engenharia social: explorando o elo mais fraco da seguranÇa da informaÇÃo
DESCRIPTION
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA SEGURANÇA DA INFORMAÇÃOTRANSCRIPT
0
UNIVERSIDADE ESTÁCIO DE SÁ RIO DE JANEIRO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA SEGURANÇA DA INFORMAÇÃO
DIEGO DOS SANTOS SOUZA
RIO DE JANEIRO
2013
1
UNIVERSIDADE ESTÁCIO DE SÁ RIO DE JANEIRO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA SEGURANÇA DA INFORMAÇÃO
DIEGO DOS SANTOS SOUZA
Trabalho de Conclusão de Curso apresentado à Universidade Estácio de Sá, como requisito final para obtenção do título de especialista em Segurança de Redes de Computadores.
RIO DE JANEIRO 2013
2
AGRADECIMENTOS
Agradeço primeiramente a Deus por me proporcionar a oportunidade da vida e me dá
forças e saúde, sem isso não seria possível superar os obstáculos e prosseguir.
Aos meus pais, por me ensinarem o valor da vida, do caráter e da dedicação.
A minha esposa Ethiene Cristina que sempre me deu apoio e me ajudou em tudo que
foi necessário, me incentivando a todo o tempo, para que eu pudesse dar o melhor de mim.
3
RESUMO
A engenharia social consiste na arte de enganar seres humanos, com objetivo na obtenção
de informações sigilosas. Onde os engenheiros sociais exploram falhas humanas. Utilizando
diversos métodos ilusórios como: dinheiro fácil, amor, curiosidade (e-mail informando que o
usuário ganhou um prêmio e outros assuntos atrativos).
Essas pessoas dotadas de conhecimento amplo em técnicas e esperteza para analisar o
perfil de sua vítima são conhecidas como Engenheiros Sociais, eles criam e traçam uma
estratégia para conseguir seus objetivos através da ingenuidade das vítimas. Assistimos isso
acontecendo a todo tempo principalmente através da internet. As vítimas normalmente são
pessoas comuns que não compreendem ou não valorizam suas informações, a ponto de
resguardá-las destes agentes mal intencionados. Caem em suas armadilhas.
Palavras-chave: Engenharia Social; Falhas Humanas; Informações.
4
ABSTRACT
Social engineering is the art of deception in human beings, in order to obtain
sensitive information. Where the social engineers exploit human failures. Using various
methods such as illusory: easy money, love, curiosity (email stating that the user has won na
award and other attractive subjects).
These people have broad knowledge and cunning techniques to analyze the profile of
his victim are known as social engineers, they create and map a strategy to achieve their goals
through the ingenuity of the victims. We see this happening all the time mainly via the
internet. The victims are usually ordinary people who do not understand or do not value your
information, safeguarding them from these malicious agents. Fall into their traps.
Keywords: Social Engineering; Human Error; Information.
Atualmente o m
5
LISTA DE TABELAS
Tabela 1: Tipos de Pessoas ....................................................................................................... 16
Tabela 2: Tipos de Intrusos.......................................................................................................25
Tabela 3: Áreas de Risco, Táticas e Estratégias........................................................................46
LISTA DE ILUSTRAÇÕES
Ilustração 1: Caixa de Entrada.................................................................................................31
Ilustração 2: Caixa de Entrada - Updates.................................................................................32
Ilustração 3: Bankline...............................................................................................................33
Ilustração 4: Phasma 3000 ....................................................................................................... 38
6
SUMÁRIO
1.1 ENGENHARIA SOCIAL EM QUESTÃO ...................................................................... 9
1.2 FATOR HUMANO .......................................................................................................... 10
1.2.1 Características de Vulnerabilidades Humanas ........................................................... 13
1.2.2 Engenharia Social + PNL .............................................................................................. 14
1.2.3 Princípios da PNL .......................................................................................................... 15
1.2.4 Tipos de Pessoas ............................................................................................................. 15
1.2.5 Alvos de um ataque........................................................................................................ 16
2 MÉTODO DE MANIPULAÇÃO....................................................................................... 18
2.1 Manipulação de Sentimentos ........................................................................................... 18
2.2 Curiosidade ....................................................................................................................... 19
2.3 Confiança ........................................................................................................................... 20
2.4 Simpatia ............................................................................................................................. 21
2.5 Culpa .................................................................................................................................. 22
2.6 Medo .................................................................................................................................. 23
2.7 Dicas para o Sucesso da Manipulação ............................................................................ 24
3 FORMAS DE ATAQUES ................................................................................................... 25
3.1 Engenharia Social por Telefone ...................................................................................... 26
3.2 Através do Lixo ( Dumpster divining) ............................................................................ 26
3.3 Senhas ................................................................................................................................ 26
3.4 Engenharia Social via Web .............................................................................................. 27
3.5 Engenharia Social Inversa ............................................................................................... 27
3.6 Utilizando Footprint ......................................................................................................... 29
3.7 Mesa Limpa ....................................................................................................................... 29
3.8 TRUQUES APLICADOS ................................................................................................ 30
3.9 E-mail Phishing ................................................................................................................. 30
3.10 Spear Phishing ................................................................................................................ 34
3.11 Whaling ........................................................................................................................... 35
3.12 Vishing ............................................................................................................................. 35
3.13 E-mail Falso (Fake) ........................................................................................................ 37
3.14 Messengers Instantâneos ................................................................................................ 40
4 FORMAS DE PREVENÇÃO ............................................................................................. 41
4.1 Dicas para não ser vítima da Engenharia Social ........................................................... 42
7
4.2 Como se Proteger .............................................................................................................. 42
4.2.1 Política de Segurança (PSI) .......................................................................................... 48
4.2.2 Plano de Treinamento e Conscientização .................................................................... 51
4.2.3 Plano de Resposta a Incidentes .................................................................................... 54
CONCLUSÃO ......................................................................................................................... 56
REFERÊNCIAS LIVROS E ARTIGOS .............................................................................. 57
REFERÊNCIAS SITES ......................................................................................................... 58
8
INTRODUÇÃO
A cada dia que passa surge novas tecnologias no mundo, todo esse processo acontece
muito rápido. Por conta desse avanço tecnológico os fabricantes estão sempre criando
métodos para a proteção das tecnologias pois da mesma maneira que ocorre o crescimento
tecnológico, também ocorre o aumento das explorações de vulnerabilidades. Tentando evitar
as barreiras de proteções existentes em programas, hardwares ou em algum outro
equipamento tecnológico, a Engenharia Social caminha em passos largos com o objetivo de
conseguir obter informações através do elo mais fraco, o ser humano. Que por sua vez não
costuma estar conscientizado sobre o manuseio da informação, desconhece o perigo da
divulgação das informações é composto de sentimentos e emoções, tornando-se uma ótima
vulnerabilidade para um atacante.
Engenharia Social é uma prática, geralmente usada por pessoas mal intencionadas para
conseguir informações privilegiadas ou sensíveis, através de habilidades de persuasão,
enganação ou exploração da confiança das pessoas. Alguns consideram essa prática uma arte,
geralmente quem faz o ataque se aproveita de dados ou informações cujo quem está sendo
atacada acha desnecessária e sem perceber acaba passando elas de "bandeja" para um
atacante. O ser humano sempre vai tentar ser útil, de alguma forma tentar ajudar e com essa
"fraqueza" é possível obter todas as informações necessárias.
Este trabalho consiste em avaliar os perigos da utilização da técnica de engenharia
social como forma de ataque, analisando os principais métodos e ferramentas, visando um
esclarecimento simples através de exemplos de ataque, objetiva-se uma abordagem
introdutória sobre a engenharia social visando simplificar a teoria para melhor entendimento
do leitor.
No trabalho proposto iremos utilizar a pesquisa bibliográfica, em uma abordagem
qualitativa, comparando algumas fontes para alcançar os objetivos traçados, desse modo
pretendemos analisar no que consiste a Engenharia Social suas ferramentas e técnicas.
9
1.1 ENGENHARIA SOCIAL EM QUESTÃO
Neste capítulo pretendemos analisar a o termo Engenharia Social, como surgiu e o que
significa. Mostraremos algumas características humanas que ajudam os Engenheiros Sociais
em seus ataques.
O termo engenharia social ficou conhecido no ano de 1990, através do famoso hacker
Kevin Mitnick. Engenharia Social é uma prática, geralmente usada por hackers para conseguir
informações privilegiadas ou sensíveis, através de habilidades de persuasão, enganação ou
exploração da confiança das pessoas. Alguns consideram essa prática uma arte, geralmente
quem faz o ataque se aproveita de dados ou informações cujo quem está sendo atacada acha
desnecessária e sem perceber acaba passando elas de "bandeja" para um atacante. O ser
humano sempre vai tentar ser útil, de alguma forma tentar ajudar e com essa "fraqueza" é
possível obter todas as informações necessárias. "O Sistema pode ser impenetrável, 100%
seguro, porém existem pessoas por trás desses sistema, e o fator humano é o elo mais fraco
da segurança." (MITNICK, Kevin 15.09.2003)
Muitos são os significados e interpretações dadas ao termo “Engenharia Social”. Uma
das melhores encontradas é a seguinte:
Engenharia Social é a ciência que estuda como o conhecimento do comportamento humano pode ser utilizado para induzir uma pessoa a atuar segundo seu desejo. Não se trata de hipnose ou controle da mente, as técnicas de Engenharia Social são amplamente utilizadas por detetives (para obter informação) e magistrados (para comprovar se um declarante fala a verdade). Também é utilizada para lograr todo tipo de fraudes, inclusive invasão de sistemas eletrônicos. (KONSULTEX, 2004 apud PEIXOTO, 2006, p. 4).
As empresas hoje em dia dificilmente investem em treinamentos de conscientização
para seus colaboradores, com isso as chances de um ataque de engenharia social dar certo é
muito grande.
A falta de segurança é um problema sério e, infelizmente, muitas universidades, empresas e muitos órgãos do governo não se exercitam, não se atualizam. Eles deixam seus sistemas vulneráveis a ataques e não têm o mínimo de perspicácia para perceber falhas humanas, cada vez mais exploradas por hackers. (MITNICK, Kevin 15.09.2003)
10
1.2 FATOR HUMANO
Uma empresa pode ter adquirido as melhores tecnologias de segurança que o dinheiro
pode comprar, pode ter treinado seu pessoal tão bem que eles trancam todos os segredos antes
de ir embora e pode ter contratado guardas para o prédio na melhor empresa de segurança que
existe. Mesmo assim essa empresa ainda estará vulnerável.
Os indivíduos podem seguir cada uma das melhores práticas de segurança recomendadas pelos especialistas, podem instalar cada produto de segurança recomendado e vigiar muito bem a configuração adequada do sistema e a aplicação das correções de segurança. Esses indivíduos ainda estarão completamente vulneráveis. (MITNICK; SIMON, 2003, p. 3).
Temos que tomar muito cuidado quanto às técnicas maliciosas que enganam até
mesmos os especialistas no assunto.
O próprio Mitnick considerado o maior especialista em engenharia social do qual se tem notícias, em uma das suas raras vindas ao Brasil no final do ano de 2003, concedeu uma entrevista para a Information Week Brasil, onde declarou que foi vítima de engenharia social ao receber uma ligação de um jornalista dizendo que havia conversado com seu editor. Desatento, Mitnick confiou na palavra do jornalista e deu uma entrevista sobre o livro. Depois, quando a reportagem foi publicada o editor de Mitnick ligou para ele furioso, pois toda a estratégia para o lançamento do livro The Art of Deception (A arte de enganar) havia sido prejudicada por causa da entrevista, que o editor não havia autorizado. (PEIXOTO, 2006).
Existem várias maneiras de se realizar um ataque do tipo engenharia social um dos
ataques mais utilizados é o da ligação telefônica, onde o atacante se passa por alguém
importante da empresa e consegue informações privilegiadas.
O velho e bom amigo telefone. Alguém liga para você dizendo que trabalha no departamento de tecnologia e que está verificando um problema na rede. Faz uma série de perguntas, pede para você digitar alguns comandos e cria um buraco na segurança. Parece tolice, mas 50% das invasões não se valem apenas da tecnologia, mas principalmente da fragilidade humana. A dica para os funcionários é checar a identidade de quem ligou e, para as empresas, adotar políticas de segurança e treinamento intensivo. O mais importante é demonstrar que todo mundo é vulnerável e pode ser manipulado, principalmente os que se julgam mais inteligentes. Eu já fui 'hackeado', achei engraçado na hora, mas depois parei para pensar e vi que tinha algo errado. Em meu livro, A Arte de Enganar, citei alguns exemplos, mas há sempre novas técnicas de persuasão.” (MITNICK, Kevin 2003 )
Normalmente não é necessário muito esforço para realizar grandes ataques, basta
mexer com a curiosidade humana.
11
Em vez de ficar se descabelando para encontrar uma falha no sistema, o hacker pode largar no banheiro um disquete infectado, com o logotipo da empresa e uma etiqueta bem sugestiva: 'Informações Confidenciais. Histórico Salarial 2003'. É provável que alguém o encontre e insira na máquina”. (MITNICK, Kevin 2003)
No trabalho, as pessoas nos solicitam coisas o tempo todo. Você tem o endereço de e-
mail desta pessoa? Onde está a lista de clientes? Quem é o responsável desta parte do projeto?
E adivinhe o que acontece? Às vezes as pessoas que fazem essas solicitações são aqueles que
você não conhece pessoalmente, gente que trabalha em outro setor da empresa ou que alega
trabalhar. Mas se as informações que dão coincidem e parecem ter o conhecimento. Alguém
diz "Isso está no servidor XYZ…"; "...os planos do novo produto"), estendemos o nosso
círculo de confiança para incluí-los e normalmente fornecemos aquilo que estão pedindo.
Devemos parar um pouco e nos perguntar. "Por que alguém na organização precisa ver os
planos do produto novo?" ou "Será que você podia me dar o nome do servidor no qual ele
está?". Assim, fazemos outras perguntas. Se as respostas forem razoáveis e a maneira como a
pessoa responde é segura, baixamos a guarda voltamos a nossa inclinação natural de confiar
no nosso colega e fazemos (com toda a razão) tudo que ele quer que façamos.
