O IMPACTO DA ENGENHARIA SOCIAL EM UMA CORPORAÇÃO1
Guilherme Legal de Oliveira2
Resumo: As corporações estão cada vez mais expostas aos riscos causados pelo vazamento de
suas informações. Esse vazamento poderá́ ser dado através de uma invasão física, lógica ou humana. Um dos grandes problemas, com relação à segurança da informação do ponto de vista humano é a engenharia social, pois através dela o atacante utiliza diferentes métodos para conseguir acesso as informações confidenciais das organizações. Este artigo tem como objetivo colaborar como um instrumento de informação a respeito do tema proposto, abordando a Engenharia Social de maneira a esclarecer o que é realmente essa prática tão utilizada atualmente, com relação ao fator humano, técnicas de ataque e ferramentas de exploração. A presente reflexão recorrerá a uma revisão bibliográfica sobre o tema em questão, a partir de pesquisa teórica em meio eletrônico de materiais publicados em livros, artigos, dissertações e teses. É responsabilidade de qualquer organização educar e treinar seus funcionários sobre vários aspectos de segurança, incluindo políticas de senhas e ameaças de engenharia social, a fim de reduzir o seu impacto sobre a empresa.
Palavras-chave: Riscos. Informação. Segurança. Engenharia social. Fator humano. Técnicas
de ataque.
1 INTRODUÇÃO
Segundo Moreira (2012), a informação é considerada como um dos maiores patrimônios de uma organização nos dias de hoje, e por isso há uma necessidade crescente de protegê-la.
As corporações estão cada vez mais expostas aos riscos causados pelo vazamento de suas informações. Esse vazamento poderá́ ser dado através de uma invasão física, lógica ou humana. Um dos grandes problemas, com relação à segurança da informação do ponto de vista humano é a engenharia social, pois através dela o atacante utiliza diferentes métodos para conseguir acesso as informações confidenciais das organizações.
1 Artigo apresentado como trabalho de conclusão de curso de Pós-Graduação, da Universidade do Sul de Santa Catarina. Orientador: Luiz Otavio Botelho Lento, Mestre. Blumenau, 2017.
Práticas que permitem o acesso não autorizado a dados, lugares, objetos e entre outros, fragiliza a segurança da informação, uma vez que as pessoas acabam tendo acesso às informações indevidas, colocando em risco a segurança. A questão comportamental pode afetar significativamente as demais medidas de segurança, por mais modernas que elas sejam (SILVA, M.; COSTA, 2009).
Segundo Macêdo (2017), a engenharia social pode ter muitos resultados potenciais em uma organização, alguns óbvios e outros menos, como por exemplo: perda econômica, danos de boa vontade, perda de privacidade, terrorismo, ações judiciais e arbitragens, encerramento temporário ou permanente da organização, entre outros. Como perda econômica um atacante ou engenheiro social pode fazer com que uma empresa ou organização perca dinheiro por engano, perda de produtividade ou roubo de identidade.
Um atacante vai procurar por alvos de oportunidade ou vítimas potenciais que têm mais a oferecer. Alguns objetivos comuns incluem recepcionistas, pessoal de help desk, usuários, executivos, administradores de sistemas, fornecedores externos e até mesmo pessoal de manutenção (MACÊDO, 2017).
O artigo teve como objetivo evidenciar os impactos da engenharia social em uma corporação. A metodologia utilizada foi a pesquisa aplicada teórica e experimental, com a simulação de eventos que serão explanados nas próximas seções, sendo qualitativa e aplicada, a fim de gerar conhecimentos para aplicação prática, dirigidos à solução de problemas específicos.
1.1 INFORMAÇÃO E SEGURANÇA DA INFORMACÃO
Intensamente conectado pelas redes de telecomunicações, o mundo globalizado considera como de vital importância, a informação dentro de uma organização moderna. Para manterem-se competitivas no mercado, essas organizações devem gerenciar e proteger suas informações (MOREIRA, 2012). E para Schneier apud Mitnick e Simon (2003, p.16) a segurança não é um produto, ela é um processo.
