OS ATAQUES DE ENGENHARIA SOCIAL NAS EMPRESAS E A

IMPORTÂNCIA DA GESTÃO DOS RECURSOS HUMANOS

Carlos Antonio Correa Loio Rodrigues¹

RESUMO - A informação tornou-se um bem essencial para as empresa. Quando gerenciada de

forma correta e sua importância identificada pelos executivos da instituição, torna-se um fator de
sucesso. Por meio dela, é possível perceber as oportunidades e ameaças existentes para o negócio
da organização, proporcionando o aprimoramento do processo de tomada de decisão. Assim, é
fundamental protegê-la de qualquer tipo de ameaça, seja ela natural, intencional ou involuntária.
Para alcançar esse objetivo, diversas empresas investem em segurança física e lógica, porém se
esquecem do elo mais fraco do sistema, o ser humano, o qual é o principal alvo da engenharia
social. Desta forma, este artigo aborda as principais técnicas utilizadas pelos engenheiros sociais
e as formas de se proteger contra essas ameaças.

Palavras-chave: Engenharia social, ameaças, técnicas, empresa, vulnerabilidades, informação e

recursos humanos.

______________________________________________________________________________
¹ Graduado em Sistema de Informação pela Universidade Estácio de Sá, Rio de Janeiro, RJ;
Especialista em Segurança da Informação pela Universidade Estácio de Sá, Rio de Janeiro, RJ; e
Especialista em CyberCrime e Cybersecurity: Prevenção e Investigação de Crimes Digitais, pela
Faculdade Unyleya, Rio de Janeiro, carlos_loio_20@hotmail.com
 2

THE SOCIAL ENGINEERING ATTACKS IN BUSINESS

ABSTRACT - Information has become essential to the company. When it comes to a correct and effective,
identified by the institution's executives, it becomes a success factor. Through it, it is possible to realize
the opportunities and obtain opportunities for the organization's business, providing the improvement of
the decision-making process. Thus, it is imperative to protect yourself from any kind of threat, whether
natural, intentional or involuntary. To get this example, several companies invest in physical and logical
security, however, must be forgotten from the weakest system, the human being, the main one is the main
target of social engineering. In this way, this topic addresses as main forms of asset protection and as
forms of protection against these threats.

Keyword: Social engineering, threats, techniques, companies, vulnerabilities, information and human
resources.

1. INTRODUÇÃO

A sociedade tem se tornado mais dependente dos computadores e das redes de

informação, devido aos benefícios ofertados pelos avanços tecnológicos em alta escala.
Conforme Marciano e Marques (2006), diversas ameaças físicas e virtuais se disseminam dentro
do universo tecnológico, comprometendo, de forma grave, a segurança das informações e dos
usuários, assim como das transações relacionadas ao sistema de informação e seus utilizadores. A
partir desse fato, surgiu à necessidade de adoção de estratégias de segurança, que são
implementadas com a finalidade de proteger as informações.

Segundo Marciano e Marques (2006), a Tecnologia da informação é capaz de ajudar a

solucionar parte do problema, porém não é capaz de solucioná-lo por completo. É importante que
as políticas de segurança da informação contemplem a estabilidade dos aspectos humanos e
 3

técnicos da segurança da informação, em contraposição aos modelos de políticas atuais,

extremamente voltados às questões tecnológicas.

Muitos desconhecem, mas a engenharia social é uma grande ameaça a sociedade,

principalmente quando se está conectada a Internet. O principal foco desses ataques está
direcionado ao ambiente empresarial, devido ao grande valor que as informações empresariais
possuem. Este método de ataque utiliza-se da persuasão para a obtenção de informações que
podem ser utilizadas para ter acesso não autorizado a computadores ou informações. Atua sobre o
ser humano que é considerado como uma das maiores vulnerabilidade em um sistema de
informação, pois o homem é um ser social, detém traços comportamentais e psicológicos que o
deixa suscetível a ataques desse tipo. Assim, a segurança da informação torna-se ineficaz,
deixando a informação passível de indisponibilidade, falta de confiabilidade e sem integridade.
Vale ressaltar que, atualmente, o maior valor das empresas é a informação a qual é utilizada
como base fundamental para a tomada de decisões.
Diante dos fatos, é importante resolver a problemática de como se proteger da engenharia
social. Para isso, é necessário identificar as principais técnicas de ataques de engenharia social e
como as empresas podem se proteger dessa ameaça.