É da natureza humana achar que é improvável que você seja enganado em determinada transação, pelo menos até que tenha algum motivo para acreditar no contrário, nós ponderamos o risco e, em seguida, na maior parte das vezes, damos às pessoas o benefício da dúvida. Esse é o comportamento natural das pessoas civilizadas... pelo menos as pessoas civilizadas que nunca foram enganadas, manipuladas ou trapaceada sem uma soma grande em dinheiro. Quando éramos crianças, nossos pais nos ensinavam a não confiar em estranhos. Talvez todos devêssemos adotar esse antigo princípio no ambiente de trabalho de hoje. (MITNICK, Kevin 2003 – A Arte de Enganar).
Um engenheiro social com grande experiência dificilmente pararia para pensar nas
maneiras de invadir o banco de dados de uma delegacia ou departamento militar. Por que ele
faria isso, quando com uma simples ligação para o departamento de polícia e um pouco de
conversa para mostrar que ele está por dentro, ele conseguiria o que quer, da próxima vez ele
apenas liga para um departamento diferente da polícia e usa o mesmo pretexto. Podemos nos
perguntar não é arriscado ligar para uma delegacia ou departamento militar? O atacante não
corre um risco imenso? A resposta é não... e por um motivo específico. As pessoas do
departamento de polícia, assim como os militares, têm incutido nelas desde o seu primeiro dia
na academia de polícia o respeito pela hierarquia,
Se o engenheiro social esteja se fazendo passar por um sargento, tenente ou major,
uma hierarquia mais alta do que aquela da pessoa com quem ele fala, a vítima será governada
12
pela lição bem aprendida que diz que você não questiona as pessoas com uma patente mais
alta do que a sua.
Todos devem ter conhecimento do modus operandi do engenheiro social, Ele coleta o máximo possível de informações sobre o alvo e usa essas informações para ganhar a confiança de alguém que trabalha dentro da empresa do alvo. Em seguida, ele ataca a jugular! (MITNICK, Kevin 2003 – A Arte de Enganar).
O atacante cria uma forma para convencer o alvo de que ele tem um problema que na
verdade não existe, ou, como neste caso, de um problema que ainda não aconteceu, mas que o
atacante sabe que vai correr porque ele mesmo vai causar. Em seguida, ele se apresenta como
a pessoa que pode fornecer a solução para o determinado problema causado.
Devido à semente plantada com antecedência, quando o alvo descobre que tem um
problema, ele mesmo faz a ligação telefônica para implorar ajuda. O atacante só tem de se
sentar e esperar que o telefone toque, uma tática conhecida na área como engenharia social
inversa. Um atacante que consegue fazer o alvo ligar para ele ganha credibilidade constante.
“Se um estranho lhe fizer um favor e depois pedir outro em troca, não faça nada sem antes
pensar cuidadosamente naquilo que ele está pedindo.” ( MITNICK, Kevin 2003 – A Arte de
Enganar). Se eu fizer uma ligação para alguém que acho que trabalha no help desk, não vou
começar a pedir que ele prove a sua identidade. É nesse ponto que o atacante sabe que
conseguiu.
A maioria das informações comuns que um engenheiro social quer de um funcionário,
independente do seu objetivo final, são as credenciais de autenticação do alvo. Com um nome
de conta e uma senha em mãos de um único empregado na área certa da organização, o
atacante tem o que ele precisa para entrar e localizar as informações que está procurando. Ter
essas informações é como encontrar as chaves de um cofre; com elas em mãos é possível
mover-se livremente pelo espaço corporativo e encontrar o tesouro que se busca.
Antes que os empregados novos tenham acesso a qualquer sistema de computador da empresa, eles devem ser treinados para seguir as boas práticas de segurança, particularmente as políticas sobre nunca divulgar suas senhas. (MITNICK, Kevin 2003 – A Arte de Enganar).
Atualmente as empresas se preparam com diversos equipamentos super avançados
para proteger sua rede e sistemas, isso não é um bastante olhando para o lado da engenharia
social, as empresas precisam se preocupar mais com a conscientização dos funcionários em
questão da manipulação das informações sensíveis. “Não dependa das salvaguardas e
firewalls de rede para proteger as suas informações. Olhe o seu ponto mais vulnerável.
13
Geralmente você descobre que aquela vulnerabilidade está no seu pessoal.” (MITNICK,
Kevin 2003 – A Arte de Enganar).
Normalmente as empresas utilizam a segurança da obscuridade para bloquear ataques
em sua rede ou sistema é algo importante, mais não é o suficiente para estar totalmente
segura.
A segurança através da obscuridade não tem nenhum efeito para bloquear os ataques da engenharia social. Todo sistema de computadores do mundo tem pelo menos um ser humano que o usa. Assim sendo, se o atacante puder manipular as pessoas que usam os sistemas, a obscuridade do sistema é irrelevante. (MITNICK, Kevin 2003 – A Arte de Enganar).
1.2.1 Características de Vulnerabilidades Humanas
É importante salientar que a engenharia social independente de sistemas
computacionais, software e ou plataforma utilizada, o elemento mais vulnerável de qualquer
sistema de segurança da informação é o ser humano, o qual possui traços comportamentais e
psicológicos que o torna suscetível a ataques de engenharia social. Dentre essas
características, pode-se destacar:
Autoconfiança: As pessoas buscam transmitir em diálogos o ato de fazer algo bom,
transmitir segurança, conhecimento, buscando sempre criar uma base para o início de uma
comunicação ou ação favorável a uma organização ou indivíduo.
Ser útil: É comum as pessoas agirem de forma cortes, bem como ajudar outros quando
necessário.
Fazer novas amizades: Muitas pessoas facilmente fazem amizades e contam tudo sobre suas
vidas, ficando mais vulnerável e aberto a dar informações.
Vaidade: Normalmente o ser humano costuma ser mais receptivo com aqueles que
concordam com suas opiniões e ações.
Persuasão: Capacidade de persuadir pessoas onde se busca obter respostas específicas. Isto é
possível porque as pessoas possuem características comportamentais que as tornam
vulneráveis a manipulação.
Outra grande vulnerabilidade dentro da empresa é o próprio funcionário insatisfeito, desmotivado e desvalorizado. Todo o investimento em tecnologia, treinamentos e conscientização, pode ser jogado fora se a companhia não cuidar e valorizar seus funcionários. (PRESCOTT, 2007).
14
As pessoas cometem erros e normalmente sempre os mesmos.
“Eu não sou criptoanalista, nem matemático. Apenas sei como as pessoas cometem erros e
elas cometem sempre os mesmos erros.” (MITNICK; SIMON, 2005, p. 247).
“Os seres humanos são seres imperfeitos e multifacetados. Além disso, situações de risco
modificam seus comportamentos, e, decisões serão fortemente baseadas em confiança e grau
de criticidade da situação.” (VARGAS, 2002 citado por POPPER; BRIGNOLI, 2003, p. 7).
Em razão de todos esses fatores, sempre haverá brechas de segurança devido ao
comportamento humano e sua falta de consciência com relação à segurança da informação,
onde a engenharia social poderá produzir bons resultados.
As características acima apresentadas fazem parte de um sistema em que possuem
características comportamentais e psicológicas na qual a engenharia social passa a ser
auxiliada por outras técnicas como: leitura fria1, linguagem corporal, termos usados no auxílio
da engenharia social para obter informações que não são físicas ou virtuais mas sim
comportamentais e psicológicas. A engenharia social é praticada em diversos ramos, visando
normalmente atacar um sistema de segurança informatizado ou não. Um engenheiro social
não é, necessariamente um profissional da área de tecnologia, a engenharia social é uma
técnica, portanto não precisa ser necessário um engenheiro social ser alguém que tenha
cursado faculdade, mas trata-se de uma pessoa que possui conhecimentos em diversas áreas
com o objetivo de encontrar falhas para a exploração.
1.2.2 Engenharia Social + PNL
A Programação Neurolinguística2 é um conjunto de modelos, estratégias e crenças que
seus praticantes utilizam visando principalmente ao desenvolvimento pessoal e profissional.
Baseada na ideia de que a mente, o corpo e a linguagem interagem para criar a percepção que
cada indivíduo tem das coisas e do mundo, e tal percepção pode ser alterada pela aplicação de
diversas técnicas. A fonte que embasa tais técnicas, chamada de "modelagem", envolve a
reprodução cuidadosa dos comportamentos e crenças daqueles que atingiram o "sucesso".
1 Leitura fria: É um conjunto de técnicas que buscam avaliar, de forma aprofundada ou superficial, uma pessoa
ou um ambiente físico; principal ferramenta ao auxílio de diversas profissões ligadas as características comportamentais e psicológicas do ser humano. 2 Neurolinguística é a ciência que estuda a elaboração cerebral da linguagem. Ocupa-se com o estudo dos
mecanismos do cérebro humano que suportam a compreensão, produção e conhecimento abstrato da língua, seja ela falada, escrita, ou assinalada
15
1.2.3 Princípios da PNL
a) As pessoas respondem a sua experiência, não à realidade em si.
b) Ter uma escolha ou opção é melhor do que não ter uma escolha ou opção.
c) As pessoas fazem a melhor escolha que podem no momento.
d) As pessoas funcionam perfeitamente.
e) Todas as ações têm um propósito.
f) Todo comportamento possui intenção positiva.
g) A mente inconsciente contrabalança a consciente; ela não é maliciosa.
h) O significado da comunicação não é simplesmente aquilo que você pretende, mas
também a resposta que obtém.
i) Já temos todos os recursos de que necessitamos ou então podemos criá-los.
j) Mente e corpo formam um sistema. São expressões diferentes da mesma pessoa.
k) Processamos todas as informações através de nossos sentidos.
l) Modelar desempenho bem-sucedido leva à excelência.
m) Se quiser compreender, aja.
1.2.4 Tipos de Pessoas
A maioria dos problemas do engenheiro social é de como ele deve saber lhe dar com
determinado tipo de pessoa. Pois as pessoas podem mudar seu temperamento. Devemos
aprender como reconhecer e lidar com diferentes tipos de pessoas. Isso é importante se você
está querendo realizar um teste humano no seu Penetration Test3 e realizar Engenharia Social
nos diferentes colaboradores de sua empresa para ver como eles reagiriam a uma situação
real.
3 Penetration Teste: Teste de penetração é um método que avalia a segurança de um sistema de computador
ou de uma rede, simulando um ataque de uma fonte maliciosa. O processo envolve uma análise nas atividades do sistema, que envolvem a busca de alguma vulnerabilidade em potencial que possa ser resultado de uma má configuração do sistema, falhas em hardwares/softwares desconhecidas etc.
16
Tipos de pessoas Como reconhecer Como lidar Nervosos Parecem cansados e com
raiva. Inquietos, impacientes. Pisando duro. Falam muito e alto e reclamam demais
Paciência, tranquilidade, consideração, educação, calma, presteza, agilidade e sangue frio. Empatia, atenção redobrada e bom humor. Use o medo se necessário.
Indecisos Apreensivos. Querem conversar mais sobre o assunto. Receosos de cometer erros. Falta-lhes segurança
Moderação, calma, cortesia, confirme a opinião dele próprio. Demostre conhecimento e paciência. Use a simpatia.
Desagradáveis Céticos(descrentes), perguntadores, conversadores, insultantes
Franqueza, conhecimento, agilidade, cortesia, calma. Controle próprio. Também use o temor e medo
Duvidosos Críticos, indiferentes, silenciosos, perguntam demais.
Conhecimento da empresa, tato, perseverança. Ser convincente. Citar seus conhecimento de normas e seus limites.
Silenciosos Não tem conhecimento. Podem ser pensadores. Podem estar fingindo saber. Podem estar infelizes
Faça-lhes uma pergunta que os leve a responder algo que gere mais confiança. Espere pela resposta. Esteja atento as deixas. Tenha consideração e cortesia
Dependentes Tímidos e sensitivos(sensíveis). Indecisos. Velhos, surdos e mudos. Infantis.
Fáceis de convencer. Gentiliza, decisão. User a simpatia, pense por eles, ajude-os seja claro.
De bom senso Agradáveis e Inteligentes Faça o que eles esperam. Seja eficiente e eficaz. Cortesia e consideração conquiste-os rapidamente e use a curiosidade
TABELA 1
Fonte: (FLÁVIO, Araújo, 2010, p. 134) 1.2.5 Alvos de um ataque
Se fizermos uma análise minuciosa, dificilmente não encontremos alguém ou alguma
instituição que não tenha sido algo de um ataque de engenharia social.
Geralmente somos questionados por um determinado assunto e logo percebemos que
falamos até demais para a pessoa e que isso poderia ser algo perigoso se contado a outras. Isso
quando a pessoa se dá conta; muitas vezes ela fala e nem percebe o conteúdo do que foi dito.
17
Nós Podemos mostrar vários exemplos; entre eles, uma proposta de emprego que nos
interessa e, quando chegamos lá, nosso conhecido já ocupou a vaga, ou quando temos uma
venda praticamente concretizada ou uma boa oferta de compra e novamente nosso amigo
chegou na frente. Então nos questionamos: Mas como ele sabia? Só que nos esquecemos da
conversa que tivemos na praça na noite de sexta quando estávamos reunidos “trocando uma
ideia” e sem ao menos perceber o assunto foi comentado.
Em grandes empresas, instituições financeiras, militares, órgãos do governo e até mesmo hospitais, a situação é semelhante. Só que, nesse caso, envolvem pessoas preparadas, os chamados hackers4, e as formas de ataque utilizadas são mais audaciosas. A meta desses hackers é obter acesso não autorizado a sistemas, sabotar informações, espionagem industrial, roubo de identidade ou simplesmente sobrecarregar os sistemas a ponto de tirá-los de operação. (Saldanha,2002).
Normalmente esses ataques são de baixo custo para o atacante e os prejuízos das
empresas podem ser enormes também, normalmente o maior prejuízo sempre afeta o lado
financeiro, pois os roubos da informações podem ciar um grande problema para a empresa
atacada quando se trata de espionagem industrial. A maioria das vezes o atacado nem sabe
que foi invadido e quando descobrem dificilmente conseguem rastrear de onde veio
determinado ataque.
