• Nenhum resultado encontrado

DOCUMENTO PROTEGIDO PELA LEIDE DIREITO AUTORAL

N/A
N/A
Protected

Academic year: 2021

Share "DOCUMENTO PROTEGIDO PELA LEIDE DIREITO AUTORAL"

Copied!
40
0
0

Texto

(1)

UNIVERSIDADE CANDIDO MENDES

AVM – FACULDADE INTEGRADA

PÓS-GRADUAÇÃO LATO SENSU

ENGENHARIA SOCIAL EM TEMPOS DE CRISE: UM DESAFIO

PARA AS EMPRESAS DE PEQUENO E MÉDIO PORTE

Jefferson Oliveira de Freitas

ORIENTADOR: Prof. (Luciana Madeira)

Rio de Janeiro 2016

(2)

UNIVERSIDADE CANDIDO MENDES

AVM – FACULDADE INTEGRADA

PÓS-GRADUAÇÃO LATO SENSU

Apresentação de monografia à AVM Faculdade Integrada como requisito parcial para obtenção do grau de especialista em Auditoria e Controladoria.

Por: Jefferson Oliveira de Freitas

ENGENHARIA SOCIAL EM TEMPOS DE CRISE: UM DESAFIO

PARA AS EMPRESAS DE PEQUENO E MÉDIO PORTE

Rio de Janeiro 2016

(3)

AGRADECIMENTOS

Primeiramente a Deus que sempre foi a minha força maior. Aos meus familiares, amigos e namorada.

(4)

DEDICATÓRIA

Dedica-se a todos que sempre torceram pelo meu crescimento. Sem vocês, eu jamais conseguiria.

(5)

RESUMO

No mundo de hoje, é difícil imaginar uma empresa operando sem a que a influência da tecnologia, principalmente quando envolve dinamismo nas transmissões dos dados. A globalização conecta tudo e todos com apenas um clique.

No entanto, a tecnologia vem atrelada a desafios e cuidados para que a segurança dos dados seja preservada da melhor forma possível, como por exemplo, os efeitos catastróficos da Engenharia Social. O Engenheiro Social utiliza-se de técnicas de influência e persuasão para ludibriar pessoas e atingir seus objetivos.

Diante disso, surge o questionamento: em meio a grave crise econômica e financeira do Brasil, as empresas de pequeno e médio porte podem mitigar o impacto da Engenharia Social?

Sim. Podem! Ao contrário que diversos empresários pensam, a melhor forma de tentar coibir possíveis ataques da Engenharia Social é investir no capital humano, pois o ser humano é o ponto mais vulnerável de qualquer sistema de informação.

Capacitar e desenvolver os colaboradores atrelados a uma política de segurança consistente é o caminho “mais em conta” que as empresas de pequeno e médio porte devem adotar para a preservação dos seus bens intangíveis.

(6)

METODOLOGIA

O desenvolvimento do trabalho baseou-se na metodologia de pesquisas bibliográficas, leituras de artigos e publicações em meios digitais e consultas em endereços eletrônicos de instituições conceituadas, tais como: o ABNT, SEBRAE, Instituto Brasileiro de Governança Corporativa, Controladoria Geral da União, Centro de Estudo, Resposta e Treinamento de Incidentes de Segurança no Brasil e outros.

(7)

SUMÁRIO

INTRODUÇÃO 08

CAPÍTULO I

A Tecnologia no Mundo Corporativo 10

CAPÍTULO II

A Arte da Engenharia Social 16

CAPÍTULO III

Combate ao Perigo da Engenharia Social 25

CONCLUSÃO 36

BIBLIOGRAFIA 38

ÍNDICE 39

(8)

INTRODUÇÃO

Em pleno século XXI, é difícil imaginar uma empresa que não utilize a informática como ferramenta de trabalho. O artifício da tecnologia traz para as empresas a velocidade na troca de informações; aumento na produtividade; proximidades com fornecedores, parceiros comerciais e os clientes; entre outros benefícios.

No entanto, para que as instituições desfrutem de todos os benefícios atrelados à tecnologia, é necessário investimentos em infraestrutura, softwares e treinamento de pessoal, já que tudo está contido na grande rede.

Cada detalhe é extremamente importante para que as empresas busquem, mantenham-se e alavanquem o sucesso, principalmente no mundo dinâmico e competitivo em que vivemos. Dentro de cada estratégia, um dos detalhes primordiais é o chamado segredo empresarial, pois representa uma vantagem competitiva para as instituições que o detenha.

O que muitas empresas ainda não enxergaram que não bastam apenas investimentos para resguardar exposição de invasores virtuais. Hoje, o elemento mais vulnerável de qualquer sistema de segurança da informação é o fator humano, o qual possui traços comportamentais e psicológicos que o torna suscetível a ataques de criminosos chamados Engenheiro Social. Segundo Kevin MItnick (A Arte de Enganar; pag. 3), o fator humano é o elo mais fraco da segurança.

Diante do exposto, surge a questão central desse trabalho: Em meio a grave crise econômica e financeira do Brasil, as empresas de pequeno e médio porte podem mitigar o impacto da Engenharia Social?

A escolha do tema deu-se através da complexidade e importância para as pequenas e médias empresas, principalmente nos dias de hoje: mercado competitivo, escassez de recursos, profissionais pouco treinados, etc. O tema é amplamente discutido no campo da segurança da informação, baseando-se em mitigar falhas de segurança de pessoas e organizações.

(9)

No entanto, todos esses esforços para mitigar os impactos gerados pela Engenharia Social demandam investimentos, principalmente em mudança de cultura, política de segurança, treinamento e conscientização de todos os colaboradores.

Ao longo do trabalho será detalhada toda a complexidade em lidar como os Engenheiros Sociais e seus danos que em muitos casos se tornam irreparáveis para as empresas de pequeno e médio porte.

O impacto da tecnologia bem como a importância do segurança da informação nas empresas será o tema central do capítulo I; apresentação detalhada do conceito, forma de atuação e tipos de ataques gerados pela Engenharia Social serão abordados no Capítulo II; o capítulo III será destinado à forma de como as empresas devem se prevenir dos ataques e mitigar os possíveis riscos dos Engenheiros Sociais.

