engenharia-social-explorando-o-fator-humano-dos-sistemas-de-seguranc3a7ada.pdf

SEGURANÇA DE REDES DE COMPUTADORES SEGURANÇA DE REDES DE COMPUTADORES

DAVIES NASSARO DAVIES NASSARO

Engenharia Social

Engenharia Social

-Explorando o Fator Humano dos Sistemas de Segurança da

Explorando o Fator Humano dos Sistemas de Segurança da

Informação

Informação

Ribeirão Preto – SP

Ribeirão Preto – SP

2012

2012

DAVIES NASSARO DAVIES NASSARO

Engenharia Social

Engenharia Social

-Explorando o Fator Humano dos Sistemas de Segurança da

Explorando o Fator Humano dos Sistemas de Segurança da

Informação

Informação

Monografia apresentada ao Instituto A Voz do Monografia apresentada ao Instituto A Voz do Mestre, como requisito parcial para a obtenção Mestre, como requisito parcial para a obtenção do

do títítutulo lo de de EsEspepecicialalisista ta em em SeSegugurarançnça a dede Redes de Computadores.

Redes de Computadores.

..

Orientador: Prof. MSc Robson do Nascimento Orientador: Prof. MSc Robson do Nascimento

Ribeirão Preto - SP

Ribeirão Preto - SP

2012

2012

Engenharia Social

Engenharia Social

-Explorando o Fator Humano dos Sistemas de Segurança da

Explorando o Fator Humano dos Sistemas de Segurança da

Informação

Informação

Monografia apresentada ao Instituto A Voz do Monografia apresentada ao Instituto A Voz do Mestre, como requisito parcial para a obtenção Mestre, como requisito parcial para a obtenção do

do títítutulo lo de de EsEspepecicialalisista ta em em SeSegugurarançnça a dede Redes de Computadores.

Redes de Computadores.

Orientador: Prof. MSc Robson do Nascimento Orientador: Prof. MSc Robson do Nascimento

APROVADO EM ____/____/____  APROVADO EM ____/____/____ 

Ribeirão Preto - SP

Ribeirão Preto - SP

2012

2012

 ______________________________________________________________ 

ROBSON DO NASCIMENTO – ORIENTADOR E PRESIDENTE DA BANCA

 ______________________________________________________________ 

NOME DO PROFESSOR – EXAMINADOR

 ______________________________________________________________ 

NOME DO PROFESSOR – EXAMINADOR

Ribeirão Preto - SP

2012

A todos aqueles que passaram noites e noites em claro embalados pelo

sonho de tornar a existência humana mais digna e justa.

Agradeço, acima de tudo, a meus pais, por me ensinarem que quando

se trata de honestidade, não existe meio termo.

Agraço também a minha esposa, que, mesmo grávida de nosso primeiro

filho, sempre me apoiou e esteve ao meu lado.

George Orwell

“Experiência não é o que acontece com um homem; é o que um homem faz com o que lhe acontece.” 

O presente trabalho traz um relato sobre a definição de Engenharia Social e os principais métodos utilizados pelos Engenheiros Sociais para burlar os sistemas de segurança das empresas. São demonstrados também os motivos que fazem esse tipo de golpe ser tão aplicado, os prejuízos por ele causados e porque as pessoas são tão suscetíveis a ele. Finalizando são apresentadas formas de defesa contra esses ataques e como manter a empresa em operação caso um desastre de grandes proporções ocorra.

Palavras-Chave: Segurança da Informação, Engenharia Social, Hackers, Continuidade do Negócio.

This paper presents an account of the definition of Social Engineering and the main methods used by Social Engineers to bypass systems enterprise security. It also demonstrated the reasons that make this type of scam be so applied, the damage caused by it and why people are so susceptible to it. Finally are presented forms of defense against these attacks and how to keep the business running if a major disaster occurs.

Keywords: Information Security, Social Engineering, Hackers, Business Continuity.

ABNT - Associação Brasileira de Normas Técnicas Apacs - Association for Payment Clearing Services

CERT.br - Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil

CGI.br - Comitê Gestor da Internet no Brasil CIO - Chief Information Officer

CISO - Chief of Information Security Officer CSO - Chief Security Officers

IEC - International Electrotechnical Commission ISO - International Organization for Standardization NBR - Norma Brasileira

SIGEO - Sistema de Gerenciamento Orçamentário do Estado de São Paulo TCC - Trabalho de Conclusão de Curso

RESUMO 08

ABSTRACT 09

LISTA DE ABREVIATURAS E SIGLAS 10

1 INTRODUÇÃO 13 1.1 Objetivos 14 1.1.1 ObjetivosGerais 14 1.1.2 Objetivos Específicos 14 1.2 Procedimentos Metodológicos 14 1.3 Estrutura do Trabalho 14 2 REFERENCIAL TEÓRICO 16 2.1 Ameaças às Informações 16 2.2 Engenharia Social 17

2.2.1 Entendendo a Engenharia Social 17

2.2.2 As Vulnerabilidades Humanas 19

2.3 Segurança da Informação 21

3 TÉCNICAS E FATORES MOTIVADORES DA ENGENHARIA SOCIAL 25 3.1 Principais Técnicas de Ataque da Engenharia Social 25 3.2 Fatores Motivadores da Engenharia Social 26 3.3 Análise dos Ataques e dos Fatores Motivadores 29 4 IMPACTOS CAUSADOS PELOS CRIMES DE ENGENHARIA SOCIAL 32

4.1 Crimes de Difícil Apuração 32

4.2 Números do Phishing 33

5 COMO GARANTIR A SEGURANÇA DAS INFORMAÇÕES 35 5.1 Políticas de Segurança da Informação e sua Importância 35 5.2 Sucesso da Política de Segurança da Informação 37 5.3 O Responsável pela Política de Segurança da Informação 39 5.4 Desenvolvendo uma Política de Segurança da Informação 41 6 SEGURANÇA DA INFORMAÇÃO VERSUS ENGENHARIA SOCIAL 45 6.1 Segurança da Informação Focada na Engenharia Social 45 7 MANTENDO A EMPRESA EM ATIVIDADE APÓS UM DESASTRE 49 7.1 PCN - Plano de Continuidade do Negócio 49

7.3 Avaliando o PCN 54 7.4 Outra Abordagem Para Elaboração do PCN 55

8 CONSIDERAÇÕES FINAIS 57

1 INTRODUÇÃO

Diferentemente do que muitas pessoas acreditam, inclusive as entendidas em assuntos tecnológicos e de segurança, muitas falhas nos sistemas de defesa das informações das empresas ocorrem por irregularidades cometidas por funcionários e colaboradores dessas próprias organizações, ou seja, seres humanos, e não por brechas nesses sistemas, que contam com uma parafernália cada vez mais complexa para a preservação das informações, como firewalls, proxy, antivírus, senhas criptografadas e controle de acesso, entre outros.

Mitnick1 e Simon (2003) explicam que:

À medida que os especialistas contribuem para o desenvolvimento contínuo de melhores tecnologias de segurança, tornando ainda mais difícil a exploração de vulnerabilidades técnicas, os atacantes se voltarão cada vez mais para a exploração do elemento humano. Quebrar a "firewall humana" quase sempre é fácil, não exige nenhum investimento além do custo de uma ligação telefônica e envolve um risco mínimo.

Por essa razão é vital que as empresas estejam preparadas para os crimes focados em explorar as falhas humanas, como os crimes de Engenharia Social, e busquem formas mais eficazes de garantir a segurança de suas próprias informações e as informações que são a elas confiadas.

Buscando contribuir para o combate dessa prática criminosa, o trabalho desvenda o mundo da Engenharia Social, descrevendo o seu significado, suas principais técnicas de abordagem, os fatores que motivam os criminosos a optarem por esse tipo de ataque e porque o ser humano é, e sempre será, o elo mais vulnerável nessa intricada cadeia de meios e métodos que visam proteger as informações confidencias das empresas.

