Upload
jackson-pimentel
View
13
Download
0
Embed Size (px)
DESCRIPTION
Artigo sobre Engenharia Social
Citation preview
ENGENHARIA SOCIAL UM RISCO A PRIVACIDADE DA INFORMAÇÕES
Jackson Luís Pimentel*
RESUMO
O presente artigo abordará a importância da informação nos
dias de hoje e o quanto é importante protege-la, pois em um
mundo cada vez mais globalizado, em que tudo gira em torno
da informática, a questão da segurança muitas vezes fica
alheio ao conhecimento e pertinência das pessoas. E uma das
técnicas usada por muitos indivíduos mal intencionados é a
engenharia social, tal técnica está presente no dia das
pessoas, por telefone, e-mails, chats e conversas informais.
Engenharia social é o assunto central que é abordado neste
trabalho relacionado dentro de alguns tópicos como a questão
da segurança e privacidade, conceitos, vulnerabilidades,
sistemas de informação e boas práticas de como se proteger,
tanto no âmbito pessoal quanto empresarial, pois as pessoas,
muitas vezes leigas, são atacadas e nem fazem ideia do que
está acontecendo, até mesmo porque são desinformadas ou
não consideram a relevância da segurança da informação na
internet ou em redes locais e acabam não dando a devida
importância no que se refere a credencias de acesso e de
outras informações privilegiadas das quais são portadoras.
Palavras - chaves: Engenha social, segurança da informação,
globalização, vulnerabilidade no contexto social, fator humano.
* Acadêmico de Sistemas de Informação pela Universidade Luterana do Brasil – ULBRA
INTRODUÇÃO
A constante utilização da internet como ferramenta de prospecção de negócios
está aumentando significativamente a circulação de dados sensíveis de clientes, estes
que por sua vez são considerados como ativo para a organização. Apesar de muitas
empresas gastarem altos recursos em dispositivos de segurança baseados em
software e hardware para a segurança dos dados, algumas vulnerabilidades estão
diretamente relacionadas às pessoas em um sistema de informação e o modo como
manipulam e distribuem estes dados. Desta forma, este artigo pretende identificar e
conceituar a engenharia social como vulnerabilidade em um sistema de informação,
considerando diversos aspectos inerentes ao seu uso, bem como boas práticas de
proteção que podem ser usados para mitigar este tipo de ataque.
1. A INFORMAÇÃO E A SEGURANÇA DIGITAL
A geração de conhecimento está diretamente ligada ao conceito da informação.
Segundo Campos (2006, p.3-4), a geração da informação consiste na transformação
de um determinado conjunto de dados em fonte de conhecimento para as
organizações. Como qualquer outro ativo pertencente à organização, a informação
também precisa ser protegida contra roubos, falsificações e outras vulnerabilidades
que possam ser encontradas, evitando assim que a empresa seja prejudicada
financeiramente ou judicialmente.
Com a constante evolução tecnológica, diferentes negócios que até então eram
gerenciados de modo físico passaram para o meio eletrônico. Com isso, diferentes
vulnerabilidades foram criadas e são constantemente utilizadas por agentes externos
em um cenário digital. É neste contexto que entra a segurança da informação.
Para Fontes (2006, p.13), “a segurança da informação é um conjunto de
orientações, normas, procedimentos, políticas e demais ações que tem por objetivo
proteger o recurso informação.” A garantia da segurança da informação passa por três
princípios básicos, conhecidos pelo termo DIC, além de outros serviços identificados
abaixo:
● Disponibilidade: É um serviço de segurança que permite que a informação
esteja acessível à organização.
● Integridade: Este serviço de segurança permite garantir que a informação não
seja adulterada ou corrompida.
● Confidencialidade: Garantir que a informação esteja acessível somente para
quem realmente necessite da informação. A criptografia é um dos mecanismos
que pode garantir a confidencialidade da informação.
● Autenticação: Este serviço permite que a identificação dos usuários.
● Não repúdio: Este serviço garante que entidades não neguem a autoria de
determinada informação.
● Controle de acesso: Define condições e parâmetros de acesso aos usuários,
permitindo um mecanismo de controle tanto para a informação quanto para as
entidades.
Seguindo estes princípios, é possível estabelecer um controle de segurança de
modo que se consiga mitigar possíveis vulnerabilidades que possam ser realizadas
em um cenário digital, permitindo que a organização evolua e prospere com
segurança.