(10)

CAPÍTULO I

A TECNOLOGIA NO MUNDO CORPORATIVO

Em um mundo que diariamente urge a necessidade de transmissão cada vez mais dinâmica das informações, a tecnologia desempenha um papel fundamental e se torna crucial para o mundo corporativo. Vivemos em um planeta conectado, que oferece infinitas opções de comunicação, e isso mudou profundamente o cenário dos negócios, gerando novas oportunidades bem como novos desafios e cuidados.

Além de todos os benefícios atrelados à tecnologia (velocidade e eficiência nas informações sem precedentes, contatos dinâmicos com clientes, colaboradores e fornecedores, entre outros), as empresas precisam lidar com determinadas situações de perigo, identificando e protegendo seus dados.

1.1. A importância da Segurança da informação para as

pequenas e médias empresas no Brasil.

De acordo com Peixoto (2006), “O termo segurança da informação pode ser designado como uma área do conhecimento que salvaguarda os chamados ativos da informação, contra acessos indevidos, modificações não autorizadas ou até mesmo sua não disponibilidade” (p.37).

O NBR ISO/IEC 17799:2001, pág 2, descreve a segurança da informação assim:

Segurança da informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio.

O grande desafio das empresas brasileiras é como lidar com o vazamento das informações no cenário econômico atual do país, resumindo: gerir com recursos cada vez mais escassos.

(11)

Segundo a pesquisa realizada pela empresa PwC (2014) sobre segurança da Informação (figura 1), “no Brasil, a ação de hackers e concorrentes é quase 10% maior do que no restante do mundo”. A pesquisa também relata que o principal impacto gerado por esse problema, está relacionando ao comprometimento dos registros dos clientes e não dos empregados, como acontece no resto do mundo.

Ainda de acordo com pesquisa supracitada, empresas brasileiras não investem na prevenção dos seus dados com base nas possíveis perdas financeiras que um ataque pode gerar ao explorar uma fraqueza da companhia e sim com recursos limitados fortemente influenciados pela economia brasileira.

Figura 1 – Impactos dos incidentes de segurança

Fonte: Pesquisa Global de Segurança da Informação 2014 - PcW

Diante do exposto, a segurança da informação é o bem intrínseco mais importante das corporações, pois resguarda o diferencial competitivo, informações sigilosas e até mesmo dados para tomadas de decisões e devem ser preservados unindo investimentos em tecnologia com o treinamento de pessoal.

(12)

1.1.1. Principais Riscos e Ameaças à Segurança da Informação.

Todo conteúdo que circula dentro e fora das empresas deve ser protegido para manter sua confidencialidade, disponibilidade e integridade. Contudo, a segurança da informação pode ser afetada por uma gama de fatores, como: ambientais/infraestrutura, comportamentais do usuário e por Engenheiros Sociais.

Como exemplo de falhas ambientais/infraestrutura:

• Forças da natureza: Fogo, inundações, terremotos, etc. • Erros ou falhas técnicas de hardware: Falha de

equipamentos.

• Erros ou falhas técnicas de software: Bugs, erros de conceção, etc.

• Obsolescência tecnológica. Comportamentais do usuário, temos:

• Atos de falha ou erro humano.

• Comprometimento de propriedade intelectual: ofensas aos direitos do autor, cópias não autorizadas.

• Atos deliberados de sabotagem ou vandalismo: Destruição de sistemas ou informação.

No Capitulo II, serão detalhados os tipos de ameaças desenvolvidas por Engenheiros sociais.

Como forma de coibir os possíveis riscos e ameaças às falhas de segurança, é necessário o desenvolvimento de políticas de seguranças sólidas e amplamente divulgada a todos os envolvidos no processo.

Para que os resultados sejam satisfatórios, a política de segurança deverá explicitá os seguintes termos:

(13)

• Vulnerabilidade: Existência de um potencial de falha de segurança.

• Ameaça: Elementos concretos, potenciadores de exploração de falhas de segurança.

• Risco: Probabilidade de efetiva de concretização de ameaças para as vulnerabilidades existentes.

• Medida: Meio ou procedimento de combate ou minimização do risco.

• Impacte: Prejuízo em caso de concretização da ameaça. • Incidente: Situação efetiva de aproveitamento de uma

vulnerabilidade.

Conforme figura abaixo, esses termos podem ser ilustrados através de um fluxograma:

Figura 2 – Fluxograma

Fonte: Artigo: Desafios da segurança da informação: da sua cultura e aplicação à confiabilidade

(14)

Além de uma política sólida de segurança, as empresas necessitam de software consistente para ajudar na proteção e na gestão dos processos, conforme descrito no próximo tópico.

1.1.2. Software de Segurança da Informação.

Software de segurança é uma classe de software que atua para identificar, prevenir, impedir e reparar a causa dano por código malicioso. Sua forma de atuação consiste em: prevenção, limitação e o rastreamento dos ataques. Porém, a evolução constante da natureza desses códigos exige que os software sejam atualizados na mesma intensidade.

Abaixo, alguns tipos de Software mais utilizados nas empresas de pequeno e médio porte:

• Firewall: Um Firewall impede que usuários não autorizados acessem um computador, permitindo somente usuários autorizados, protegendo assim, qualquer forma de ataque. Alguns sistemas operacionais de computadores incluem Firewalls de Software no próprio sistema operacional. Por exemplo, o Microsoft Windows XP.

• Antivírus: Antivírus reconhece um ataque, quando possível, antes que o mesmo se inicie, evitando assim que o código malicioso invada um computador. Para manter a eficácia, é imprescindível sua atualização constante, pois novos vírus aparecem diariamente.

• Anti-spyware: O objetivo do Software Anti-spyware é evitar que Softwares não autorizados roubem a transmissão de dados que está no disco rígido do usuário, bem como os dados que compartilha nas atividades online, através do monitoramento das comunicações entre um computador e os destinatários das mensagens externas.

(15)

• Rede: São Software de segurança que identifica problemas de segurança antes que possam afetar os usuários finais, verificando os dados transmitidos através de conectores de rede (Gatewayes e roteadores).

