Autores: Mosar Rodrigues Rabelo Junior Selma Cândida da Cruz Vieira
Com as atenções voltadas para consoles de administração de ferramentas de novíssima geração, e as preocupações baseadas na infraestrutura de conectividade, soluções de criptografia, detecção de intrusos, entre outros aparatos tecnológicos, é natural, mas não recomendado, que cuidados elementares com os fatores humanos permaneçam em segundo plano.
Um dos principais problemas que a segurança da informação deve tratar é a segurança em pessoas. A cooperação dos usuários é essencial para a eficácia da segurança. Eles exercem um forte impacto sobre a confidencialidade, a integridade e a disponibilidade da informação, pois, por exemplo, o usuário que não mantiver a confidencialidade da senha, não evitar o registro da mesma em papéis que não estão guardados em locais seguros, não utilizar senhas de qualidade ou ainda que compartilhe senhas individuais, compromete a segurança da informação.
A solução efetiva para integrar pessoas requer ações gradativas e constantes visando criar e fortalecer a cultura de segurança da informação. Esta cultura não pode ficar restrita às organizações, é um trabalho cujo resultado positivo é certo, mas não é imediato e requer planejamento.
Os seres humanos costumam modificar seus comportamentos em situações de risco, e suas decisões são baseadas em confiança. A engenharia social se aproveita dessas brechas e da falta de consciência com relação à segurança. Costa (2013), afirma que a melhor arma para combater a engenharia social é a informação. Se os colaboradores de uma empresa não estiverem bem treinados e bem informados dos golpes envolvendo engenharia social, de nada adiantará os demais investimentos em meios tecnológicos voltados para segurança.
48
Ao ouvir o nome engenharia social, vem à mente a ideia de algo supervalorizado, o que não é verdade. Engenharia por si só tem o significado de conhecimento adquirido que é executado com performance e arte, seja na construção civil, mecatrônica ou outros. Já a palavra social vem de convivência entre pessoas. A associação engenharia e social tem um sentido diferenciado, quando se trata de segurança da informação, pois unidas formam a maneira que os engenheiros usam de ludibriar pessoas para adquirir informações sigilosas com facilidade sem que estas percebam.
A engenharia social é um termo utilizado para qualificar os tipos de intrusão não técnica, que coloca ênfase na interação humana e, frequentemente, envolve a habilidade de enganar pessoas objetivando violar procedimentos de segurança. (Silva Filho, 2004).
O engenheiro social é alguém que usa a fraude, a influência e a persuasão contra as empresas, em geral visando suas informações. (Mitnick, 2003).
De acordo Mitnick (2003) a diferença entre o engenheiro social e o grifter é que este tem a intenção de enganar indivíduos e o engenheiro as empresas.
Figura 1 – Diferença entre engenheiro social e Grifter
49 Na maioria dos casos, os engenheiros sociais bem-sucedidos têm uma habilidade muito boa em lidar com as pessoas. Eles são charmosos, educados e agradam facilmente — os traços sociais necessários para estabelecer a afinidade e confiança. (Mitnick, 2003)
Figura 2 - Perfil do engenheiro social
Fonte: Autores
A tecnologia da informação fornece facilidades variadas como porta de entrada para os fraudulentos. A invasão em computadores por meio de vírus implantados ao realizar um download ou um clique em um link informado no e-mail malicioso são formas de invasão em uma rede corporativa, que pode trazer prejuízos não só financeiro.
De acordo com Mitnick (2003) existem três tipos de hackers: os scriptkiddies - são hackers novatos que não possuem interesse em aprender a tecnologia, seu desejo é invadir os computadores; Hackers programadores - desenvolvem programas para hackers e expõe na web; Estelionatários - usam o computador como meio fraudulento para roubar dinheiro, bens ou serviços.
50
Figura 3 – Tipos de Hackers
Fonte: Autores
Além da web, a telefonia também é um alvo fácil para o engenheiro social fazer-se passar por um técnico de uma instituição e assim conseguir informações importantes e aparentemente simples aos olhos do técnico de atendimento, mas, que possui um valor fundamental para se chegar ao objetivo final que é obter recursos financeiros e afins.