A TI está presente cada vez mais no dia-a-dia das pessoas e das empresas, e a informação é o ativo fundamental nessa chamada “Era da Informação”. O ambiente empresarial está mudando continuamente, sendo cada vez mais dependentes de informação e
de toda a infraestrutura tecnológica que permite o gerenciamento de grandes quantidades de dados.
Para manter a segurança da informação é necessário seguir procedimentos e adequações que não são voltadas somente a quem trabalha com a TI, mas sim com todos que trabalham com a informação. Esses processos consistem em: treinamento de pessoas, tecnologia utilizada e processos (CAPISTRANO, 2011).
De acordo com Peixoto (2012) é necessário buscar as vulnerabilidades do sistema de informação, avaliar os riscos e impactos para providenciar medidas que intensifiquem a segurança da informação e prover seus princípios elementares que são: integridade, confidencialidade e disponibilidade. Peixoto (2006) define os três pilares básicos, da seguinte maneira:
a) Integridade: É a garantia de que as informações não sofreram nenhuma modificação durante o trajeto, garantindo assim a sua real veracidade após chegarem ao destino;
b) Confiabilidade: É a garantia de que as informações transmitidas chegarão ao seu destino sem que se dissipem para outro lugar no qual não deveria passar;
c) Disponibilidade: Não adianta possuir integridade e confidencialidade, se a informação não está disponível. Então o desafio é manter a estrutura de passagem de informações de maneira confiável e integra, sem que já impossibilidade de captar as informações.
Para Moreira (2012) os elementos mais frágeis dos sistemas de informação são as pessoas, portanto, os conceitos referentes à segurança da informação devem ser compreendidos e seguidos por todos os funcionários de uma instituição, em todos os níveis hierárquicos.
1.1.1 Engenharia Social
Conforme menciona Peixoto (2006, p.36) a engenharia social, está inserida como um dos desafios (se não o maior deles) mais complexos no âmbito das vulnerabilidades encontradas na gestão da segurança da informação.
Muitos são os significados e interpretações dadas ao termo “Engenharia Social”. Uma das melhores encontradas é a de Konsultex, (2004) apud Peixoto, (2006, p. 04):
Engenharia Social é a ciência que estuda como o conhecimento do comportamento humano pode ser utilizado para induzir uma pessoa a atuar segundo seu desejo. Não se trata de hipnose ou controle da mente, as técnicas de Engenharia Social são amplamente utilizadas por detetives (para obter informação) e magistrados (para comprovar se um declarante fala a verdade). Também é utilizada para lograr todo tipo de fraudes, inclusive invasão de sistemas eletrônicos.
Os principais aspectos que favorecem o sucesso da Engenharia Social são a falta de consciência das pessoas a respeito das técnicas de Engenharia Social e o seu excesso de autoconfiança.
1.1.2 Principais vulnerabilidades
As vulnerabilidades estão presentes no dia-a-dia das organizações, apresentando-se nas mais diversas áreas. Identificar as vulnerabilidades e os impactos que podem causar nos negócios é fundamental para implantar medidas adequadas de segurança.
De acordo com Peixoto (2006), os principais tipos de vulnerabilidades existentes podem ser do tipo:
a) Naturais: danos naturais, como tempestades, incêndio, falta de energia, acúmulo de pó, aumento da umidade e temperatura podem causar danos aos computadores; b) Físicas: salas de computadores mal planejadas e estruturas de segurança fora dos
padrões exigidos;
c) Hardware: desgastes do equipamento ou má utilização;
d) Software: má instalação, erros de configuração ou vazamento de informações; e) Mídias: cds podem ser perdidos ou danificados, e a radiação eletromagnética pode
causar danos irreparáveis nas mídias;
f) Comunicação: perda de comunicação ou acessos não autorizados;
g) Humanas: técnicas de engenharia social, a falta de treinamentos, conscientização e o não cumprimento das políticas de segurança.