Os tipos de Software de segurança supracitados são exemplos de controle de com baixo custo para as empresas. O mercado disponibiliza diversas opções gratuitas ou não (licenças), cabe ao gestor analisar e avaliar as necessidades da empresa.

Apresentado o conceito da segurança da informação bem como seus desafios de sua proteção no cenário atual brasileiro, o próximo capítulo será destinado á apresentação detalhada do conceito, forma de atuação e tipos de ataques gerados pela Engenharia Social.

(16)

CAPÍTULO II

A ARTE DA ENGENHARIA SOCIAL

2.1. Conceituando a Engenharia Social.

O termo Engenharia Social pode ser dividido assim:

Engenharia: É a ciência, a arte e a profissão de adquirir e de aplicar os

conhecimentos matemáticos, técnicos e científicos na criação, aperfeiçoamento e implementação de utilidades, tais como materiais, estruturas, máquinas, aparelhos, sistemas ou processos, que realizem uma determinada função ou objetivo (CREA-RN, 2013).

Social: É aquilo que pressupõe relações, sociabilidade, abarcando

relacionamentos, sentimentos, modos de ser, de estar, de agir e de se manifestar. (Dicionário informal, 2016)

No livro Arte de Enganar (2002), Kevin Mitnick define assim a Engenharia Social:

A Engenharia social usa a influência e a persuasão para enganar as pessoas e convencê-las de que o engenheiro social é alguém que na verdade ele não é, ou pela manipulação. Como resultado, o engenheiro social pode aproveitar-se das pessoas para obter as informações com ou sem uso da tecnologia.

Podemos definir a Engenharia Social como um tipo de ataque, onde são utilizados métodos, estratégias e táticas (Engenharia) com intuito de conquistar a confiança das pessoas (Social), ludibriando-as, para obter informações sigilosas, acesso às áreas restritas, entre outros.

Segundo especialistas em segurança da informação, a Engenharia Social será a maior ameaça à continuidade dos negócios desta década.

Importante observar que o sucesso da Engenharia Social depende da compreensão do comportamento do ser humano, além da habilidade de

(17)

persuadir outros a disponibilizarem informações ou realizarem ações desejadas pelo Engenheiro Social.

Os ataques da Engenharia Social podem ser divididos em dois grupos:

• Ataques Diretos: Como o próprio nome já diz, são aqueles caracterizados pelo contato direto entre o Engenheiro Social e a vítima através de telefonemas, fax e até mesmo pessoalmente. Este exige do Engenheiro Social, um planejamento antecipado e bem detalhado, além de um segundo plano para caso o primeiro não dê certo, tudo atrelado a muita criatividade e articulação.

• Ataques Indiretos: Caracterizam-se pela utilização de Software ou ferramentas de invasão, como: vírus, sites e e-mails falsos para assim obter informações desejadas.

Mas quem são os Engenheiros Sociais que estão por trás desses ataques? Como é o perfil? O que buscam? Essas são apenas algumas perguntas que o próximo tópico tentará elucidar da melhor forma.

2.2. O Engenheiro Social.

Como dito anteriormente, o ser humano é o ponto mais vulnerável de qualquer sistema de informação; seus traços comportamentais e psicológicos os tornam suscetíveis a ataques dos Engenheiros Sociais.

Segundo Araujo (2015, p. 27), o Engenheiro Social geralmente é um tipo de pessoa agradável. Ou seja, uma pessoa educada, simpática, carismática. Mas, sobretudo criativa, flexível e dinâmica. Possuindo uma conversa envolvente.

De acordo com Kevin Mitnick (Arte de Enganar, pág xiii, 2002), o perfil do Engenheiro Social é a combinação entre enganar pessoas com os talentos da influência e persuasão.

(18)

Na Engenharia social, a persuasão pode ser trabalhada da seguinte forma:

a) Conformidade – Quando a “vítima” é alertada que está fora do padrão da empresa, setor, etc. No entanto, o Engenheiro Social define novas regras, mostrando seu “passo a passo”.

b) Lógica – O Engenheiro Social induz a acreditar, a partir de premissas corretas, que sua “vítima” não está desenvolvendo o trabalho corretamente, conseguindo assim, que a mesma insira informações falsas e/ou libere acessos restritos da empresa/máquina.

c) Necessidade – Essa característica visa sensibilizar a “vítima” com falsa ideia que o Engenheiro Social está “em apuros”. Normalmente, as pessoas tendem a ajudar.

d) Autoridade – Utilizando de indumentárias específicas (ternos, por exemplo) e/ou citando nomes importantes/influentes da empresa, o Engenheiro explora o medo na “vítima”.

e) Reciprocidade – O Engenheiro utiliza da ajuda mútua e gratidão para atingir seus objetivos com as “vítimas”. Normalmente, as pessoas ficam propensas a ajudar após ser ajudada.

f) Similaridade – Com base nas informações das “vítimas” como gênero, ramo de atuação, idade, mesma situação (deficiência/limitação, por exemplo), o Engenheiro Social busca a confiança para respaldar seu ataque.

g) Informacional – Todo Engenheiro Social necessita ser bem informado sobre o local que vai atacar. Isso facilita e muito na persuasão das “vítimas”, pois cria uma situação mais confortável e retira o bloqueio inicial. Nesse tipo de ataque, os funcionários recém admitidos são os mais propensos a cair no golpe.

Além da persuasão, o Engenheiro Social é dotado de um enorme poder de criatividade. Essa criatividade é tão grande que na maioria das vezes, a vítima nem imagina que foi usada e muito menos que acabou de abrir o caminho para um invasor.

(19)

Para que o ataque seja bem sucedido, é criado um ambiente psicológico perfeito, como exemplo, identificações falsas, apelo sentimental, sempre deixando a “vitima” bem tranquila.

A tabela abaixo exibe os tipos de Engenheiros Sociais e seus respectivos objetivos ao utilizar a Engenharia Social (POPPER; BRIGNOLI, 2003):

INTRUSOS OBJETIVOS

Estudantes Vasculhar mensagens de e-mail

alheias por diversão ou curiosidade.

Crackers Quebrar sistemas de segurança e

roubar informações.