Para apoiar as ideias descritas acima, além de vasta pesquisa bibliográfica, será mostrada uma análise dos impactos estimados causados por esses tipos de ataques e, para finalizar, serão apresentados meios de se criar um Programa de Segurança da Informação e um Plano de Continuidade do Negócio, visando sempre salvaguardar as Informações dentro dos limites das empresas.

1.1 Objetivos

1.1.1 Objetivos Gerais

Entender o que é Engenharia Social, estudar suas técnicas e seus reflexos nas questões relacionadas com a Segurança da Informação, mostrar mecanismos de defesa para as Informações empresariais e como manter a organização em atividade, mesmo após a ocorrência de desastres que afetem seu funcionamento. 1.1.2 Objetivos Específicos

Apresentar as principais técnicas de Engenharia Social;

Estudar as vulnerabilidades humanas sujeitas a essas técnicas; Identificar as necessidades de educação do usuário; e

Relacionar as principais medidas de segurança contra esse tipo de crime e que garantam a estabilidade das informações e a continuidade do negócio da empresa.

1.2 Procedimentos Metodológicos

Este trabalho foi elaborado a partir de pesquisas bibliográficas e documentais, apoiando-se em fontes primárias e secundárias, além de páginas de internet e artigos, pois são essas as principais fontes de materiais relacionados ao estudo. A referência cronológica parte de publicações selecionadas a partir da década de 90, pois, se tratando de Tecnologia da Informação (TI) e essa sendo uma área onde as mudanças ocorrem muito rapidamente, ficaria um tanto obsoleto mencionar práticas realizadas antes desse período, apesar de a Engenharia Social ter se iniciado há décadas atrás, antes mesmo até da disseminação dos computadores.

1.3 Estrutura do Trabalho

Este Trabalho de Conclusão de Curso (TCC) esta elaborado da seguinte maneira:

O segundo capítulo apresenta o Referencial Teórico, contendo os principais conceitos sobre Segurança da Informação, Engenharia Social e Vulnerabilidade Humana.

O terceiro capítulo apresenta as principais técnicas de ataque de Engenharia Social e seus fatores motivadores.

O quarto capítulo estuda os impactos causados por essa arte criminosa.

O quinto capítulo identifica as necessidades de educação do usuário e apresenta a importância de uma Política de Segurança da Informação e como elaborá-la.

O sexto capítulo relaciona as principais medidas de segurança contra as técnicas de Engenharia Social.

O capitulo sétimo mostra como criar um Plano de continuidade do Negócio, demonstrando como manter a empresa em operação após esta ser vitima de algum desastre.

O oitavo capítulo apresenta as considerações finais, concluindo com um aparato geral do que foi exposto, reforçando a atenção que deve ser disponibilizada para com a segurança das informações no âmbito empresarial e, em particular, para com as técnicas de Engenharia Social e propõem ainda uma sugestão para trabalhos futuros que contribuam ainda mais para o combate a essa técnica de roubo de informações.

2 REFERENCIAL TEÓRICO 2.1 Ameaças às Informações

Para Sêmola (2011), ameaça é “algo que pode agir voluntária ou involuntariamente em prejuízo de alguém ou alguma coisa”. Sendo assim, essa possibilidade de algo causar dano também afeta às informações, que estão continuamente expostas à ameaças oriundas de vários fatores. Peixoto (2006) ainda aponta o conceito de vulnerabilidade, reforçando que uma ameaça não implica necessariamente em uma vulnerabilidade, ou seja, uma vulnerabilidade é uma brecha onde uma ameaça pode causar dano.

No que se referem às informações, as ameaças exploram as vulnerabilidades existentes nos processos a elas integrados, isto é, de acordo com Peixoto (2006), as ameaças, muitas vezes, são decorrentes de vulnerabilidades existentes, provocando nas informações perda da confidencialidade, integridade e disponibilidade e podem ser agrupados em três categorias distintas:

Ameaças naturais: fenômenos da natureza;

Ameaças involuntárias: decorrentes do desconhecimento de normas, padrões ou operação, acidentes e erros;

Ameaças voluntárias: são amaças causadas propositalmente por pessoas. Ainda continuando com as definições de Peixoto (2005), as vulnerabilidades são frutos de ameaças generalizadas, afetando assim a segurança da informação e podem ser assim classificadas:

Físicas: salas de CPD mal planejadas, estrutura de segurança fora dos padrões exigidos;

Naturais: falta de energia, incêndios, aumento de umidade;

Hardware: Desgastes de equipamentos, equipamentos obsoletos; Software: má instalação e configuração;

Mídias: Perda ou dano das mídias de armazenamento de informações; Comunicação: acesso não autorizado ou perda da mesma;

Humana: Falhas de atenção, treinamento de funcionários inadequado e as decorrentes de práticas de Engenharia Social.

Como pôde ser constatado, as informações estão expostas continuamente a inúmeros tipos de ameaças que buscam explorar as suas muitas vulnerabilidades,

que podem ser naturais, falhas de projeto ou até mesmo humanas, e os sistemas de segurança da informação têm que estar aptos a lidarem com todas essas questões. Dentre essas ameaças generalizadas contra as informações, as referentes à Engenharia Social são uma classe que merecem especial atenção, pois, como será definido adiante, exploram as falhas existentes na personalidade humana e são de difícil prevenção.

2.2 Engenharia Social

2.2.1 Entendendo a Engenharia Social

Entre as principais ameaças à segurança dos sistemas de informação está a Engenharia Social. Esta “está inserida como um dos desafios (senão o maior deles) mais complexos no âmbito das vulnerabilidades encontradas na gestão da segurança da informação”. (PEIXOTO, 2006).

Segundo Mitnick e Simon (2003), a Engenharia Social pode ser definida como o uso da influência e da persuasão para enganar as pessoas e convencê-las de que o Engenheiro Social é alguém que na verdade ele não é. O Engenheiro Social fica então caracterizado como alguém que se utilizada das técnicas de Engenharia Social e em geral é citado como o atacante ou criminoso.

Outra forma de descrever a Engenharia Social seria como o encontrado na Cartilha de Segurança Para a Internet, disponibilizada pelo Comitê Gestor da Internet no Brasil (CGI.br):

um método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações.(CGI.br 2006)

A Engenheira Social, portanto, fica evidenciada pela ação de um indivíduo ou indivíduos, que através de técnicas de persuasão, intimidação e pressão psicológicas, conseguem obter acesso a informações confidenciais de empresas e pessoas para fins ilícitos. Esses ataques conseguem sucesso porque o criminoso que se utiliza dessas técnicas explora vulnerabilidades na personalidade humana

que proporcionam alto grau de sucesso nesses ataques. Como citado por Mitnick e Simon (2003):

a maioria das pessoas supõe que não será enganada, com base na crença de que a probabilidade de ser enganada é muito baixa; o atacante, entendendo isso como uma crença comum, faz a sua solicitação soar tão razoável que não levanta suspeita enquanto explora a confiança da vítima.

Diferentemente de outras formas de crimes ligados a Sistemas de Informação, como invasão de sistemas ou destruição de Informações, cometidos por Hackers2 e Crackers3, que possuem como motivador a autopromoção, o desafio e a chance de quebrar regras, a Engenharia Social sempre esteve relacionada com as relações interpessoais e, mais recentemente, com a tentativa de burlar os sistemas de segurança das corporações para obtenção de informações sigilosas e seu principal objetivo é o ganho financeiro obtido com a divulgação ou uso de tais informações.

Conforme pesquisa realizada pela empresa de softwares de Segurança Check Point e publicada no site cio.uol4, cujo tema foi segurança da informação, foram entrevistados 850 profissionais de segurança em TI de várias partes do mundo e a maioria dos entrevistados, 51%, responderam que o ganho financeiro é o principal fator motivador para crimes de Engenharia Social.