Mesmo aquelas que descobrem que foram atacadas, dificilmente admitem o fato, com receio de prejudicarem sua reputação. Na Inglaterra, por exemplo, as empresas já podem ostentar um certificado de que exercitam boas práticas de mercado no que diz respeito à segurança da informação, que rapidamente está se tornando um diferencial competitivo para as empresas que souberem administrá-lo (Saldanha,2002).
4 - Hackers são conhecidos também como piratas da Internet, que tem como objetivo invadir os computadores
desprotegidos utilizando as mais variadas técnicas para roubar informações (Módulo,2002).
18
2 MÉTODO DE MANIPULAÇÃO
Esta parte do trabalho tem como objetivo apresentar os métodos de manipulação
usados pelos Engenheiros Sociais. A partir disso, para que este texto tenha um entendimento
fácil, foi necessário que a pesquisador aprofundasse seus estudos diretamente relacionados
com livros correspondentes à área de Segurança da Informação.
a) Por e-mail: O engenheiro social envia um e-mail para o alvo contendo
informações que ele quer. Pode ser um pedido de documento importante ou
fingindo ser alguém do suporte de TI e requerendo uma mudança de senha. De
qualquer forma, seja a correspondência eletrônica ou real, quase sempre ela fica
perfeita. Com o logotipo da empresa, o e-mail de origem parece mesmo que vem
da empresa, tudo para não gera desconfiança.
b) Agindo Pessoalmente: É o método mais arriscado, porém um dos mais
eficientes. O engenheiro coloca uma boa vestimenta, um relógio com aparência
de caro e uma maleta com um laptop. Passando-se por um cliente, por um
colaborador da empresa ou até mesmo parceiro de negócios. As possibilidades
são infinitas, já que as pessoas tendem a confiar mais em alguém muito bem
vestido. Outra coisa que eles tendem a fazer pessoalmente: revirar o lixo de uma
empresa em busca de informações importantes, como listas de empregados ou
qualquer outra coisa que beneficie a Engenharia Social.
c) Pelo telefone: O engenheiro se passa por alguém importante, finge precisar de
ajuda ou mesmo se oferece para ajudar. O interesse dele é mexer com o
sentimento das pessoas, fazendo com que elas acabem entregando o que ele
deseja sem, muitas vezes, nem saberem disso.
2.1 Manipulação de Sentimentos
O Engenheiro Social tem como experiência forte manipular os sentimentos das
pessoas, levando-as a fazerem o que ele quer. Abaixo veremos os casos mais comuns de
manipulação, que são: Curiosidade, Confiança, Simpatia, Culpa e Medo.
19
2.2 Curiosidade
A curiosidade faz parte do instinto humano, pois faz com que um ser explore o
universo ao seu redor compilando novas informações às que já possui. Sabendo disso, o
engenheiro social vai tentar aflorar de todas as maneiras a curiosidade dos empregados da
empresa-alvo. Existem diversas técnicas para se fazer isso, desde o envio de um falso cartão
por e-mail (o que é geralmente barrado antes de chegar nos funcionários) até técnicas que
parecem absurdas à primeira vista, mas que funcionam.
Veja o exemplo a seguir:
Daniel Lopes é um mentiroso nato. Mestre na arte de enganar, ganha a vida como espião industrial e comercial. A pessoa que o contratou lhe forneceu mais um serviço importante: ele teria que conseguir roubar o banco de dados com informações de clientes de uma grande empresa alimentícia. Infelizmente nessa empresa ele não conhecia ninguém que facilitasse o acesso e tentou fazer uma ligação para a atendente, mas não conseguiu fornecer bons argumentos para que ela digitasse alguns comandos no seu computador. Com medo de que ela desconfiasse, Daniel agradeceu e desligou. Como ele faria então? Teve uma idéia. Vestiu-se com um belo terno e se apresentou à segurança como um investidor internacional da empresa, citando nomes de várias pessoas que trabalhavam lá dentro. Claro, ele pesquisou as pessoas que estariam de férias na ocasião e as citou. Após ter a entrada liberada, ele dirigiu-se para o elevador mais movimentado da empresa. Subiu com ele para o último andar. Depois de todos deixarem o elevador, Daniel tirou cuidadosamente um CD de seu bolso e colocou no piso do elevador. Na capa do CD estava escrito “Fotos Comprometedoras – Não abrir”. Despistadamente, então, ele deixou o prédio e foi checar o seu notebook com conexão à rádio. Meia hora depois, ele conseguiu um acesso para dentro da empresa. Isso porque alguém não aguentou de curiosidade e abriu o conteúdo do CD no seu computador da empresa. Em outro trabalho parecido, a segurança não deixou Daniel passar. Ele pensou, então, em outro método. Ouviu pessoas da empresa comentando que todas as sextas-feiras o seu computador reiniciava sozinho. Daniel deduziu que isso se dava devido à instalação de patchs de segurança naquelas máquinas e bolou um plano. Como a atualização era feita só uma vez por semana, ele aguardou uma falha grave no navegador Internet Explorer ser divulgada em um sábado ou domingo. Não deu outra, leu sobre uma falha que havia acabado de sair, permitindo que se executasse softwares locais na máquina através do navegador sem que o usuário percebesse. Daniel, então, fez algo inédito. Pagou 800 reais para colocar um outdoor, bem em frente à empresa, com as palavras: “Compre seu celular de última geração de modo fácil: entregue seu aparelho antigo e, com mais um real, escolha aquele que você quiser ter www.celular1real.com.br”. Esse site, claro, estava preparado com a falha descoberta. O outdoor foi colocado na terça-feira à tarde. Até sexta-feira, Daniel já havia tido acesso a vinte computadores. (FLÁVIO, Marcos – Segredos do Hacker Ético).
20
2.3 Confiança
Os Engenheiros Sociais usam muito a confiança também como meio de manipular as
pessoas. Ela pode ser estabelecida de diversas formas: você pode se passar por um
funcionário de outra filial, citar procedimentos técnicos do manual da empresa ou,
simplesmente, oferecer-se para ajudar com algum problema. Outra coisa comum é você
receber um e-mail com o endereço de origem de um amigo ou colega de trabalho e esse e-
mail vir com um anexo. Sempre passe o antivírus antes. Isso porque e-mails podem
facilmente ser forjados, tome muito cuidado, pois é uma das maiores formas de Engenharia
Social. No geral, todos esses fatores fazem com que a sua “resistência” a entregar
informações fique mais fraca.
Um exemplo a seguir:
Riiiing Riiing (Telefone tocando) Paulo – Alô? Melissa – Senhor Paulo? Aqui quem fala é a Melissa, operadora da VisaNet. Gostaria de avisar que a sua mudança de endereço já foi efetuada. Mais alguma coisa que o senhor deseja conosco? Paulo – Mudança de endereço? Eu não requisitei nenhuma mudança... Melissa – Senhor, nos nossos registros, consta um pedido feito anteontem à tarde, logo depois de efetuar a compra das passagens de avião da empresa Varig. Paulo – Hei, garota, eu não comprei passagem nenhuma... tem alguém usando meu número indevidamente! (Gritando ao telefone) Melissa – Vou olhar isso agora para o Senhor. Posso cancelar esses pedidos daqui, só preciso confirmar alguns dados. O número do cartão mais o dígito identificador. Paulo disse o número do cartão. Melissa pediu mais informações. Melissa – Qual é a data de vencimento? E o seu nome completo, como está escrito no cartão? Por um momento, Paulo desconfiou. Melissa percebeu e imediatamente disse: Melissa – Senhor, esse é um procedimento padrão. Eu possuo todos os seus dados aqui, a checagem é apenas para lhe fornecer uma segurança. Afinal, qualquer pessoa poderia tentar se passar por você. Para lhe comprovar, seu nome completo é Paulo Azevedo Braga. Paulo – Tudo bem (respirando aliviado). A minha data de vencimento é 08/2007. Melissa – Ok. Tudo verificado. Estarei entrando em contato com o senhor logo que cancelar o pedido das passagens e a mudança de endereço. Paulo ficou muito satisfeito pelo atendimento rápido e dedicado daquela pessoa. Só percebeu que havia caído em um golpe quando viu o seu extrato do cartão de crédito. Havia contas absurdas.
21
2.4 Simpatia
Um dos melhores exemplos de simpatia é relacionada a sedução feminina. É bem mais
fácil uma mulher bonita ser bem sucedida no ataque de Engenharia Social com os seguranças
de uma empresa do que um homem. Esse método vale tanto para contato pessoal quanto para
contato via telefone, pois se a pessoal mal intencionada que fala com o alvo tem uma voz
doce e meiga, inconscientemente você acaba descartando a possibilidade daquela pessoa
tentar “lhe dar um golpe”.
Exemplo:
Jane Soares é uma detetive particular, especializada em descobrir “puladas extraconjugais”. Uma de suas clientes tinha certeza de que o marido a estava traindo e pediu à Jane que investigasse. A única dica que ela tinha era um telefone estranho que sua cliente havia visto no celular do esposo enquanto este tomava banho. Jane acreditava que esse telefone, que era um número fixo, poderia ser da residência da “outra”. Ela teria então que conseguir um método de descobrir o endereço por trás do número. Após pensar um pouco, ela ligou para a companhia telefônica: - TeleRio, em que posso ajudar? – perguntou um atendente que, pela voz, parecia ser um homem com seus vinte e poucos anos. - Oi, aqui é do suporte técnico AX44, estamos com um problema grave. A chuva derrubou um poste e comprometeu grande parte da fiação da região na qual estou. Já tentei ligar para o Centro de Ajuda aos Técnicos, mas parece que está superlotado. Parece que não foi só aqui que andou caindo a energia. Você poderia me ajudar, por favor? – Jane reforçou a última frase com um tom bem sensual na voz. - O que gostaria que eu fizesse? - Bom, estou com uma lista de telefones aqui para serem religados após eu arrumar a fiação. Mas, nessa chuva toda, eu acabei perdendo o endereço de um dos números. A droga do papel molhou e eu não consigo ler nada. Mas que droga! Bem que eu queria estar em casa debaixo das cobertas agora. O operador riu. Respondeu que também já teve dias difíceis no trabalho, e disse ainda: - Acho que não tem problema em ajudar uma colega em apuros. Qual o número? - 38271998. - Só um minuto. Sim, aqui está: Rua Hugo Santos, 90, apartamento 205, Santa Mônica. - Oh! Que ótimo! Estou aqui perto já. Muito obrigada, amorzinho, você foi muito prestativo. Precisando de algo, é só falar comigo... – completou Jane. - Sem problemas... – respondeu o operador sem perceber a trapaça e achando muito bom ter ajudado uma colega com problemas, especialmente uma com a voz tão bonita.
(FLÁVIO, Marcos – Segredos do Hacker Ético)
22
2.5 Culpa
As pessoas quando sentem algum tipo de culpa normalmente são mais propensas a
ajudar. Isso também ocorre no meio da Engenharia Social. Culpe alguém e faça essa pessoa
lhe ajudar no que você quiser. Dentro de uma instituição, os colaboradores mais vulneráveis a
essa emoção são os que normalmente acabaram de entrar na empresa, estão querendo mostrar
serviço. A história a seguir demonstra um exemplo. Rodolfo já estava atuando há quase duas
semanas como estagiário naquela grande instituição. Apesar de sua especialidade ser
administração pura, colocaram-no a maior parte do tempo para fazer digitação, planilhas e
consultas no banco de dados da rede. Ele teve certa dificuldade, afinal, é péssimo em lidar
com computadores. Mas as pessoas foram legais e acabaram ajudando-o. Um dia ele recebeu
um telefonema estranho.
A pessoa identificou-se como sendo do Help Desk da empresa, que ficava em um
prédio diferente do de Rodolfo.
- Alô, quem fala? - É Rodolfo Rosa, quem fala? - Aqui é o Hugo do CPD da YSxL (nome da empresa). Rapaz, o que você andou aprontando por aí? O estagiário novato começou a suar frio com aquele tom de voz. - Como assim? - Ora, um vírus que está partindo do seu computador infectou grande parte dos nossos sistemas aqui. Isso pode ser um grande problema para você... *Glup* Rodolfo engoliu seco. Mesmo não sabendo como aquele vírus foi sair do sistema dele, sentiu-se culpado por criar problemas. - O que eu posso fazer para arrumar? – perguntou. - Daí não pode fazer nada, seu acesso é restrito. Vou quebrar o seu galho. Faz o seguinte: como não posso ir aí, pois nossos prédios são bem distantes, posso arrumar o seu computador através da rede. Para isso, preciso do seu usuário e senha de acesso. *Ooops... * – pensou Rodolfo. Por que justamente o administrador precisaria da minha senha? Mas, antes que ele dissesse alguma coisa, a pessoa no telefone continuou: - Claro que eu poderia procurar a sua senha aqui no sistema, mas isso vai demorar um pouco e o vírus pode causar ainda mais estragos nesse tempo. O que você prefere? - Tudo bem, então – respondeu Rodolfo. Meu nome de usuário é rodorosa e minha senha é bsb2281. (FLÁVIO, Marcos – Segredos do Hacker Ético)
23
2.6 Medo
A utilização do medo para manipulação é uma das armas das mais poderosas, pois
tende a obter resultados muito rápidos. Isso porque ninguém consegue aguentar a pressão por
muito tempo e acaba entregando as informações rapidamente. Geralmente, as “ameaças”
parecem vir de pessoas com uma hierarquia bem maior que a do alvo dentro da empresa.
Afinal, se um colega lhe ordenasse alguma coisa, você riria dele. Mas, e o vice-presidente da
empresa? Então se passando por alguém de alto grau da empresa tudo fica mais fácil para
chegar ao objetivo.