Representantes Comerciais Encontrar Planilhas referentes a preços ou cadastro de clientes.

Executivos Descobrir plano estratégico dos seus concorrentes.

Espiões Descobrir planos militares

Terroristas Causar pânico pela rede e roubar informações estratégicas.

Contatores Desfalques financeiros.

Corretores de Valores Adulterar informações para obter lucro com o valor das ações.

Ex-funcionários Causar prejuízos apenas por vingança.

Vigaristas Roubar informações, como senhas e números de cartões de crédito.

(20)

Tabela 1: Tipos de Engenheiros Sociais e seus objetivos Fonte: (POPPER; BRIGNOLI, 2003)

Os ataques de Engenharia Social são normalmente praticados por Crackers, que são Hackers mal intencionadas, pois ainda existe uma confusão enorme com relação a esses dois termos, pois o termo “Hacker” está mais relacionado ao indivíduo que possui um elevadíssimo graçu de conhecimento em assuntos relacionados a computação como, por exemplo, linguagens de programação, redes de computadores e entre outros conhecimentos e muitas vezes esses eruditos utilizam todo o seu conhecimento para melhorar Software de forma legal ao contrário dos Crackers que têm como objetivo trazer danos, roubar informações, dinheiros, etc.

2.2.2. Tipos de Ataques.

Segundo Kevin Mitnick:

É prática comum pedir que um colega ou subordinado faça um favor. Os Engenheiros Sociais sabem como explorar o desejo natural das pessoas de ajudar e fazer parte de uma equipe. Um atacante explora esse traço humano positivo para enganar empregado desavisado para que executem ações que o coloquem mais perto de seu objetivo. É importante entender esse conceito simples para que você reconheça quando outra pessoa está tentando manipulá-lo. (MITNICK;SIMON, 2003, P.163).

Como dito anteriormente, a Engenharia Social é uma das técnicas utilizadas por Crackers para obter acesso não autorizado a sistemas, redes ou informações com grande valor estratégico para as organizações.

Alguns dos principais tipos de ataques serão ilustrados abaixo:

a) Análise do Lixo: O lixo é uma das fontes mais ricas de informações

para os Engenheiros Sociais; nele, podem ser encontrados dados de fornecedores, colaboradores, senhas, etc.

(21)

b) Telefone convencional ou VolP (voz sobre IP): O engenheiro

social usa suas técnica e habilidades passando-se por alguém (influente, familiar) para ludibriar a vítima.

c) Spoofing: Uma nova técnica utilizada é o chamado Spoofing do

número telefônico, que tem por objetivo defraudar o sistema de identificação de chamadas, fazendo com que o número exibido pelo identificador de chamadas seja aquele desejado pelo fraudador.

d) Internet e Redes Sociais: Quando um Engenheiro Social precisa

conhecer melhor seu alvo, esta técnica é utilizada, iniciando um estudo no site da empresa para melhor entendimento, pesquisas na Internet e uma boa consulta nas redes sociais na qual é possível encontrar informações interessantes de funcionários da empresa, cargos, amizades, perfil pessoal, entre outros.

e) Intranet: Tem por objetivo acessar remotamente algum microcomputador da rede da empresa com o objetivo de se passar por alguém.

f) Phishing: Enviar e-mails falsos para induzir a vítima a clicar em links

que instalarão vírus, Cavalos de Troia ou redirecionarão para páginas falsas que capturam dados digitados.

g) Abordagem pessoal: Visita na empresa se passando por alguém

influente e/ou inofensiva (fornecedor, prestador de serviços, etc) e através do poder de persuasão e falta de treinamento dos funcionários, consegue convencer os colaboradores a liberarem o acesso restrito.

h) Fax: Obter informações primárias para posteriormente fazer um

ataque melhor elaborado.

i) Spyware: É um software espião que monitora o microcomputador

sem que a vítima perceba.

j) Redes P2P (Peer-to-Peer): Essa é uma tecnologia que permite o

compartilhamento de arquivos entre diversos computadores. O atacante usa essa tecnologia para espalhar vírus, Cavalos de Troia e

(22)

muitas outras pragas, além de claro oferecer ajuda para suas vítimas a fim de trapaceá-las.

k) Engenharia Social Inversa: A engenharia social inversa é uma

técnica mais avançada e que exige muito mais preparação e pesquisa. Nessa técnica os papeis se invertem. O atacante finge ser uma autoridade, de maneira que os funcionários passarão a pedir informação para ele, até chegar um ponto que o criminoso extraíra informações valiosas sem que ninguém desconfie.

l) Footprint: Essa técnica tem por objetivo maior descobrir

informações a respeito de algumas tecnologias usadas pela empresa, referentes principalmente ao acesso remoto, Internet e extranet. Essa técnica utiliza-se de softwares especiais para coletar as informações desejadas e é normalmente utilizada quando o invasor não consegue absorver as informações desejadas através de outras técnicas de persuasão devido à falta de conhecimento por parte das vítimas a respeito do assunto desejado pelo invasor.

m) Programação neurolinguística: Essa técnica se baseia em imitar o

jeito de ser da vítima como, por exemplo, sua maneira de falar, se expressar, gestos e entre outros, por um determinado tempo para assim confundi-la, de maneira a formar certa intimidade, deixando a vítima pensar que está no comando da situação. Até que a partir de certo momento, o engenheiro social passa a comandar o dialogo sem que a vítima sequer perceba, capturando assim as informações desejadas. (JUNIOR, 2006).

2.3. Engenharia Social nas Empresas de Pequeno e Médio

Porte.

O valor de uma empresa depende cada vez mais de informações como propriedade intelectual e os dados críticos de negócios estão cada vez mais volumosos, dispersos, móveis e dinâmicos. Essas realidades demandam atenção na defesa dos ativos digitais corporativos.

(23)

Para as empresas de grande porte, os investimentos em segurança da informação já ocupam boa parte dos seus orçamentos anuais. No entanto, a mentalidade das empresas de Pequeno e Médio Porte ainda precisa amadurecer nesse sentido. Principalmente na conscientização que não somente os esforços para investimentos em ferramentas e soluções de segurança, mas também no desenvolvimento de uma política e cultura entre seus clientes internos e externos para que possam mitigar os riscos de ataques virtuais.