Para conseguir esse retorno financeiro, o Engenheiro Social apoia-se na falta de capacitação para o trato de informações empresariais e pessoais por parte dos indivíduos e sua inclinação para cometer atos ilícitos quando utilizando sistemas de informação. Laureano (2005) salienta que para preservar os segredos da empresa, além do investimento em softwares de segurança é muito importante investir em treinamento de funcionários, pois não são poucas as ocorrências referentes à espionagem industrial (forma de Engenharia Social).

É interessante salientar que as técnicas de Engenharia Social podem ser verificadas em vários aspectos da sociedade e em diferentes épocas, não se restringindo apenas a Tecnologia da Informação. Até mesmo a Bíblia, através da

2 H����� � ������� �� �������� �������������� ���� �������� � �������� ����� ���� �������, �� ������������ � �������� �� ������ �� �����. 3 C������ � I������ �� �������� �������������� ���� �������� � �������� ����������� �� ����� ��� ������ ����������� ���� ��������� �������. 4 F����: ����� ������������ ����� ���� ��������� � ������� �� ���������� ������. D��������� �� <���.���.���.���.��>.

conhecida história do encontro de Adão e Eva com a Serpente, já fazia alusão ao assunto (PEIXOTO, 2006). Portanto, o uso de técnicas de Engenharia Social é muito diversificado e antigo, precedendo até mesmo os computadores.

2.2.2 As Vulnerabilidades Humanas

Como distinguido no item 2.1, intitulado “Ameaças às Informações”, o que acarreta a quebra de segurança de um sistema de informação são suas vulnerabilidades, que passam a ser exploradas por ameaças até que as falhas ocorram. O termo vulnerabilidade, segundo o dicionário on-line Aurélio5  significa “Caráter ou qualidade de vulnerável”. Logo se faz necessário a compreensão da palavra vulnerável para darmos entendimento ao termo. Vulnerável, segundo essa mesma fonte, quer dizer “Suscetível de ser ferido, ofendido ou tocado”. Portanto uma vulnerabilidade é uma característica que torna algo vulnerável, ou seja, passível de sofrer dano.

Entre as muitas vulnerabilidades encontradas em um sistema de informação, as relacionadas com o fator humano estão entre as de trato e solução mais difíceis, conforme discutido anteriormente. São essas vulnerabilidades que tornam as pessoas tão suscetíveis aos ataques de Engenharia Social, pois:

o engenheiro social trabalha como ninguém os pontos relativos à psicologia humana. Explora sentimentos como o medo e a insegurança da vítima. Utiliza a simpatia para tentar convencer. Ou até mesmo a culpa [...]. (PEIXOTO, 2006).

Um atacante procura entender essas características vulneráveis do comportamento humano a fim de explorá-las com seu portfólio de truques para conseguir maior sucesso nos seus ataques.

Para Mitnick e Simon (2003), as principais vulnerabilidades humanas que podem ser exploradas por um ataque de Engenharia Social são:

• O respeito à autoridade: quando um ataque faz uma requisição demonstrando autoridade, a chance de ela ser atendida é muito grande;

• A afabilidade: uma pessoal que demonstra ser agradável consegue que as pessoas atendam seu pedido mais facilmente;

• A reciprocidade: essa vulnerabilidade faz as pessoas terem uma inclinação natural a retribuir um pedido de ajuda feito por alguém que já fez algo por você. Nesse caso os Engenheiros Sociais procuram causar algum problema para as vitimas e depois o solucionam, deixando a pessoa com a obrigação da retribuição;

• A consistência: os atacantes induzem as pessoas a fazerem um comprometimento público ou então ludibriam essas pessoas com o argumento que esse pedido será favorável a alguma causa comum a vitima;

• Validação social: ocorre quando o criminoso faz uma solicitação que vai de encontro com o que outras pessoas estão fazendo, tornando essa ação das outras pessoas uma validação para o comportamento em questão;

• Escassez: quando a solicitação é por algo escasso ou esse algo esta disponível por curto período de tempo.

Outra falha muito comum referentes às pessoas, mas ocorridas no âmbito profissional, é a falta de interesse ou desatenção para com as informações que são disponibilizadas a terceiros por parte dos funcionários das empresas. Como descrito por Peixoto (2006):

Se todo funcionário fosse tão questionador como uma criança, demonstrando interesse nos mínimos detalhes, ouvindo mais, estando fortemente atento a tudo a sua volta, e principalmente fazendo o uso dos poderosos “por quês”, com certeza as empresas transformariam os frágeis cadeados em legítimos dispositivos dificultantes de segurança da informação.

Mais uma vulnerabilidade que pode ser explorada com relação à segurança das informações empresariais reside nos funcionários que não receberam treinamento adequado em práticas de segurança e não foram alertados em como as informações da empresa devem ser tratadas. Também vale lembrar que a segurança é um processo continuo e os pontos de verificação das políticas e os treinamentos devem ser reciclados de tempos em tempos.

Peixoto (2006) define que:

Como chefe de segurança das informações de uma empresa [...], nada mais coerente do que fazer com que os funcionários desta empresa estejam aptos a entender o quanto é importante a preservação consciente das informações que cada um manipula em seu dia-a-dia.

Outro grupo de funcionários que merecem atenção são os funcionários descontentes, que por algum motivo qualquer, podem usar informações confidenciais da empresa para prejudicar a própria organização, no caso do funcionário tiver algum ressentimento com a companhia, ou fazer uso dessas informações para vendê-las a concorrentes, com o intuito de levantar quantias financeiras com essas venda. Essa vulnerabilidade está mais associada a falta de caráter do funcionário e a sua inclinação por desenvolver um sentimento de vingança em relação a empresa onde atuou.

Quando um engenheiro social sabe como as coisas funcionam dentro da empresa-alvo, ele pode usar esse conhecimento para desenvolver a confiança junto aos empregados. As empresas precisam estar preparadas para os ataques da engenharia social vindos de empregados atuais ou ex-empregados, que podem ter um motivo de descontentamento. (MITNICK E SIMON, 2003).

Esses pontos vulneráveis destacados fazem parte do comportamento humano e são, na maioria das vezes, respostas comuns a estímulos provocados por situações diversas. O grande problema desse comportamento falho esta na sua exploração por parte de pessoas mal-intencionadas, ocasionado com isso quebra nos sistemas de segurança das organizações e ameaçando suas informações.

A vantagem de se conhecer esses pontos da personalidade humana reside numa possibilidade de se desenvolver Políticas de Segurança da Informação mais adequadas com a realidade dos funcionários e alinhadas com os objetivos da empresa, inibindo assim os ataques de Engenharia Social e garantindo uma maior segurança para com as informações.

2.3 Segurança da Informação

As informações pertinentes a uma empresa, como seu catálogo de projetos, carteira de clientes, fornecedores e colaboradores, estratégias de marketing e campanhas publicitárias, contas a pagar e receber, manuais de utilização de equipamentos e sistemas, organogramas e fluxogramas, documentos detalhados da topologia de rede e configuração de servidores, entre outros, constituem um artigo de vital importância para a sobrevivência da mesma, pois, conforme menciona Laureano (2005, apud KATZAM, 1977):

Vivemos em uma sociedade que se baseia em informações e que exibe Vivemos em uma sociedade que se baseia em informações e que exibe uma crescente propensão para coletar e armazenar informações e o uso uma crescente propensão para coletar e armazenar informações e o uso efetivo da informação permite que uma organização aumente a eficiência de efetivo da informação permite que uma organização aumente a eficiência de suas operações

suas operações..