1.1. SEGURANÇA E PRIVACIDADE
As organizações produzem e controlam, frequentemente, um grande conjunto
de dados de clientes. Estes dados, conforme mencionado anteriormente, possuem
um grande valor quando transformados em conhecimento. Por isso, muitas empresas
consideram a privacidade dos usuários como um ativo que deve ser protegido.
Segundo Fontes (2006, pg.108), dependendo do ramo de negócio da organização, os
dados sensíveis de clientes, como instituições financeiras ou empresas que lidam com
dados médicos, podem ocasionar perdas severas à empresa.
As ameaças à segurança da informação possuem diferentes alvos em uma
organização. Atualmente, diferentes meios de comunicação divulgaram ações de
espionagem eletrônica realizados pelos EUA, com alvos relacionados principalmente
à privacidade dos usuários. Isto comprova o valor dos dados dos clientes e sua
importância para os negócios.
Neste contexto, a utilização de mecanismos de controle como políticas de
segurança e diferentes níveis de controle de acesso podem mitigar possíveis
vulnerabilidades.
2. ENGENHARIA SOCIAL
O termo engenharia social designa para práticas utilizadas a fim de se obter
informações sigilosas ou importantes de empresas, pessoas e sistemas de
informação, explorando a confiança das pessoas para enganá-las. Pode-se também
definir engenharia social como a arte de manipular pessoas a fim de contornar
dispositivos de segurança ou construir métodos e estratégias para ludibriar pessoas,
utilizando informações cedidas por elas de maneira a ganhar a confiança delas para
obter informações. (SILVA, E., 2008).
2.1. CONCEITOS
Engenharia Social é a ciência que estuda como o conhecimento do
comportamento humano pode ser utilizado para induzir uma pessoa a atuar segundo
seu desejo. Não se trata de hipnose ou controle da mente, as técnicas de Engenharia
Social são amplamente utilizadas por detetives (para obter informação) e magistrados
(para comprovar se um declarante fala a verdade). Também é utilizada para lograr
todo tipo de fraudes, inclusive invasão de sistemas eletrônicos. (KONSULTEX, 2004
apud PEIXOTO, 2006, p. 4).
Assim também a define Engenharia Social Nakamura e Geus (2003):
“A engenharia social é a técnica que explora as fraquezas humanas e sociais, em vez de explorar a tecnologia. Ela tem como objetivo enganar e ludibriar pessoas assumindo-se uma falsa identidade, a fim de que elas revelem senhas ou outras informações que possam comprometer a segurança da organização” (NAKAMURA,GEUS, 2003, p.70).
O termo “engenharia” foi atribuído a essa prática porque é construída sobre
informações e táticas de acesso a informações sigilosas de forma indevida. Já o termo
“social” foi atribuído porque utiliza pessoas que vivem e trabalham em grupos
organizados. Essas práticas simplesmente ganharam esse novo termo, pois são bem
antigas sendo bastante utilizadas por detetives a fim de obterem informações e
também por magistrados com o objetivo de comprovar se um declarante fala a
verdade (SANTOS, 2004).
De acordo com Peixoto (2006, p. 36), “A engenharia social, propriamente dita,
está inserida como um dos desafios (se não o maior deles) mais complexos no âmbito
das vulnerabilidades encontradas na gestão da segurança da informação.”
2.2. HISTÓRICO
Paradoxalmente, o nome Engenharia Social apesar de pouco conhecido
classifica uma categoria extremamente comum de ataques à Segurança da
Informação. Apesar desse paradoxo o nome não poderia descrevê-la melhor:
Engenharia - Estudo da habilidade de criar, inventar e manipular algo a partir
da técnica.
Social - Tudo aquilo que é relativo à forças externas ao indivíduo, provenientes
do meio que este vive, que determinam grande parte do seu comportamento.
Uma ótima descrição da Engenharia Social foi dada pelo hacker Kevin Mitnick
em seu livro “A Arte de Enganar” (“ The Art of Deception ” no original em inglês”) .
Abaixo se encontra uma livre tradução do original em inglês:
A engenharia social usa a influência e a persuasão para enganar as pessoas e
convencê-las de que o engenheiro social é alguém que na verdade ele não é, ou pela
manipulação. Como resultado, o engenheiro social pode aproveitar-se das pessoas
para obter as informações com ou sem o uso da tecnologia.
