• Nenhum resultado encontrado

Aula 11. Engenharia Social

N/A
N/A
Info
Descarregar agora
Protected

Academic year: 2021

Share "Aula 11. Engenharia Social"

Copied!
5
0
0

Carregando.... (Ver texto completo agora)

Descarregar agora ( 5 páginas )

Texto

(1)

Aula 11

Engenharia Social

O termo “Engenharia Social” passou a ser amplamente disseminado na área de segurança nos últimos anos. Apontado como um dos maiores riscos atuais, os ataques de Engenharia Social ainda são muito eficazes, já que se apoiam em falhas de interpretação do próprio cérebro humano.

A falta de consciência das pessoas a respeito das técnicas de um engenheiro social e o seu excesso de autoconfiança são os principais aspectos que favorecem o sucesso da Engenharia Social. Uma empresa que realmente leva a sério a questão da segurança da informação considera isso como uma prioridade em sua cultura corporativa, passa a treinar seus funcionários assim que são admitidos. Nestas empresas nenhum funcionário deve acessar um microcomputador antes de participar de pelo menos uma aula básica sobre conscientização em segurança da informação.

Um dos crackers mais famosos da história, Kevin Mitnick, utilizou de engenharia social em seus feitos. Durante a sua vida ilícita invadiu computadores, corporações, redes e ainda desmantelou a segurança de alguns departamentos importantes do governo americano e diversas grandes empresas da área. Em 1995 foi preso. Sua sentença foi de cinco anos e mais três em liberdade condicional, mas sem poder se aproximar de um computador. Atualmente utiliza seus conhecimentos positivamente, ministra palestras sobre segurança da informação e já escreve vários livros sobre o assunto.

Uma ótima descrição da Engenharia Social foi dada pelo hacker Kevin Mitnick em seu livro “A Arte de Enganar” (“The Art of Deception” no original em inglês”). Abaixo se encontra uma livre tradução do original em inglês:

A engenharia social usa a influência e a persuasão para enganar as pessoas e convencê-las de que o engenheiro social é alguém que na verdade ele não é, ou pela manipulação. Como resultado, o engenheiro social pode aproveitar-se das pessoas para obter as informações com ou sem o uso da tecnologia.

(2)

Mitnick (2003) aponta alguns fatores que são de grande importância quando se trata de segurança da informação, descritos a seguir.

Em qualquer organização, por maior que seja a sua segurança, sempre haverá um fator de desequilíbrio chamado “fator humano”. O velho ditado que diz que “um segredo deixa de ser um segredo quando mais alguém sabe” é uma das máximas existentes dentro da segurança da informação.

Um dos maiores problemas, hoje em dia, na segurança da informação está relacionado ao ser humano e sua ignorância. Práticas que permitem o acesso não autorizado a dados, lugares, objetos e entre outros, fragiliza qualquer esquema de segurança da informação, uma vez que as pessoas acabam tendo acesso a informações indevidas, colocando em risco a segurança da informação. A questão comportamental pode afetar significativamente as demais medidas de segurança, por mais modernas que sejam. Outro fator destacado por Mitnick está relacionado à vulnerabilidade que se dá em função da falta de entendimento sobre a importância da informação que está sendo guardada. Por exemplo: a escolha de senhas fracas ou pelo esquecimento de algum cuidado básico, como deixar senhas anotadas.

Como age o Engenheiro Social:

O profissional da arte de enganar pessoas utiliza-se de técnicas de persuasão e exploração da ingenuidade dos usuários, criando um ambiente psicológico perfeito para seu ataque como, por exemplo, utilizando identificações falsas, tendo carisma e fazendo o apelo sentimental a fim de conquistar a confiança da vítima.

 Tornar útil: O ser humano procura ser cortês ou ajudar os outros quando necessário.

 Buscar amizades: Os humanos costumam sentir-se bem ao serem elogiados, de maneira que muitas vezes ficam abertos para fornecer informações.