Exemplo a seguir:
A ReRodrigues é uma empresa especializada em gerar relatórios para os executivos de empresas maiores, fundada por Rodrigo da Costa. Muitas empresas grandes terceirizam esse serviço com eles, o que acaba fazendo com que muitas informações preciosas dessas empresas passem pela ReRodrigues. Claro, eles possuem um contrato de confidencialidade entre si. Em um sábado pela manhã, Rodrigo recebeu uma ligação do seu maior cliente, um grande laboratório farmacêutico. Era uma mulher, com uma voz um pouco rouca. - ReRodrigues, no que posso ajudar? - Olá, aqui é do gabinete do vice-presidente da Duveh, sou Talita, sua secretária. Era a primeira vez que Rodrigo recebia uma ligação do alto-escalão da empresa. Continuou: - Sim, do que você precisa? A mulher mudou o tom de voz para um mais cínico. - Bom, sabe o que é? O relatório de hoje de vocês simplesmente não chegou. - Relatório? Mas não foi requerido nenhum para hoje. - Como não? Eu mesma havia feito o pedido do relatório via e-mail. Era para ser entregue hoje. - Não recebi nenhum e-mail. - Olha – suspirou a secretária – se vocês estão com problemas aí e não receberam meu e-mail não é da minha conta. Só sei que preciso desse relatório aqui o mais rápido possível ou cabeças irão rolar, inclusive as nossas. - Não dá pra fazer isso rápido assim, temos um protocolo e... - Faz o seguinte, vou te passar para o vice-presidente. Ele não é tão tolerante quanto eu. Rodrigo sentiu um frio na espinha. - Olha, moça, me manda o tipo de relatório que te passo. - Para adiantar, me manda por e-mail o relatório. Eu imprimo aqui. Coloque todas as transações comerciais realizadas no último mês, com os nomes e contatos dos clientes. Meu e-mail é [email protected]. Mande o mais rápido possível. - Pode deixar, estarei enviando daqui a uma hora no máximo – respondeu
24
Rodrigo. Ok, está anotado. Escuta, preciso que você faça o logoff da sua máquina por uns dez minutos. Logo que eu acabar de remover o vírus, eu te ligo para você entrar de novo. - Estarei aguardando. Até hoje ele aguarda pela ligação. Foi mandado embora pouco tempo depois. (FLÁVIO, Marcos – Segredos do Hacker Ético)
2.7 Dicas para o Sucesso da Manipulação
a) Profissional: Você não quer que a pessoa desconfie, já que está criando uma ilusão.
Tente transparecer confiança.
b) Fique calmo: Dê a impressão que você pertence àquele local.
c) Conheça sua marca: Conheça seu inimigo. Saiba exatamente como ele irá reagir antes
que o faça.
d) Não tente enganar alguém esperto: Isso resultará em desastre. Sempre existem pessoas
mais ingênuas.
e) Planeje sua fuga: Se alguém suspeitou, não entre em pânico e corra. Salve a fonte.
f) Tente parecer uma mulher: Está provado que as mulheres dão mais confiança ao
telefone. Use isso como vantagem. Use a ajuda de uma mulher se necessário.
g) Marcas d’água: Aprenda a fazê-las. São importantes em e-mails e correios falsos.
h) Cartões de apresentação e nomes falsos: Use-os para impressionar e parecer
profissional.
i) Use um time se for necessário: Não seja arrogante e autoconfiante. Se precisar de
ajuda, consiga.
25
3 FORMAS DE ATAQUES
As formas de ataque são as mais variadas sempre explorando a fragilidade e
ingenuidade das pessoas. Nenhum artigo sobre ataques de engenharia social estaria completo
sem citar Kevin Mitnick (Goodell,1996), que, até ser capturado, era considerado o maior
hacker de todos os tempos. Iguais a ele, atualmente existem muitos, e as táticas utilizadas são
basicamente as mesmas.
Antes de apresentar algumas formas de ataque, o ideal é citar quem são os atacantes.
Está enganado quem pensa que os ataques sempre são executados pelos hackers. A tabela a
seguir mostra alguns tipos de intrusos e seus principais objetivos – Tipos de Intrusos
Intrusos Objetivos
Estudantes Bisbilhotam mensagens de correio eletrônico de outras
pessoas por diversão;
Hackers/Crackers Testar sistemas de segurança, ou roubar informações;
Representantes Comercias Descobrir planilhas de preços e cadastros de clientes;
Executivos Descobrir plano estratégico dos concorrentes;
Ex- Funcionários Sabotagem por vingança;
Contadores Desfalques financeiros;
Corretores de valores Distorcer informações para lucrar com valor das ações
Vigaristas Roubar informações, como senhas e números de cartões de
crédito;
Espiões Descobrir planos militares;
Terroristas Espalhar pânico pela rede e roubar informações estratégicas
TABELA 2
Fonte: (FLÁVIO, Araújo, 2010, p. 134)
Os ataques de Engenharia Social podem ter dois aspectos diferentes: o físico, como local de trabalho, por telefone, no lixo ou mesmo on-line, e o psicológico, que se refere à maneira como o ataque é executado, tal como persuasão. (Maia,2002).
26
3.1 Engenharia Social por Telefone
Com esse tipo de ataque consiste em desde roubar dados, informações de
colaboradores sem conscientização ou até utilização de grampo telefônico. Uma pessoal mal
intencionada chega na empresa passando-se por um analista técnico que fará manutenção da
central telefônica e, em seguida, desvia uma linha de onde pode efetuar ligações para qualquer
parte do mundo, ou então pode grampear os telefones de algum diretor executivo. Outro alvo
importante, também são os call centers.
Os atendentes têm por obrigação atender a todos da melhor maneira possível, solucionando todas as dúvidas possíveis. Então entra em cena o talento do hacker que poderá, com isso, conseguir dicas de utilização dos sistemas e até senhas de acesso (Granger,2001).
3.2 Através do Lixo ( Dumpster divining)
Normalmente as empresa não tratam o lixo de forma adequada tal lixo pode ser uma
fonte muito rica de informações para uma pessoa mal intencionada. Bisbilhotar o lixo, é um
método muito usado pelos invasores, porque é comum encontrarmos diversos itens como
agendas, blocos com anotações, xerox de documentos de funcionários da empresa
organograma, manuais de sistemas utilizados, memorandos, relatórios com informações
estratégicas, apólices de seguro e até anotações com login e senha de usuários.
As listas telefônicas podem fornecer os nomes e números das pessoas-alvo, o organograma mostra quem são as pessoas que estão no comando, as apólices mostram o quanto a empresa é segura ou insegura, os manuais dos sistemas ensinam como acessar as informações e assim todo e qualquer lixo poderá ser de grande valia para uma pessoa mal intencionada (Granger,2001).
3.3 Senhas
Temos que tomar cuidado com nossas credenciais de acesso.
Os principais pontos fracos das empresas costumar ser as senhas. Podemos observar que em muitas empresa é comum que as pessoas dividam seus logins de acesso com outras ou escolherem senhas fracas, sem a menor preocupação com a segurança da informação. Muitos utilizam como senha, palavras que existem em todos os dicionários, seus apelidos, ou até mesmo o próprio nome que, com um software gerenciador de senhas, é possível decifrá-las em
27
segundos(Virinfo,2002). Segundo Kevin Mitnick (2001), elas chegam a representar 70% do total de senhas utilizadas nas empresas.
3.4 Engenharia Social via Web
A Engenharia Social Web também é popularmente conhecida como Online.
A Web nos proporciona muitos benefícios, mas também podem nos trazer muitos problemas caso seja utilizada de maneira inconsciente a maneira mais fácil e usada para conseguir algum tipo de acesso não autorizado é através da internet. Devido à falta de disciplina dos usuários que criam senhas sem complexidades e ficam longos períodos sem alterá-las, e ainda utilizam a mesma senha para acesso a várias contas, torna o ataque mais simples ou eficaz. Basta enviar um cadastro oferecendo um brinde ou a participação em um sorteio que solicite o nome e senha do usuário e pronto. O hacker terá a sua disposição tudo o que é necessário para um ataque, sem grande esforço (Granger,2001).
As salas de bate-papo também são um canal explorado para o roubo de informações. Homens e mulheres se dizem jovens, atraentes e de bom papo. Na verdade podem ser farsantes que manipulam os sentimentos das pessoas em busca de informações (Maia,2002).
Outro meio de se obter informação on-line, é se passar pelo administrador da rede,
que, através de um e-mail, manda um link informando do novo sistema da empresa e que será
necessário fazer a confirmação de cadastro. Muitas pessoas desinformadas acabam
preenchendo o cadastro sem saber se realmente é da empresa e confiável.
Os e-mails5 também podem ser usados como meio para conseguir acesso a um sistema. Por exemplo, um e-mail enviado para alguém pode conter um vírus de computador ou cavalos de tróia6, que, quando instalados no computador da vítima, podem destruir todas as informações, ou simplesmente ficar ocultos e transmitindo ao invasor todo tipo de informação como, senhas, números de cartão de crédito, ou mesmo abrir o firewall da empresa, deixando-a vulnerável a qualquer tipo de ataque (Granger,2001)
3.5 Engenharia Social Inversa
Método avançado de conseguir informações. Ocorre quando uma pessoa mal
intencionada cria um personagem em que aparece numa posição de autoridade, de modo que
5 E-mail são mensagens enviadas por correio eletrônico usando a Internet como meio de transporte. 6 Cavalos de tróia são programas ou fragmentos de códigos maliciosos que uma vez instaladas em um
computador permitem o roubo de informações.
28
todos os usuários lhe pedirão informação. Se pesquisados, planejados e bem executados, os
ataques de engenharia social inversa permitem ao atacante obter dos funcionários informações
muito valiosas; entretanto, isto requer muita preparação e pesquisa. 7Os três métodos
principais de ataques de engenharia social inversa são, sabotagem, propaganda e ajuda. Na
sabotagem, o atacante causa problemas na rede ou sistema, então divulga que possui a solução
para este, e se propõe a solucioná-lo. Na expectativa de ver a falha corrigida, os funcionários
passam para o atacante todas as informações por ele solicitadas. Após atingir o seu objetivo, o
atacante elimina a falha e os serviços voltam a funcionar normalmente. Resolvido o problema
os funcionários sentem-se satisfeitos e jamais desconfiarão que foram alvos de um hacker.
As redes sociais e serviços online estão crescendo rapidamente a cada dia. O
Facebook, por exemplo, foi classificado como o segundo site mais visitado na Internet, Uma
das principais características das redes sociais é a comunicação entre amigos e familiares, é
possível também encontrar novos amigos. Por exemplo, sites de redes sociais podem tentar
identificar automaticamente que os usuários conhecem uns aos outros, a fim de propor
recomendações de amizade.
Diversos sites de redes sociais são críticos em relação à segurança do usuário e
privacidade devido à grande quantidade de informação disponível sobre eles, bem como a sua
base de usuários muito extensa. Pesquisas mostraram que os usuários de redes sociais online
tendem a apresentar um maior grau de confiança em pedidos de amigos e mensagens enviadas
por outros usuários. Mesmo que o problema de mensagens não solicitadas em redes sociais
(ou seja, spam) sejam enviados, já foi estudado em detalhe, e até agora, inverter ataques de
engenharia social em redes sociais não receberam qualquer atenção de seus hosts.
Em um ataque de engenharia social inversa, a pessoal mal intencionada não inicia o
contato com a vítima como comumente acontece. Em vez disso, a vítima é levada a entrar em
contato com o atacante. Como resultado, um elevado grau de confiança é estabelecido entre a
vítima e o hacker, como a vítima é a entidade que estabeleceu a relação fica mais fácil invadir
sua privacidade e roubar seus dados e arquivos.
7 Atacante : Hacker , pessoal mal intencionada
29
3.6 Utilizando Footprint
O invasor nem sempre consegue obter informações desejadas através de um
telefonema ou uma conversa amigável, seja porque as pessoas não tem conhecimento
necessário ou por não conseguir alcançar pessoas despreparadas.
Então o atacante utiliza uma técnica conhecida como footprint, que, através de
softwares específicos, consegue as informações necessárias ao ataque.
Footprint é a uma técnica de organização de ideias com o um todo, tentando criar o
melhor e mais completo perfil do alvo a ser atacado. O intuito é criar um perfil de uma
máquina-alvo, para descobrir falhas que possam ser exploradas a partir de configurações e
senhas padrões. A partir do resultado do Footprint é que é traçado a estratégia de ataque.
Dura, enquanto for necessário. Pode ser colocado em prática de muitas formas, e é limitado
apenas pela imaginação do atacante.
Usando uma combinação de ferramentas e técnicas, atacantes podem empregar um
fator desconhecido e convertê-lo em um conjunto específico de nomes de domínio, blocos de
redes e endereços IP8 individuais de sistemas conectados diretamente na Internet.
“Embora haja diversas técnicas diferentes de footprint, seu objetivo primário é
descobrir informações relacionadas a tecnologias de internet, acesso remoto e extranet9
(Veríssimo,2002).”
3.7 Mesa Limpa
As pessoas costumam deixar em suas mesas diversos documentos espalhados,
infringindo a política de mesa limpa.
Nomes, lista de ramais, endereços eletrônicos, organogramas e
outros dados da empresa, comumente ficam expostos em lugares onde transitam pessoas estranhas. Um hacker pode simplesmente entrar na empresa como se fosse um técnico em manutenção ou consultor que tem livre acesso às dependências da empresa e, enquanto caminha pelos corredores, podem ir captando todas estas informações que porventura estejam expostas (Maia,2002).
8 IP são protocolos da Internet.
9 Uma extranet é uma intranet que pode ser acessada via Web, mas com restrições de segurança aos seus dados
corporativos, por clientes ou outros usuários autorizados.
30
3.8 TRUQUES APLICADOS
Os engenheiros sociais também aplicam vários truques utilizando a informática,
visando obter informações e dados importantes que, normalmente, não seriam tão facilmente
entregues. Um desses truques é fazer com que alguma pessoa pense que está recebendo e-mail
de um amigo qualquer com um anexo, quando, na realidade, é uma ferramenta de invasão
(uma porta dos fundos10, por exemplo) que, se for instalada, dará acesso total ao sistema para
o invasor. Se você recebesse um e-mail assim de um amigo e seu antivírus nada detectasse (já
vimos que é fácil esconder dele esses programas) você executaria o anexo? Pense.
Veremos algumas artimanhas desse tipo aqui. :
3.9 E-mail Phishing
Umas das ferramentas mais utilizadas na internet hoje são os e-mails e que hoje
possuem diversos recursos avançados de comunicação. Correspondemo-nos instantaneamente
com quem quisermos, na hora em que desejarmos. Justamente por todos os recursos que ele
nos oferece é uma das principais ferramentas usadas pelos engenheiros sociais e pelos vírus,
para ganhar acesso não autorizado ao seu computador. Como isso acontece? Uma das formas
é através de anexos de arquivos no e-mail. O mais comum é você receber um e-mail estranho,
de alguém que você não conhece, com um arquivo anexado.