O Relatório sobre Segurança da Informação nas Empresas (2010) da Symantec mostra que as empresas da América Latina perdem mais de US$ 500 mil por ano em decorrência de ataques virtuais. Outra pesquisa da Qualibest apontou que mais de 85% dos funcionários no Brasil usam a internet da empresa para fins pessoais. Desses, quase 80% usam o e-mail pessoal durante o expediente, mais de 60% fazem pesquisas pessoais em sites de busca, mais de 50% fazem operações com internet banking e cerca de 15% utilizam a conexão com a internet da empresas para download de músicas, jogos e outros downloads de interesses pessoais.

Outra facilidade muito comum nessas empresas é a displicência dos usuários em criar senhas fáceis de serem descobertas. Muitos utilizam como senha, nome do login, palavras existentes nos dicionários, apelidos, datas de nascimento, de namoro/casamento, números sequenciais, informação de familiares ou até mesmo o próprio nome que, com um software gerenciador de senhas, é possível decifra-lás em segundos.

Com base nos dados acima, podemos concluir que as empresas de Pequeno e Médio Porte proporcionam um “cenário ideal” para as ações dos Engenheiros sociais, pois de acordo com a Pesquisa Global da EY sobre Segurança da Informação – 2015, os criminosos cibernéticos procuram fraquezas e brechas para que, aliadas a conhecimentos específicos sobre a empresa, consigam atingir seus objetivos.

(24)

Apresentado de forma detalhada o conceito, forma de atuação e tipos de ataques gerados pela Engenharia Social, o próximo capítulo será destinado á forma de como as empresas devem se prevenir dos ataques e mitigar os possíveis riscos dos Engenheiros Sociais.

(25)

CAPÍTULO III

COMBATE AO PERIGO DA ENGENHARIA SOCIAL

3.1. Combatendo os Engenheiros Sociais.

Conforme mencionado anteriormente, os Engenheiros Sociais utilizam-se da persuasão e do profundo conhecimento do ambiente a ser atacado para atingir seus objetivos.

O grande desafio das empresas é saber como minimizar esse risco. A prevenção não é tarefa fácil. A maioria das empresas não direciona recursos financeiros nem humanos para tal, pois investem na manutenção de sistemas e em novas tecnologias, ao invés de direcionar parte desse investimento para combater um inimigo que pode ser bem mais perigoso, a Engenharia Social.

Na visão do (PEIXOTO, 2006, p.20):

Se todo funcionário fosse tão questionador como uma criança, demonstrando interesse nos mínimos detalhes, ouvindo mais, estando fortemente atento a tudo a sua volta, e principalmente fazendo o uso dos poderosos “por quês”, com certeza as empresas transformariam os frágeis cadeados em legítimos dispositivos dificultantes de segurança da informação.

Ainda segundo (PEIXOTO, 2006, p. 54)

A maior prova para se ter certeza de que você será a próxima vítima da engenharia social é simplesmente subestimar o praticante desta arte. Mas como ao certo saber quem é afinal o engenheiro social naquele dado momento, lugar ou situação? Não saberá, na primeira instância. Apenas desconfiará de algum suspeito à medida que você vá adquirindo conhecimento das técnicas padrões e revolucionárias da engenharia social. E assim percebendo algumas “gafes” do engenheiro social, deixará a incerteza para então capturar o alvo certo.

(26)

Os seres humanos são seres imperfeitos e multifacetados. Além disso, situações de risco modificam seus comportamentos e, decisões serão fortemente baseadas em confiança e grau de criatividade da situação.

Em função disso desses fatores, sempre existirão brechas em seu caráter ou comportamento pouco consciente em relação à segurança, onde a Engenharia Social poderá ser plenamente eficaz.

Dentro do ambiente coorporativo, alguns erros cometidos aumentam potencialmente o risco de se tornar uma vítima da Engenharia Social: (PEIXOTO, 2006):

• Mencionar senha por telefone é um erro gravíssimo, pois antes de disponibilizar qualquer tipo de informação, deve-se saber com quem se fala e onde se fala, além de conferir através de aparelhos indicadores de chamada se o telefone de origem da ligação se é o realmente mencionado;

• Visitantes terem acesso às áreas interna na empresa, obtendo contato com as informações confidenciais;

• Entrada de pessoas não autorizadas ou principalmente sem identificação, com as portas abertas e expostas à entrada de qualquer um;

• Entrega de informações sem o devido conhecimento real de quem as está levando;

• Recebimento de informações digitais sem o prévio conhecimento da procedência, sem fazer primeiramente uma inspeção do material recebido de algum lugar ou equipamento que não comprometa a empresa ou organização;

(27)

• Descarte incorreto de material que se acha inútil, como por exemplo, não triturar documentos antes de jogá-los fora e de preferência em diversas lixeiras ou o descarte de CDs e outros, sem eliminar definitivamente as informações contidas neles;

• Gavetas abertas, de fácil acesso a documentos;

• Jogo via internet ou mesmo por Pen-drives ou CD-ROM são passíveis de conter armadilhas, como ativação de worms, cavalo de troia, vírus e dentre outros perigos que se escondem por trás dos envolventes jogos ou diversões oferecidas;

• Deixar expostos arquivos de backup, não guardando em lugar seguro e confiável, além de demonstrar explicitamente que é um backup;

• Nome de usuários e senhas expostas para qualquer um que passar ver e ter acesso;

• Computador ligado exibindo informações confidenciais como senha, login de usuários e código fontes;

• Acesso a sites indevidos, não confiáveis, ou fora das políticas de trabalho da empresa;

• Sistema de alarme desativado, desligado ou inoperante, em caso de alguma urgência ou emergência.

Para que as empresas possam mitigar os riscos de possíveis ataques de Engenheiros Sociais é necessário a criação de políticas de

(28)

segurança centralizada e bem divulgada e implementar essa nova cultura nos colaboradores.

