Engenharia Social no Brasil.

Prof. Marcos Ferreira

Introdução à Engenharia Social:
 Engenharia Social:
Como a segurança se baseia na confiança, as informações
conseguidas pelo invasor são obtidas na maioria das vezes em
virtude da grande ingenuidade e "falta de conhecimento" dos
envolvidos ou pela confiança que essas pessoas tinham no invasor.
O invasor faz uso de suas habilidades para obter informações
ou acesso indevido a determinado ambiente ou sistema, com a
utilização de técnicas de persuasão que acabam na maioria das
vezes resultando em informações chaves que poderão ser
utilizadas por ele nos seus ataques.
 A engenharia social é considerada um dos meios mais utilizados para
obtenção de informações sigilosas e importantes, hoje em dia, dentro das
organizações, pelo fato de as empresas estarem preocupadas com o seu
negócio e com a competitividade junto aos seus concorrentes, cada vez
mais elas investem em tecnologias de ponta visando se proteger de
ataques de hackers e suas variantes.
É investido muito dinheiro com o intuito de buscar identificar o melhor
software, o melhor antivírus, o melhor firewall o melhor controle de
acesso físico e lógico, no entanto, as empresas acabam por deixar de lado
o fator humano, que corresponde na maioria das vezes ao ponto mais
vulnerável desse processo de ataque pelo engenheiro social.
 O engenheiro social:
Antes do advento da internet, o atacante utilizava como
ferramenta o telefone ou até mesmo o contato físico pessoal para
obter as informações necessárias para o ataque ao seu alvo.
Hoje em dia uma simples pesquisa na internet atrás de
informações sobre a instituição que será o alvo de ataque traz uma
série de dados que podem ser utilizados para esse fim, dessa forma
o meio mais fácil e mais barato seria que esses criminosos
tentassem enganar as pessoas que pertencem a essas organizações,
de forma que elas fornecessem as informações necessárias para
que ele burlasse as principais barreiras.
 Principais alvos:
São os guardas; vigias; faxineiros; assessores de
diretores importantes; estagiários; aprendizes,
administradores de rede; usuários; secretárias e técnicos.
De maneira geral, qualquer ser humano está sujeito a
um ataque de Engenharia Social, pois, no nosso dia a dia,
quantas vezes já utilizamos essa técnica para obter
informações de pessoas do nosso convívio social, apenas
omitindo fatos ou falando parte da verdade para possuir
ajuda na obtenção de informações secretas.
 Técnicas mais
usuais de ataque:
Contato Telefônico:
Por meio de uma boa conversa, o atacante tentará ludibriar
o envolvido de forma que ele passe as informações
necessárias para o ataque.
Utilização de e-mails fraudulentos:
A ideia é o atacante convencer por meio da sua escrita o
colaborador da empresa, para que este forneça informações
sigilosas ao invasor sem que perceba fazer isso.
 Técnicas mais
usuais de ataque:
Execução de um programa:
O atacante força, de forma não perceptível, o colaborador a
executar um programa ou código malicioso na máquina alvo
para que posteriormente seja aberta uma porta de acesso
remoto.
Salas de bate papo:
Nesses locais o invasor aproveita para ganhar a confiança do
colaborador e obter informações necessárias para o seu ataque.
 Técnicas mais
usuais de ataque:

Listas de discussão ou comunidades virtuais na internet:

Novamente o invasor utiliza suas habilidades para convencer o
colaborador a passar informações sensíveis da empresa.
Exame de lixo informático:
A análise do lixo pode trazer informações importantes para um
ataque, como o número de máquinas da rede, servidores, roteadores,
equipamentos de Access point, marca de equipamentos, suas
versões, informações que
ajudarão o invasor a identificar qual a melhor
ferramenta para o seu ataque.
 Técnicas mais
usuais de ataque:
Páginas Falsas:
Por meio de um link encaminhado para o colaborador, tenta forçar o colaborador a
acessar uma página falsa de comércio eletrônico ou internet banking, fazendo-o digitar
senhas ou códigos que poderão ser capturados e utilizados futuramente em processo de
ataque.
Erros de digitação:
Nesse tipo de técnica, o invasor se aproveita do fato de uma pessoa não conhecer um
determinado idioma ou de ela ter, por algum motivo, apertado as teclas do seu teclado
em uma sequência incorreta, o que acabou apontando para o site falso, esses sites falsos
(clones) parecidos com o site verdadeiro são colocados em funcionamento e quando o
colaborador pensa que navega no site desejado, na realidade navega no site do invasor,
que se aproveita desse fato para capturar os dados do colaborador.
 Técnicas mais
usuais de ataque:
Boa vontade dos outros:
Situações normais que qualquer ser humano tem como a vontade de ser útil, de procurar
sempre agir com cortesia ajudando os outros, a exploração desse tipo de vulnerabilidade pode
possibilitar ao atacante conseguir as informações desejadas.
Desenvolvimento de relacionamento:
Consiste na técnica de explorar a natureza humana, que possui diversos aspectos que
podem ser manipulados por causa das necessidades básicas de aceitação, reconhecimento e
motivação, cada uma dessas informações poderá servir como a primeira pedra na construção
de um ataque à organização alvo, hoje em dia uma grande fonte de informação para os
engenheiros sociais dentro da internet são o Facebook, uma vez que esses sites permitem que
as pessoas armazenem os seus dados pessoais, além de detalharem as suas atividades diárias,
bem como a de seus amigos, dessa forma os engenheiros sociais não necessitam mais sair de
suas casas,
basta apenas navegar atrás das informações desejadas.
 Exemplos de ataques:
Exemplo 1:
Recebe uma mensagem e-mail, onde o remetente é o gerente ou
alguém em nome do departamento de suporte do seu banco e na
mensagem ele diz que o serviço de internet Banking está apresentando
algum problema e que tal problema pode ser corrigido se você executar
o aplicativo que está anexado à mensagem e com a execução deste
aplicativo apresenta uma tela análoga àquela que você utiliza para ter
acesso a conta bancária, aguardando que você digite sua senha.
Mas na verdade, este aplicativo está preparado para furtar sua senha de
acesso a conta bancária e enviá-la para o atacante.
 Exemplos de ataques:
Exemplo 2:
Recebe uma mensagem de e-mail, dizendo que seu
computador está infectado por um vírus e a mensagem
sugere que você instale uma ferramenta disponível em um
site da internet, para eliminar o vírus de seu computador.
Sua real função desta ferramenta não é eliminar um vírus,
mas sim permitir que alguém tenha acesso ao seu
computador e a todos os dados nele armazenados.
 Exemplos de ataques:
Exemplo 3:
Um certo desconhecido liga para a sua casa e diz ser do suporte
técnico do seu provedor e nesta ligação ele diz que sua conexão
com a internet está apresentando algum problema e, então, pede
sua senha para corrigi-lo.
Acontecimento for entregue a senha, este suposto técnico
poderá realizar uma infinidade de atividades maliciosas, utilizando
a sua conta de acesso a internet e, portanto, relacionando tais
atividades ao seu nome.
 Ataque direto e indireto:
Podemos separar os ataques de Engenharia Social em dois tipos (direto ou
indireto).
1. Direto, existe o contato pessoal entre o atacante e o alvo, podendo ser realizado
por meio de telefonemas, encontros físicos em palestras e congressos, e conforme
informado anteriormente, o atacante deve se preparar psicologicamente para
efetuar esse tipo de ataque.
2. Indireto, o ataque é realizado utilizando-se ferramentas de invasão específicas,
que vão desde a utilização do Cavalo de Troia, ferramentas de monitoração, vírus,
programas, keyloggers, screenlogger etc.
Outro aspecto interessante do engenheiro social é ele ser praticamente
indetectável pelos sistemas tecnológicos das empresas, pois
não deixa rastros que podem ser seguidos para a sua identificação.
 Punições para os crimes:
Aplicar uma punição para os responsáveis por ataques que
utilizam técnicas de engenharia social pode ser considerada
uma tarefa difícil, pois alguns desses ataque nem podem ser
categorizados como crime uma vez que as informações
obtidas haviam sido deixadas sem nenhuma proteção em
cima de alguma mesa ou até mesmo descartadas dentro de
um lixo que estava colocado do e do lado de fora da
organização ou seja em um
lugar público.
 Segurança lógica
dos ativos de TI:

Como a segurança lógica é invisível aos olhos humanos, as pessoas só saberão que
estão sendo controladas quando aparecer alguma mensagem dizendo, por exemplo,
"Acesso negado". A segurança lógica procura colocar controles intangíveis e que façam o
ambiente ficar com um nível de segurança aceitável, uma vez que só terão acesso aos
dados as pessoas que tiverem um código, cartão ou uma característica biométrica
cadastrada e que dê a ela a autorização para ver, manipular, alterar ou apagar alguma
informação, em alguns casos, pode acontecer que mesmo assim o invasor consiga passar
por mais essa barreira, e por isso faz-se importante que sejam implementados controles
para verificar o que ele fez na máquina quando teve esse acesso lógico.
É uma boa prática que todos os funcionários sejam treinados
para informar à área competente quando suspeitarem que uma
situação dessa esteja ocorrendo dentro do ambiente da empresa.
 Acesso lógico:
O Acesso lógico é o processo de atribuir permissão a recursos de
ativo de informação, localizados dentro dos ambientes de Tecnologia
da Informação e que são diariamente colocados à disposição para os
usuários da empresa, de forma que consigam realizar as tarefas diárias
para as quais foram contratados.
Para o controle de acesso lógico podem ser utilizados mecanismos
como listas de acesso (ACL´s – Acess Control List´s), que descrevem
direitos, permissões e restrições a que um determinado usuário estará
sujeito após
o processo de identificação.
 A identificação:
O primeiro ponto de controle implementado dentro da segurança
lógica está relacionado à identificação. A identificação de quem
pode acessar um sistema ou informação pode ser feita por meio de
uma lista com nomes das pessoas que poderão acessar determinado
sistema ou aplicação.
Esses usuários também podem ser agrupados de forma a criar um
conjunto de indivíduos com as mesmas características de acesso e
direito e dessa forma facilitar a tarefa do administrador para o
processo de atribuição de direito
e acesso lógico.
 A autenticação:
Quando nos referimos ao processo de autenticação estamos querendo dizer que
ele precisa ter algo que consiga provar que o colaborador que está entrando com a
sua identificação realmente é quem diz ser. Esse processo pode ser feito com a
digitação de uma simples senha, por exemplo. O fato também de uma pessoa
apresentar uma senha não significará que ela é quem realmente diz ser, uma vez que
uma senha pode ser adivinhada, roubada, perdida ou até mesmo emprestada.

