Engenharia Social“A arte de enganar”

Disciplina: Segurança da InformaçãoProfessor: José Fernando Weege

Alunos: Anderson Zardo, Luziane Viali e Tainã Dossiati2011/02

O que é Engenharia Social

São práticas utilizadas para obter acesso a informações importantes ou sigilosas em organizações ou sistemas por meio da enganação ou exploração da confiança das pessoas.

Por que a Engenharia Social funciona?

• As pessoas confiam e cooperam por natureza• Quase toda pessoa pode ser influenciada a agir de uma maneira

específica de divulgar informações• Pessoas que aparentam possuir autoridade intimidam outras

pessoas.• Pode ser aplicado tanto a pessoas do setor de limpeza e

manutenção até a gerentes e diretores.

O nosso caráter e a nossa inocência

• Vivemos e idealizamos um mundo onde há amor ao próximo e probabilidade de alguém ser enganado é muito pequena.

• Pessoas têm necessidade se sentirem úteis, e acabam sem se dar conta fornecendo informações aos mal-intencionados.

Tecnologia, Segurança e Fator Humano

• A segurança pode ser um sentimento adquirido com a confiança que temos nos sistemas que utilizamos.

• Segurança não é um produto, é um processo.• A segurança não é um problema para a tecnologia - ela é

um problema para as pessoas e a direção.• Enquanto a tecnologia avança mais e mais, os atacantes

começam a se voltar para o fator humano.

Práticas fraudulentas na Segurança

• A maioria dos sistemas comercias não protegem contra um ataque com alvo bem definido objetivando informações de qualidade e valor.

• Computador seguro é computador desligado, mas e se alguém for convencido a ligá-lo?

• Os engenheiros sociais enganam os empregados para desviar da tecnologia da segurança.

Estratégias de Ataque

Local de Trabalho

Um indivíduo pode simplesmente se passar por outra pessoa (funcionário ou técnico terceirizado) que tem livre acesso às dependências da empresa e, enquanto caminha pelos corredores, pode ir captando todas estas informações que porventura estejam expostas.

Por Telefone

• Vai desde roubar informações de funcionários ingênuos até a clonagem ou grampo telefônico.

• Muitos atendentes passam informações valiosas para os atacantes sem se darem conta disso.

Lixo

• A quantidade de informações sigilosas simplesmente jogadas no lixo é surpreendente.

• Muitos atacantes reviram o lixo do seu alvo a procura delas.

Desafio de Senhas

• Usar como senha datas óbvias (como o próprio aniversário ou dos filhos) que são facilmente obtidas até mesmo simplesmente perguntando.

• Senhas anotadas em papel, em local de fácil acesso ou esquecidas em algum lugar.

Engenharia Social On-line

Vão desde e-mail alegando possuir “fotos comprometedoras” suas ou de alguém próximo, até imitação de páginas de banco ou grandes redes de varejo solicitando que você clique em determinado link ou peça para você fornecer dados (Pishing).

Persuasão

• Envolve questões psicológicas e de comportamento humano.

• Os métodos básicos de persuasão são: personificação, insinuação, conformidade, difusão de responsabilidade e a velha amizade.

Algumas formas de prevenção

Suporte de TI

• Desenvolver na empresa uma política de mudança frequente de senhas e treinar os demais funcionários para nunca passarem senhas ou outras informações confidenciais por telefone

Acesso às dependências

• Treinar os funcionários da segurança para não permitirem o acesso de pessoas sem o devido crachá de identificação e mesmo assim fazer uma verificação visual;

• Visitantes com hora marcada e acompanhados de um funcionário da empresa;

Ambiente de Trabalho

• Não digitar senhas na presença de pessoas estranhas, a menos que você consiga fazê-las rapidamente;

• Manter os documentos confidenciais fora do alcance de pessoas não autorizadas, de preferência em envelopes fechados

Telefonia

• Controlar chamadas para o exterior e para longas distâncias, e recusar pedidos de transferências suspeitas;

Lixo

• Guardar o lixo da empresa em lugar seguro, triturar todo tipo de documento, e destruir todo o tipo de mídia magnética fora de uso

Dúvidas??

Obrigado