1.1.3 Fator Humano
Segundo Kevin Mitnick:
Os indivíduos podem seguir cada uma das melhores práticas de segurança recomendadas pelos especialistas, podem instalar cada produto de segurança recomendado e vigiar muito bem a configuração adequada do sistema e a aplicação das correções de segurança. Esses indivíduos ainda estarão completamente vulneráveis. (MITNICK; SIMON, 2003, p. 3).
Para TecMundo (2008) boa parte das pessoas possuem perfis e contas em redes sociais, o que facilita a engenharia social criminosa. É preciso ser cuidadoso ao criar perfis em sites de relacionamento, com relação aos dados fornecidos ali. Não é recomendado informar telefones, endereços, emprego e qualquer tipo de informação pessoal no perfil.
Peixoto (2006) afirma que se todo funcionário fosse questionador como uma criança, demonstrando interesse aos detalhes, atenção a tudo a sua volta, e principalmente fazendo o uso dos “porquês”, com certeza muitos ataques poderiam ser evitados.
1.1.4 Engenheiro Social
Um engenheiro social experiente pode ter acesso a praticamente qualquer informação alvo usando as estratégias e táticas da sua habilidade (MITNICK; SIMON 2003, p. 18). O engenheiro social não escolhe hora, tempo ou dia para realizar o ataque, ele simplesmente analisa o melhor momento para conseguir informações de um jeito fácil.
Eles são educados, charmosos, agradam facilmente, e ao adquirir a confiança de sua vítima, suas chances de sucesso são maiores ainda. O engenheiro social age em diversas características do ser humano (vontade de ser útil, busca por novas amizades, propagação de responsabilidade e persuasão), e de acordo com cada uma delas, sua tática é diferente.
A tabela 1 exibe os tipos de intrusos e seus respectivos objetivos ao utilizar a engenharia social (POPPER; BRIGNOLI, 2002).
Tabela 1 - Tipos de intrusos
Intrusos Objetivos
Estudantes Bisbilhotar mensagens de correio eletrônico de outras pessoas por diversão; Hackers/Crackers Testar sistemas de segurança, ou roubar informações;
Representantes
Comerciais Descobrir planilhas de preços e cadastro de clientes; Executivos Descobrir plano estratégico dos concorrentes; Ex-funcionários Sabotagem por vingança;
Contadores Desfalques financeiros;
Corretores de valores Distorcer informações para lucrar com o valor das ações;
Vigaristas Roubar informações, como senhas e números de cartões de crédito;
Espiões Descobrir planos militares;
Terroristas Espalhar pânico pela rede e roubo de informações estratégicas. Fonte: POPPER; BRIGNOLI, 2002.
PEIXOTO (2006) e FONSECA (2009) descrevem como as principais ferramentas utilizadas pelo engenheiro social os seguintes itens:
a) Telefone ou VolP (voz sobre IP): passar-se por alguém que não é, o engenheiro pode passar-se por um help desk, por exemplo;
b) E-mail: fakemail, e-mails falsos e os famosos phishing scam;
c) Fax: primeiramente, obter o número do fax da pessoa física ou jurídica para que se possa começar o ataque;
d) Pessoalmente (In Person Social Engineering): poder de persuasão, habilidade em saber conversar, tipo de ataque mais raro;
e) Chats (bate papo): fazer-se passar por alguém que na verdade não é, sendo muito mais fácil pelos canais de bate-papo;
f) Cartas/correspondência: não é o meio mais moderno, mas, é um recurso poderoso que faz como uma das maiores vítimas as pessoas mais velhas;
g) Spyware: software "espião" usado para monitorar de modo oculto as atividades do computador de um alvo;
h) Mergulho no lixo (Dumpster diving): várias coisas que são descartadas para o lixo muitas vezes contêm informações essenciais ao suposto engenheiro social;
i) Surfar sobre os ombros: é o ato de observar uma pessoa digitando no teclado do computador para descobrir e roubar sua senha ou outras informações de usuário;
j) Internet (coleta de informações): como, por exemplo, sites que fornecem id; k) Intranet (acesso remoto): por exemplo, por acesso remoto, capturando-se o micro
de determinado usuário da rede e se passando por alguém que na verdade não é; l) P2P (Peer-to-Peer): tecnologia empregada para estabelecer comunicação entre
inúmeros computadores, como uma rede, no qual cada estação possui capacidades e responsabilidades equivalentes.