Vale lembrar que o engenheiro social, visa conseguir informações valiosas com técnicas de enganar pessoas, sem se dar o trabalho de invadir um sistema. Através de um diálogo convincente e envolvente o indivíduo de um help desk por exemplo chega a gerar nova senha no sistema e informa ao transgressor, este consegue de forma fácil e rápida se passa pelo usuário final e tendo em mãos todas as informações precisas sem muito esforço.
Mas, ainda não destacamos o principal, todas essas tentativas são realizadas com sucesso por conta de um ator principal que é o homem. No caso da engenharia social, do funcionário, colaborador de uma empresa corporativa. Estudos mostram o quanto é fácil distrair a atenção de uma pessoa, mesmo que aparentemente esteja atenta. São fórmulas usadas por mágicos para trazer a ilusão de suas apresentações. Uma das técnicas adquiridas por Kevin Mitnick, o que o ajudou a ser reconhecido como o rei da engenharia social.
Assim como uma marionete é manipulada pelo homem, a vítima de uma extorsão também é, para isso basta que o farsante adquira a confiança do indivíduo, através de um mínimo conhecimento que se tenha da empresa e assim alcançar a informação desejada. E mais ele não explora somente um funcionário da empresa não, ele começa do operacional até chegar ou se passar por um executivo. A figura abaixo demonstra como o engenheiro social
51
consegue manipular a mente humana, fazendo-o tomar iniciativas que favoreça o fraudulento.
Figura 4 - SEES (Social EngineeringEmailSender): Utilitário de Auditoria/Ataquesde Engenharia Social e Phishing
Fonte:Internet - Disponível em<https://under-linux.org/content.php?r=8460>
Através dessa primeira vítima o engenheiro consegue por meio de uma simples ligação, informações para que dê continuidade ao seu plano e em seguida utiliza-se de outros meios, até que se tenha o mínimo possível de conhecimento de uma empresa para concluir seu plano infalível.
E como as empresas tem enxergado este perigo iminente?
As empresas têm investido, contratando especialistas em segurança da
informação, implantando políticas de segurança para o ambiente
organizacional, treinando seus funcionários e bloqueando acessos web em estações de trabalho. De nada adianta, se a conscientização não partir do colaborador, este, se estiver desmotivado pode até dar uma forcinha ao engenheiro social, visando uma vingança devido a sua insatisfação.
As técnicas mais costumeiras, que podem ser usadas de maneira
individual ou combinadas, são:3
Contatos telefônicos, simulando atendimento de suporte ou uma
ação de emergência;
Contato através de e-mail, atuando como estudante com interesse
em pesquisa sobre determinado assunto ou como pessoa com interesse específico em assunto de conhecimento da vítima;
3MODULO SECURITY SOLUTIONS, Engenharia Social: Fortalecendo o elo mais fraco, em www.modulo.com.br. Acessado em: 27 de setembro 2015
52
Contato através de ferramentas de mensagens simulando pessoa
com afinidades coma vítima;
Obtenção de informações vazadas por parte da administração de
rede e funcionários em geral em listas de discussão ou comunidades virtuais na Internet, o que motivaria também um contato posterior mais estruturado;
Uso de telefone público, para dificultar detecção;
Varredura do lixo informático, para obtenção de informações
adicionais para tentativas posteriores de contato;
Disfarce de equipe de manutenção;
Visita em pessoa, como estudante, estagiário ou pessoa com
disfarce de ingenuidade.
Humanos são imperfeitos e situações de risco modificam os comportamentos naturais e decisões serão fortemente baseadas em confiança ou grau de criticidade da situação.
Em função desses fatores, sempre existirão brechas em seu caráter ou comportamento pouco consciente com relação a segurança, onde a engenharia social poderá ser eficaz, segundo Mitnick (2003), A verdade é que não existe tecnologia no mundo que evite o ataque de um engenheiro social.