2. O VALOR DA INFORMAÇÃO PARA A EMPRESA

A informação é constituída de dados analisados e interpretados, procedimento conhecido

como processamento. Através dos dados tratados, conhecidos como informação, é possível tomar
decisões ou fazer afirmações, ações fundamentais para uma empresa.
Há alguns anos, o maior ativo de uma empresa era o bem tangível. Atualmente, o bem
intangível (informação) é o principal ativo da empresa. Em 1980, já se observava a importância
da informação. Segundo Alvin Toffler (1980):

A informação é tão importante, talvez até mais, do que a terra, o trabalho, o

capital e a matéria-prima. Em outras palavras, a informação está se tornando a
mercadoria mais importante da economia contemporânea.
 4

Com o aumento da concorrência no mercado, possuir informações precisas, atualizadas e

seguras tornou-se essencial para manter a empresa competitiva. De acordo com Marcos Sêmola,
em seu livro “Gestão da Segurança da Informação”, a informação proporciona redução de gastos,
melhoraria na produção, apoio na tomada de decisões e aumenta a competitividade no mercado.
Ainda informa a influência deste ativo nas empresas:

Há muito, as empresas têm sido influenciadas por mudanças e novidades que, a

todo o momento, surgem no mercado e provocam alterações de contexto. A todo
o momento surgem descobertas, experimentos, conceitos, métodos e modelos
nascidos pela movimentação de questionadores estudiosos, pesquisadores,
executivos que não se conformam com a passividade da vida e buscam a
inovação e a quebra de paradigmas, revelando - quase que frequentemente,
como se estivéssemos em um ciclo - uma nova tendência promissora.
(SÊMOLA, 2003, p.1).

3. ENGENHARIA SOCIAL

A engenharia social usa a influência e a persuasão para enganar as pessoas e

convencê-las de que o engenheiro social é alguém que na verdade ele não é, ou
pela manipulação. Como resultado, o engenheiro social pode aproveitar-se das
pessoas para obter as informações com ou sem o uso da tecnologia. (MITNICK,
2002).

Em Segurança da informação, engenharia social pode ser definida como ações que
viabilizam a obtenção de acesso à informações sigilosas e importantes, de forma enganosa e
utilizando-se, normalmente, da confiança. Vale destacar que a engenharia social está contida em
um universo mais amplo que a informática. Diversas profissões utilizam-se desta técnica para
alcançar seus objetivos, conforme descrito por Silva, 2011:

Engenharia Social é a ciência que estuda como o conhecimento do

comportamento humano pode ser utilizado para induzir uma pessoa a atuar
segundo seu desejo. Não se trata de hipnose ou controle da mente, as técnicas de
Engenharia Social são amplamente utilizadas por detetives (para obter
informação) e magistrados (para comprovar se um declarante fala a verdades).
Também é utilizada para lograr todo tipo de fraudes, inclusive invasão de
sistemas eletrônicos. (SILVA, 2011).
 5

4. VULNERABILIDADE

O engenheiro social ou o atacante hábil que usa a arte de enganar como uma das
armas de seu kit de ferramentas, procura explorar as melhores qualidades da
natureza humana: a tendência natural de ajudar, dar apoio, ser educado,
participante de uma equipe e o desejo de realizar um trabalho. (MITNICK;
SIMONS, 2003).

O ser humano é um ser social, possui traços comportamentais e psicológicos fáceis de

serem identificados e explorados pelo engenheiro social. Conforme CIALDINI (2012), os
princípios psicológicos da reciprocidade, compromisso e coerência, aprovação social, afeição,
autorização e escassez influenciam o ser humano na tomada de decisões. Tal fato torna o ser
humano um ativo vulnerável em um sistema de segurança. Na maioria dos casos, é possível
acrescentar o excesso de confiança e a falta de comprometimento do funcionário com o
cumprimento das regras e procedimentos de segurança, favorecendo, ainda mais, a atuação do
atacante.