Além disso, para auxiliar as empresas a se protegerem dos ataques dos Engenheiros Sociais é imprescindível que haja uma política de criação de senhas consideradas fortes, tais como:

• Sequência longa e aleatória de caracteres; • Combinar letras, números e símbolos;

• Utilizar espaços entre palavras ou caracteres (se o sistema aceitar);

• Mesclar letras maiúsculas com minúsculas.

Essas e outras dicas têm como objetivo minimizar ou dificultar ao máximo a possibilidade de sofrer prejuízos causados pela Engenharia Social.

3.1.1. Política de Segurança.

Como definição da Cartilha de Segurança para Internet (CGI.br, NIC.br, CERT.br, 2012), a Política de Segurança é considerada como um importante mecanismo de segurança, tanto para as instituições como para os usuários, pois com ela é possível deixar claro o comportamento esperado de cada um. Desta forma, casos de mau comportamento, que estejam previstos na política, podem ser tratados de forma adequada pelas partes envolvidas.

Ainda segundo a Cartilha, a política de segurança define os direitos e as responsabilidades de cada um em relação à segurança dos recursos computacionais que os utiliza e as penalidades às quais está sujeito, caso não a cumpra.

A política de segurança pode conter outras políticas específicas, como:

• Política de senhas: define as regras sobre o uso de senhas nos recursos computacionais, como tamanho mínimo e máximo, regra de formação e periodicidade de troca.

(29)

• Política de backup: define as regras sobre a realização de cópias de segurança, como tipo de mídia utilizada, período de retenção e frequência de execução.

• Política de privacidade: define como são tratadas as informações pessoais, sejam elas de clientes, usuários ou funcionários.

• Política de confidencialidade: define como são tratadas as informações institucionais, ou seja, se elas podem ser repassadas a terceiros.

• Política de uso aceitável (PUA) ou Acceptable Use Policy (AUP): também chamada de “Termo de Uso” ou “Termo de Serviço”, define as regras de uso dos recursos computacionais, os direitos e as responsabilidades de quem os utilizam e as situações que são consideradas abusivas.

Como forma de divulgação da política de segurança as empresas podem utilizar alguns recursos valiosos, como exemplos: intranet, boletins periódicos on-line, lembretes no correio eletrônico, requisitos de mudança de senha e treinamento.

Para as empresas, o maior risco é que os colaboradores tornarem-se complacentes e relaxarem na tornarem-segurança; por isso a importância da ampla divulgação e treinamento direcionado.

Esse treinamento deve estender-se por toda a empresa, incluindo Diretores, Gerentes, Supervisores e demais funcionários. O foco deve ser as tácticas comuns de intromissão e as estratégias de prevenção. Quando alguém captar sinais de um ataque, deve imediatamente alertar os demais, para que não sejam também abordados.

Para evitar ser mais uma vítima, as áreas de risco da empresa, a tática do invasor e a respectiva estratégia de combate necessitam estão

(30)

relacionadas (POPPER; BRIGNOLI, 2003), conforme ilustrado na tabela abaixo:

ÁREA DE RISCO TÁTICA DO INVASOR ESTRATÉGIA DE COMBATE

Suporte de Informática Representação e Persuasão

Desenvolver na empresa uma política de mudança frequente de senhas e treinar os demais funcionários para nunca repassarem senhas ou outras informações confidenciais por telefone. Entrada de Edifícios Acesso físico não

autorizado.

Treinar os funcionários da segurança para não permitirem o acesso de pessoas sem o devido crachá de identificação e mesmo assim fazer uma verificação visual.

Escritórios Caminhar pelo Ambiente

Não digitar senhas na presença de pessoas estranhas, a não ser que você consiga fazer isso rapidamente.

Escritórios

Caminhar pelos corredores à procura de salas desprotegidas.

Todos os visitantes devem ser acompanhados por um funcionário da empresa. Escritórios

Roubar documentos importantes

Manter os documentos confidenciais fora do alcance de pessoas não autorizadas. Sala de

correspondência

Inserção de mensagens falsas.

Fechar e monitorar a sala de correspondência.

Sala dos servidores

Instalam programas analisadores de protocolo para conseguirem informações confidenciais, além da remoção de equipamentos.

Manter sala dos servidores sempre trancada e o inventário de equipamento atualizado.

Central telefônica Roubar acesso a linhas telefônicas

Controlar chamadas para o exterior e para longas distâncias e recusar pedidos de transferências suspeitas

Suporte Telefônico

Usar de disfarces na hora de solicitar ajuda aos atendentes,

Os atendentes devem solicitar sempre um código de acesso, para só então

(31)

geralmente se passando por outra pessoa.

prestarem o suporte solicitado.

ÁREA DE RISCO TÁTICA DO INVASOR ESTRATÉGIA DE COMBATE

Depósito de lixo Vasculhar o lixo

Guardar o lixo da empresa em lugar seguro, triturar todo tipo de documento e destruir todo o tipo de mídia magnética fora de uso.

Internet e Intranet

Criar e/ou inserir programas na Internet ou Intranet para capturar senhas

Criar senhas fortes e fazer uso consciente da mesma, alterando-a periodicamente.

Tabela 1: Área de Risco, Táticas e Estratégia Fonte: (POPPER; BRIGNOLI, 2003).

3.1.3. Plano de Resposta a Incidentes.

Mesmo a melhor infraestrutura de segurança da informação não pode garantir que intrusos ou outras ações maliciosas ocorram. Quando um incidente de segurança ocorre, é um fator crítico para a organização ter meios para responder a esse evento. A velocidade à qual uma organização pode reconhecer, analisar e responder a um incidente de segurança, limita os estragos e diminui os custos de restauração. A habilidade de usar essa informação para reparar ou prevenir ocorrências similares, aprimora a segurança geral a uma organização.

O Plano de Resposta a Incidentes é um documento que descreve as diretrizes gerais e procedimentos para tratamento dos principais incidentes de segurança que podem ocorrer na organização, proporcionando ao pessoal de suporte instruções sobre as medidas a serem tomadas para definição e correção dos mesmos.