Da definição acima dois pontos chaves devem ser destacados. O primeiro é
que a Engenharia Social não é um ataque exclusivo do meio digital, sendo passível
de ocorrência mesmo sem o auxílio da tecnologia, apesar de ataques assim não
serem o foco deste artigo. O outro ponto do qual o primeiro é uma consequência direta
é que o foco de um ataque de Engenharia social é o fator humano, daí a sua eficácia.
2.3. CENÁRIOS E VULNERABILIDADES
Algumas das questões sobre a segurança e importância da informação ficam
alheios em relação a conhecimento e percepção de muitos indivíduos que trabalham
cargos chaves em empresas ou até mesmo no âmbito pessoal do cotidiano. Isso faz
com que tais informações fiquem vulneráveis e assim propensos a ataques de
engenheiros sociais, sendo que muitas vezes essas brechas não estão na
infraestrutura de TI seja ela na empresa ou no computador pessoal, o problema muitas
vezes são as próprias pessoas, o fator humano. Pois em um cenário em que temos
uma infra de TI bem definida, organizada, implementada com forte segurança, muitas
vezes invulneráveis, o que acontece é que os hackers percebem essa parede
intransponível por rede e software e acabam apelando pra engenharia social para
conseguir extrair alguma senha, credenciais e acesso a determinado sistema, site ou
banco.
O engenheiro social conta diversos tipos de ferramentas do comportamento
humano para atingir seus objetivos tais como vaidade, curiosidade, instinto,
solidariedade, etc., basta que ele tenha o discernimento psicológico para conseguir
analisar quais mecanismos ele pode usar com determinado indivíduo e usar a
criatividade. Alguns dos fatores humanos vulneráveis que podem ser usados são os
seguintes:
Persuadir pessoas para obter informações é um dos mecanismos básico de um
engenheiro social, basta que ele identifique pontos do indivíduo que o torna
suscetível a manipulação;
O ser humano busca se associar com outras pessoas, e ser aceito, a tendência
é que quando ele consegue isso o indivíduo fica mais fácil no que desrespeito
a propagação de informação;
Quando uma pessoa exerce atividades das quais outras pessoas também
podem exercer, a informação é disseminada, como credencias e acessos;
Elogiar um indivíduo, o ser humano tem tendência a ficar vulnerável quando é
avaliado de forma positivo.
Ser prestativo e querer ajudar pode ser um ponto de ataque para o engenheiro
social.
Essas são algumas dentre outras muitas formas de vulnerabilidade do
comportamento humano usado pelo engenheiro social.
Cercar e explorar falhas de pessoas que foram demitidas de empresas, é uma
das vulnerabilidade também usadas, pois a pessoa demitida na maioria das vezes
pode estar magoada com a empresa, e está fragilizada.
Bem como o recém contratado da empresa, que começa a ter informações da
empresa e não tem noção ainda da devida importância das informações ou
credencias. Segundo o site de noticia CIO, em um pesquisa realizada em 2011, coloca
o fator de novos funcionários como causa de uma das maiores vulnerabilidades do
que diz respeito a engenharia social.
Porem algumas das vezes o engenheiro social não quer necessariamente
extrair informações digitais ou cibernéticas do indivíduo, ele pode estar atrás de extrair
informações intelectuais do mesmo, o que nos remete a pensar que a engenharia
social não está presente apenas no âmbito de TI, isso porque usando engenharia
social é possível obter conhecimentos de um pessoa, através de mecanismo como
leitura do corpo, olhos, etc., e assim aprender sobre aquela pessoa ou aprender o que
ela sabe ou até de certa forma manipular indivíduo.
2.4. ESTUDO DE CASOS E INCIDENTES
As agencias de caça talentos é um ramo em que é visado por engenheiros
sociais, muitas vezes por partes de outras empresas, isso para identificar profissionais
e novos talentos identificados por essas agencias. O que pode ocorrer é que essas
próprias agencias buscam pessoas com habilidade especifica para engenharia social
para ajudar a identificar falhas na segurança social de seu colaboradores internos.
Em empresas no ramo de seguros e planos de saúde o engenheiro social age
para descobrir clientes dos mesmos por intermédio de seus colaboradores, o que
ocorre é que quando descoberto clientes “bons”, é feito um trabalho em cima deste
cliente para leva-lo a trocar de seguradora ou plano de saúde.