1.1.5 Programas de treinamento e conscientização
As organizações realizam grandes investimentos em tecnologias para proteger seus ambientes e sistemas, porém de nada adiantará se o fator humano for deixado em segundo plano. A conscientização é fundamental, sem ela, a organização corre um enorme risco, pois as vulnerabilidades humanas são evidentes e bem exploradas pelos engenheiros sociais. O treinamento deve ter um objetivo significativamente maior do que simplesmente impor regras.
Os colaboradores devem ser treinados e educados sobre quais são as informações que devem ser protegidas e como devem protegê-lá, pois com isso estarão aptos a identificar situações de riscos, como um ataque de um engenheiro social.
Para criar e disseminar essa consciência as organizações devem criar e divulgar suas políticas, normas e procedimentos de segurança da informação, sendo que o objetivo de um programa de conscientização sobre segurança é influenciar os funcionários a mudarem seus comportamentos e suas atitudes, motivando cada empregado para fazer a sua parte na proteção dos ativos de informações da organização.
Também é interessante divulgar amplamente por toda empresa através de circulares internas, boletins periódicos on-line ou pela própria Intranet, os casos frustrados de quebra de segurança onde um funcionário atuou de maneira correta evitando algum sinistro. (MITNICK; SIMON, 2003).
A Política de Segurança de informática compreende itens relacionados a segurança da informação relacionada a utilização da estrutura, contemplando: política de utilização da rede, administração de contas, senhas, e-mail, acesso a Internet, uso das estações de trabalho, utilização de impressoras, e etc.
No universo da segurança da informação, o assunto senhas está presente no nosso dia a dia e atualmente nossa vida está cercada de senhas: correio eletrônico, bancos, redes sociais, dentre outros (BARBETTI, 2014).
A política de senhas é um fator muito sensível dentro das corporações, nos quais, devem ser elaboradas e seguidas pelos colaboradores que utilização os recursos de informação dentro da empresa. A senha é a forma mais convencional de identificar o acesso de cada usuário aos recursos liberados. Logo, o vazamento ou mau uso da gestão destas senhas implicam em grandes riscos de exposição, vazamento ou quebra de serviços e arquivos.
Segundo Barbetti (2014), uma característica importante de ser implementada é a criação de histórico de senhas. Devem ser definidas regras para que o usuário troque pelo menos 3 ou 4 caracteres da senha anterior. Não permitindo que ele utilize a mesma combinação de strings e só altere um número.
2 APLICAÇÃO – EXEMPLO DE ATAQUE
2.1 TÉCNICAS E FERRAMENTAS DE COMPUTAÇÃO PARA ENGENHARIA SOCIAL
Neste capítulo será exemplificado algumas técnicas e exemplos de ferramentas computacionais utilizadas por um engenheiro social. A demonstração será em âmbito acadêmico, ou seja, não acarretará qualquer problema na legislação vigente sobre o uso ilegal de tais ferramentas ou técnica de engenharia social. Com esta finalidade, no exemplo a seguir, o autor será o atacante e a própria vítima.
2.1.1 Alvo
O alvo a ser atacado é a primeira informação levantada pelo engenheiro social, no qual os motivos podem ser diversos, ou até mesmo sem nenhuma razão aparente, sendo apenas por diversão ou como parte de um ataque em massa.
Neste artigo um cenário fictício foi montando onde o alvo será o aluno Guilherme Legal de Oliveira, acadêmico do curso de especialização em Gestão de Segurança da Informação da Universidade do Sul de Santa Catarina e colega de turma do atacante.