O tipo de tratamento dado aos incidentes de segurança varia de acordo com a sua intensidade de risco. Porém, o encaminhamento deve ser decidido em acordo com a alta direção da sua empresa e com o respaldo do departamento jurídico. As ações pertinentes podem envolver o relacionamento

(32)

com entidades externas (como clientes, parceiros, provedores de serviços e outros) ou mesmo exigir o acionamento de autoridades e órgãos policiais.

Principais pontos a serem considerados em um Plano de Resposta a Incidentes:

• Procedimentos para identificação e autoria dos ataques: identificar a intensidade e quantificar os prejuízos causados pelo incidente e também procurar identificar os responsáveis pelo incidente;

• Divulgação das informações: divulgar imediatamente o fato ocorrido para que outras áreas não sejam também abordadas;

• Procedimentos e pessoal responsável pela restauração: as ações de restauração como, mudança de senhas, troca de pessoal, intensificação dos níveis de controle, devem ser imediatamente tomadas a fim de evitar maiores prejuízos; • Contatos com as fontes do ataques e órgãos de

segurança: contatar os responsáveis pelos ataques, a fim de exigir a indenização dos prejuízos e também os órgãos de segurança para que fique registrado o fato ocorrido (Medeiros, 2001).

A gama de formas de ataque de engenharia social é muito grande e os procedimentos de resposta a incidentes são particulares. Estas particularidades variam de acordo com o ramo de atividade de cada empresa; o que é imprescindível para uma, pode ser dispensável para outra. No entanto, toda empresa, independente do porte, deve ter o seu Plano de Resposta a Incidentes.

(33)

3.2.

Software

ou

fator

humano,

onde

concentrar

o

investimento?

O grande dilema das empresas de pequeno e médio porte é onde investir para mitigar os efeitos da Engenharia Social. De acordo com o Kenin Mitnick (Arte de Enganar, pág. 03), o fator humano é o elo mais fraco da segurança.

Então a pergunta do título estaria respondida. Errado! A resposta não é tão simples assim devido à mentalidade dos empreendedores brasileiros, pois segundo o Sebrae (2016), os mesmos não conseguem dar a devida importância ao treinamento e capacitação da equipe e a encaram como custo ou “bondade”.

Diante desse pensamento, a concentração dos investimentos, normalmente, é em sistemas e software, já que são propriedades intangíveis das empresas. No entanto, não são garantias de proteção contra os ataques dos Engenheiros Sociais.

Investir na capacitação e desenvolvimento dos colaboradores é a forma mais eficiente que as empresas têm para prevenir e combater os efeitos da Engenharia Social.

Para que os colaboradores adquiram conhecimentos supracitados é necessário investimentos, por parte das empresas, nos seguintes tópicos:

• Seminários de Sensibilização; • Cursos de Capacitação;

• Campanhas de divulgação da política de segurança; • Crachás de identificação;

• Procedimentos específicos para demissão e admissão de funcionários; • Termo de Responsabilidade;

• Termo de Confidencialidade;

• Softwares de auditoria de acessos, monitoramento e filmagem de conteúdo.

(34)

Aliado a todos esses pontos supracitados, as empresas devem influenciar seus colaboradores a mudarem seus hábitos e motivá-los a participarem do treinamento, para assim conscientizá-los que eles são parte da segurança da informação na empresa e que ela poderá sofrer um ataque a qualquer momento. Com essa consciência e bem motivados, eles buscarão cumprir sua parte para proteger o ativo mais importante da empresa: as informações.

Além disso, investimentos nos programas de treinamento e conscientização devem ser realizados constantemente, pois como o passar do tempo o preparo das pessoas diminui além de novas ameaças e técnicas usadas pelos engenheiros sociais surgirem constantemente, o que faz com que seja necessário reforçar e atualizar os riscos na mente dos colaboradores.

Uma empresa que realmente leva a sérios os riscos e as consequências da Engenharia Social a sério e como uma prioridade em sua cultura corporativa passa a treinar seus funcionários assim que são admitidos, de maneira que nenhum funcionário possa receber acesso a um microcomputador antes de participar de pelo menos um treinamento básico sobre os princípios básicos da política de segurança da empresa.

Um ótimo aspecto a ser abordado que pode funcionar como um grande agente motivador para os colaboradores é esclarecê-los de que a segurança da informação não é um assunto de interesse somente da empresa, mas também dos próprios funcionários, pois a própria empresa possui informações particulares a respeito dos seus funcionários. Assim, os colaboradores perceberão que seguindo a política da empresa estarão protegendo não somente informações corporativas, mas também suas informações pessoais.

Cabe ressaltar que o treinamento deve ser adaptado de acordo com os requisitos específicos de cada grupo dentro da organização, pois apesar de muitas vezes são aplicados a todos os colaboradores, há situações em que será necessária a existência de políticas específicas para determinados cargos ou grupos distintos dentro das organizações. Também é

(35)

muito importante destacar a questão de funcionários que mudarem de cargo, função e etc; os mesmos deverão passar por um novo processo de treinamento ajustado às suas novas atribuições.

É fundamental que todos os colaboradores envolvidos sejam advertidos a respeito das consequências que sofrerão se não cumprirem as normas e procedimentos estabelecidos, pois muitas vezes, os próprios funcionários ignoram ou até mesmo negligenciam os procedimentos que acham desnecessários, ou aqueles considerados tediosos segundo entendimento próprio.

Elaborar um resumo dessas consequências e divulgá-los amplamente é um ótimo procedimento a ser realizado.

(36)

CONCLUSÃO

Neste trabalho a Engenharia Social foi abordada de maneira a esclarecer o que é essa prática tão utilizada para alcançar algum objetivo de forma ilícita. Assim como a importância que a informação tem para as organizações e a necessidade de protegê-la.

Hoje em dia, as informações são transmitidas cada vez mais dinâmicas e sem a utilização da tecnologia esse processo seria impossível. Com isso, o cuidado com os dados transmitidos são imprescindíveis para o mundo coorporativo.

Diante disso, as empresas necessitam desenvolver políticas de seguranças consistentes com objetivo de mitigar possíveis riscos e ameaças e de manter sua confidencialidade, disponibilidade e integridade do seu patrimônio intangível (informação, dados).