 Prorrogar responsabilidades: Muitas vezes o ser humano considera não ser o único responsável pelo conjunto de responsabilidades ou atividades.

Outra questão de vulnerabilidade está relacionada aos funcionários insatisfeitos, desmotivados e desvalorizados. São “presas” fáceis para o engenheiro social.

(3)

Métodos mais comuns:

Pesquisa

Essa tática consiste no colhimento de materiais com a finalidade de descobrir quem são as pessoas que guardam as informações desejadas. O próximo passo será procurar meios para absorver as informações desejadas dessas pessoas.

Personificação e impostura

A personificação baseia-se na criação de um personagem. Um exemplo clássico é aquele em que o engenheiro social faz uma ligação passando-se por alguém da área de informática da empresa e diz precisar da senha da pessoa ou se passa por um assistente da presidência ou gerência e pedir informações em nome do seu chefe.

Divisão de responsabilidades

A técnica da divisão de responsabilidades também é bem comum e resume-se em convencer os funcionários a compartilharem as senhas com o objetivo de dividirem determinadas tarefas ou responsabilidades.

Spoofing

Uma nova técnica utilizada é o chamado Spoofing do número telefônico, que tem por objetivo fraudar o sistema de identificação de chamadas, fazendo com que o número exibido pelo identificador de chamadas seja aquele desejado pelo fraudador.

E-mails falsos

Essa técnica é uma das mais comuns aplicadas pelos engenheiros sociais para conseguirem dados alheios como, por exemplo, senhas, contas bancárias, cartões de crédito e etc.. Normalmente esses e-mails falsos abordam assuntos que estão em alta na mídia, atualizações de segurança, recuperação de dados bancários, promoções, premiações ou qualquer outro assunto que venha despertar a curiosidade da vítima. Para que ela seja motivada a clicar em links que instalarão vírus, “cavalos de troia” ou direcionarão para páginas falsas, que capturarão os dados da vítima ao serem digitados.

(4)

Phishing

Criação de sites falsos que possuem o endereço muito parecido com o do original, tirando proveito de erros de digitação comuns. Ao digitar informações nesse site, automaticamente os dados são enviados para os criminosos. Por isso a importância de se ter certeza se o site é verdadeiro antes de enviar qualquer informação.

Engenharia Social Inversa

A engenharia social inversa é uma técnica mais avançada e que exige muito mais preparação e pesquisa. Nessa técnica, os papéis invertem-se: o atacante finge ser uma autoridade, de maneira que os funcionários passarão a pedir informação para ele, até chegar um ponto em que o criminoso extrairá informações valiosas sem que ninguém desconfie.

Footprint

Essa técnica tem por objetivo maior descobrir informações a respeito de algumas tecnologias usadas pela empresa, referentes principalmente ao acesso remoto.

Internet e extranet

Essa técnica utiliza-se de softwares especiais para coletar as informações desejadas. É normalmente utilizada quando o invasor não consegue absorver as estas informações através de outras técnicas de persuasão devido à falta de conhecimento por parte das vítimas.

Vasculhar o lixo

Por incrível que pareça, vasculhar o lixo da empresa é um dos grandes métodos usados por esses criminosos para conseguirem acessar informações sensíveis, pois muitas empresas não se preocupam com o destino do seu lixo ou sequer utilizam máquinas fragmentadoras ou trituradoras de papel para que os diversos documentos sigilosos não sejam recuperados por pessoas mal-intencionadas.

Olhar pessoas digitando

Essa técnica tem por objetivo descobrir as senhas das pessoas enquanto elas digitam no teclado.

(5)

Programação neurolinguística

Essa técnica baseia-se em imitar o jeito de ser da vítima como, por exemplo, sua maneira de falar, de se expressar, seus gestos, entre outros, por um determinado tempo para assim confundi-la, de maneira a formar certa intimidade, deixando a vítima pensar que está no comando da situação. Até que a partir de certo momento o engenheiro social passa a comandar o diálogo sem que a vítima sequer perceba, capturando, assim, as informações desejadas.