Sendo essas informações um ativo tão importante para as organizações, elas Sendo essas informações um ativo tão importante para as organizações, elas necessitam de um sistema eficaz de proteção contra os diversos tipos de ameaças necessitam de um sistema eficaz de proteção contra os diversos tipos de ameaças que

que pospossam sam corcorromrompê-pê-las las e e comcomproprometmeter er susua a segseguraurançança, , acaacarrerretantando do assassimim enormes danos para as empresas como um

enormes danos para as empresas como um todo.todo. Pa

Para ra um um sisiststemema a de de ininforformamaçãção o seser r coconsnsididereradado o seseguguro ro elele e dedeve ve terter pr

preseserervavado do os os seseguguinintetes s asaspepectctosos: : inintegtegriridadadede, , didispspononibibililididadade, e, nãnão o rerepúpúdidio,o, au

autetentnticicididadade e e e coconfnfididenencicialalididadade. e. PaPara ra FiFilhlho o (2(200004)4), , esestetes s asaspepectctos os sãsãoo considerados essenciais para que o sistema em questão possa ser confiável e considerados essenciais para que o sistema em questão possa ser confiável e integro.

integro.

A fim de garantir a preservação dessas características, recomenda-se a A fim de garantir a preservação dessas características, recomenda-se a utilização de um Sistema de Segurança da Informação, que, de uma forma genérica utilização de um Sistema de Segurança da Informação, que, de uma forma genérica e sem adentrarmos nos domínios de como colocar em prática essas medidas de e sem adentrarmos nos domínios de como colocar em prática essas medidas de segurança, domínios esses que serão tratados posteriormente nesse trabalho, é segurança, domínios esses que serão tratados posteriormente nesse trabalho, é caracterizado, segundo definição da NBR ISO/IEC 27002 (2005), pela “proteção da caracterizado, segundo definição da NBR ISO/IEC 27002 (2005), pela “proteção da informação contra vários tipos de ameaças para garantir a continuidade do negócio, informação contra vários tipos de ameaças para garantir a continuidade do negócio, maximizar o retorno sobre

maximizar o retorno sobre os investimentos e as oportunidades de negócio”.os investimentos e as oportunidades de negócio”.

A base para qualquer projeto de segurança da informação consiste em se A base para qualquer projeto de segurança da informação consiste em se definir primeiramente dois fatores primordiais: quem são os proprietários dessas definir primeiramente dois fatores primordiais: quem são os proprietários dessas informações e qual o seu grau de importância para a organização. Conforme informações e qual o seu grau de importância para a organização. Conforme relatado por Silva, P., Carvalho e Torres (2003) esses dois pontos podem assim ser relatado por Silva, P., Carvalho e Torres (2003) esses dois pontos podem assim ser definidos:

definidos: Pr

Propopririetetárário io da da InInfoformrmaçação ão - - papara ra quque e um um sisiststemema a de de SeSegugurarançnça a dada Informação possa ser posto em prática é necessário, primeiramente, identificar os Informação possa ser posto em prática é necessário, primeiramente, identificar os proprietários da informação. Ao se definir esses proprietários, é possível determinar proprietários da informação. Ao se definir esses proprietários, é possível determinar mais claramente as necessidades reais de segurança dessa informação.

mais claramente as necessidades reais de segurança dessa informação.

Classificação das Informações - uma vez definidos os responsáveis pela Classificação das Informações - uma vez definidos os responsáveis pela info

informarmaçãoção, , estesta a podpoderá erá maimais s facfacilmilmentente e ser ser claclassissificficada ada de de acacordordo o com com suasua sensibilidade e, posteriormente, protegida de acordo com essa classificação. sensibilidade e, posteriormente, protegida de acordo com essa classificação. Deve-se notar que a classificação não constitui um fim em si mesmo, mas antes um meio se notar que a classificação não constitui um fim em si mesmo, mas antes um meio que permite definir procedimentos para a gestão da informação, como por exemplo, que permite definir procedimentos para a gestão da informação, como por exemplo, a sua destruição, armazenamento ou transporte.

Os autores reforçam também que: Os autores reforçam também que:

Est

Este e esfesforço orço de de claclassissificficaçãação o perpermite mite desdesenvenvolvolver er nívníveis eis de de proproteçteçãoão id

idênêntiticocos s papara ra ininfoformarmação ção cocom m os os mesmesmomos s rerequiquisitsitos os de de segseguraurançnça,a, permitindo a sua concentração, o que irá maximizar o efeito dos esforços de permitindo a sua concentração, o que irá maximizar o efeito dos esforços de proteção. Nos casos em que não seja possível agrupar a informação com as proteção. Nos casos em que não seja possível agrupar a informação com as me

mesmasmas s nenececessssididadeades s de de sesegugurarançança, , a a clclasassisifificacaçãção o pepermirmite te dedefinfinirir padrões de proteção, claros e inequívocos, para as várias categorias de padrões de proteção, claros e inequívocos, para as várias categorias de classificação. (SILVA, P., CARVALHO E TORRES, 2003)

classificação. (SILVA, P., CARVALHO E TORRES, 2003)

Quando se define o proprietário de uma informação e quem a ela será dado Quando se define o proprietário de uma informação e quem a ela será dado acesso, fica mais fácil definir uma política para tratar sua proteção, definindo com acesso, fica mais fácil definir uma política para tratar sua proteção, definindo com isso, formas de compartilhamento, restrições de

isso, formas de compartilhamento, restrições de acesso e auditorias.acesso e auditorias. Co

Com m rerelalaçãção o à à clclasassisificficaçação ão da da ininforformamaçãção, o, a a susua a tatarerefa fa é é sesepapararar r asas informações em grupos homogêneos, para que esses grupos recebam o mesmo informações em grupos homogêneos, para que esses grupos recebam o mesmo grau de proteção, onde será definido se essa informação é confidencial ou não, o grau de proteção, onde será definido se essa informação é confidencial ou não, o tempo necessário que essa informação poderá ficar indisponível, a forma como será tempo necessário que essa informação poderá ficar indisponível, a forma como será realiz

realizado ado seu seu backbackupup66 (di(diariariameamente, nte, sesemanmanalmalmentente, e, etcetc..)..), , ondonde e o o bacbackup kup serseráá armazenado, como e quando essa informação deverá ser destruída, entre outras armazenado, como e quando essa informação deverá ser destruída, entre outras definições.

definições.

Laureano e Moraes

Laureano e Moraes (2005 apud WADLOW, 2000 e ABREU, 201(2005 apud WADLOW, 2000 e ABREU, 2011) apoiam 1) apoiam queque o correto é classificar as informações em níveis de prioridade, respeitando sempre o correto é classificar as informações em níveis de prioridade, respeitando sempre as necessidades das empresas, assim como a importância da classe da informação as necessidades das empresas, assim como a importância da classe da informação para a manutenção da empresa. Segundo eles, as informações podem ser assim para a manutenção da empresa. Segundo eles, as informações podem ser assim classificadas:

classificadas:

Pública: quando a informação pode vir a público sem consequências mais Pública: quando a informação pode vir a público sem consequências mais sérias ao funcionamento normal da empresa, e cuja integridade não é vital.

sérias ao funcionamento normal da empresa, e cuja integridade não é vital.

Interna: quando o acesso livre a este tipo de informação deve ser evitado, Interna: quando o acesso livre a este tipo de informação deve ser evitado, mesmo não sendo muito sérias as consequências oriundas de uso não autorizado. mesmo não sendo muito sérias as consequências oriundas de uso não autorizado. Sua integridade não é considerada vital, mas muito importante.

Sua integridade não é considerada vital, mas muito importante.

Confidencial: quando a informação se restringe aos limites da empresa e sua Confidencial: quando a informação se restringe aos limites da empresa e sua divulgação ou perda pode causar uma falha no equilíbrio operacional e perdas divulgação ou perda pode causar uma falha no equilíbrio operacional e perdas financeiras ou quebra da confiança por parte

financeiras ou quebra da confiança por parte dos clientes externos.dos clientes externos.

6 C���� ��� ����������� ���� ��������� ����������� ���� ������ ��������� ��� �� ���������. 6 C���� ��� ����������� ���� ��������� ����������� ���� ������ ��������� ��� �� ���������.