A maioria dos incidentes envolvendo a segurança da informação está diretamente ligada ao fator humano, pois esta mais relacionada com processos do que com a própria tecnologia. Traços comportamentais e psicológicos tornam o ser humano suscetível a ataques dos Engenheiros Sociais.

Utilizando-se de Conformidade, lógica, Necessidade, Autoridade, Reciprocidade, similaridade e informacional, os Engenheiros Sociais procuram atingir seus objetivos de forma mais precisa e detalhada, reduzindo assim, chances de falhas.

Diante do exposto, a questão central desse trabalho resurge: Em meio a grave crise econômica e financeira do Brasil, as empresas de pequeno e médio porte podem mitigar o impacto da Engenharia Social?

Com base no trabalho desenvolvido, o mesmo atingiu as expectativas e elucidou o tema de forma positiva: diante do cenário de turbulência vivido pelo país, as empresas de pequeno e médio porte podem mitigar o impacto da Engenharia Social.

(37)

Conclui-se então que investimentos somente em software modernos não são impeditivos para coibir as ações dos Engenheiros Sociais, mesmo porque em tempos de crise que o País está atravessando, isso não seria nada simples para as empresas de pequeno e médio porte, diante dos altos custos envolvidos.

A maneira mais eficiente de mitigar os possíveis ataques seria investimentos na capacitação e desenvolvimentos dos colaboradores; o foco deverá ser em ter atenção e responsabilidade ao manipular, transmitir ou descartar informações, atrelados a política de segurança centralizada e bem divulgada, através de uma reeducação na organização de maneira a inserir uma nova cultura que abrange cem por cento da empresa, pois qualquer falha poderá ser fatal.

(38)

BIBLIOGRAFIA

ABNT. Tecnologia da informação — Técnicas de segurança — Código de prática para a gestão da segurança da informação. Rio de janeiro. 2005.

EY. Pesquisa Global sobre segurança da informação – 2015. Disponível em:

http://www.ey.com/Publication/vwLUAssetsPI/giss2015_/$FILE/EY_Global_Info rmation_Security_Survey_2015_report_Web.pdf, Acesso em: 15-jul-2016

GOUVEIA, LUÍS B. Desafios da segurança da informação: da sua cultura e

aplicação à confidencialidade. Disponível em:

http://pt.slideshare.net/lmbg/desafios-da-segurana-da-informao-da-sua-cultura-e-aplicao-confidencialidade. Acesso em 11-jul-16

MITNICK, Kevin D.; SIMON, William L. A Arte de Enganar: Ataques de Hackers: Controlando o Fator Humano na Segurança da Informação. São Paulo: Pearson Education, 2003.

NÚCLEO DE INFORMAÇÃO E COORDENAÇÃO DO PONTO BR; CENTRO DE ESTUDOS, RESPOSTA E TRATAMENTO DE INCIDENTES DE

SEGURANÇA NO BRASIL. Cartilha de Segurança para a Internet. Disponível em:

http://www.cgi.br/media/docs/publicacoes/1/cartilha-seguranca-internet.pdf#page=5&zoom=auto,-107,345 Acesso em: 16-set-16

PEIXOTO, Mário C. P. Engenharia Social e Segurança da Informação na Gestão Corporativa. Rio de Janeiro: Brasport, 2006.

POPPER, Marcos Antônio; BRIGNOLI, Juliano Tonizatti. Engenharia Social: Um perigo Eminente. 2003

PWC. Pesquisa Global de Segurança da Informação. Disponível em:

https://www.pwc.com.br/pt/publicacoes/servicos/assets/consultoria-negocios/pesq-seg-info-2014.pdf. Acesso em 05-mai-16

SEBRAE. Qualificação de pessoas, sem dúvida! Disponível em:

(39)

ÍNDICE

FOLHA DE ROSTO 02 AGRADECIMENTOS 03 DEDICATÓRIA 04 RESUMO 05 METODOLOGIA 06 SUMÁRIO 07 INTRODUÇÃO 08 CAPÍTULO I

A TECNOLOGIA NO MUNDO CORPORATIVO 10

1.1. A importância da Segurança da Informação para as Pequenas

e Médias empresas 10

CAPÍTULO II

A ARTE DA ENGENHARIA SOCIAL 16

2.1. Conceituando a Engenharia Social 16

2.2. O Engenheiro Social 17

2.3. Engenharia Social nas Empresas de Pequeno e Médio Porte 22

CAPÍTULO III

COMBATE AO PERIGO DA ENGENHARIA SOCIAL 25

3.1. Combatendo os Engenheiros Sociais 25

3.2. Software ou fator humano, onde concentrar o investimento? 33

CONCLUSÃO 36

BIBLIOGRAFIA 38

ÍNDICE 39

(40)

ÍNDICE DE FIGURAS

Figura 1 – Impactos dos incidentes de segurança 11

Referências

Documentos relacionados

Os resultados demonstraram que é possível verificar a presença de carbonatos nos pós de titanato de bário obtidos por Pechini utilizando a técnica de FT-IR e que com um

A relação dos candidatos que tiveram suas inscrições indeferidas por não se enquadrarem nas exigências estabelecidas no presente Edital, estará disponível no pólo UAB, num prazo

Neste caso, dever-se-ia ainda referir que a prossecução do julgamento para conhecimento também do crime de roubo de Eduardo, do qual resultou a sua morte, colocaria um

O responsável através do seu login e senha pessoal deverá acessar o Partal do aluno, em Menu – Central do aluno – Ocorrências e clicar no ícone Ciente.. Manual SGE •

Sem recorrer a variações de cor, tamanho ou tipo de letra (nem mais texto ou outros elementos gráficos), que princípio de design gráfico teria que usar para transmitir a ideia

Neste trabalho foram considerados processos interativos em três diferentes contextos de uso da linguagem: formas de interação entre emissor (autor) e receptor (leitor) de cartas

Após cada colheita de sangue foi efectuado um teste individual ao respectivo soro (num total de 6 testes para o coelho 4 e 2 testes para o coelho 6) de forma a estudar a

A Polícia Civil de Canela di- vulgou, nesta quinta (28), ima- gens de assaltos ocorridos na cidade nesta semana, captadas por câmeras de segurança, com o intuito de