10
Backdoor (também conhecido por Porta dos fundos) é uma falha de segurança que pode existir em um programa de computador ou sistema operacional, que pode permitir a invasão do sistema por um cracker para que ele possa obter um total controle da máquina. Muitos crackers utilizam-se de um Backdoor para instalar vírus de computador ou outros programas maliciosos, conhecidos como malware.
31
ILUSTRAÇÃO 1
Fonte: (FLÁVIO, Marcos – Segredos do Hacker Ético).
No exemplo anterior, o e-mail selecionado é provavelmente um vírus ou ferramenta de
invasão que utiliza alguma mensagem que faça aguçar a curiosidade de quem o recebe (lembre-se, a
curiosidade é uma das técnicas mais usadas). Note o ícone do clipe que está na frente do nome de
quem enviou a mensagem. Significa que a mensagem veio com um anexo. “Muita gente com
curiosidade clica no anexo, alguns aparecem com nomes que atiçam muito a curiosidade”. Exemplo:
”Vejam as fotos que achei da nossa infância” Ou “Fotos da Secretária como veio ao mundo”.
“Outra técnica utilizada pelos engenheiros sociais é através da utilização de vírus, mandar para
o alvo um arquivo ZIP11 (compactado), com a senha para descompactar no corpo do e-mail. Isso barra
o antivírus e fornece uma falsa sensação de confiança (outro atributo importante ao estelionatário),
pois passa a impressão de que a pessoa está lhe mandando um arquivo importante e que confiou a
senha a você. Essa técnica é mostrada a seguir” (FLÁVIO, Marcos – Segredos do Hacker Ético).
11
ZIP é um formato de arquivo que suporta a compressão de dados sem perdas. Um arquivo. ZIP pode conter um ou mais arquivos ou pastas que podem ter sido comprimidas. O formato de arquivo. ZIP permite uma série de compressão algoritmos
32
ILUSTRAÇÃO 2
Fonte: (FLÁVIO, Marcos – Segredos do Hacker Ético)
Está vendo o arquivo suspeito? Se você digitar a senha mostrada anteriormente no
corpo do e-mail (57317), possivelmente vai encontrar um arquivo executável pronto para ser
rodado e instalar algum tipo de malware12 no seu sistema. Muitas vezes esses e-mails se
disfarçam também de cartões virtuais, convites e, o pior, da maioria das vezes de instituições
financeiras. (FLÁVIO, Marcos – Segredos do Hacker Ético)
Essa técnica é a grande responsável pelos ataques de phishing13 hoje em dia. Esses
ataques consistem em enviar um e-mail falso, geralmente para os clientes de algum banco ou
instituição financeira, fazendo com que o e-mail pareça ter vindo do próprio banco (algo
como <[email protected]>). Alguns dos assuntos contidos nesses e-mails:
12
O termo malware é proveniente do inglês malicious software; é um software destinado a se infiltrar em um sistema de computador alheio de forma ilícita, com o intuito de causar alguns danos, alterações ou roubo de informações (confidenciais ou não). 13
Em computação, phishing, termo oriundo do inglês (fishing) que quer dizer pesca, é uma forma de fraude eletrônica, caracterizada por tentativas de adquirir dados pessoais de diversos tipos; senhas, dados financeiros como número de cartões de crédito e outros dados pessoais.
33
“Prezado cliente, por motivos de segurança, pedimos que modifique sua senha de acesso ou então. “Prezado cliente digite os números contidos em seu cartão de segurança para renovação” Clique aqui para fazê-lo.” “Meus parabéns! O banco MeuBanco acabou de sortear um prêmio de 10.000 reais entre seus clientes e você foi um dos ganhadores. O MeuBanco lhe dá os parabéns, querido cliente. Entre na sua conta agora clicando aqui e receba o seu prêmio.” Atualmente, muitos bancos não enviam e-mails para os clientes, a não ser que estes solicitem, outros até enviam, sendo que o valor da fatura caso solicitado. Os engenheiros sociais são tão “caras-de-pau” que, muitas vezes, colocam isso nos e-mails de phishing para gerar confiança, sendo que o cliente não se lembra se ativou ou não o serviço. Nosso primeiro exemplo modificado mostra isso a seguir. “Prezado cliente, por motivos de segurança, pedimos que modifique sua senha de acesso. Clique aqui para fazê-lo. O MeuBanco não envia e-mails aos usuários sem autorização. Se você não deseja mais receber o EBanking, clique aqui para acessar sua conta e desabilitar o serviço.” Nesse e-mail, existe um link para o site do banco, só que, na realidade, é um site falso, feito para se parecer exatamente como o original e ele realmente engana muita gente. A seguir, uma imagem de um site clonado feito para se parecer exatamente com o original (o nome do banco foi removido da imagem para fins de resguardo). FLÁVIO, Marcos – Segredos do Hacker Ético)
ILUSTRAÇÃO 3
Fonte: (FLÁVIO, Marcos – Segredos do Hacker Ético)
34
Esses e muitos outros sites falsos de instituições financeiras, enganam facilmente as
pessoas. A mídia costuma nomear os realizadores de phishing como hackers. Isso é um ultraje
àquelas pessoas que procuram apenas o conhecimento, já que não é necessário um
conhecimento técnico para se mandar um e-mail falso e enganar alguém. O que temos aqui,
sim, são engenheiros sociais com péssimas intenções.
Vamos ver como eles conseguem enviar o e-mail de forma anônima, tentando se
passar por quem não são.
3.10 Spear Phishing
Spear phishing é um e-mail spoofing tentativa de fraude que tem como alvo uma
organização específica, buscando o acesso não autorizado a dados confidenciais. Essas
tentativas de phishing normalmente não são iniciadas por "hackers aleatórios", mas são mais
propensos a serem conduzida por autores de fora para o ganho financeiro, segredos
comerciais ou informações militares.
Tal como acontece com as mensagens de e-mail usado no phishing , as mensagens de
spear phishing parecem vir de uma fonte confiável. Mensagens de phishing geralmente
parecem vir de uma empresa grande e bem conhecida ou Web site com uma ampla base de
associados, tais como eBay, mercado livre ou PayPal . No caso de spear phishing, no entanto,
a fonte aparente do e-mail é provável que seja um indivíduo dentro da empresa do próprio
usuário e, geralmente, alguém em posição de autoridade.
Professora visitante de West Point e Agência de Segurança Nacional especialista Aaron Ferguson chamam de "efeito de coronel." Para ilustrar seu ponto de vista, Ferguson mandou uma mensagem para 500 cadetes, pedindo-lhes para clicar em um link para verificar as notas. A mensagem de Ferguson parecia vir de um coronel Robert Melville de West Point.Mais de 80% dos beneficiários clicou no link na mensagem. Em resposta, eles receberam uma notificação de que eles tinham sido enganados e aviso de que seu comportamento poderia ter resultado em downloads de spyware, cavalo de Tróia e / ou outros malwares .(Rouse Margaret, 2011)
As maiorias das pessoas já aprenderam a desconfiar de pedidos inesperados de
informação confidencial e não divulgar dados pessoais em resposta a mensagens de e-mail ou
clicar em links de mensagens, a menos que a fonte seja “confiável”. O sucesso de spear
phishing depende de três coisas: A fonte aparente deve parecer uma pessoa conhecida e
confiável, há informações dentro da mensagem que suporta a sua validade e, a pedido do
35
indivíduo faz com que parece ter uma base lógica. Aqui está uma versão de um ataque de
phishing: O autor encontra uma página web para sua organização-alvo que fornece
informações de contato para a empresa. Usando detalhes disponíveis para fazer a mensagem
parecer autêntico, o autor elabora um e-mail para um empregado na página de contato que
parece vir de um indivíduo que pode razoavelmente solicitar informações confidenciais, como
um administrador de rede. O e-mail pede que o funcionário entre numa página falsa que pede
nome de usuário e senha do funcionário, caso clique no link irá efetuar o download
de spyware14 ou outros programas mal-intencionados. Se um único funcionário cair na
estratégia do phisher , o atacante pode passar por esse indivíduo e usar técnicas de engenharia
social para ganhar mais acesso a dados sensíveis.
3.11 Whaling
“Whaling pode ser definido como uma extensão do Spear Phishing (Phishing
direcionado a colaboradores de uma organização) e tem como objetivo atacar executivos,
celebridades e colaboradores do alto escalão”. (Mente AntiHacker, 2011).
Ao contrário do Phishing, que diariamente são barrados por filtros de e-mail
(antispam), o Whaling é bem planejado e único, visando o roubo de informações
confidenciais. O Engenheiro Social tem tentando de diversas formas conseguirem atingir
esses alvos específicos, e com grande parte das informações disponíveis em redes sociais,
torna-se mais fácil ter contato com o alvo, bastando apenas a abertura de um link e o envio de
algumas informações confidenciais. Após a captura desses dados, alguns mal intencionados
podem chantagear suas vítimas, visto que essas pessoas possuem uma imagem na mídia,
mercado de trabalho, que podem ter sua privacidade exposta através do repasse de
informações confidenciais.
3.12 Vishing
Vishing é a prática criminosa de utilização de engenharia social através da rede
pública de telefonia comutada com o objetivo de obter vantagens ilícitas como, por exemplo,
realizar compras ou saques em nome da vítima. As facilidades de Voz sobre IP (VoIP) são
14
Spyware consiste em um programa automático de computador, que recolhe informações sobre o usuário, sobre os seus costumes na Internet e transmite essa informação a uma entidade externa na Internet, sem o conhecimento e consentimento do usuário.
36
frequentemente utilizadas para obter acesso a informações pessoais ou financeiras privativas
de pessoas físicas ou de empresas. O termo em inglês é uma combinação entre as
palavras voice e phishing. As vítimas de vishing desconhecem técnicas como falsificação da
identificação de chamada, automação dos processos de ligação e atendimento telefônico e
outros mecanismos amplamente difundidos, que podem ser implantados
em computadores convencionais.
“O avanço e o barateamento da tecnologia ajudaram a difundir técnicas e facilidades
de automação de serviços telefônicos, que no passado estavam restritas a grandes empresas,
que possuíam recursos para adquirir equipamentos caros e sofisticados.” (Rouse Margaret,
2011)
O criminoso que pratica o vishing explora a confiança da população nos serviços de
telefonia fixa, cujos terminais estiveram historicamente associados a um endereço físico e a
um assinante conhecido do serviço telefônico. O vishing é utilizado normalmente para obter
números de cartão de crédito e senhas de acesso ao banco ou a sistemas corporativos. Uma
quadrilha poderia realizar milhares de tentativas por dia se sua abordagem for mecanizada.
A preocupação com segurança precisa ser compartilhada entre governo, empresas e a
população em geral, pois não é fácil para a polícia monitorar ou rastrear o vishing. Para se
proteger, a população deve suspeitar de qualquer solicitação de dados pessoais como números
de cartão de crédito ou dados bancários. Ao falar com uma pessoa, em vez de fornecer
informações, é melhor solicitar um número de protocolo e ligar para um número previamente
conhecido, como o impresso no cartão bancário.
a) As concessionárias telefônicas podem utilizar mecanismos de detecção de
alteração nos padrões de chamadas para interceptar ataques de vishing na rede
pública de telefonia;
b) As empresas devem investir na formação continuada de seguranças de seus
funcionários;
c) É frequente que se utilize o e-mail para obter informações preliminares sobre um
indivíduo ou empresa, por isso é importante investir em proteção para e-mails;
d) Vírus, Trojans e outros softwares podem ser usados para capturar informações que
podem ser utilizadas para dar credibilidade a um ataque de engenharia social. O e-
mail é um dos principais mecanismos contemporâneos para distribuição de vírus e
outras ameaças.
37
e) O criminoso configura um war dialer para ligar para uma série de números de
telefone de uma determinada região ou para acessar sistemas de voz com listas de
números telefônicos roubados de alguma instituição.
f) Quando uma vítima atende uma ligação ouve uma mensagem gravada informando
que foi detectada atividade fraudulenta ou incomum em sua conta bancárias. A
mensagem instrui o usuário a ligar imediatamente para um determinado número,
normalmente exibido em seu identificador de chamadas.
g) Ao ligar para o número informado, a ligação é atendida por um sistema
automático, que solicita ao usuário a digitação do número do seu cartão de crédito
e de seus dados bancários
h) Uma vez que o usuário informa seus dados, o criminoso tem condições de obter
acesso a sistemas privativos, inclusive a contas bancárias, ou utilizar o cartão de
crédito para compras em nome do usuário
i) A chamada pode obter do usuário informações de segurança complementares
como PIN, data de expiração, data de nascimento etc.
Embora o uso de unidades de atendimento e ligação automáticas são preferidas pelos
vishers, há casos onde operadores humanos tem um papel ativo ao persuadir as vítimas nesse
tipo de fraude
3.13 E-mail Falso (Fake)
O “fake mail” ou e-mail falso é uma técnica utilizada nos dias atuais na Internet para
envio de e-mail de forma anônima. Pelo menos para o remetente, pois muitas vezes o
endereço IP15 original ainda continua sendo mostrado no e-mail. Quais as vantagens disso
para a Engenharia Social? Como a maioria dos usuários é leigo e nunca iriam conferir o
endereço para ver se é real, os engenheiros sociais podem fingir ter vindo de qualquer e-mail
real. Antigamente, podíamos fazer isso até usando programas como o próprio Outlook,
através de uma falha nos servidores SMTP (uma má configuração, na realidade) que permitia
o relay16. Hoje é difícil encontrar servidores assim, então, enviamos os e-mails falsos de sites
15
O endereço IP, de forma genérica, é uma identificação de um dispositivo (computador, impressora, etc) em uma rede local ou pública. Cada computador na internet possui um IP (Internet Protocol ou Protocolo de internet) único, que é o meio em que as máquinas usam para se comunicarem na Internet. 16
Relay:Retransmissão de email aberto é um SMTP servidor configurado de tal forma que ele permite que qualquer pessoa na Internet para enviar e-mail através dele, não apenas mensagens destinadas ou provenientes de usuários conhecidos.