Secreta: quando a informação é considerada crítica para as atividades da Secreta: quando a informação é considerada crítica para as atividades da empresa. Sua integridade deve ser preservada a qualquer custo e seu acesso deve empresa. Sua integridade deve ser preservada a qualquer custo e seu acesso deve ser restrito a um número reduzido de pessoas. Sua segurança é vital para a ser restrito a um número reduzido de pessoas. Sua segurança é vital para a organização.

organização.

A partir da correta separação das informações, pode-se definir mecanismos A partir da correta separação das informações, pode-se definir mecanismos pa

para ra gagararantntir ir susua a sesegugurarançnça, a, cocomo mo PoPolílítiticacas s de de SeSegugurarançnça a da da InInfoformrmaçaçãoão acompanhadas de processos de treinamento e conscientização de funcionários, acompanhadas de processos de treinamento e conscientização de funcionários, especificando o que cada tipo de informação implica para a empresa e definindo especificando o que cada tipo de informação implica para a empresa e definindo punições diferentes em caso de divulgação não autorizada dessas informações.

punições diferentes em caso de divulgação não autorizada dessas informações.

Após a correta classificação das informações parte-se para a definição do Após a correta classificação das informações parte-se para a definição do Sistema de Segurança da Informação e a melhor maneira de implantar esse sistema Sistema de Segurança da Informação e a melhor maneira de implantar esse sistema é através de uma Política de Segurança da Informação bem definida. Esta consiste é através de uma Política de Segurança da Informação bem definida. Esta consiste em documentos descrevendo a forma como a informação deverá ser tratada pela em documentos descrevendo a forma como a informação deverá ser tratada pela instituição.

instituição.

Maneiras de se desenvolver uma Política de Segurança de Informação e Maneiras de se desenvolver uma Política de Segurança de Informação e como treinar funcionários em boas práticas de segurança serão detalhadas em como treinar funcionários em boas práticas de segurança serão detalhadas em capítulos posteriores. O importante de se frisar até aqui é que as informações, por capítulos posteriores. O importante de se frisar até aqui é que as informações, por serem algo de muito valor

serem algo de muito valor para qualquer instituição, necessitam serem protegidas depara qualquer instituição, necessitam serem protegidas de uma forma pensada e de

3 TÉCNICAS E FATORES MOTIVADORES DA ENGENHARIA SOCIAL 3.1 Principais Técnicas de Ataque da Engenharia Social

Os Engenheiros Sociais utilizam inúmeras técnicas e truques para conseguir a colaboração de pessoas, que muitas vezes são vítimas inocentes, para que estas disponibilizem informações confidencias, sejam elas pessoais ou empresarias, para poderem fazer uso dessas informações para fins ilícitos. Como principal meio de conseguir essa colaboração está à exploração da reação comum das pessoas a pedidos de ajuda e solicitação de informações, que, primeiramente, pensam em ajudar ao solicitante e somente posteriormente se preocupam com a importância da informação fornecida.

De acordo com Mitnick e Simon (2003), “[...] como seres humanos, somos todos sujeitos a sermos enganados, porque a confiança das pessoas pode ser usada de forma errada se for manipulada de determinadas maneiras”. O Engenheiro Social conhece ou consegue perceber essa confiança que lhe é depositada e, a partir dai, desenvolve técnicas que buscam focar principalmente esse desejo dos homens de ajudarem aos seus pares.

Entre as principais técnicas de Engenharia Social temos, conforme relatado por Peixoto (2006):

• Telefonemas: onde o Engenheiro Social, utilizando-se da obscuridade

proporcionada pelo uso do telefone, garantindo sua difícil identificação, tenta se passar por alguém que ele não é e solicita informações ou ações ao atendente;

• Fakemail: e-mail fraudulentos com o intuito de induzir a vitima a clicar em

links maliciosos que poderão executar aplicativos de captura de senhas e sequestro de computadores, tornando seus PCs zumbis, entre outras coisas;

• Chats de internet: onde, como no telefonema, o atacante pode se passar

muito facilmente por qualquer pessoa;

• Fax: o criminoso envia formulários, pedidos de requisição, entre outros

documentos, solicitando que sejam respondidos e enviados para endereços falsificados;

• Mergulho no lixo: o atacante vasculha o lixo das vitimas a fim de encontrar

• Surfar sobre os ombros: o atacante posiciona-se atrás das vitimas no

momento que estas vão digitar suas senhas em terminais eletrônicos de bancos, computadores pessoais e coisas do tipo;

• Pessoalmente: constitui uma visita in loco7 por parte do transgressor para

levantamento de informações ou para execução de ações. Talvez seja o menos utilizado, pois o que atrai um Engenheiro Social é a obscuridade que essa técnica fornece. Mas, apesar do risco, às vezes essa é única alternativa que resta aos criminosos.

Além das técnicas clássicas mencionadas acima, a Engenharia Social vêm se aprimorando com o passar do tempo e com o advento de novas tecnologias, criando formas inovadoras de obtenção de informações sigilosas constantemente. Entre essas formas mais modernas de ataques esta o Phishing, que é inspirado no clássico Fakemail, porém mais aprimorado. Segundo o a empresa Symantec8, respeitável empresa do ramo de segurança e antivírus, o Phishing é uma técnica de falsificação on-line que consiste na utilização de websites falsificados e e-mails fraudulentos com o intuito de induzir as vitimas a clicarem em links adulterados onde serão persuadidos a passarem informações pessoais e seus criadores não passam de falsários e ladrões de identidade.

Portanto a Engenharia Social não é uma técnica de obtenção de informações estagnada e passa ainda por grandes transformações, resultado da criatividade dos criminosos adeptos dessa classe de golpes que exploram as muitas vulnerabilidades humanas.

3.2 Fatores Motivadores da Engenharia Social

A obtenção de lucro é o que mais motiva um criminoso a buscar informações sigilosas de forma ilícita através de técnicas de Engenharia Social9. Mas também existe uma grande quantidade de atrativos secundários que motivam esses

7 �� ������� �����.

8 F����: �������� ������ A������ D� ����� D� D����, ��������� D� D���� E A������ D����������� D� H������ C�� �������� D� G���� F���������. D��������� ��:

<����://���.��������.���/��/��/�����/����/�������/�������.���?����=20070322�01>. 9 ��� ���� 2.2.1 � E��������� � E��������� ������.

atacantes a adotarem essa família de fraudes para conseguirem ganho financeiro. Entre esses atrativos podemos citar:

• Facilidade para conseguir informações confidenciais: através das inúmeras

técnicas de ataques já discutidas anteriormente, os Engenheiros Sociais conseguem obter informações sigilosas com incrível facilidade. Santos (2004) comenta que:

muitos acreditam que os Engenheiros Sociais utilizam ataques com mentiras elaboradas bastante complexas, porem, muitos ataques são diretos, rápidos e muito simples, onde eles simplesmente pedem a informação desejada.

Mitnick e Simon (2006) ainda reforçam que as pessoas possuem uma inclinação para ajudar seus pares e os Engenheiros Sociais possuem várias maneiras para tirar proveito disso.

• Alto índice de sucesso nos ataques: como resultado dessa facilidade de

conseguir informações sigilosas, temos um elevado grau de êxito nas empreitadas que envolvem a Engenharia Social. Como não existem dados concretos e confiáveis sobre esse tipo de golpe, as conclusões tomadas são baseadas em documentos disponibilizados por empresas que realizaram testes de penetração de segurança. Essas instituições ressaltam, de acordo com Mitnick e Simon (2003), que suas ações para invasão de sistemas computacionais de empresas clientes utilizando técnicas de Engenharia Social conseguem alcançar 100 % de sucesso.

• A não necessidade de aparatos tecnológicos para realização de ataques:

algumas ações criminosas se vêm dificultadas pelo obstáculo imposto por aparatos tecnológicos e também pela própria tecnologia em si. Em muitas ocasiões o atacante não possui o equipamento necessário para empreender a ação ou não possui o conhecimento sobre o equipamento que terá que manusear ou atacar, principalmente por se tratar de TI, onde as tecnologias são, cada vez mais, complexas e de difícil domínio, e em outras, os próprios mecanismos tecnológicos de segurança são as barreiras para impedir tais ataques.