A falta de consciência dos utilizadores em relação aos perigos, a falta de

conhecimento das técnicas de engenharia e o excesso de autoconfiança de
muitos utilizadores são os elementos que promovem o sucesso da engenharia
social. (CASTRO E SILVA, 2013, p.17).

As empresas investem em hardware e software de segurança e esquecem dos recursos

humanos. A engenharia social atua sobre os funcionários despreparados os quais transmitem
informações importantes ao atacante, além do mais, é possível que o atacante seja de dentro da
empresa, por exemplo, um funcionário mal intencionado.

5. PERFIL DO ENGENHEIRO SOCIAL

O Engenheiro Social age com confiança e naturalidade. Utiliza-se de boa aparência para
influenciar as pessoas e da simpatia para ganhar a confiança de seus alvos. Adaptam-se ao
cenário, assumindo posturas conforme forem necessárias. Utilizam-se da fraqueza psicológica e
 6

dos sinais não verbais de suas vítimas. Cobrem seus rastros, disfarçando e mudando de assunto,
impedindo que a vítima perceba a transmissão de informações importantes e sigilosas.

6. TÉCNICAS DE ENGENHARIA SOCIAL

A Engenharia Social é uma ferramenta bastante antiga, porém suas técnicas estão se
aprimorando, principalmente com a ajuda da tecnologia da informação. Existem diversas
técnicas, a escolha de uma delas ou de algumas será de acordo com o tipo de vítima e a
dificuldade de se alcançar o objetivo. As técnicas mais comuns em ataques de engenharia social
envolvendo empresas são:

a) Abordagem pessoal

Esta técnica trata de um ataque físico e direto, o qual o atacante comparece pessoalmente
na empresa, se passando por um amigo do diretor, fornecedor ou alguém importante com algum
vínculo com a empresa e, através da persuasão aliada ao despreparo dos funcionários, consegue
obter acesso à informações que buscava. Mesmo sendo uma técnica antiga e bastante utilizada em
filmes, ainda é utilizada por Crackers.

b) Contato telefônico

Normalmente, este ataque sucede outros ataques que já obtiveram informações básicas
para um ataque. O atacante, de posse de algumas informações, telefona para a empresa se
passando por alguém que possui vínculo com a empresa, obtendo acesso a informações
necessárias.

c) Phishing

É uma técnica utilizada com a ajuda da informática. Normalmente, o ataque utiliza o

correio eletrônico para enviar e-mails, com informações que geram curiosidade e solicitam
realizar alguns procedimentos, que direcionam a vítima para algum cenário desejado pelo
atacante.

“Ele funciona da seguinte maneira: um e-mail é recebido, aparentemente

de uma fonte confiável, mas ele leva o destinatário a um site falso cheio
 7

de malware. Esses e-mails costumam usar táticas inteligentes para chamar

a atenção das vítimas. Por exemplo, o FBI alertou sobre golpes de
phishing, nos quais os e-mails pareciam ser do National Center for
Missing and Exploited Children” (KASPERSKY, 2016).

d) Análise de lixo

O descarte inapropriado do lixo da empresa pode ser uma grande fonte de informação.
Muitos funcionários descartam lista telefônica, e-mails, senhas, transações relacionadas à
empresa, que podem servir de base para outros tipos de ataques.

e) Shoulder surf

Técnica simples que consiste em obter informação apenas observando a vítima desatenta.
Muito utilizada para obter senhas quando alguém descuidado digita senhas perto de atacantes.

f) Internet e Redes Sociais

Com o surgimento das redes sociais, muitas pessoas disponibilizam informações de suas
vidas na Internet. Não é difícil obter informações sobre local de trabalho, nome de pessoas do
convívio pessoal e de trabalho, data de nascimento, números de telefones, locais que costuma
frequentar e diversas outras informações valiosas para o atacante.

g) Bating
O atacante deixa à disposição da vítima um dispositivo infectado com malware. A vítima
curiosa conecta o dispositivo em uma máquina e acaba instalando o malware sem perceber.

