmente quando definem senhas fraca ou falta de procedimentos
de segurança ao utilizá-las.
c) Firewall: São softwares ou hardwares que filtram todo o fluxo de dados entre um link
de comunicação e um computador.
Com a utilização dos mecanismos da segurança lógica, é possível evitar que tanto
“crackers”, engenheiros sociais ou qualquer tipo de atacante, mesmo de posse de informações e
tenham passado pela segurança física, obtenham acesso à informação.
Uma ferramenta bastante útil para que o usuário comprometa-se com a segurança da
informação é a assinatura do termo de responsabilidade o qual obriga o usuário, dentre outras
coisas, a:
d) Manter senhas de acesso em total sigilo. Vale lembrar que senhas são pessoais e
intransferíveis; e
A pesquisa apresentou a importância da informação para uma empresa que, devido ao seu
alto valor, tornou-se um atrativo para os engenheiros sociais, os quais, através de técnicas
apresentadas, atacavam a maior vulnerabilidade de um sistema de segurança de uma empresa, o
ser humano. Tal fato, levantou a problemática da segurança da empresa em relação a ameaça da
engenharia social.
A pesquisa iniciou com o levantamento da importância da informação, buscou definições
de engenharia social, baseando-se em autores consagrados em segurança da informação.
Observou-se o perfil do atacante e investigou-se sobre qual vulnerabilidade atuava e como
realizava seus ataques. Através da pesquisa, observou-se o fundamento das técnicas mais
utilizadas pelo atacante, ocasionando a busca de métodos e mecanismos de segurança para evitar
o sucesso do ataque. Após a pesquisa dos métodos e mecanismos de segurança, obteve-se uma
melhor proteção dos ativos, através do aprimoramento da segurança física e lógica, de
treinamento e conscientização do elo mais fraco desse sistema, o ser humano, além da
implantação de políticas de segurança aplicada aos funcionários, fornecedores e demais usuários
do sistema de segurança.
14
9. CONCLUSÃO