Com o uso da Engenharia Social, os atacantes conseguem burlar toda essa parte tecnológica e atacar a suas vítimas sem intermédios de meios de defesa. Mitnick e Simon (2003) reforçam que:

o atacante hábil que usa a arte de enganar como uma das armas de seu kit de ferramentas procura explorar as melhores qualidades da natureza humana: a tendência natural de ajudar, dar apoio, ser educado, participante de uma equipe e o desejo de realizar um trabalho.

Apenas com uma simples conversa ou vasculhando uma lata de lixo um Engenheiro Social consegue obter informações sigilosas e usá-las para fins não lícitos.

•  As inúmeras vulnerabilidades humanas: em geral, as pessoas possuem

uma forma comum de reagir a situações diversas, entre elas a solicitação de ajuda e informações que, na grande maioria das vezes, são respondidas positivamente e sem uma analise mais criteriosa por parte das vitimas. Compreendendo essas nuances da personalidade humana, os Engenheiros Sociais as exploram a fim de alcançar seus objetivos.

Os engenheiros sociais sabem como explorar o desejo natural das pessoas de ajudar e fazer parte de uma equipe. Um atacante explora esse traço humano positivo para enganar empregados desavisados para que executem ações que o coloquem mais perto do seu objetivo. É importante entender esse conceito simples para que você reconheça quando outra pessoa está tentando manipulá-lo. (MITNICK E SIMON, 2003).

•  Estrutura virtual sem fronteiras: as diferenças regionais, incluindo suas

culturas, tecnologias e legislações, tornam o ambiente virtual, representado principalmente pela internet, um estado independente e sem políticas unificadas. Agravando esse cenário temos o amplo alcance da rede mundial de computadores, que torna possível a comunicação e a interligação de computadores espalhados ao redor do mundo.

Para Popper e Brignoli (2002) “[...] a rede não respeita fronteiras entre países, o que dificulta administrar as diferenças culturais ou aplicar leis nacionais”. Se aproveitando dessa possibilidade de acesso irrestrito e sem fronteiras e das diferenças regionais existentes, um atacante pode, através do uso de páginas de internet e e-mails, cometer seus crimes em qualquer lugar do mundo, invadindo computadores e roubando senha, tornando a tarefa de encontrá-lo muito difícil.

• Difícil punição dos criminosos: um fator muito atraente para quem busca

informações através das técnicas de Engenharia Social é a sua difícil punição ou a até mesmo a falta dela. Conforme Popper e Brignoli (2002) é muito difícil punir esse

tipo de criminoso, pois alguns desses ataques nem podem ser considerados delitos, e citam como exemplo a procura de informações em sacos de lixo ou até mesmo ouvir conversas em lugares públicos.

•  A falta de treinamento dos funcionários das empresas: a maioria das

empresas não investem ou investem muito pouco na segurança de suas informações e quando investem, na maioria das vezes, investem em dispositivos tecnológicos e se esquecem de se preocupar com o treinamento de seus funcionários. De acordo com Silva, V. (2012a):

tal problemática [referindo-se a obtenção de informações sigilosas pelo Engenheiro Social] está diretamente voltada à fraca abordagem desta questão nas organizações, que na grande maioria das vezes não se preocupam como deveriam com a necessidade de possuírem uma Política de Segurança robusta que trate do tema [...].

Os crimes que envolvem a Engenharia Social são um ótimo atrativo para os criminosos, pois, independentemente de seu objetivo principal, que é o lucro, existe uma quantidade elevada de fatores que o tornam possível. Junte-se a esse cenário a facilidade de se conseguir as informações sigilosas que esse método proporciona e a quase inexistência de punição para os criminosos e temos uma arte criminosa das mais atraentes para os olhos de um criminoso inteligente e perspicaz.

3.3 Análise dos Ataques e dos Fatores Motivadores

Ao analisar as técnicas de Engenharia Social e os fatores que impelem os seus ataques verificam-se três aspectos fundamentais que estão intimamente relacionados e juntos formam uma maneira muito eficaz de crime contra as informações: a facilidade de conseguir informações, o alto índice de eficiência nos ataques e a difícil punição dos atacantes.

Os dois primeiros, a facilidade de conseguir informações e o alto índice de eficiência nos ataques, estão sincronizados com as vulnerabilidades encontradas na personalidade humana. Essas vulnerabilidades são as brechas por onde um Engenheiro Social obtém sucesso com a aplicação de seus golpes, pois, conforme  já discutido e aqui reforçado por Salvo (2011), “O elemento mais vulnerável de

comportamentais e psicológicos que o torna suscetível aos ataques de Engenharia Social”.

Mesmo conhecendo esses traços falhos presentes nos seres humanos, não é possível conceber um sistema tecnológico sem o fator humano estar presente. Imamura (2007) lembra que a presença humana é fundamental em pelo menos duas fases distintas de um sistema computacional: a fase de criação e a fase de decisão e ambas:

estão presentes em todos os momentos do emprego da tecnologia, pois a seleção da tecnologia, a forma de emprego, os controles e a avaliação estão diretamente associadas à dinâmica do avanço tecnológico e da vontade humana. (IMAMURA, 2007).

Porém, de acordo com Filho (2004), há maneiras de se amenizar os problemas relacionados com essas vulnerabilidades humanas, diminuído com isso o alto índice de sucesso dos Engenheiros Sociais. A principal delas seria a adoção de medidas, entre as empresas, para atenuação da participação do componente humano nos processos de segurança. Essas medidas, ainda com relação ao referenciado por Filho (2004), compreendem quatro fatores: educação e treinamento dos funcionários, segurança física da instituição, política de segurança e controle de acesso.

É claro que o homem não pode ser excluído totalmente do processo computacional, no entanto, quanto menor for sua participação nas atividades relacionadas com o trato e segurança das informações e, quando essa participação for indispensável, ela esteja respaldada por um ambiente físico seguro e uma política de segurança consistente, menores serão as chances de um criminoso obter sucesso em um ataque contra as informações da instituição em questão.

Já a difícil punição dos criminosos configura-se como um grande desafio para os responsáveis pela criação e aplicação de leis. O sistema de leis, principalmente o brasileiro, encontra-se defasado em relação às fraudes virtuais e muitas leis, que foram criadas para emprego em outros crimes, diferentes dos digitais, tem que ser enquadradas para trato dos crimes cibernéticos. Conforme defendido por Eiras (2004), o sistema jurídico brasileiro “mostra-se sobremaneira obsoleto para enfrentar criminosos virtuais. Isto porque muitos meios de prova que nos ajudariam a capturá-los, simplesmente não têm validade em nosso Direito”.

A forma mais contundente para tratar essa questão seria uma reforma no regime de leis, tanto nacionais quanto internacionais, que envolva especialistas em tecnologia e promova um debate em toda a sociedade.

Atheniense (2012), advogado especialista em crimes de internet, ressalta que:

[...] as soluções legais a serem buscadas deverão objetivar a circulação de dados pela internet, controlando a privacidade do indivíduo sem cercear o acesso à informação. Neste sentido é necessário aprimorar nossas leis de proteção de dados, inclusive com a regulamentação da atividade dos provedores que controlam a identificação do infrator, bem como um maior aparelhamento das delegacias especializadas.

Seguindo esse panorama, o governo brasileiro esta trabalhando para tipificar os crimes cometidos contra as informações. Conforme Aquino (2011):

o governo está elaborando o marco civil para disciplinar a área de informática, cuja ideia, segundo o ministro [referindo-se ao ministro da Justiça, José Eduardo Cardozo], é estudar os projetos que já tramitam no Legislativo e que preveem a tipificação para ver se há a necessidade de aperfeiçoar a parte criminal.