Para minimizar essas falhas, a gestão de uma empresa deve considerar altamente relevante as suas informações e assim criar uma cultura corporativa que tenha como prioridade capacitar seus colaboradores a partir da admissão, através de programas de treinamento.
As pessoas devem ser treinadas e educadas sobre quais são as informações que devem ser protegidas e como devem protegê-la para que estejam aptas a identificar situações de riscos, como um ataque de Engenharia Social.
“Muitas vezes os hackers empregam truques que tiram proveito de vulnerabilidades humanas apelando para emoções ou incitando a curiosidade para levar as pessoas a clicarem em links maliciosos, baixarem programas ou darem informações confidenciais como senha da rede corporativa, do e-mail, etc. As empresas precisam investir
na formação contínua para manter funcionários
constantemente conscientes das ameaças desses ataques de engenharia social”.4
4MODULO SECURITY SOLUTIONS, Seis dicas simples para frustrar os hactivistas, em www.modulo.com.br.
53
Para criar e disseminar essa consciência as organizações devem criar e divulgar suas políticas, normas e procedimentos de segurança da informação através de programas de treinamento e conscientização constantes.
As políticas de segurança são instruções claras que fornecem as orientações de comportamento do empregado para guardar as informações, sendo um elemento fundamental no desenvolvimento de controles efetivos para conter possíveis ameaças à segurança, estando entre os instrumentos mais significativos para evitar e detectar os ataques da engenharia social.
Os controles efetivos de segurança devem ser definidas em políticas e procedimentos e implementadas pelo treinamento dos empregados. Entretanto, é importante observar que as políticas de segurança, mesmo que sejam seguidas rigorosamente por todos, não evitam todos os ataques da engenharia social.
Ao desenvolver uma política de segurança, deve-se levar em consideração que existem funcionários que não têm conhecimento da linguagem técnica. Portando, os jargões técnicos não devem ser usados para que o documento possa ser facilmente entendido por qualquer funcionário. O documento também deve deixar bem claro a importância da política de segurança para que dessa maneira os funcionários não encarem isso como perca de tempo. (Caiado, 2008)
Além disso, os empregados devem ser aconselhados sobre as consequências do não-cumprimento das políticas e dos procedimentos de segurança. Um resumo das consequências da violação das políticas deve ser desenvolvido e amplamente divulgado. Por sua vez, um programa de recompensa deve ser criado para os empregados que demonstram boas práticas de segurança ou que reconhecem e relatam um incidente de segurança. Sempre que um empregado for recompensado por frustrar uma quebra de segurança, isso deve ser amplamente divulgado em toda a empresa, como exemplo, um artigo circular da empresa.
Um dos objetivos de um programa de conscientização sobre a segurança é a comunicação da importância das políticas de segurança e o dano que a falha em seguir essas regras pode causar. Dada à natureza humana, os empregados às vezes ignoram ou sabotam as políticas que parecem ser injustificadas ou que demandam muito tempo. A gerência tem a responsabilidade de garantir que os empregados entendam a importância das políticas e sejam motivados para atendê-las, e não as tratar como obstáculos a serem contornados.
É importante notar que as políticas de segurança das informações não podem ser inflexíveis. Uma empresa precisa mudar à medida que surgem novas tecnologias de segurança, e à medida que as vulnerabilidades de
54
segurança evoluem, as políticas precisam ser modificadas ou suplementadas. Um processo de exame e atualização regular deve ser estabelecido. (Mitnick, 2003).
Finalmente, testes periódicos de penetração e avaliações de vulnerabilidade que usam os métodos e as táticas da engenharia social devem ser conduzidos para expor os pontos fracos do treinamento ou a falta de cumprimento das políticas e dos procedimentos da empresa. Antes de usar qualquer tática de teste de penetração simulado, os empregados devem ser avisados de que tais testes podem ocorrer de tempos em tempos. (Mitnick, 2003).