A engenharia social porem não utilizada apenas para o mal, muitas vezes a
mesma é utilizada pelas empresas para descobrir vulnerabilidades afim de ampliar a
segurança no âmbito empresarial. No entanto quando utilizada para de forma maléfica
a mesma é uma arma poderosa para conseguir obter informações privilegiadas sobre
outras empresas, como novas tecnologias usadas, clientes, tendências, lucros. Não
necessariamente engenheiro social é uma profissão ou cargo em uma empresa, na
maioria das vezes são pessoas comuns com certo dom para esse tipo de atividade.
Temos ainda a engenharia social involuntária, que é usada por pessoas
comuns no dia a dia, em alguns lugares e situações, como por exemplo quando
alguém vai comprar um produto e o vendedor é especulado pelo indivíduo afim de
extrair informações sobre o produto que o vendedor não fala explicitamente. Ainda
quando alguém tem intenções de conquistar de forma romântica outra, é empregado
engenharia social afim de saber o que a outra pessoa está pensando. Engenharia
social é umas das técnicas mais usadas no mundo como forma de comunicação
humana.
O engenheiro social atacas de várias formas, por diversos tipos de contato com
a vítima pode ser pessoal direta ou indireta.
Um hacker por exemplo, criar um vírus de computador que captura tudo o que
o usuário digita no sistema, o vírus feito por si não faz nada se não tiver rodando lá no
computador da pessoa a ser ataca, mas aí como fazer para que o vírus chegue e se
instale nos computador, como fazer para se espalhar. Eis que engenharia social, o
hacker envia e-mails para as vítimas com seu vírus anexo disfarçado, e no corpo do
e-mail o mesmo descreve dizendo que as fotos de uma suposta festa está em anexo,
ou que é um intimação da polícia federal, ou alguma coisa relacionada a sexo, um
cartão virtual em anexo, enfim algo que desperte a curiosidade do usuário e o
impulsione a clicar no anexo do e-mail que é o vírus disfarçado. No momento que a
vítima fazer isso, está instalando em seu computador o vírus que captura todas as
informações que são digitadas no computador, desta forma o hacker terá acesso a
credencias usadas pela vítima, e assim se acessando informações confidencias da
empresa ou senha do banco, etc. Vírus como este são chamados de worms (vermes),
por se espalharem facilmente.
Outra situação bem comum, e também usado o e-mail como meio para isso, é
quando o indivíduo mal intencionado cria um site com o layout idêntico a de um banco,
e hospeda esse site falso em um host da internet com um endereço de url semelhante
ao do site verdadeiro, porem esse site falso, cotem diretrizes que quando inserido as
credencias de acesso do usuário é pego tais credencias e enviado para o golpista.
Porém não basta ter o site, se não tem alguma vítima para acessá-lo, e aí novamente
que entra engenharia social, o golpista envia e-mails para uma lista de pessoas, os
chamados spans, com algum texto que o leve a clicar no link do site falso, como por
exemplo dizer que a pessoa ganhou um prêmio do banco em questão e que precisa
clicar naquele link para poder autentica-lo. O usuário por sua vez, se não identificar a
fraude, vai clicar, acessar e inserir as credencias do banco e nesse momento o
golpista vai ter as credencias de acesso, e poder acessar a conta da vítima no banco
e fazer o que quiser, inclusive roubar dinheiro.
Como exemplo de sucesso em engenharia social é possível citar Kevin Mitnick,
através de codinomes ele invadiu e roubou documentos secretos, expos falhas do
sistema de telefonia, etc. Uma das atividades de engenharia social de Mitnick era ligar
para operadoras de telefonia e fazer com que telefones particulares virassem
telefones públicos, claro isso não o dava vantagem nenhuma apenas para fins do
prazer de burlar o sistema. Mitnick foi um ícone da geração de hackers pois mostrou
que não é preciso necessariamente ter e usar computadores para burlar sistemas e
fura seguranças.
3. POLITICAS E DIRETRIZES DA SEGURANÇÃ DA INFORMAÇÂO
De acordo com ABNT NBR ISO/IEC 27002:2005, “a informação é um ativo, [...]
que tem um valor para a organização e, consequentemente, necessita ser
adequadamente protegida”.