Enquanto novas formas de leis que visam proteger as informações e inibir crimes como os que envolvem a Engenharia Social não são aprovadas, essa técnica mostra-se como um dos meios ilegais mais seguros e vantajosos para os criminosos obterem informações secretas e, consequentemente, ganhos financeiros, pois seus crimes são de difícil diagnóstico, a punição aos responsáveis é muito difícil de ocorrer e as vulnerabilidades humanas tornam os índices de sucesso nos ataques muito altos.

4. IMPACTOS CAUSADOS PELOS CRIMES DE ENGENHARIA SOCIAL 4.1 Crimes de Difícil Apuração

A Engenharia Social é uma prática de roubo de informações difícil de ser descoberta e mais difícil ainda de ser enquadrada como um crime. Essa difícil apuração dos delitos faz com a maioria das empresas nem desconfiem que sofreram ataques dessa natureza contra suas informações ou, na melhor das hipóteses, sabem que sofreram um prejuízo, mesmo que não o consigam quantificar, mas não sabem como esse prejuízo ocorreu. Mitnick e Simon (2003) sustentam que:

Parece que não há estatísticas sobre os ataques da engenharia social e, se houvesse, os números seriam muito pouco confiáveis. Na maior parte dos casos uma empresa nunca sabe quando um engenheiro social "roubou" as informações, de modo que muitos ataques não são notados nem relatados.

Reforçando esse contexto, Diniz (2008) relata que:

os possíveis prejuízos causados por ataques de Engenharia Social são incalculáveis devido às ameaças (pessoas) estarem presentes em quase todos os processos de uma empresa: Financeiros, Operacionais, Administrativos, etc...

Quando as empresas descobrem que tiveram suas informações sigilosas expostas por ataques criminosos, na maioria das vezes, já é bastante tarde para alguma ação de defesa, elas então optam por ocultar o corrido e não divulgam essas informações para as partes competentes. Paschoal (2002) comenta que não se pode confiar muito nos números referentes a invasões de sistemas informáticos, isso porque as notificações são feitas pelos próprios invasores e as empresas atingidas, com temor de ter as próprias falhas de segurança expostas, evitam divulgar essas invasões sofridas.

O conjunto desses fatores faz com que as estatísticas a respeito dos impactos causados pela ação da Engenharia Social sejam distantes da realidade e os valores dos prejuízos provocados estejam muito abaixo do que realmente são.

Peixoto (2006) reforça esse difícil levantamento dos impactos provocados por ataques contra as informações empresariais:

31% [referindo-se as empresas brasileiras] não sabem dizer se sofreram ataques e somente 29% alegam nunca ter sofrido ataques, [...]. Em 22% dos casos de ataque, as organizações não conseguiram detectar as causas e em 85% dos casos não souberam quantificar o prejuízo.

Apesar dessa dificuldade e dos dados não serem muito completos, existem inúmeros levantamentos dos prejuízos causados por crimes contra sistemas informáticos realizados por empresas sérias do ramo da segurança da informação e dentre esses levantamentos encontra-se informações sobre o Phishing, que, de conformidade com o explanado no item 3.1 “Principais Técnicas de Ataque da Engenharia Social“ é considerado uma técnica moderna de Engenharia Social. É nesses dados que os levantamentos a seguir serão apoiados.

4.2 Números do Phishing

Como uma tentativa de mensurar os impactos causados por essa prática, mesmo que ainda distante da realidade, serão abordados os crimes relacionados com a prática do Phishing, pois, como são difundidos através da rede mundial de computadores, esses crimes são uns dos poucos entre o portfólio dos Engenheiros Sociais capazes de serem identificados e quantificados pelas empresas de segurança da informação.

Segundo Ikeda (2011), o Phishing ocupa a terceira posição nos incidentes relacionados à segurança da informação no Brasil, com 11% dos casos. As Invasões a perfis em redes sociais, com 19%, ficam em segundo lugar e os vírus de Computadores, com 68%, aparecem no topo da lista.

Ikeda (2011) informa ainda as perdas financeiras causadas por esses crimes no período de um ano. O montante chega a US$ 388 bilhões, e no Brasil, alcança a casa dos US$ 60 bilhões (o equivalente a R$ 104 bilhões). Sendo o Phishing responsável por 11% das ocorrências, pode-se estimar um prejuízo calculado aproximado de R$ 11,44 Bilhões (11% de 104 Bilhões de Reais).

Outra pesquisa, mas agora focada no Reino Unido e realizada pela Apacs (2006)10, entidade que pertence a Associação de Bancos daquela região, aponta um aumento dos prejuízos causados pelo Phishing entre os anos de 2005 e 2006. Segundo o órgão, este tipo de fraude tornou-se mais sofisticado e eficaz, fazendo

10 F����: �������� ���������� ��������� �� ������� ��������� �� ��� �� ����� �����. D��������� �� <����://���.���������.���/���.���?��=3064>.

com que os prejuízos saltassem dos 14,5 milhões de libras para 22,5 milhões, ou seja, um aumento de 55%.

Já o instituto Gartner (2005)11, respeitada instituição do ramo de pesquisa e aconselhamento sobre tecnologia da informação, divulgou um relatório sobre os prejuízos estimados ocorridos devido ao Phishing nos Estados Unidos com cartões de crédito e débito. Conforme o relatório, os ataques de Phishing já causaram prejuízos estimados em US$ 2,75 bilhões nos últimos 12 meses (se referindo ao período de 2004 a 2005). O relatório é fruto de um estudo envolvendo 500 clientes de bancos americanos. O instituto Gartner estima que cerca de três milhões de americanos perderam, cada um em média, mais de US$ 900 durante o último ano.

Para termos uma ideia da expressividade dos números relatados acima basta compará-los com os gastos com a segurança pública do estado de São Paulo, o estado mais rico do país. Segundo dados do SIGEO, levantados e divulgados por Junqueira (2012), temos:

[...] entre 2001 e 2005 os investimentos realizados na Polícia Militar somaram R$ 285,7 milhões, contra R$ 8,5 milhões para a Polícia Civil e R$ 1,9 milhão para a Superintendência Técnico-Científica. Considerando-se a dotação orçamentária total neste período, vê-se que, dos cerca de R$ 29 bilhões que a pasta acumulou entre 2001 e 2005, cerca de R$ 17 bilhões (58%) foram para a PM e R$ 5,3 bilhões (18,5%) para a Polícia Civil. A polícia técnica ficou com R$ 608 milhões

Ao se analisar os números do Phishing, verifica-se que apenas em um ano os prejuízos com esse golpe ultrapassaram os 11 bilhões de reais, isso somente no Brasil. Esse montante é muito superior ao que o estado de São Paulo gasta com sua rede de polícias (civil, militar e científica). Isso nos mostra a real ameaça que são os crimes de Engenharia Social e os grandes prejuízos financeiros que eles provocam.

Uma única modalidade dessa arte criminosa e, ainda por cima, longe de ter seus números levantados de forma exata e precisa e sempre abaixo do que realmente são, demonstra o incrível potencial dessa técnica como um todo, alertando para as empresas a importância que elas devem dispor aos seus sistemas contra fraudes e mostrando também que suas políticas de segurança devem ser revistas e adaptadas aos ataques dessa natureza.

11 F����: �������� ������ ��������� �� ������� �� �������. D��������� ��

<����://���.�����.���.��/��������/�������/���������������������������������������� ���������17310��0.����>.

5 COMO GARANTIR A SEGURANÇA DAS INFORMAÇÕES 5.1 Políticas de Segurança da Informação e Sua Importância

Face às inúmeras ameaças existentes contras as informações, torna-se indispensável para as empresas à implantação de um modelo eficiente de Política de Segurança da Informação. Silva, V. (2012b) ressalta que essas políticas são de extrema importância para evitar que os ataques contra as informações, de qualquer natureza e não somente os oriundos de Engenharia Social, consigam êxito em sua empreitada contra as empresas.