O objetivo central de um programa de conscientização sobre segurança deve influenciar as pessoas para que elas mudem seu comportamento e suas atitudes motivando cada empregado a querer entrar no programa e fazer a sua parte para proteger os ativos de informações da organização. Um ótimo motivador nesse caso é explicar como a participação das pessoas beneficiará não apenas a empresa, mas também os empregados individuais. Como a empresa detém determinadas informações particulares sobre cada funcionário, quando os empregados fazem a sua parte para proteger as informações ou os sistemas de informações, na verdade eles estão protegendo também as suas próprias informações.
Um programa de treinamento em segurança requer um suporte substancial. O esforço de treinamento precisa atingir cada pessoa que tem acesso a informações confidenciais ou aos sistemas corporativos de computadores, deve ser contínuo e ser sempre revisado para atualizar o pessoal sobre as novas ameaças e vulnerabilidades. Os empregados devem ver que a direção está totalmente comprometida com o programa.
Como muitos aspectos da segurança das informações envolvem a tecnologia, é muito fácil para os empregados acharem que o problema está sendo tratado por firewalls e por outras tecnologias de segurança. Um dos objetivos principais do treinamento deve ser a criação em cada empregado da consciência de que eles são a linha de frente necessária para proteger a segurança geral da organização.
O treinamento em segurança deve ter um objetivo significativamente maior do que simplesmente impor regras. O conhecimento das táticas da engenharia social e de como se defender dos ataques é importante, mas não servirá para nada se o treinamento não se concentrar bastante na motivação dos empregados para que usem o conhecimento.
A maioria das empresas precisa de programas de treinamento adaptados aos distintos grupos de colaboradores, tais como: os gerentes, o pessoal de TI,
55
os usuários de computadores, os assistentes administrativos, os recepcionistas e o pessoal de segurança física.
Como o pessoal da segurança física de uma empresa normalmente não é proficiente em computadores, e, exceto talvez de uma forma muito limitada não entre em contato com os computadores da empresa, eles geralmente não são considerados quando da criação de treinamentos desse tipo. Entretanto, os engenheiros sociais podem enganar os guardas de segurança ou outros para que eles lhes permitam a entrada em um prédio ou escritório, ou para que executem uma ação que resulte em uma invasão de computador. Embora os membros da segurança certamente não precisem do mesmo treinamento completo pelo qual passam as pessoas que operam ou usam os computadores, eles não devem ser esquecidos no programa de conscientização sobre a segurança.
Após a sessão de treinamento inicial, sessões mais longas devem ser criadas para educar os empregados sobre as vulnerabilidades específicas e técnicas de ataque relativas à sua posição na empresa. Pelo menos uma vez por ano é preciso fazer um treinamento de renovação. A natureza da ameaça e os métodos usados para explorar as pessoas estão sempre mudando, de modo que o conteúdo do programa deve ser mantido atualizado. Além disso, a consciência e o preparo das pessoas diminuem com o tempo, de modo que o treinamento deve se repetir a intervalos razoáveis de tempo para reforçar os princípios da segurança. Novamente a ênfase precisa estar em manter os empregados convencidos sobre a importância das políticas de segurança e motivados para que as sigam, além de expor as ameaças específicas e os métodos da engenharia social. (Mitnick, 2003)
Neste sentido os seguintes meios de controles, não devem faltar no plano de treinamento dos colaboradores: seminários de sensibilização; cursos de capacitação; campanhas de divulgação da política de segurança; crachás de identificação; procedimentos específicos para demissão e admissão de funcionários; termo de responsabilidade; termo de confiabilidade; software de auditoria de acessos e software de monitoramento e filtragem de conteúdo. (Alves, 2010)
Desta forma, Sêmola, 2014 considera os termos de responsabilidade e confidencialidade, como mais um importante instrumento de sensibilização e formação de cultura que tem o propósito de formalizar o compromisso e entendimento do funcionário diante de suas novas responsabilidades relacionadas a proteção das informações que manipula. Além disso, esse
56
termo se encarrega de divulgar as punições cabíveis por desvios de conduta e, ainda, esclarecer que a empresa é o legitimo proprietário dos ativos, incluído as informações que fluem pelos processos de negócio e ora são temporariamente custodiadas pelas pessoas.