A Política de segurança da informação nada mais é que um manual de
instruções que expõe de forma clara como as informações e recursos devem ser
protegidos e utilizados. Sendo que todas as empresas devem definir suas próprias
regras. De acordo com Fonseca (2009), “o controle efetivo da segurança é posto em
prática através do treinamento dos funcionários, bem como através de políticas e
procedimentos que devem ser muito bem documentados.“, também de acordo com o
autor “Essas políticas estão entre as mais significativas no que diz respeito a evitar e
detectar os ataques da engenharia social.”. As regras das políticas de segurança são
de vital importância para a proteção de dados da empresa assegurando e
resguardando suas informações.
Todas as políticas de segurança devem seguir os seguintes elementos
principais (MARCIANO apud ORTALO,1996):
Elementos básicos, os quais descrevem os diferentes indivíduos, objetos,
direitos de acesso e atributos presentes na organização ou no sistema, e que
definem o vocabulário segundo o qual a política é construída;
Os objetivos da segurança, ou seja, as propriedades desejadas dos sistemas
com respeito à segurança, definida em termos dos atributos desta
(confidencialidade, integridade e disponibilidade);
Enquanto as diretrizes de segurança mapeiam as possíveis ameaças,
vulnerabilidades ou pontos fracos encontrados nos ativos que regem uma empresa.
Existem duas diretrizes por trás de qualquer política de segurança:
Proibitiva: tudo que não é expressamente permitido é proibido;
Permissiva: tudo que não é proibido é permitido.
Um esquema de autorização, na forma de um conjunto de regras descrevendo
os mecanismos do sistema relevantes à segurança, com a descrição das eventuais
modificações no estado da segurança.
3.1. LEGISLAÇÃO
As legislações brasileiras protegem os usuários e defendem seus direitos e
impõem regras para a utilização da internet, onde os fornecedores do serviço também
são incluídos.
A Lei nº 12.965, de 23 de abril de 2014 mais conhecidas como o Marco Civil é
a lei que regula o uso da Internet no Brasil, por meio da previsão de princípios,
garantias, direitos e deveres para quem usa a rede, bem como da determinação de
diretrizes para a atuação do Estado, ela é dividida em três premissas . Principio de
neutralidade, “Art. 9º O responsável pela transmissão, comutação ou roteamento tem
o dever de tratar de forma isonômica quaisquer pacotes de dados, sem distinção por
conteúdo, origem e destino, serviço, terminal ou aplicativo.” (art. 9º, § 1º e seus
incisos). Todo o acesso a informação deve ocorrer com a mesma velocidade, não
deixando operadoras venderem pacotes separados para os tipos de informação ou
privilegiarem acesso a sites A Reserva jurisdicional em que acesso a aplicações de
internet será condicionada a prévia decisão judicial específica e fundamentada. Os
dados podem ser requeridos para a formação de conjunto probatório em ações civis
ou penais (caput do art. 17), Versa o projeto que "O provedor de conexão à Internet
não será responsabilizado civilmente por danos decorrentes de conteúdo gerado por
terceiros." (art. 18). Isto impede que o provedor do serviço restrinja a liberdade dos
usuários, não podendo censurá-los, apenas sendo responsáveis após uma ordem
judicial especifica.
3.2. BOAS PRÁTICAS
Para garantir a eficiência e proteger os dados e informações podem ser
seguidas algumas práticas do mercado que obtém e obtiveram os melhores resultados
praticados, essas práticas passam desde conscientização de usuários a políticas
internas da empresa.
Entre as práticas de política empresarial pode-se destacar os controles de
acesso lógico que protegem equipamentos, aplicativos internos e externos, acesso a
dados, arquivo de dados entre outros.
"Os controles de acesso, físicos ou lógicos, têm como objetivo proteger equipamentos, aplicativos e arquivos de dados contra perda, modificação ou
divulgação não autorizada. Os sistemas computacionais, bem diferentes de outros tipos de recursos, não podem ser facilmente controlados apenas com dispositivos físicos, como cadeados, alarmes ou guardas de segurança. (Zymler et al,2012, p. 16) "
Visto que humanos estão dispostos a erros e mudanças de comportamento em
situações de riscos e que possuem excessos de autoconfiança o que podem levar
brechas na segurança da empresa.
“Mesmo aqueles que descobrem que foram atacados, dificilmente admitem o
fato, com receio de prejudicarem sua reputação. (SALDANHA, 2002 apud POPPER;
BRIGNOLI, 2003, p. 2).
O autor também cita que em certos países do mundo as empresas podem obter
um certificado de segurança de informação o que torna um diferencial para as
empresas.