2.1.2 Objetivo
O objetivo principal da simulação será utilizar a arte da manipulação para conseguir capturar a senha de e-mail e serviços derivados do alvo definido. Atualmente o e-mail é um recurso obrigatório para cadastro em diversos serviços, ou seja, possuir acesso a uma conta de e-mail poderá levar o atacante para demais acessos como em redes sociais, ou então, à serviços de pagamento como Pagseguro, Mercadopago e entre outros.
2.1.3 Coleta de dados
A coleta de dados através do atacante (engenheiro social) pode ser realizada de várias maneiras, utilizando ferramentas ou não. Costuma ser um erro grande de muitos usuários e empresas instalarem equipamentos como firewalls de nova geração, soluções UTM, antivírus ou qualquer outra ferramenta de segurança disponível no mercado, e considerarem imunes, salvos de ataques do gênero.
Muitos usuários exibem dados sensíveis ao público geral, não percebendo o perigo iminente ao redor. O engenheiro social aproveita essa vulnerabilidade para estruturar o ataque e realizar sua coleta de dados de forma simples, rápida e não evasiva, sendo considerados que os dados são públicos.
Definido o alvo, o engenheiro social busca dados que auxiliam na sua meta, neste caso, a senha de e-mail do colega Guilherme Legal de Oliveira. No Ambiente Virtual de
Ensino (EVA) da Universidade do Sul de Santa Catarina, o aluno Guilherme publicou em seu perfil dados sensíveis que podem ser usados para ataques, conforme a figura 1.
Fonte: Autor, 2017.
Analisando o perfil público do usuário, o atacante pode separar os dados pertinentes para estruturação do seu ataque, como: data de aniversário, e-mails, profissão, residência, vida acadêmica e empresa no qual trabalha.
2.1.4 Escolha das técnicas
Ao finalizar a coleta de dados, o engenheiro social deve ter a percepção para escolher qual ou quais técnicas irá utilizar para realizar seu ataque. Na simulação apresentada, o engenheiro social descartou algumas técnicas que não terão efetividade em seu ataque, como por exemplo:
a) Técnica de baiting: segundo Proof (2017) deixam à disposição do usuário um dispositivo infectado com malware, como um pen-drive ou um CD. Como não há interação física com o alvo esta técnica foi eliminada;
b) Caller ID spoofing: consiste em alterar o número de identificação de uma chamada telefônica. Como o número de contato telefônico do alvo não foi coletado esta técnica não será passível de execução.
Uma técnica executável é a chamada de e-mail phishing3, a qual é antiga, porém muito efetiva. A mesma consiste em produzir comunicações fraudulentas que podem ser interpretadas como legítimas pela vítima por alegarem ser de fontes confiáveis. Compete ao engenheiro social lançar um conteúdo convincente que leve a vítima ao erro, sendo possível mesclar técnicas para aumentar o nível de eficiência do ataque, como por exemplo, utilizar o e-mail spoofing para mascarar o e-mail original, apresentando-se como outra pessoa, sendo um contato pessoal ou alguém que a vítima confie.
2.1.5 Ferramentas
Atualmente existem inúmeras ferramentas computacionais disponíveis no mercado voltadas à engenharia social. Cada ferramenta é enfocada a uma determinada técnica, como o exemplo do software Maltego, que realiza coletas de informações de fontes públicas, ou o software Caller ID Spoofing, que consegue alterar o número de identificação de uma chamada telefônica com a finalidade de mascarar ou até mesmo de apresentar-se como outra pessoa, alterando o número original da chamada. Porém, quando o assunto é engenharia social uma das ferramentas mais conhecida e utilizada é o SET - Social Engineer Toolkit, no qual exibe um conjunto de ferramentas projetadas para executar ataques avançados contra o elemento humano.
3 O termo phishing foi criado em meados de 1996 por cibercriminosos que praticavam roubo de contas da AOL (América Online). Após um ano, em 1997 tornou-se popular.