- Termo de Responsabilidade visa resguardar a empresa de
sérios riscos de danos, responsabilizando o colaborador, no exercício de sua função, em casos de pirataria, acesso a dados privativos da empresa, má utilização do hardware e software licenciado, entre outros. Este serviço pode compreender ainda, a elaboração de termos de utilização de e-mails para todos os funcionários, de acordo com a política da empresa, conscientizando-os sobre a responsabilidade decorrente do uso do mesmo.
- Termo de Confidencialidade de Informações visa manter a
confidencialidade das informações obtidas por funcionários e colaboradores no exercício de suas funções. Compreende ainda a conscientização da equipe sobre a importância da padronização de procedimentos para a empresa e para o colaborador, esclarecendo que as informações confidenciais e/ou segredos de negócios podem abranger todo e qualquer dado gerado, coletado ou utilizado nas operações da empresa. Por definição, a engenharia social envolve algum tipo de interação humana. Com frequência, um atacante usa vários métodos de comunicação e tecnologias para tentar atingir o seu objetivo. Por esse motivo, um programa de conscientização bem feito deve tentar abordar alguns ou todos estes itens:
As políticas de segurança relacionadas com senhas de computador
e voice mail.
O procedimento de divulgação de informações ou material
confidencial.
A política de uso do correio eletrônico, incluindo as medidas para
evitar ataques maliciosos de código, tais com vírus, worms e Cavalos de Tróia.
Os requisitos de segurança física, tais como o uso de crachás.
A responsabilidade de questionar as pessoas que estão nas
instalações sem o crachá.
As melhores práticas de segurança para o uso do voice mail.
Como determinar a classificação das informações e as medidas
adequadas para proteger as informações confidenciais.
A eliminação adequada de documentos confidenciais e mídia de
computador que contenham, ou que já tenham contido material confidencial. (Mitnick, 2003)
Da mesma forma, se a empresa pretende usar testes para determinar a eficiência das defesas contra os ataques da engenharia social, um aviso deve ser dado para que os empregados tomem conhecimento dessa prática. Deixe
57
que saibam que em algum momento eles podem receber uma ligação telefônica ou outra comunicação que usará as técnicas do atacante como parte de tal teste. Use os resultados desses testes não para punir, mas para definir a necessidade de treinamento adicional em algumas áreas.
A maioria das pessoas sabe que o aprendizado, mesmo das questões importantes, tende a desaparecer, a menos que seja reforçado periodicamente.
Devido à importância de manter os empregados atualizados sobre o assunto da defesa contra os ataques da engenharia social, um programa constante de conscientização é de importância vital.
Um método para manter a segurança sempre na mente do empregado é fazer com que a segurança das informações seja parte específica da função de todas as pessoas que trabalham na empresa. Isso as encoraja a reconhecer o seu papel crucial na segurança geral da empresa. Caso contrário há uma forte tendência de achar que a segurança "não é problema meu".
Como disse Kevin Mitinick, não existe tecnologia que evite um ataque de um Engenheiro Social, portanto é necessário um treinamento contínuo para que as pessoas sempre saibam quais são as novas técnicas utilizadas e como lidar com cada uma delas.
Outras formas de prevenção da engenharia social são a pesquisas de perfis dos funcionários antes da admissão efetiva na empresa, para se identificar eventuais problemas de conduta de falhas de segurança.
Da mesma forma, a gestão dos perfis de acesso após a contratação dos funcionários deve ser constante, os perfis são amplamente usados por organizações para descrever os atributos de cargos ou indivíduos nos sistemas de informação, devendo estar em constante atualização para que acessos indevidos não ocorram.
REFERÊNCIAS BIBLIOGRÁFICAS