h) Tailgating
Esta técnica física ocorre quando o atacante não autorizado acompanha alguém autorizado
até localizações seguras. Por exemplo, quando o atacante, com as mãos ocupadas, solicita que o
indivíduo a qual destravou a porta, a segure para ele poder passar.
 8

7. COMO SE PROTEGER

7.1 PRINCÍPIOS

Para a segurança de a informação ser eficiente, é preciso considerar que a informação

deve ser protegida durante todas as etapas do seu ciclo de vida, que inicia-se na identificação da
necessidade e requisitos até a fase de descarte da mesma. O profissional de segurança de
informação deve considerar que, mesmo com investimentos milionários, o sistema ainda será
vulnerável.

Uma empresa pode ter adquirido as melhores tecnologias de segurança que o

dinheiro pode comprar, pode ter treinado seu pessoal tão bem que eles trancam
todos os segredos antes de ir embora e pode ter contratado guardas para o
prédio na melhor empresa de segurança que existe. Mesmo assim essa empresa
ainda estará vulnerável. Os indivíduos podem seguir cada uma das melhores
práticas de segurança recomendadas pelos especialistas, podem instalar cada
produto de segurança recomendado e vigiar muito bem a configuração
adequada do sistema e a aplicação das correções de segurança. Esses
indivíduos estarão vulneráveis. (MITNICK, 2003).

Desta forma, pode-se afirmar que, com os investimentos realizados, tanto em hardware,
software e recursos humanos, será possível reduzir as vulnerabilidades, possibilitando uma
melhor segurança e diminuindo as probabilidades de ocorrerem ataques bem sucedidos. É
fundamental manter a segurança modernizada e atualizada, pois a tecnologia evolui rapidamente
e a cada dia surgem novas vulnerabilidades.

A proteção para os ataques envolve o treinamento nas políticas e procedimentos,

mas também – e provavelmente mais importante – um programa constante de
conscientização. Algumas autoridades recomendam que 40% do orçamento
geral para segurança da empresa seja aplicado no treinamento da
conscientização. (MITNICK, 2003, p.195).

As atividades do profissional segurança, normalmente, são definidas em três categorias:

 9

a) Prevenção: ações executadas ou mecanismos com a finalidade de diminuir a

probabilidade de que algo indesejável aconteça. Dificultando que intrusos causem
danos aos dados, sistemas ou hardware.

b) Detecção: Identificar algo fora dos padrões estabelecidos pela segurança da

informação. Para alcançar esse objetivo, normalmente, são implantados diversos
mecanismos físicos e lógicos que avisam quando algo está errado ou está acontecendo
algo inesperado.

c) Recuperação: Ações tomadas após a ocorrência de algo indesejável. Para alcançar

esse objetivo, normalmente, são implementados planos e programas de recuperação e
deve sempre estar preparado para agir quando algo inesperado ocorra.

7.2 PROTEÇÃO DOS ATIVOS

Segundo Edison Fontes (2006) em seu livro “Segurança da Informação - O Usuário faz a
diferença”: “A informação, independentemente de seu formato, é um ativo importante da
organização. Por isso, os ambientes e os equipamentos utilizados para seu processamento, seu
armazenamento e sua transmissão devem ser protegidos.”

7.2.1 SEGURANÇA FÍSICA

A segurança física visa a proteção de equipamentos, instalações e informações, evitando

que pessoas não autorizadas tenham acesso a tais ativos. Pode ser abordada de duas formas:
segurança de acesso, que será o foco deste tópico, pois visa a proteção contra acesso não
autorizado, e a segurança ambiental que trata da prevenção de danos por causas naturais. Vale
ressaltar que ambas as formas são importantes para a segurança da informação.