3.2.1. A nível de processo organizacional
O conceito de engenharia social deveria sem amplamente analisado e
prevenido em nível de processos empresariais, ou seja, seguindo alguns
procedimentos de políticas de segurança e orientação aos usuários, também pode ser
utilizado alguns bloqueios para evitar possíveis brechas dentro da empresa, evitando
com que os usuários divulguem informações que podem ser usadas de forma
maliciosa.
A maioria dos ataques ocorre por vulnerabilidades nos sistemas, às vezes falta
de bloqueios que acabam permitindo com que os usuários cliquem e facilitem o
trabalho dos engenheiros sociais. Nesses casos, os responsáveis pela segurança das
informações da empresa podem assegurar a integridade fazendo com que os
colaboradores se conscientizem das usabilidades e tenham consciência das
informações transmitidas, mas também podem impor bloqueios ou limites de acesso
para evitar problemas desse nível.
Uma das possibilidades de bloquear o acesso é utilizar filtros para que os
hackers não tenham acesso às informações, ou seja, bloquear os conteúdos que os
colaboradores acessam. Como política de segurança, a maioria das empresas impede
o acesso livre a sites ou conteúdo na internet, nesse caso o colaborador acaba não
acessando conteúdos suspeitos e que podem prejudicar a segurança da empresa,
tais como links recebidos por e-mail, sites de relacionamentos, que acabam sendo os
principais meios para os “engenheiros sociais” agirem para obter dados fáceis para
agirem posteriormente.
3.2.2. A nível pessoal
Uma das partes mais utilizadas para conseguir informações para se utilizar da
engenharia social, o fator humano acaba sendo o elo mais fraco nesse meio.
A empresa pode adquirir o mais alto padrão de segurança para guardar suas
informações, pode até treinar bem os colaboradores, bem como contratar a melhor
segurança para guardar o prédio, porém ainda estaria vulnerável a um ataque contra
suas informações.
“Os indivíduos podem seguir cada uma das melhores práticas de segurança recomendadas pelos especialistas, podem instalar cada produto de segurança recomendado e vigiar muito bem a configuração adequada do sistema e a aplicação das correções de segurança. Esses indivíduos ainda estarão completamente vulneráveis” (MITNICK; SIMON, 2003. P.3.)
Os atacantes se utilizam de um problema que não existe, ou ainda não ocorreu
para se beneficiarem da vulnerabilidade das pessoas para obter informações de
acessos ou dados importantes. Após criar o problema, ele se apresenta como a
pessoa que pode solucionar e com isso acaba conseguindo a informação de maneira
fácil. A maioria das informações que o atacante busca, independente do objetivo final
do ataque seriam as credenciais de acesso e autenticação do alvo. Com um nome de
conta ou senha de acesso, o responsável pelo ataque pode ter acesso livre aos dados
da vítima.
Após o alvo perceber que existe um problema, acaba ligando implorando por
ajuda. Nesse caso, o atacante apenas aguarda conseguir a confiança da vítima para
continuar a agir. Esse tipo de ataque acaba sendo considerado como uma engenharia
social inversa.
Atualmente as empresas se preparam com diversos equipamentos super
avançados para proteger seus sistemas e suas redes, mas isso não é o bastante, as
empresas deveriam se preocupar mais com a conscientização dos funcionários, em
questão da manipulação das informações mais sensíveis. “Não dependa das
salvaguardas e firewalls de rede para proteger suas informações. Olhe o seu ponto
mais vulnerável. Geralmente você percebe que a maior vulnerabilidade está no seu
pessoal.” (MITNICK, 2003)
Devido a essas informações, deve-se fazer um melhor tratamento das
informações que são divulgadas, para evitar ataques dos engenheiros sociais e
proteger as informações. Para isso é necessário além das ferramentas de prevenção,
a conscientização das pessoas para evitar que dados simples possam ser utilizados
por um hacker para atacar e obter informações mais importantes.
CONCLUSÃO
Engenharia social é um método de acessar dados ou informações sigilosas por
meio da enganação ou exploração da confiança das pessoas.
O uso da engenharia social permite que o explorador consiga entrar facilmente
nas organizações sem necessitar de força bruta ou de erros em maquinas, ele
consegue explorar as falhas de segurança das próprias pessoas, que não estando
treinadas para esse tipo de ataque, podem ser facilmente manipulada.