Por meio do aumento da complexidade na elaboração das senhas, bem como da

quantidade de símbolos e letras que são utilizados
para a sua confecção, pode-se conseguir uma maior robustez e
força para elas.
 A autorização:
Quando alguém necessita de acesso lógico a alguma coisa, é porque precisa de um dado ou
de uma informação que estão armazenados em algum recurso de tecnologia da informação para
poder realizar alguma atividade para o seu processo de negócio, é claro que quando colocamos
essa afirmação, estamos pensando no ambiente de uma empresa, onde os colaboradores
necessitam ter autorização para acessar determinadas informações para realizar suas tarefas
diárias e o mecanismo de autorização consiste de uma série de regras que foram estabelecidas e
que especificam para cada dado ou informação armazenados nos equipamentos de Tecnologia
da informação o usuário ou grupo de usuários que poderão utilizá-los e dentro deles que tipo de
operação poderá ser realizada. Depois de acessar a informação, faz-se necessário que exista
alguma forma de controle para verificar o que foi feito com o acesso liberado.
É claro que nesse momento estamos falando em implementar o processo
de auditoria.
 Auditoria:
A ideia básica é padronizar o gerenciamento de acesso dos colaboradores em
diferentes plataformas, dispositivos, aplicativos e nos processos de negócios.
Para que possamos saber o que está sendo feito com o acesso concedido, faz-se
necessário coletar as informações sobre os acessos dos colaboradores, bem como
identificar o que foi feito dentro dos recursos com as atribuições concebidas.
Com o Gerenciamento de Identidade e Acesso pode-se utilizar processo e tecnologias
com o intuito de gerenciar as identidades digitais dos colaboradores da empresa, além
de especificar como estas serão utilizadas para acessar os recursos de Tecnologia da
Informação.
Outro problema a ser equacionado é o grande número
de contas de usuários que têm acessos privilegiados, e às vezes
 Assinatura digital:
 A assinatura digital é um conjunto de
procedimentos matemáticos que possibilitam a
inclusão de um código identificador do emitente
da mensagem em meio digital. Uma assinatura é
algo que só pode ser feito pelo seu autor,
provando assim, a sua participação e autoria.
 Cartório digital:
São empresas especializadas, conhecidas como
Autoridades Certificadoras (CA), que emitem certificados
digitais, documentos eletrônicos de identidade de pessoas
ou empresas na internet. São entidades confiáveis e
reconhecidas (VeriSign, Thawte, GlobalSign etc.), que
emitem um certificado digital que inclui a chave pública de
uma entidade, com dados para identificação confiável dela e
assinado digitalmente com a chave
privada da CA.
 Certificado digital:
É um arquivo que amarra todos os dados da pessoa ou
empresa, como: nome, razão social, data de
nascimento etc., identificado numa estrutura
inviolável, baseado na tecnologia de criptografia. De
uma maneira simples, o certificado é uma chave
pública assinada por uma Autoridade de Certificação
(CA) que atesta a autenticidade daquela chave pública
como pertencente a uma determinada pessoa.
 Todo certificado digital possui um período de validade e, após o
vencimento dessa validade, a autoridade certificadora o inclui no CRL
(Certificate Revocation List), ou seja, na lista de certificados revogados,
ou, pode também atualizar a sua validade. O CRL é um mecanismo que
as CA´S possuem para disseminar informações sobre certificados
digitais que foram revogados por algum motivo. Não é uma aplicação. É
uma infraestrutura usada para habilitar aplicações que necessitem de
um alto nível de segurança, utilizando conceitos e técnicas envolvendo
chaves públicas e certificados digitais para
garantir a segurança do sistema e confirmar a
identidade de seus usuários.
Obrigado!