Como se proteger?

O bom senso é fundamental nesses casos, tenha cuidado ao expor suas informações. Seus dados nas mãos de pessoas mal-intencionadas poderão causar-lhe muitos problemas. Fique atento com relação a qualquer tipo de abordagem, independente do meio utilizado. Nunca forneça informações confidenciais como senhas, números de documentos e de cartão de crédito, por exemplo. Mencionar senha por telefone é um erro gravíssimo, pois antes de disponibilizar qualquer tipo de informação, deve-se saber com quem se fala e de onde se fala, além de conferir, através de aparelhos identificadores de chamada, a origem do número de telefone. Também é importante conferir o motivo pelo qual solicitaram determinada informação.

Desconfie de e-mails sobre promoções principalmente em épocas festivas, que solicitem os seus dados. Tenha cuidado com e-mails de banco, diversas empresas bancárias já divulgaram notas informando que não solicitam nenhum tipo de alteração cadastral por e-mail.

Um problema que surgiu com o aumento das redes sociais é a exposição excessiva. Informações como estou “sozinho em casa”, ”olha a foto do meu carro novo”, ”meu crachá”, são exemplos de informações que podem trazer-lhe risco se cair em mãos de pessoas mal-intencionadas, pois dão dicas aos criminosos.

Referências

Descarregar agora ( PDF - 5 páginas - 292.35 KB )

Documentos relacionados

Os números primos como instrumento de estímulo à curiosidade dos estudantes

Nessa disserta¸c˜ ao, ser˜ ao propostas duas sequˆ encias did´ aticas a serem trabalhadas com alunos do Ensino Fundamental II que relacionam o conte´ udo dos n´ umeros primos com

ESTADO DE MINAS GERAIS UNIVERSIDADE DO ESTADO DE MINAS GERAIS Gerência de Compras EDITAL DE LICITAÇÃO

A presente licitação tem por objeto Contratação de empresa especializada para locação dos seguintes equipamentos de precisão para topografia: Estação Total,

MINISTÉRIO DA EDUCAÇÃO SECRETARIA DE EDUCAÇÃO PROFISSIONAL E TECNOLÓGICA INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DO RIO DE JANEIRO

Os candidatos reclassificados deverão cumprir os mesmos procedimentos estabelecidos nos subitens 5.1.1, 5.1.1.1, e 5.1.2 deste Edital, no período de 15 e 16 de junho de 2021,

ANÁLISE DO COMPORTAMENTO ACÚSTICO DAS IGREJAS DO SÉCULO XIX EM PORTO ALEGRE

Apresentamos estudo sobre o comportamento acústico das Igrejas do século XIX de Porto Alegre, RS, Brasil: Igreja Nossa Senhora das Dores (1832); Igreja Nossa Senhora da Conceição

CORREÇÃO DA FICHA DE REVISÕES DE 8.º

8- Bruno não percebeu (verbo perceber, no Pretérito Perfeito do Indicativo) o que ela queria (verbo querer, no Pretérito Imperfeito do Indicativo) dizer e, por isso, fez

Arte e ciência no século XIX: um estudo em torno da descoberta da fotografia no Brasil

Apesar de pesquisadores na França, na Inglaterra e no Brasil (e talvez em outros tantos lugares) terem identificado igualmente seus processos de fixação da imagem

Análise do Nível de Conhecimento e Prática em Investimentos Financeiros dos Acadêmicos das Universidades Federais no Estado de Santa Catarina

Portanto, dada a abrangência da educação financeira, por ser um tema transversal e podendo ser atrelado a todas os cursos dentro do meio acadêmico, as instituições

Avaliação de eventos adversos a medicamentos em pacientes pediátricos hospitalizados

Para análise das características gerais e ocorrência de possíveis interações medicamentosas todos os pacientes internados durante o período de estudo, com prontuário