38
especializados ou mesmo de programas que já possuem um pequeno servidor de envio de e-
mails embutido.
No exemplo abaixo, usaremos o programa Phasma 3000 (www.8th-wonder.net). O
interessante dele é que se parece com um cliente de e-mail comum, muito fácil de usar.
ILUSTRAÇÃO 4
Fonte: (FLÁVIO, Marcos – Segredos do Hacker Ético)
Configuramos o Phasma 3000 para enviar um e-mail como se tivesse vindo de um endereço
conhecido qualquer. Poderia ser qualquer coisa, até algo inexistente como
<[email protected]>. É simplesmente uma informação falsa, como você assinar outro nome
ao invés do seu. No fim do programa, a informação: “Mail sent to ...” e o e-mail na frente.
Significa que o e-mail foi enviado com sucesso. Se o sistema AntiSpam de algum provedor bloquear o
e-mail de chegar (faça testes antes para saber isso), você pode ir em Advanced e configurar o
cabeçalho da mensagem para o que você quiser, fazendo, assim, ela passar pela maioria dos filtros dos
provedores.
Pouco tempo depois, o e-mail estava na caixa de entrada do meu Outlook.
39
ILUSTRAÇÃO 5
Fonte: (FLÁVIO, Marcos – Segredos do Hacker Ético)
Analisando as propriedades do e-mail anterior, observe que realmente parece ter vindo
do nosso e-mail falso. Essa técnica, extremamente simples de se fazer (praticamente só enviar
a mensagem e pronto), é a mais utilizada hoje pelos engenheiros sociais para executar cavalos
de tróia,(Trojan)17 ferramentas de capturar tudo que se digita no teclado ou mesmo roubar
dinheiro de outras pessoas. Quando receber um e-mail de algum amigo, pedindo o que
geralmente ele não pediria como para você realizar um depósito às pressas na conta XXX
para ele, ligue antes e confirme se a pessoa mandou o e-mail. (FLÁVIO, Marcos – Segredos do
Hacker Ético).
17
O Cavalo de Tróia ou Trojan Horse é um tipo programa malicioso que podem entrar em um computador disfarçados como um programa comum e legítimo. Ele serve para possibilitar a abertura de uma porta de forma que usuários mal intencionados possam invadir seu PC.
40
3.14 Messengers Instantâneos
Outro cuidado a se tomar é com os messengers, como Hangout (Google Talk), Yahoo,
ICQ, Skype Messenger, Facebook etc. Um Engenheiro Social fará o possível para lhe
convencer a aceitar um determinado arquivo. Alguns anos atrás era usada à desculpa de que
determinado arquivo era uma foto, hoje, isso já não funciona tanto, pois a maioria desses
Messenger já mostra automaticamente uma imagem da pessoa. Então, esses engenheiros se
utilizam da sua confiança e simpatia para dizer que o arquivo é um jogo interessante ou
apelam para dizer que é uma foto sensual, um projeto inacabado qualquer no qual ele quer a
sua opinião.
As técnicas são inúmeras. Mas, aí, você diz: “o Skyper, em suas versões mais novas,
bloqueia o envio de arquivos executáveis”. Sim, mas isso pode ser facilmente burlado, uma
maneira mais comum de burlar é colocar o arquivo em formato ZIP, a maioria das vezes
funciona, ou utilizando ferramentas de terceiros.
Os métodos apresentados anteriormente fazem parte das táticas comuns de ataque.
Porém existem muitos outros truques não tão comuns, como por exemplo:
a) Uma entrevista para uma vaga que não existe, que é feita somente para se obter
informações a respeito dos concorrentes;
b) Aquelas que acontecem por acaso, como numa conversa sobre assuntos
confidenciais da empresa, em lugares de circulação de pessoas e que alguém de
passagem sem querer capta alguma informação importante;
c) Manipulação de informações para alterar o comportamento de usuários a partir
de dados falsos ou sutilmente alterados.
41
4 FORMAS DE PREVENÇÃO
Agora vamos ver algumas dicas para se proteger contra os ataques de Engenharia
Social, especialmente no ambiente corporativo. Para começar, as estratégias devem ser tanto
no nível físico (meio pelo qual o engenheiro social age, seja telefone, pessoalmente ou
Internet) quanto no nível psicológico (manipulando as emoções). Seria um enorme erro focar
só no lado físico da coisa, o treinamento e a conscientização dos empregados/colaboradores
são essenciais.
“É necessário os responsáveis entenderem que de nada adianta investir em softwares
e hardwares, visando melhorar a segurança, se não for feito um plano contra a Engenharia
Social.” (FLÁVIO, Marcos – Segredos do Hacker Ético)
A organização pode criar novas políticas de segurança e um controle maior do contato
feito com os funcionários, mas se pegar muito pesado, deixará essas pessoas frustradas e a
solução não é 100% eficiente. A solução mais eficiente seria simplesmente o treinamento.
Todas as pessoas de uma instituição que lidam de forma direta com informações importantes
devem passar por um treinamento no qual irão aprender a identificar os tipos de ataques e
como reagir a cada um deles. Outra ideia interessante é mandar uma espécie de artigo todo
mês para os funcionários mostrando novos exemplos de Engenharia Social e qual a técnica
para se proteger deles. Isso vai lembrá-los sempre do perigo.
A prevenção não é uma tarefa fácil. A maioria das empresas não direciona recursos financeiros nem humanos para tal. No entanto, investem na manutenção de sistemas e em novas tecnologias, ao invés de direcionar parte desse investimento para combater um inimigo que pode ser bem mais perigoso, a engenharia social. A ameaça deste inimigo é real, tanto quanto as falhas em uma rede.
Os seres humanos são seres imperfeitos e multifacetados. Além disso, situações de risco modificam seus comportamentos, e, decisões serão fortemente baseadas em confiança e grau de criticidade da situação (Vargas,2002).
Em função desses fatores, sempre existirão brechas em seu caráter ou comportamento pouco consciente com relação à segurança, onde a engenharia social poderá ser plenamente eficaz. Para amenizar estes riscos, é recomendável que as empresas criem políticas de segurança centralizada e bem divulgada, para que todos os seus colaboradores saibam como proteger as informações que estão em seu poder.
As intranets
podem ser um recurso valioso para esta divulgação, assim como boletins periódicos on-line, lembretes no correio eletrônico, requisitos de mudança de senha e treinamento. O maior risco é de os funcionários tornarem-se complacentes e relaxarem na segurança; por isso a importância da insistência (Granger,2002).
42
O treinamento deve estender-se por toda a instituição. Diretores, gestores,
coordenadores, e demais colaboradores, todos devem ser treinados. Nestes treinamentos
devem ser exploradas as táticas comuns de intromissão e as estratégias de prevenção. Quando
alguém captar sinais de um ataque, deve imediatamente alertar os demais, para que não sejam
também abordados.
4.1 Dicas para não ser vítima da Engenharia Social
Temos que usar alguns critérios para avaliar se estamos sendo alvo de algum tipo de
ataca de Engenharia Social.
Se todo funcionário fosse tão questionador como uma criança, demonstrando interesse nos mínimos detalhes, ouvindo mais, estando fortemente atento a tudo à sua volta, e principalmente fazendo o uso dos poderosos “por quês”, com certeza as empresas transformariam os frágeis cadeados em legítimos dispositivos dificultantes de segurança da informação. (PEIXOTO, 2006, p. 20).
4.2 Como se Proteger
Temos sempre que ter certa precaução quanto a ceder informações, sejam elas digitais
ou não, quando maior cuidado e conscientização melhor.
O bom senso é fundamental nesses casos. Fique bastante atento com relação a qualquer tipo de abordagem, independente do meio utilizado, como por exemplo, e-mails, telefone e etc. Não forneça informações confidenciais como, por exemplo, senhas. Já nos casos de mensagens que tentam induzir a clicar em links contidos no e-mail ou em alguma página da Internet, a melhor coisa a fazer é entrar em contato com o remetente do e-mail ou com a instituição se for o caso, para certificar-se a respeito do assunto. (COMITÊ GESTOR DA INTERNET NO BRASIL, 2006).
“Esses são alguns dos maiores erros cometidos dentro do ambiente corporativo que
aumentam potencialmente o risco de se tornar uma vítima da engenharia social: (PEIXOTO,
2006)”
a) Informar senha via telefone é um erro muito grave, pois antes de disponibilizar
qualquer tipo de informação, deve-se saber com quem se fala e de onde fala, além
43
de conferir através de aparelhos identificadores de chamada se o telefone de
origem da ligação está realmente confirmando com o mencionado. É muito
importante conferir o motivo pelo qual estão solicitando determinada informação.
Lembrando que existe uma técnica chamada Spoofing, que faz com que o número
exibido pelo identificador de chamadas seja aquele desejado pelo fraudador.
Portanto, não é seguro confiar somente nessa informação para ter certeza que o
solicitante é realmente quem diz ser;
b) Os Visitantes terem acesso à área interna na empresa, obtendo contato com as
informações confidenciais;
c) Entrega de informações sem o devido conhecimento real de quem as está levando;
d) Entrada de pessoas não autorizadas ou principalmente sem identificação, com
portas abertas e expostas à entrada de qualquer um;
e) Recebimento de informações digitais (Flash Drive, DVD etc.) sem o prévio
conhecimento da procedência (de onde realmente vem e de quem vem e do que se
trata), sem fazer primeiramente uma inspeção do material recebido em algum lugar
ou equipamento que não comprometa a empresa ou organização;
f) Descarte incorreto de material que se acha inútil, como por exemplo, não triturar
documentos antes de jogá-los fora e de preferência em diversas lixeiras ou o
descarte de DVDs, CDs e outros, sem eliminar definitivamente as informações
contidas neles;
g) Gavetas abertas, material em cima da mesa de fácil acesso a documentos.
h) Jogo online ou mesmo executados em Pen-drives ou CD-ROM são passíveis de
conter armadilhas, como ativação de worms, cavalos de troia, vírus e dentre outros
perigos que se escondem por trás dos envolventes jogos, ou diversões oferecidas;
i) Deixar expostos arquivos de backup, não guardando em lugar seguro (Cofre
antichamas) e confiável, além de demonstrar explicitamente que é um backup.
j) Nome de usuário e senhas expostas para qualquer um que passar ver e ter acesso.
k) Pen-drives, DVDs, documentos, material particular como bolsas, carteiras em
cima da mesa ou expostos, com grande facilidade de alguém se apoderar ou ter
acesso, principalmente se as portas ou janelas ficam sempre abetas.
l) Programas, documentos digitais gravados em DVDs ou CDs, não sendo
devidamente guardados em lugares seguros onde somente aqueles que podem ter
realmente acesso seriam portadores da informação;
m) Computador ligado exibindo informações confidenciais como senha, login de
usuário, códigos fontes;
n) Acessos a sites indevidos, não confiáveis, ou fora das políticas de trabalho da
empresa;
o) Computador logado com a senha e nome de algum usuário, deixando o uso da
estação disponível para alguém não autorizado.
44
p) Sistema de alarme desligado, desativado ou inoperante, em caso de alguma
urgência ou emergência;
q) Softwares em lugar não seguro; bem como procedimentos, apostilas etc., que
contenham informações que sirvam como um facilitador em trazer palavras de
cunho técnico de modo a disponibilizar id, senhas, sejam elas default ou não;
r) Enfeites, como vasos, quadros, dentre outros, servindo como mera distração,
fugindo do habitual e tradicional layout de arranjo do ambiente de trabalho,
podendo ser alvo de suspeita, pois atrás desses “enfeites” podem estar guardados,
escondidos ou implantados sistemas de escuta, gravadores, dentre outros pequenos
sistemas que podem colher informações ditas ou vivenciadas naquele ambiente.
Paranoias e neuroses à parte, todo cuidado é pouco;
“Quanto aos riscos inerentes aos fatores humanos, podem-se destacar como exemplo
os seguintes controles:” (SÊMOLA, 2003 citado por PEIXOTO, 2006, p. 53).
a) Seminários de sensibilização;
b) Cursos de capacitação;
c) Campanhas de divulgação da política de segurança;
d) Crachás de identificação;
e) Procedimentos específicos para demissão e admissão de funcionários;
f) Termo de responsabilidade;
g) Termo de confidencialidade;
h) Softwares de auditoria de acessos;
i) Softwares de monitoramento e filtragem de conteúdo;
As práticas acima citadas ajudarão a minimizar a possibilidade da empresa se tornar
mais uma vítima da engenharia social.
Podemos constatar na visão de (PEIXOTO, 2006, p. 54)
A maior prova para se ter certeza de que você será a próxima vítima da engenharia social é simplesmente subestimar o praticante desta arte. Mas como ao certo saber quem é afinal o engenheiro social naquele dado momento, lugar ou situação? Não saberá, na primeira instância. Apenas desconfiará de algum suspeito à medida que você vá adquirindo conhecimento das técnicas padrões e revolucionárias da engenharia social. E assim percebendo algumas “gafes” do engenheiro social, deixará a incerteza para então capturar o alvo certo.
Abaixo, mais algumas dicas para manter seu computador seguro ao acessar a Internet.
(SISTEMA DE COOPERATIVAS DE CRÉDITO DO BRASIL, 2012).