Para evitar acesso a informações fisicamente, é importante estabelecer Credenciais de

Segurança (CREDSEG) a fim de diferenciar funcionários de visitantes e criar níveis de acesso
para cada usuário, de acordo com o perímetro de segurança. Desta forma, será possível evitar que
 10

funcionários ou visitantes sem autorização, acessem informações ou áreas restritas que não são de
sua competência. As CREDSEG devem sempre estar atualizadas, ou seja, se um funcionário é
retirado de suas funções, a sua autorização deve ser suspensa ou cancelada imediatamente.
Setores da empresa devem ser classificados quanto ao nível de acesso, áreas detentoras de
informações secretas, devem ter níveis de acesso mais restritos que áreas públicas. Vale ressaltar
que mesmo as áreas públicas devem ser monitoradas, visto que engenheiro social obtém
informações em lugares mais inusitados. É fundamental a utilização de mecanismos de controle
de acesso físico, tais como fechaduras eletrônicas, câmeras de vídeo, alarmes, dentre outros.
Atualmente a autenticação é baseada em três métodos distintos, que são:

a) Autenticação baseada no conhecimento (O que você sabe): Método que exige uma
informação ou conhecimento pessoal para obter acesso a informações ou locais,
normalmente utilizam-se senhas. Esse método é bastante frágil, pois senhas podem ser
descobertas, principalmente quando definem senhas fraca ou falta de procedimentos
de segurança ao utilizá-las.

b) Autenticação baseada na propriedade (O que você tem): Método que exige a

apresentação de dispositivo físico, normalmente são cartões, “token” e “smartcards”;

c) Autenticação baseada na característica (O que você é): método que utiliza a

biometria para obter acesso, normalmente utiliza-se a digital, íris, rosto e voz.

Devido à vulnerabilidade de cada método, alguns controles de acesso utilizam as três

formas de autenticação, sendo necessário inserir a senha, depois apresentar o dispositivo físico e
por último realizar a análise da biometria. Desta forma, mesmo que o engenheiro social consiga a
senha, dificilmente terá o dispositivo físico e apresentará a biometria necessária.

7.2.2 SEGURANÇA LÓGICA

A segurança lógica consiste em mecanismos de proteção baseados em software, dentre

eles, podemos citar:
 11

a) Senhas: Mecanismo de segurança que solicita a inserção de alguma informação que

indivíduos autorizados possuem para ter acesso a software, dados, planilhas, dentre
outros.

b) Criptografia: Mecanismo que codifica a informação, tornando possível a

decodificação apenas para o emissor e para o receptor.

c) Firewall: São softwares ou hardwares que filtram todo o fluxo de dados entre um link
de comunicação e um computador.

d) Sistemas de detecção de intrusões (IDS): Software automatizado que detecta

atividades hostis em uma rede ou um computador.

Com a utilização dos mecanismos da segurança lógica, é possível evitar que tanto
“crackers”, engenheiros sociais ou qualquer tipo de atacante, mesmo de posse de informações e
tenham passado pela segurança física, obtenham acesso à informação.

7.3 TREINAMENTO E CONSCIENTIZAÇÃO

A gestão dos recursos humanos também possui papel fundamental na proteção da

informação. Tendo em vista que o usuário é o elo mais fraco da segurança da informação,
atividades de conscientização e treinamento são fundamentais para diminuir as vulnerabilidades,
além de avaliar os perfis de funcionários que estão mais alinhados com a finalidade da empresa e
se preocupam com a segurança das informações.

Todos os funcionários de uma empresa, envolvidos no processo de TI devem estar

conscientes do seu funcionamento e dos riscos envolvidos, pois só assim eles
poderão estar atentos para controlar as falhas que podem surgir e observar se os
resultados almejados estão sendo atingidos. (FERNANDES; ABREU. 2012)
 12

O treinamento é fundamental para o crescimento da empresa, adotando a mentalidade de

Segurança da Informação tornando o usuário mais eficiente e produtivo quando bem qualificado.

7.4 POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO (PSI)

Para manter as informações seguras, é fundamental que as organizações definam políticas

de segurança da Informação (PSI) que é um documento onde consta orientações e diretrizes
corporativas para a proteção dos ativos de informação e a prevenção de responsabilidade legal
para os usuários. Devendo ser aplicada a todos os colaboradores e prestadores de serviços. É
importante revisar a PSI periodicamente, com intuito de mantê-la atualizada.