2.1.6 Explorando o alvo
A exploração do alvo consiste em utilizar as melhores técnicas para obtenção da meta, com relação ao caso apresentado. Portanto, o engenheiro social dispões de ferramentas digitais ou não para o ataque, porém, neste exemplo a distribuição Linux chamada Kali, será a caixa Debian. O mesmo foi desenvolvido e é mantido pela equipe da Offensive Secuity, empresa especialista na área de segurança da informação. O Kali possui mais de 300 ferramentas nativas voltadas aos testes de invasão, penetração, força bruta, forense, engenharia social entre outras (KALI LINUX, 2017).
Figura 2 - Ferramentas nativas no Kali Linux
Fonte: Autor, 2017.
Para a técnica de exploração escolhida, e-mail phishing, a ferramenta a ser utilizada será o SET - Social Engineer Toolkit, no qual possui entre as suas diversas funções, a opção de clonar um determinado site, interceptando o fluxo e o conteúdo dos campos digitados pelo alvo. A figura 3 demonstra a tela inicial do SET, sendo que a opção de ataque escolhida foi a Credential Havester Attack Method, acessível pelo menu Social-Engeneering Attacks > Website Attack Vectors > Credential Havester Attack Method, conforme mostra a figura 4.
Figura 3 - Tela Inicial SET- Social-Engineer Toolkit
Fonte: Autor, 2017. Figura 4 - Menu SET
Fonte: Autor, 2017.
O site escolhido para ser clonado foi o portal de autenticação da GOOGLE, porque, o atacante pretende conseguir as credencias vinculadas ao e-mail “gloliveira1701@gmail.com”, obtido na fase de coleta de dados. Para um ataque bem-sucedido o engenheiro social, precisa ter boas práticas de persuasão, levando o alvo a realizar uma ação que o exponha sem perceber os riscos.
Neste caso, foi preparado um cenário, no qual o alvo e o atacante são colegas de sala e no portal da Instituição de Ensino está disponível os perfis de todos os alunos da turma, sendo que cada estudante pode exibir o conteúdo desejado. Uma boa prática para o atacante é se passar por alguém que o alvo confie, logo, o denominador comum e conhecido por todos da turma, é o professor.
Com a estratégia definida, o atacante pode optar por empregar técnicas como o e-mail spoofing, no qual existem diversos meios para utilização, aumentando as chances de atingir a meta do ataque. Neste cenário será utilizado o site “www.emkei.cz”, conforme apresentado na figura 9, que consegue entregar tais serviços de forma gratuita.
Para exemplificar, é suposto o seguinte e-mail para o professor “luiz@unisul.br”, sendo que, para a realização do ataque foi sugerido enviar um e-mail ao alvo, solicitando a elaboração de um serviço. Na fase de coleta de dados, observou-se que o alvo é Engenheiro de Telecomunicações e utiliza o e-mail “gloliveira@protonmail.com” para tais finalidades.
Figura 5 - Serviço de e-mail spoofin EMKEI’s
Fonte: Autor, 2017.
O atacante empregou uma forma de comunicação simples e amigável, persuadindo o alvo a acessar o link enviado. Ao receber o contato, o alvo acredita ser legítimo devido ao endereço de e-mail ser de seu professor, conforme a figura 6. Ao acessar o link, o mesmo é redirecionado para a página clonada pela ferramenta SET.
Figura 6 - Falso e-mail originado pelo site EMKEI’s
Fonte: Autor, 2017.
Muitos usuários de maneira geral, não analisam todo o conteúdo da página e não percebem as informações essenciais, como o endereço correto da página, conforme mostra a figura 7.
Figura 7 - Página dos serviços da Google clonada pela ferramenta SET
Fonte: Autor, 2017.
Em seguida do alvo digitar suas credencias de acesso na página clonada, o atacante recebe todos os dados dentro da fermenta SET, conforme figura 8, comprovando assim a eficácia de seu ataque.
Figura 8 - Dados clonados do alvo
Fonte: Autor, 2017.