45
a) Instale um bom programa de antivírus e, pelo menos uma vez por semana, faça
uma verificação completa do computador;
b) Use sempre cópia original do programa de antivírus, pois as cópias “piratas”
geralmente já estão infectadas e não funcionam corretamente;
c) Configure seu antivírus para procurar por atualizações diariamente;
d) Use seu antivírus para verificar todo arquivo baixado antes de abri-lo ou executá-
lo pela primeira vez;
e) Cópias originais do Windows são mais seguras e são atualizadas periodicamente
pela Microsoft;
f) Mantenha o sistema operacional do seu computador e seus programas sempre
atualizados para protegê-los contra as falhas de segurança, que são descobertas
todos os dias;
g) Somente instale programas de fontes confiáveis. Evite os serviços de
compartilhamento (por exemplo: Utorrent, Kazaa, Bittorrent, Limeware, Ares
Emule, etc.). Eles são uma das principais fontes de disseminação de programas
nocivos;
h) Não abra e-mails e arquivos enviados por desconhecidos;
i) Não abra programas ou fotos que dizem oferecer prêmios;
j) Cuidado com os e-mails falsos de bancos, lojas e cartões de crédito;
k) Jamais abra arquivos que terminem com PIF, SCR, BAT, VBS e, principalmente,
os terminados com EXE e COM;
l) Se você desconfiar de um e-mail recebido, mesmo quando enviado por pessoa
conhecida, cuidado, pois pode ser um e-mail falso;
m) Verifique se o endereço que está aparecendo em seu navegador é realmente o que
você queria acessar;
n) Não confie em tudo o que vê ou lê;
o) Não autorize instalação de software de desconhecidos ou de sites estranhos;
p) Antes de clicar em um link, veja na barra de status do navegador se o endereço de
destino do link está de acordo com a descrição do mesmo;
q) Sempre desconfie de ofertas e sorteios dos quais não tenha prévio conhecimento.
r) Ao realizar compras pela Internet procure por sites reconhecidamente seguros;
s) Se for utilizar o seu cartão de crédito ou tiver que fornecer dados bancários,
verifique se a página acessada utiliza tecnologia de criptografia, ou seja, o
endereço da página acessada deve começar com “https” e deve aparecer o ícone de
um cadeado na barra de status (parte inferior) ou à direita da caixa do endereço,
dependendo do navegador. Uma observação importante a ser feita, é
que Crackers colocam imagens de cadeados para fazer com que os usuários
pensem que o site é seguro, mas na realidade não é.
46
t) Se você desconfiar de um site de compra, deixe-o de lado e compre em outro
lugar.
u) Ao preencher qualquer cadastro seja ele virtual ou não, só forneça informações de
extrema necessidade.
v) Não acredite em todos os e-mails sobre vírus, principalmente aqueles de origem
duvidosa que trazem anexo arquivo para ser executado, prometendo solucionar o
problema;
w) Jamais acredite em pedidos de pagamento, correção de senhas ou solicitação de
qualquer dado pessoal por e-mail. Comunique-se por telefone com a instituição
que supostamente enviou o e-mail e confira o assunto.
x) Nunca realize operações bancárias ou transações pela internet que possuam
informações pessoais de lugares públicos como, por exemplo, LAN-Houses, pois
computadores públicos muitas vezes contêm códigos maliciosos, instalados por
pessoas mal-intencionadas, capazes, por exemplo, de registrar tudo o que você
digitar no teclado, facilitando a quebra de sigilo dos seus dados confidenciais.
Os mecanismos de busca da Internet indexam um enorme número de páginas Web e
outros recursos. Crackers podem usar esses mecanismos para fazer ataques anônimos,
procurar por vítimas e adquirir o conhecimento necessário para montar um poderoso ataque
contra a rede. Os mecanismos de busca são perigosos em grande parte porque usuários são
descuidados. Além disso, os mecanismos de busca podem ajudar a evitar a identificação
dos Crackers. Mecanismos de busca tornam a descoberta de maquinas expostas quase sem
esforço. Nos últimos anos, os mecanismos de busca têm recebido uma grande quantidade de
atenção negativa por expor informações confidenciais. Como resultado, o mais “interessante”
que são as consultas, não retorna mais resultados úteis. (MCCLURE; SCAMBRAY; KURTZ,
2009, p. 553, tradução nossa).
A tabela abaixo exibe as áreas de risco da empresa, a tática do invasor e a respectiva
estratégia de combate, para assim evitar ser mais uma vítima. (POPPER; BRIGNOLI, 2003).
Áreas de Risco, Táticas e Estratégias
Área de Risco Tática do invasor Estratégia de Combate
Suporte de
Informática Representação e persuasão
Desenvolver na empresa uma política
de mudança frequente de senhas e
treinar os demais funcionários para
nunca passarem senhas ou outras
informações confidenciais por
telefone;
47
Entrada de
edifícios Acesso físico não autorizado;
Treinar os funcionários da segurança
para não permitirem o acesso de
pessoas sem o devido crachá de
identificação e mesmo assim fazer
uma verificação visual;
Escritórios Caminhar pelo ambiente;
Não digitar senhas na presença de
pessoas estranhas, a não ser que você
consiga fazer isso rapidamente;
Suporte
telefônico
Usar de disfarces na hora de solicitar
ajuda aos atendentes, geralmente se
passando por outra pessoa;
Os atendentes devem solicitar sempre
um código de acesso, para só então
prestarem o suporte solicitado;
Escritórios Roubar documentos importantes;
Manter os documentos confidenciais
fora do alcance de pessoas não
autorizadas, de preferência em
envelopes fechados.
Sala de
correspondência Inserção de mensagens falsas;
Fechar e monitorar a sala de
correspondência;
Sala dos
servidores
Instalam programas analisadores de
protocolo para conseguirem
informações confidenciais, além da
remoção de equipamentos;
Manter sala dos servidores sempre
trancada, e o inventário de
equipamentos atualizado;
Central
telefônica Roubar acesso a linhas telefônicas
Controlar chamadas para o exterior e
para longas distâncias, e recusar
pedidos de transferências suspeitas;
Internet e
intranet
Criar e/ou inserir programas na
Internet ou intranet para capturar
senhas;
Criar senhas fortes e fazer uso
consciente da mesma, alterando-a
periodicamente.
Depósito de lixo Vasculhar o lixo;
Guardar o lixo da empresa em lugar
seguro, triturar todo tipo de
documento, e destruir todo o tipo de
mídia magnética fora de uso;
TABELA 3
Fonte: (POPPER; BRIGNOLI, 2003).
48
Diversos ataques poderiam ser evitados se o usuário seguisse estas etapas:
a) Sempre verificar a identidade da pessoa para ter certeza se ela é realmente quem
diz ser.
b) Certificar que realmente a pessoa possui autorização.
c) Sempre ficar atento ao ser abordado por alguém, principalmente se você não
conhece. Independente se a abordagem foi feita através do telefone, carta ou e-
mail, não forneça informações sensíveis, pessoais ou até mesmo da organização
onde trabalha.
d) Não clicar em links antes de verificar a autenticidade da solicitação. Várias são as
vítimas de e-mails falsos. Para não ser mais uma vítima dessa armadilha, entre em
contato com a fonte da solicitação seja ela uma pessoa, empresa, órgão público e
etc.
e) A melhor coisa a fazer enquanto estiver navegando na Web é ser cauteloso e
manter o antivírus e detectores de pragas virtuais em geral sempre atualizados.
f) Escolher senhas fortes e não compartilhar com outras pessoas.
4.2.1 Política de Segurança (PSI)
Política de segurança da Informação é a expressão formal das regras pelas quais é
fornecido o acesso aos recursos tecnológicos de uma organização. Uma PSI não é um
documento definitivo, inalterável ou inquestionável, pelo contrário, requer constante
atualização e participação de gerentes, usuários e equipes da organização.
Objetivo da PSI: Proteção do conhecimento da infraestrutura, a fim de atender os
requisitos legais, viabilizar os serviços prestados e evitar ou reduzir os riscos e ameaças.
Orientação e o estabelecimento de diretrizes para a proteção dos ativos de informação,
prevenção de ameaças e a conscientização da responsabilidade dos colaboradores. São boas
práticas que a gestão da segurança da informação esteja alinhada e em conjunto com os outros
processos de gestão.
Princípios da PSI: Integridade, confidencialidade e disponibilidade da informação.
Propósitos da PSI: Informar aos colaboradores/usuários suas responsabilidades com
relação ao acesso à informação e oferecer um ponto de referência a partir do qual se possa
adquirir, configurar e auditar sistemas computacionais e de redes de computadores.
49
A norma ISO/IEC 27002 descreve as três fontes principais de requisitos de
segurança da informação:
1. Análise dos princípios, objetivos e requisitos dos serviços prestados.
2. Legislação vigente, estatutos e regulamentos.
3. Análise de vulnerabilidades, ameaças e riscos.
É recomendável também que gerentes/supervisores de cada área estabeleçam critérios
relativos ao nível de confidencialidade da informação (relatórios e/ou mídias) gerada por sua
área, classificando as informações além da análise de requisitos, de acordo com a lista abaixo:
1. Pública;
2. Interna;
3. Confidencial
4. Restrita.
A elaboração e implementação da PSI de cada organização possui suas particularidades de
acordo com os requisitos de segurança analisados e alinhados a gestão de processos. Abaixo
são sugeridos itens a serem estudados para a criação de regras:
• Administração de contas;
• Utilização da rede;
• Utilização de correio eletrônico;
• Acesso à Internet;
• Uso das estações de trabalho;
• Uso de impressoras;
• Uso de equipamentos particulares 18(BYOD);
• Controle de acesso físico (controle de entrada e saída de pessoas);
• Termo de compromisso (documento onde usuário se compromete a respeitar a política
de segurança);
• Verificação da utilização da política (supervisão realizada por gestores e equipe de TI
18
BYOD - Bring your own device (Traga seu próprio dispositivo) significa que a política permiti os funcionários trazer dispositivos móveis de propriedade pessoal (laptops, tablets e smartphones) para seu local de trabalho, e utilizar esses dispositivos para acessar informações sobre a empresa privilegiada e aplicações. O termo também é usado para descrever a mesma prática aplicada aos alunos que utilizam dispositivos de propriedade pessoal em situações de ensino.
50
• Política de senhas;
• Violação da política (definição de ações tomadas nos casos de desrespeito a política de
segurança).
• Uso dispositivos de mídias removíveis;
É necessário implementar controles adequados através de políticas de segurança e
planejamentos.
Como diz o ditado; até mesmo os verdadeiros paranoicos [sic] provavelmente têm inimigos. Devemos assumir que cada empresa também tem os seus — os atacantes que visam a infraestrutura [sic] da rede para comprometer os segredos da empresa. Não acabe sendo uma estatística nos crimes de computadores; está mais do que na hora de armazenar as defesas necessárias implementando controles adequados por meio de políticas de segurança e procedimentos bem planejados. (MITNICK; SIMON, 2003, p. 23).
Para evitar ou reduzir riscos de informações privilegiadas de serem acessadas
indevidamente, perdidas ou até mesmo deixarem de serem integras, é necessário que haja uma
série de procedimentos claramente estabelecidos independentemente de onde as informações
circulam.
“Nós não tocamos em redes, nós tocamos nas pessoas. Porque, no fim, o elo mais
fraco em todas essas coisas é a pessoa que está à frente da tela.” (SCHWARTAU, 2010 p. 1).
Política de segurança da informação pode ser definida como uma série de instruções bem claras a fim de fornecer orientação para preservar as informações. Esse é um elemento essencial para o controle efetivo da segurança da informação de maneira a combater e prevenir possíveis ameaças ou ataques que venham a comprometer a segurança da informação nas empresas ou organizações. Essas políticas estão entre as mais significativas no que diz respeito a evitar e detectar os ataques da engenharia social. (FONSECA, 2009).
É importante ressaltar também que a política de segurança nunca deve ser imutável ou inflexível, pois as novas técnicas de ataques usando a engenharia social estão surgindo a cada dia assim como as próprias tecnologias e ou procedimentos para combatê-las. Para que a política de segurança esteja sempre atualizada, devem-se estabelecer procedimentos regulares com o objetivo de identificar as novas ameaças e assim combatê-las através das tecnologias e ou procedimentos adequados. Lembrando que esse documento atualizado deve sempre estar disponível em um lugar bem acessível a todos os funcionários. Isso facilitará bastante a consulta dos funcionários ao surgir alguma dúvida relacionada às políticas e procedimento de segurança. Quanto mais rápido o funcionário conseguir acessar esse documento, melhor será. (MITNICK; SIMON, 2003).
51
4.2.2 Plano de Treinamento e Conscientização
Talvez haja pouquíssimos assuntos de extrema importância e ao mesmo tempo tão entediantes para a maioria dos funcionários, pelo qual deverão ainda passar por treinamentos como a questão da segurança da informação. Por isso é vital que haja artifícios para prender suas atenções e inclusive entusiasmá-los. (FONSECA, 2009).
Um plano de conscientização sobre segurança da informação em uma organização,
tem como principal objetivo, influenciar os colaboradores a mudarem seus hábitos e motivá-
los a participarem do treinamento de conscientização mostrar que eles fazem parte da
segurança da informação na empresa e que ela poderá sofrer um ataque a qualquer momento.
Os colaboradores conscientes e motivados, buscarão cumprir sua parte para proteger o ativo
mais importante da empresa que são suas informações. Os programas de conscientização
devem ser realizados constantemente, pois com o passar do tempo o preparo das pessoas
diminui além de novas ameaças e técnicas usadas pelos engenheiros sociais surgirem
constantemente, o que faz com que seja necessário reforçar e atualizar os princípios da
segurança da informação na mente dos colaboradores.
Uma organização que leva a questão da segurança da informação a sério e como uma
prioridade em sua cultura corporativa, passa a treinar seus colaboradores assim que são
admitidos, de maneira que nenhum funcionário possa receber acesso a um computador antes
de participar de pelo menos uma aula básica sobre conscientização em segurança da
informação.
Um ótimo aspecto a ser abordado que pode funcionar como um grande agente motivador para os funcionários é esclarecê-los de que a segurança da informação não é um assunto de interesse somente da empresa, mas também dos próprios funcionários, pois a própria empresa possui informações particulares a respeito dos seus funcionários. Inclusive algumas analogias podem ser feitas para criar entusiasmo nos empregados, como por exemplo, informá-los de que não cuidar da segurança das informações no ambiente de trabalho é o mesmo que não cuidar do cartão do banco ou do número do cartão de crédito de alguém. Ou seja, os funcionários perceberão que ao colaborarem estarão protegendo não somente informações da empresa, mas também suas informações pessoais. Outro bom artifício seria a demonstração das técnicas de engenharia social através da dramatização, reportagens ou através de vídeos educativos sobre o assunto, que exibam casos reais de maneira que seja ao mesmo tempo algo educativo e divertido. (FONSECA, 2009).