Esse importantíssimo aspecto do escopo de segurança das organizações é definido por LAUREANO (2005, apud DIAS, 2000) como:

um mecanismo preventivo de proteção dos dados e processos importantes de uma organização que define um padrão de segurança a ser seguido pelo corpo técnico e gerencial e pelos usuários, internos ou externos. Pode ser usada para definir as interfaces entre usuários, fornecedores e parceiros e para medir a qualidade e a segurança dos sistemas atuais.

 As Políticas de Segurança são um escopo de como as informações devem ser protegidas dentro do âmbito da organização, ou seja, um manual sobre os procedimentos em vigor para aquela organização específica. Por esse motivo, são documentos que variam muito de instituição para instituição e sua aplicação e métodos são muito distintos.

D’Andrea (2004) ainda reforça que:

o valor e a efetividade da segurança da informação serão alcançados à medida que as organizações façam o planejamento, o desenho e a gestão da segurança considerando seus objetivos corporativos e de negócios.

Para as empresas conseguirem essa efetividade para com a segurança de suas informações elas necessitam tratar essa questão com um maior profissionalismo, implantando uma Política de Segurança bem definida, que estipule normas e procedimentos a serem seguidos por todos dentro da organização. Essas normas precisam ainda estar em acordo com os objetivos empresarias da empresa.

Um problema comum encontrado nas Políticas de Segurança em vigor é que elas privilegiam por demais os aspectos técnicos dos sistemas computacionais e esquecem o fator humano. Popper e Brignoli (2002) enfatizam que a maior parte das

empresas não aloca seus recursos financeiros de uma forma equilibrada, elas preferem investir na manutenção de sistemas e em novas tecnologias e se esquecem de direcionar esses investimentos para combater a Engenharia Social. Essa brecha nas Políticas de Segurança pode ser explorada pelos Engenheiros Sociais, tornando todo o esquema de segurança das empresas falho, pois, conforme salienta Peixoto (2006): “[...] a segurança das informações deve ser comparada a uma corrente, em que o elo mais fraco representa exatamente o nível de resistência e proteção”.

Para que essas políticas sejam realmente seguras, bem balanceadas e consigam lidar com as diferentes ameaças contra as informações, é recomendável que elas sejam elaboradas, com relação ao Brasil, seguindo os princípios da norma NBR ISO/IEC 27002/2005, norma brasileira referência para gestão da segurança da informação. Sêmola (2003), além de reforçar a necessidade da adoção dessa norma como referência, ainda lembra que as organizações que possuem uma política já definida deverão revê-las em conformidade também com a ISO1779912. Em geral essas normas estão embasadas nas leis vigentes no país, garantindo, com isso, que as empresas não tenham problemas com a legislação a que são subordinadas.

Em 2005 a NBR ISO/IEC 17799, publica em 2000, foi atualizada pela ABNT e passou a ser referenciada como NBR ISO/IEC 27002, sendo, a partir desse momento, essa normal a principal referência em boas práticas para a gestão da segurança da informação no Brasil (NBR ISO/IEC 27002, 2005).

Em vista do que foi exposto, fica evidenciado que para tratar as suas informações de forma segura, as empresas necessitam, primeiro, implantar uma Política de Segurança da Informação respaldada por uma norma que trate do assunto e esteja em acordo com a legislação vigente do país onde resida, segundo, essa política deve estar focada nos interesses da empresa e, terceiro, ela deve se preocupar tanto com os aparatos tecnológicos como com os ativos humanos.

Um último ponto a ser abordado sobre as Políticas de Segurança da Informação é que esta deve ser amplamente divulgada dentro do ambiente empresarial e serem de fácil entendimento para as partes envolvidas, conforme comentado por Silva, V. (2012b):

12 ��� ��� ������������ ����� �� ����������� �� ����� �B� I��/IEC 17799, ��� ������ � ��� ������� �� �B� I��/IEC 27002 �� 2005, � �������� �� ������ ��� ���������� ������ � ����� �B� I��/IEC 17799.

o grande problema enfrentado é que muitas políticas não são divulgadas, não são confeccionadas utilizando termos de fácil entendimento, algumas possuem palavras muito técnicas e, em meio a todas essas adversidades, a empresa não realiza ações para conscientizar e educar seus colaboradores quanto à importância de preservar a informação da empresa.

Essa boa divulgação das informações sobre as Políticas de Segurança vigentes garantem um maior comprometimento por parte dos funcionários com as questões de segurança, assegurando com isso uma maior eficiência dessas políticas.

5.2 Sucesso da Política de Segurança da Informação

Um sistema de segurança da Informação precisa atender um grande número de variáveis para que venha a ser executado com sucesso. Esse sistema não pode se ater apenas a forma como as informações serão tratadas ou armazenadas, se elas estarão disponíveis e integras ou quem terá acesso a elas. De acordo com NBR ISO/IEC 27002 (2005), para que um sistema de Segurança da Informação possa ser implantado com sucesso, os seguintes aspectos precisam ser colocados em prática:

• Política de Segurança que reflita os interesses do negócio; • Uma abordagem consistente com a cultura organizacional; • Comprometimento e apoio de todos os níveis gerenciais;

• Um bom entendimento dos requisitos da segurança da informação;

• Divulgação das normas de segurança para todos que fazem parte do

escopo organizacional da empresa (funcionários, colaboradores, parceiros, entre outros);

• Provisão de recursos financeiros para as atividades de segurança;

• Estabelecimento de um processo eficiente de gestão de incidentes da

segurança da informação;

• Implementação de um sistema de avaliação e melhoria do sistema de

segurança da informação.

Nota-se que os aspectos mencionados pela NBR ISO/IEC 27002 (2005) são bastante sucintos e genéricos, deixando a cargo da empresa escolher os procedimentos que melhor se adequarão a sua estrutura organizacional. Estes itens estão mais relacionados com a maneira como o sistema será implantado, seu

alinhamento com os negócios da empresa, provisão de recursos financeiros para que o mesmo se realize e posterior avaliação desses sistemas.

Os primeiros pontos, referentes ao alinhamento do sistema de segurança aos interesses de negócio da organização e sua cultura, apoio dos níveis gerencias e provisão de recursos, são essenciais para que o plano traçado consiga sair do papel, ser colocado em prática, ter seu desenvolvimento garantido financeiramente e seja apoiado posteriormente pela administração da empresa. Conforme explicado por Silva P., Carvalho e Torres (2003):

A Administração da empresa é quem define a estratégia do negócio e que escolhe as iniciativas a realizar para a sua implementação. Desta forma, é a este corpo administrativo que compete decidir ao mais alto nível as atividades que se irão realizar na empresa, sendo a função do responsável pela segurança dotar a Administração da informação necessária para que esta possa optar.

Esses aspectos são conseguidos através da sinergia de todos os setores administrativos que compõe a organização, que devem ter suas expectativas expostas, discutidas e possam ser alinhadas com o interesse geral dos negócios da corporação. Também se faz necessário que a instituição, através de seu responsável pela segurança da informação, tenha um bom conhecimento sobre as questões de segurança e como aplicá-las em uma Política de Segurança da Informação.

Outro traço importante da Política é a sua divulgação para todos os funcionários e colaboradores da organização. Mitnick e Simon (2003) defendem que o principal objetivo da divulgação de um modelo de segurança da informação é o de “influenciar as pessoas para que mudem seu comportamento e suas atitudes motivando cada empregado a querer entrar no programa e fazer a sua parte para proteger os ativos de informações da organização”. Com os funcionários empenhados em seguir os procedimentos de segurança corretamente as chances de sucesso são aumentadas consideravelmente.

Além da divulgação da Política de Segurança, se faz necessário um treinamento bem elaborado acompanhado de constantes programas de reciclagem em segurança para que os funcionários estejam aptos a lidar com diferentes tipos de ameaças, principalmente as relacionadas com a Engenharia Social.

Finalizando os fatores que proporcionam sucesso ao Sistema de Segurança está um esquema de avaliação do mesmo, que gere informações para que melhorias possam ser implantadas no decorrer do tempo.