2.1.7 Análise e estratégias de combate
Como solução disponível, as organizações devem educar e treinar os funcionários, para serem capazes de identificar as situações de riscos, sendo que, para propagar essa consciência as empresas devem criar e divulgar suas políticas, normas e procedimentos de segurança da informação, através de programas de conscientização e treinamento contínuo para que as pessoas sempre conheçam quais são as novas técnicas utilizadas e como lidar com cada uma delas.
A combinação de várias estratégias de defesa, pode ser a saída para atingir o nível de segurança desejado em função do seu tipo de negócio. Procedimento, monitoração, firewall, filtro de conteúdo, detecção de intrusos, testes de invasão, no qual permite a manutenção segura e preventiva em prol da Segurança da Informação, software, configurações, hardware, backup, e outras técnicas são empregadas para mitigar as vulnerabilidades organizacionais, com objetivo de reduzir a probabilidade de ocorrência de ameaças e, por conseguinte, os incidentes de segurança das informações.
No exemplo de ataque aplicado, é necessário identificar quais controles devem ser implementados, requerendo um planejamento e uma atenção cuidadosa em nível de detalhes. A atenção humana inadequada também possibilitou que o ataque ocorresse, no qual a Engenharia Social se prevaleceu.
As corporações podem utilizar diferentes práticas a favor da fiscalização e do direcionamento do comportamento dos colaboradores como auditorias de e-mails, relatórios gerenciais de sites acessados, avaliação comportamental e exploração de clima.
Na tabela 2, estão expostas as principais áreas de risco de uma empresa, as táticas mais comuns usadas pelos hackers e também algumas estratégias de combate (POPPER; BRIGNOLI, 2002).
Tabela 2 –Áreas de Riscos
Área de Risco Tática do Hacker Estratégia de Combate
Suporte de informática Representação e persuasão;
Desenvolver na empresa uma política de mudança frequente de senhas e treinar os demais funcionários para nunca passarem senhas ou outras informações confidenciais por telefone;
Entrada de edifícios Acesso físico não autorizado;
Treinar os funcionários da segurança para não permitirem o acesso de pessoas sem o devido crachá́ de identificação e mesmo assim fazer uma verificação visual;
Suporte telefônico
Usar de disfarces na hora de solicitar ajuda aos atendentes, geralmente se passando por outra pessoa;
Os atendentes devem solicitar sempre um código de acesso, para só́ então prestarem o suporte solicitado;
Escritórios Caminhar pelos corredores à procura de salas desprotegidas;
Todos os visitantes devem ser acompanhados por um funcionário da empresa;
Sala de correspondência Inserção de mensagens falsas; Fechar e monitorar a sala de correspondência;
Sala dos servidores
Instalam programas analisadores de protocolo para conseguirem informações confidenciais, além da remoção de equipamentos;
Manter sala dos servidores sempre trancada, e o inventário de equipamentos atualizado;
Central telefônica Roubar acesso a linhas telefônicas;
Controlar chamadas para o exterior e para longas distâncias, e recusar pedidos de transferências suspeitas;
Depósito de lixo Vasculhar o lixo;
Guardar o lixo da empresa em lugar seguro, triturar todo tipo de documento, e destruir todo o tipo de mídia magnética fora de uso;
Internet e intranet Criar e/ou inserir programas na Internet
ou intranet para capturar senhas;
Criar senhas fortes e fazer uso consciente da mesma, alterando-a periodicamente. Os modens nunca devem ter acesso a intranet da empresa;
Escritório Roubar documentos importantes;
Manter os documentos confidenciais fora do alcance de pessoas não autorizadas, de preferência em envelopes fecha
4 CONCLUSÃO
Com base nas pesquisas bibliográficas realizadas, é possível concluir que o fator humano persiste como uma relevante fragilidade dentro da segurança da informação. O engenheiro social se aproveita de falhas humanas para obter informações, uma vez que nas organizações ainda existem profissionais não conhecedores da engenharia social que apresentam atitudes que colocam em risco a segurança das informações, no qual não estão aptos para perceber o ataque e inconscientemente podem compartilhar informações sigilosas e privadas.