A maioria dos casos o treinamento deve ser adaptado de acordo com os requisitos
específicos de cada grupo dentro da organização, pois apesar de muitas vezes as políticas
52
serem aplicadas a todos os funcionários, há situações em que será necessária a existência de
políticas específicas para determinados cargos ou grupos distintos dentro das organizações,
como por exemplo, os gestores, o pessoal da tecnologia, os usuários gerais, o pessoal das
áreas não técnicas, os assistentes administrativos, recepcionistas e o pessoal da segurança
física da empresa.
Uma observação interessante a ser feita com relação aos funcionários da segurança física é que normalmente esse tipo de funcionário não tem acesso aos microcomputadores e às vezes nem mesmo possuem proficiência para operá-los, mas nem por isso devem ser excluídos do treinamento, pois os engenheiros sociais costumam utilizá-los como peças importantes para conseguirem acesso privilegiado a locais restritos como, por exemplo, algumas salas ou escritórios que venham posteriormente permitir a invasão de algum computador. Por isso em alguns casos, o treinamento precisa sofrer adaptações. Como no exemplo supracitado, os guardas da segurança não precisariam passar pelo treinamento completo que os usuários de computadores deveriam passar. Já aqueles funcionários que não puderem participar dos treinamentos em classe, deverão ser incluídos no treinamento através de outras formas de instrução como, por exemplo, vídeos, treinamentos baseado em computadores, cursos on-line ou por material escrito. Também é muito importante ressaltar a questão dos empregados que mudarem de cargo, função e etc. Esses funcionários deverão passar por um novo processo de treinamento ajustado às suas novas atribuições. (FONSECA, 2009).
É muito importante esclarecer a importância de seguir as Políticas de Segurança da
Informação corretamente e os danos que a organização poderá vir a sofrer se estas não forem
seguidas conforme planejado. Os colaboradores devem ser informados a respeito das
consequência que sofrerão se não cumprirem as normas e procedimentos estabelecidos pela
organização, pois muitas vezes, os próprios funcionários ignoram ou até mesmo negligenciam
os procedimentos que acham desnecessários, ou aqueles considerados tediosos segundo
entendimento próprio.
Elaborar um resumo dessas consequências e divulgá-los amplamente é um ótimo procedimento a ser realizado. Algo muito interessante que também pode ser colocado em prática é a recompensa para os funcionários que seguem as boas práticas de segurança da empresa de maneira correta. Pois sabemos que o incentivo é sempre algo muito motivador. Também é interessante divulgar amplamente por toda empresa através de circulares internas, boletins periódicos on-line ou pela própria Intranet, os casos frustrados de quebra de segurança onde um funcionário atuou de maneira correta evitando algum sinistro. (MITNICK; SIMON, 2003).
A questão relacionada a prevenção nas organizações é uma tarefa complicada, pois as
organizações em maioria, não dá a devida atenção para essa questão. Normalmente
53
concentram seus recursos financeiros somente na manutenção de sistemas e em novas
tecnologias, ao invés de destinar parte desses recursos para treinamento e conscientização dos
funcionários para combater as ameaças. Devemos aproveitar os Recursos como o de
Intranet ou correio eletrônico para divulgação de lembres de mudanças de senha ou até
mesmo conscientização podem ser tão úteis.
Concordando com o que diz Fonseca (2009), um bom e objetivo processo de
conscientização sobre segurança da informação não pode deixar de lado os seguintes tópicos:
a) Descrever a forma com que engenheiros sociais utilizam suas aptidões para manipular
e ludibriar.
b) Táticas empregadas pelos engenheiros sociais para cumprirem suas metas.
c) Como identificar a ação de um engenheiro social.
d) Como agir ao desconfiar de alguma solicitação suspeita.
e) A quem reportar as tentativas de ataque fracassadas ou que tiveram êxito.
f) Questionar solicitações, independentemente do cargo ou importância que o solicitante
julga ter.
g) Não confiar em pessoas que fazem solicitações de informações, sem antes examinar
perfeitamente sua real identidade.
h) Como proceder para proteger informações sigilosas.
i) Como encontrar as políticas e procedimentos de segurança da informação e sua
importância na proteção das informações.
j) Sintetizar e explicar o sentido de cada política de segurança como, por exemplo, a
questão da criação de senhas difíceis de serem descobertas.
k) A obrigação do cumprimento das políticas de segurança e as consequências para o
empregado e para a organização caso haja algum descumprimento.
l) Como divulgar material ou informação restrita.
m) Melhores práticas de uso do correio eletrônico de maneira a não se tornar vítima da
engenharia social, vírus e armadilhas em geral.
n) Questões físicas da segurança como, por exemplo, a utilização de crachás e o
questionamento para com aqueles que estão nas dependências da organização sem
utilizá-lo.
o) Eliminação de documentos que contenham informações confidenciais
independentemente se sua natureza é física ou eletrônica.
54
p) Deixar bem claro que testes serão feitos periodicamente dentro da organização para
verificar quais funcionários estão procedendo corretamente e quais não estão.
q) Fornecer material informativo como, por exemplo, lembretes através do meio de
comunicação que julgar conveniente.
r) Parabenizar publicamente o(s) funcionário(s) destaque(s) na segurança da informação.
s) Testes de intrusão e vulnerabilidades usando a engenharia social podem ser feitos
periodicamente com o objetivo de encontrar falhas ou descobrir o descumprimento das
políticas de segurança e até mesmo pontos fracos no próprio treinamento dos
funcionários. É interessante avisar os funcionários que testes desse tipo serão
realizados periodicamente. (MITNICK; SIMON, 2003).
t) Tudo isso se resume em uma reeducação na organização de maneira a inserir uma
nova cultura que abrange cem por cento da empresa, pois qualquer falha poderá ser
fatal.
u) Pode-se considerar que o programa de treinamento teve um bom aproveitamento se
todos que participaram do programa estiverem convencidos e motivados com a
consciência de que a segurança da informação faz parte do seu trabalho diário.
(FONSECA, 2009).
4.2.3 Plano de Resposta a Incidentes
É um grande desafio manter a segurança da informação de uma organização no
ambiente computacional interconectado dos dias atuais, que se torna mais difícil à medida em
que são lançados novos produtos para a Internet e novas ferramentas de ataque são
desenvolvidas. A maioria das organizações reconhece que não existe uma solução única capaz
de garantir a segurança de sistemas e dados; ao contrário, é necessário ter uma estratégia de
segurança composta de várias camadas. Uma das camadas que vem sendo incluída por
diversas organizações nas suas estratégias é a criação de um Grupo de Resposta a Incidentes
de Segurança em Computadores, geralmente conhecido como CSIRT (do inglês "Computer
Security Incident Response Team").
As motivações para o estabelecimento de CSIRTs incluem:
a) Um aumento generalizado na quantidade de incidentes de segurança sendo reportados
55
b) Um aumento generalizado na quantidade e variedade de organizações sendo afetadas
por incidentes de segurança em computadores
c) Uma maior consciência, por parte das organizações, da necessidade de políticas e
práticas de segurança como parte das suas estratégias globais de gerenciamento de
riscos
d) Novas leis e regulamentos que afetam a maneira como as organizações precisam
proteger as suas informações
e) A percepção de que administradores de redes e sistemas não podem proteger sozinhos
os sistemas e as informações da organização. (CERT, 2013).
Não existe infraestrutura de segurança da informação que venha garantir cem por cento de proteção, pois as falhas sempre existirão, por mais remotas que sejam. Portanto as empresas devem estar preparadas para reconhecer, analisar e responder aos incidentes de segurança o mais rápido possível, pois isso é fator fundamental para amenizar os estragos ou diminuir custos com reparos. É importante que as experiências anteriores com outros incidentes sejam usadas para prevenir ocorrências semelhantes no futuro ou até mesmo para aprimorar a segurança atual. O documento que define as diretrizes para tratar incidentes de segurança chama-se Plano de Resposta a Incidentes. Ele possui os procedimentos e medidas a serem tomadas para remediar, corrigir ou contornar os incidentes. O tratamento de cada incidente dependerá de alguns fatores como, por exemplo, a sua magnitude e o risco que trará para a empresa. (POPPER; BRIGNOLI, 2003).
Medidas que não podem ser deixadas de lado em um Plano de Resposta a Incidentes:
(POPPER; BRIGNOLI, 2003).
a) Identificar a autoria dos ataques, assim como sua seriedade, estragos causados e
responsáveis pelo incidente.
b) Divulgar o mais rápido possível o acontecimento ocorrido para que o mesmo
incidente não ocorra em outras áreas da empresa.
c) Tomar as medidas necessárias para restaurar aquilo que foi afetado como, por
exemplo, mudar senhas, trocar funcionários, aumentar o nível de controle.
d) Contatar os órgãos de segurança para que o fato seja registrado, assim como tentar
entrar em contado com os responsáveis pelos ataques.
Este capítulo apresentou alguns dos procedimentos essenciais para criação de uma
política de segurança da informação que visa prevenir de ataques principalmente de
engenharia social, cada organização terá seu plano de resposta a incidentes baseados nas
medidas citadas.
56
CONCLUSÃO
O presente trabalho procurou apresentar o que é engenharia social e suas práticas,
essas que são bastante utilizadas nos dias de hoje, com o intuito de conseguir informações
privilegiadas não autorizadas. Assim como a importância do valor das informações e de
mantê-las seguras.
Dentro de uma organização a maior parte de incidentes envolvendo a segurança da
informação, envolve também o fator humano, pois boa parte dos processos são intermediados
por pessoas, essas que em sua maioria não são preparadas para lhe dar com a informação. Por
esse motivo de nada vale investir em tecnologias robustas de segurança e esquecer o fator
humano, temos que conscientiza-los quanto ao perigo das ameaças e como proceder diante
das informações.
Procuramos demostrar, como a engenharia social tem crescido de uma forma
despercebidas pelos alvos, pois a engenharia social envolve principalmente os sentimentos
humanos e através disso os engenheiros agem e utilizam também ferramentas tecnológicas
para ajudar nos processos de ataques aos alvos. Apresentar o leitor como é possível a
identificação dessas pessoas mal intencionadas chamadas de engenheiros sociais e seus
ataques. Mostrar alguns princípios e procedimentos básicos que são essenciais para uma
política de segurança da informação para treinamento e conscientização dos colaboradores de
uma organização, para que eles não sejam alvos dessas práticas maliciosas.
O trabalho buscou abordar os métodos e técnicas utilizadas pelos engenheiros sociais
de como conseguir informações privilegiadas, assim comprometendo a segurança da
informação.
57
REFERÊNCIAS LIVROS E ARTIGOS
ALLEN, Malcolm. Social Engineering: A Means to Violate a Computer System. SANS
Institute InfoSec Reading Room. [S.l.], 13 f.,. 2006
ARAUJO, Eduardo E. de. A VULNERABILIDADE HUMANA NA SEGURANÇA DA
INFORMAÇÃO . 2005. 85 f. Monografia (Graduação)– Faculdade de Ciências Aplicadas de
Minas, União Educacional Minas Gerais S/C LTDA, Uberlândia, 2005. Acesso em: 23
ABRIL. 2013.
COMITÊ GESTOR DA INTERNET NO BRASIL. Centro de Estudos, Resposta e
Tratamento de Incidentes de Segurança. Cartilha de Segurança para Internet. São
Paulo, 2006. 95 p. Acesso em: 19 JUNHO. 2013.
FONSECA, Paula F. Gestão de Segurança da Informação: O Fator Humano. 2009. 16 f.
Monografia (Especialização)– Redes e Segurança de Computadores, Pontifícia Universidade
Católica do Paraná, Curitiba, 2009. Acesso em: 18 JUNHO. 2013.
MCCLURE, Stuart; SCAMBRAY, Joel; KURTZ, George. Hacking exposed 6: network
security secrets & solutions. [S.l.]: The McGraw-Hill Companies, 2009.
MITNICK, Kevin D.; SIMON, William L. A arte de enganar: Ataques de Hackers:
Controlando o Fator Humano na Segurança da Informação. São Paulo: Pearson Education,
2003.
MITNICK, Kevin D.; SIMON, William L. The art of intrusion : the real stories behind the
exploits of hackers, intruders, and deceivers. Indianapolis: Wiley Publishing, 2005.
PEIXOTO, Mário C. P. Engenharia Social e Segurança da Informação na Gestão
Corporativa . Rio de Janeiro: Brasport, 2006.
POPPER, Marcos Antonio; BRIGNOLI, Juliano Tonizetti. ENGENHARIA SOCIAL: Um
Perigo Eminente. [2003]. 11 f. Monografia (Especialização)– Gestão Empresarial e
58
Estratégias de Informática, Instituto Catarinense de Pós-Graduação – ICPG, [S.l.], [2003].
Acesso em: 16 Junho. 2013.
PRESCOTT, Roberta. Fator humano: um dos pilares da segurança da informação.
[S.l.:s.n.], 2007.Acesso em: 16 Junho. 2013.
SCHWARTAU, Winn. Engenharia social: pessoas ainda são elo mais fraco. [S.l.:s.n.],
2010. Acesso em: 17 JUNHO. 2013.
SISTEMA DE COOPERATIVAS DE CRÉDITO DO BRASIL; CONFEDERAÇÃO
NACIONAL DE COOPERATIVAS DE CRÉDITO. Cartilha de Segurança da Informação.
[S.l.:s.n.]. Acesso em: 15 JUNHO. 2013.
REFERÊNCIAS SITES
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 17799:
Tecnologia da Informação: Técnicas de Segurança - Código de prática para a Gestão da
Segurança da Informação. Rio de Janeiro, 2005. 120 p. Disponível em: <
http://xa.yimg.com/kq/groups/21758149/952693400/name/ABNT+NBR+ISO+IEC+17799+-
+27001-2005++Tecnologia+da+Informa>. Acesso em 19 MAIO. 2013.
BASTOS . Segurança da Informação Vs Engenharia Social
Disponível em:<http http://monografias.brasilescola.com/computacao/seguranca-informacao-
vs-engenharia-social-como-se-proteger.htm>. Acesso em 18 MAIO. 2013.
MITNICK . Hacker Regenerado
Disponível em:<http://revistaepoca.globo.com/Epoca/0,6993,EPT600936-
1666,00.html>.Acesso em 23 FEV. 2013.