É fundamental que conste as responsabilidades gerais na gestão da segurança de

informações, as políticas de controle de acesso a recursos e sistemas computacionais,
classificação das informações de uso irrestrito, interno, confidenciais e secretas, os princípios
legais a serem observados em relação a tecnologia da informação, punições para os que
desrespeitarem as normas, o plano de treinamento em segurança da informação, princípios de
gestão de continuidade do negócio e demais assuntos pertinentes.

Uma ferramenta bastante útil para que o usuário comprometa-se com a segurança da
informação é a assinatura do termo de responsabilidade o qual obriga o usuário, dentre outras
coisas, a:

a) Manter o sigilo das informações referente ao trabalho, exceto em casos de decisão na

esfera legal ou judicial, bem como de autoridade superior;

b) Utilizar de forma correta os recursos tecnológicos, mantendo a cautela necessária quanto a

exibição das informações em qualquer meio de armazenamento ou exibição, evitando que
pessoas não autorizadas obtenham ciência.

c) Sempre que se ausentar da estação de trabalho, encerre a sessão do uso do sistema,

evitando o acesso indevido por terceiros;
 13

d) Manter senhas de acesso em total sigilo. Vale lembrar que senhas são pessoais e
intransferíveis; e

e) Cumprir as boas práticas de segurança da informação, e suas diretrizes.

Com a implantação das políticas de segurança da informação é possível diminuir

eventuais riscos que afetem a confidencialidade, integridade e disponibilidade das informações da
empresa.

8. ANÁLISE DOS RESULTADOS

A pesquisa apresentou a importância da informação para uma empresa que, devido ao seu
alto valor, tornou-se um atrativo para os engenheiros sociais, os quais, através de técnicas
apresentadas, atacavam a maior vulnerabilidade de um sistema de segurança de uma empresa, o
ser humano. Tal fato, levantou a problemática da segurança da empresa em relação a ameaça da
engenharia social.
A pesquisa iniciou com o levantamento da importância da informação, buscou definições
de engenharia social, baseando-se em autores consagrados em segurança da informação.
Observou-se o perfil do atacante e investigou-se sobre qual vulnerabilidade atuava e como
realizava seus ataques. Através da pesquisa, observou-se o fundamento das técnicas mais
utilizadas pelo atacante, ocasionando a busca de métodos e mecanismos de segurança para evitar
o sucesso do ataque. Após a pesquisa dos métodos e mecanismos de segurança, obteve-se uma
melhor proteção dos ativos, através do aprimoramento da segurança física e lógica, de
treinamento e conscientização do elo mais fraco desse sistema, o ser humano, além da
implantação de políticas de segurança aplicada aos funcionários, fornecedores e demais usuários
do sistema de segurança.
 14

9. CONCLUSÃO

Tendo em vista a importância da informação a qual é essencial para a tomada de decisões

das empresas, a segurança da informação tornou-se imprescindível para o desenvolvimento e a
permanência de uma empresa no mercado. Embora as empresas realizem grandes investimentos
na segurança física e lógica, observa-se a necessidade de dar uma atenção maior para os recursos
humanos. Qualquer tipo de pessoa, que possui acesso a informações não públicas de uma
empresa, faz parte do sistema e deve receber uma atenção especial quando o assunto é segurança
da informação, pois um sistema é tão forte quanto o seu elo mais fraco. Desta forma, não adianta
realizar grandes investimentos em algumas áreas do sistema e se esquecer de outras. Deve-se
visualizar o sistema como um todo e não em partes.
Embora seja impossível afirmar que a informação está totalmente segura, os
investimentos na segurança da informação devem ser contínuos. A tecnologia está em constante
avanço, possibilitando o surgimento de novos tipos de ataques, o que proporciona o surgimento
de novas vulnerabilidades. Desta forma, investimentos na segurança física e lógica, em
treinamento e conscientização são fundamentais para uma organização, pois, assim, é possível
diminuir as vulnerabilidades e a possibilidade de sucesso dos ataques de “hackers”, inclusive de
engenheiros sociais.
Este artigo demonstrou a necessidade de investir nos recursos humanos, sendo um dos
principais ativos de uma organização e também a principal vulnerabilidade quando não são bem
treinados. Demonstrou a importância da segurança física e lógica e alguns procedimentos, por
exemplo, a definição de políticas de segurança a qual deve ser aplicada a todos que possuem
acesso a informações não públicas da empresa. As instituições devem realizar tais procedimentos
para se tornarem menos vulneráveis. Também expôs as principais técnicas utilizadas pelos
engenheiros sociais, pois é fundamental saber como o inimigo age para saber como se proteger
dos seus ataques.
Portanto, este artigo apresentou as relevantes formas de proteção contra engenharia social,
porém o profissional de Segurança da Informação deve manter-se sempre atualizado,
monitorando e evitando que ações maliciosas, tanto externas quanto internas, afetem a empresa e
 15