As ferramentas de engenharia social estão disponíveis, e o uso consciente e planejado delas é que faz a diferença. Uma pessoa não precisa dominar a tecnologia para saber se está sofrendo um ataque ou não, inicialmente é necessário aprender a se questionar em momentos cruciais. A falta de treinamento ou treinamento insuficiente sobre a engenharia social pode ser uma grande fonte de problemas, por isso, quanto mais bem preparados estiverem os funcionários da empresa mais segura ela estará.
A engenharia social pode ter muitos resultados potenciais em uma organização, alguns claros e outros menos, portanto, a rede mundial de computadores deve ser considerada como um ambiente hostil, no qual é preciso circular cercando-se de todas as precauções. E as boas práticas e políticas que tangem a segurança da informação também devem ser altamente utilizadas pela corporação com o intuído de mitigar eventos indesejáveis.
REFERÊNCIAS
FONSECA, Paula Fernanda. Gestão de Segurança da Informação: O Fator Humano.
2009. Disponível em:
<http://www.ppgia.pucpr.br/~jamhour/RSS/TCCRSS08A/Paula%20Fernanda%20Fonseca%2 0-%20Artigo.pdf>. Acesso em: 29 maio 2017.
MACÊDO, Diego. O que é Engenharia Social? 2017. Disponível em:
<http://www.diegomacedo.com.br/o-que-e-engenharia-social/>. Acesso em: 19 maio 2017. MITNICK, Kevin D.; SIMON, William L. Mitnick: A Arte de Enganar. São Paulo: Pearson Makron Books, 2003.
MOREIRA, Ademilson. A importância da segurança da informação, 2012. Disponível em: <http://www.oficinadanet.com.br/artigo/1124/a_importancia_da_seguranca_da_informacao >. Acesso em: 02 maio 2017.
PEIXOTO, Mário. Segurança da informação: Vale muito aplicar a ISO 27002, 2012. Disponível em: < http://webinsider.com.br/2012/11/12/seguranca-da-informacao-vale-muito- aplicar-a-iso-27002/>. Acesso em 14 maio 2017.
PEIXOTO, Mário C. P. Engenharia Social e Segurança da Informação na Gestão
Corporativa. Rio de Janeiro: Brasport, 2006.
POPPER, Marcos Antonio; BRIGNOLI, Juliano Tonizetti. ENGENHARIA SOCIAL: Um Perigo Eminente. [2002]. 11 f. Monografia 118 (Especialização)– Gestão Empresarial e Estratégias de Informática, Instituto Catarinense de Pós- Graduação – ICPG, [S.l.], [2002]. Disponível em: http://www.posuniasselvi.com.br/artigos/rev03-05.pdf. Acesso em: 19 jun. 2017.
PROOF (Brasil). ATAQUES DE ENGENHARIA SOCIAL: TUDO QUE VOCÊ PRECISA SABER. Disponível em: <http://www.proof.com.br/blog/ataques-de-engenharia-social/>. Acesso em: 19 jun. 2017.
SANTOS, Luciano A. L. O impacto da engenharia social na segurança da informação. 2004. 82 f. Monografia (Especialização)– Universidade Tiradentes, Aracaju, 2004. Disponível em:
<http://thehell.org/thehell/apostilas/O%20impacto%20da%20engenharia%20social%20na%2 0seguran%E7a%20da%20informa%E7ao.pdf>. Acesso em: 14 maio 2017.
SILVA, Maicon H. L. F. da; COSTA, V. A. de S. F. O fator humano como pilar da
Segurança da Informação: uma proposta alternativa. Serra Talhada (PE), 2009. Disponível
em: <http://www.eventosufrpe.com.br/jepex2009/cd/resu mos/R0052-3.pdf>. Acesso em: 28 abr. 2017.
TECMUNDO. Cuidado com a Engenharia Social: saiba dos cuidados necessários para não
cair nas armadilhas dos engenheiros sociais. Disponível em:
<http://www.tecmundo.com.br/msn- messenger/1078-cuidado-com-a-engenharia- social.htm>. Acesso em: 05 jun. 2017.