O uso da engenharia social nas pessoas faz com que, utilizando técnicas e
opções, a vítima forneça informações. O engenheiro social explora as pessoas
utilizando meios de persuasão para obter informações, sejam elas simples ou
sigilosas, podendo ser utilizadas para diversas coisas, geralmente informações
simples como acessos ou senhas são obtidas para posteriormente serem utilizadas
para planos maiores.
Com base nesse conhecimento, o melhor a ser feito seria um bom treinamento
para as pessoas, orientá-las a nunca fornecer dados pessoais ou informações para
pessoas, mesmo elas sendo conhecidas de longa data, pois geralmente quem utiliza
essa técnica para obter informação tenta se passar por alguém conhecido e que tem
a intenção de nos ajudar. Sempre deve-se desconfiar de ajuda que vem de maneira
fácil, principalmente nos meios de comunicação digitais, e, principalmente estar atento
ao que é solicitado e esperado em troca pela ajuda.
O melhor método de prevenção ainda é a orientação das pessoas, que acabam
sendo o ponto mais vulnerável dentro de todo o sistema.
REFERENCIAS
CAMPOS, A. L. N. Sistema de segurança da informação: Controlando os Riscos. Florianópolis. Visual Books, 2006. 180p.
CUTRIM, Ney. O Uso Indevido da Engenharia Social na Informática. 2006. Disponível em: http://pt.scribd.com/doc/63676272/O-Uso-Indevido-da-Engenharia-Social-na-Informatica. Acesso em 05 maio 2015
FONSECA, Paula F. Gestão de Segurança da Informação: O Fator Humano. 2009. 16 f. Monografia (Especialização)– Redes e Segurança de Computadores, Pontifícia Universidade Católica do Paraná, Curitiba, 2009. Disponível em: http://monografias.brasilescola.com/computacao/seguranca-informacao-vs-engenharia-social-como-se-proteger.htm. Acesso em 05 maio 2015
FONTES, Edison. Segurança da Informação: O usuário faz a diferença. São Paulo: Saraiva, 2006. 172 p.
MARCIANO, P.L. João, Segurança da Informação: uma abordagem social, Monografia de Doutor em Ciências da Informação, Universidade de Brasília. Disponível em: http://www.enancib.ppgci.ufba.br/premio/UnB_Marciano.pdf. Acesso em 05 maio 2015.
NAKAMURA, Emilio Tissato; GEUS, Paulo Licio; Segurança de Redes em ambientes Cooperativos. Editora Futura; 2003.
PEIXOTO, Mário C. P. Engenharia Social e Segurança da Informação na Gestão Corporativa. Rio de Janeiro: Brasport, 2006.
POPPER, Marcos Antonio; BRIGNOLI, Juliano Tonizetti. Engenharia social: Um Perigo Eminente. Monografia de Especialização: Gestão Empresarial e Estratégias de Informática, Instituto Catarinense de Pós-Graduação – ICPG, S.l., 2003. Disponível em: http://www.posuniasselvi.com.br/artigos/rev03-05.pdf. Acesso em: 10 maio 2015.
ROSA, Bruno. Desvendando Engenharia Social. 27 set. 2010. Disponível em: http://www.artigonal.com/tecnologias-artigos/desvendando-engenharia-social-3353724.html. Acesso em 04 jun 2015.
SANTOS, Luciano A. L. O impacto da engenharia social na segurança da informação. 2004. 82 f. Monografia (Especialização) – Universidade Tiradentes, Aracaju, 2004. Disponível em: http://securityinformationnews.files.wordpress.com/2014/02/tecnicas_de_engenharia_social.pdf. Acesso em: 10 maio 2015.
SILVA, Elaine M. da. Cuidado com a engenharia social: Saiba dos cuidados necessários para não cair nas armadilhas dos engenheiros sociais. [S.l.:s.n.], 2008.
Site noticia CIO. Novos funcionários estão mais propensos a ataques de engenharia social. EUA: 21 de setembro de 2011. Disponível em: http://cio.com.br/noticias/2011/09/21/novos-funcionarios-estao-mais-propensos-a-ataques-de-engenharia-social/. Acesso em: 14 jun 2015.
Souza. Diego dos Santos.in: UNIVERSIDADE ESTACIO DE SÁ. Engenharia social: Explorando o elo mais fraco da segurança da informação. Rio de Janeiro, 2013. p.10.
Zymler, Benjamin et al. Boas práticas em segurança da informação 4. ed. Brasília: TCU, Secretaria de Fiscalização de Tecnologia da Informação, 2012.