sempre deve buscar manter os pilares da segurança da informação (confiabilidade,

disponibilidade e integridade).

10. REFERÊNCIAS BIBLIOGRÁFICAS

FONSECA, J. J. S. Metodologia da pesquisa científica. Fortaleza: UEC, 2002. Apostila.

MARCIANO, J. L. P.; MARQUES, M. L. O enfoque social da segurança da informação.
Ciência da Informação, Brasília, v. 35, n. 3, p. 89-98, set./dez. 2006. Disponível em:
<http://www.scielo.br/pdf/ci/v35n3/v35n3a09.pdf>. Acesso em 28/09/2017.
MITNICK, K.D.; SIMON, W.L. Mitnick: a arte de enganar. São Paulo: Pearson Education do
Brasil, 2003.
TANENBAUM, A. S; WETHERALL, D. J. Redes de computadores. Tradução Daniel Vieira.
5. ed. São Paulo: Prentice Hall (Pearson), 2011.
TOFFLER, Alvin. A Terceira Onda. Rio de Janeiro: Record, 1980.
SÊMOLA, Marcos. Gestão da Segurança da Informação. Rio de Janeiro: Editora Campus,
2003.
FONTES, Edison. Praticando a Segurança da Informação. Rio de Janeiro: Brasport, 2008.
CASTRO E SILVA, Francisco J. A. Faria, Classificação Taxonómica dos Ataques de
Engenharia Social. Disponível em:
<http://repositorio.ucp.pt/bitstream/10400.14/15690/1/Tese%20de%20Mestrado%20-
%20Engenharia%20Social.pdf>. Acesso em: 08 agosto 2017.
DE SORDI, José Osvaldo. Gestão por processos: uma abordagem da moderna
administração. 2.ed. São Paulo: Saraiva, 2008.
FERNANDES, Aguinaldo Aragon; ABREU, Vladimir Ferraz de. Implantando a governança de
TI: da estratégia à gestão dos processos e serviços. São Paulo: 3ª ed. Brasport, 2012.
PACHECO, Cíntia Gomes; VALENTIM, Marta Lígia Pomim. Informação e conhecimento
como alicerces para a gestão estratégica empresarial: um enfoque nos fluxos e fontes de
informação. In: VALENTIM, Marta (Org.). Gestão, mediação e uso da informação. São Paulo:
Cultura Acadêmica, 2010. p. 319-341.
 16

MOLINA, Letícia Gorri. Tecnologia de informação e comunicação para gestão da

informação e do conhecimento: proposta de uma estrutura tecnológica aplicada aos portais
corporativos. In: VALENTIM, Marta (Org.). Gestão, mediação e uso da informação. São Paulo:
Cultura Acadêmica, 2010. p. 143-167.
PEIXOTO, Mário C. P. Engenharia Social e Segurança da Informação na Gestão
Corporativa. Rio de Janeiro: Brasport, 2006.
KLEIN, Soeli Claudete. Engenharia social na Área da Tecnologia da Informação. 2004. 63
pág. Monografia (trabalho de conclusão de curso). Instituto de Ciências Exatas e Tecnológicas,
Centro Universitário Feevale. Novo Hamburgo, RS.
KASPERSKY. Internet Security Definitions. 2016. Disponível em: <
http://brazil.kaspersky.com/internet-security-center/definitions/spear-phishing> . Acessado em:
04 de jan de 2018.
JUNIOR, Cicero Caiçara; PARIS, Wanderson Stael. Informática, Internet e Aplicativos.
Curitiba: Ibpex, 2007