Tratando de seguran�a na Engenharia Social

A informaç�o pode ser um ativo de extremo valor e a segurança da mesma � algo que as empresas almejam.

Segurança da informaç�o utiliza controles f�sicos, tecnol�gicos e humanos personalizados, que proporcionem a reduç�o e administraç�o dos riscos, conduzindo a empresa a atingir o n�vel de segurança apropriado ao seu neg�cio, de acordo com Manoel (2014). A segurança abrange diversas �reas e cada uma delas com seus pr�prios riscos, controles aplic�veis e soluç�es de segurança que podem minimizar o n�vel de exposiç�o ao qual a empresa est� sujeita com o objetivo de garantir segurança para o seu principal patrim�nio que � a informaç�o, (MAIA, 2013).

Organizaç�es e entidades do governo investem bastante em segurança por meio de novas tecnologias: antiv�rus, firewall, proxy, sistemas para detectar intrus�o, autenticaç�o por biometria, entre outros. Esse investimento sai caro e pode ser completamente in�til se os funcion�rios que trabalham com essas tecnologias n�o forem treinados adequadamente.

Figura 1. Os tr�s pilares de um sistema de informaç�o, o alvo do engenheiro social.

O alvo do engenheiro social s�o as informaç�es, e as mesmas est�o contidas nas organizaç�es e nos sistemas de informaç�o. Quem manipula as informaç�es e os sistemas das empresas s�o pessoas, por esse motivo o ataque � feito em cima delas.

O que � Engenharia Social

De acordo com Cipoli (2012), engenharia social s�o pr�ticas utilizadas para obter ingresso �s informaç�es importantes ou sigilosas em empresas ou sistemas por meio do engano ou exploraç�o da confiança das pessoas. Para isso, o explorador pode se passar outra pessoa, assumir uma personalidade diferente, fingindo ser um profissional de certa �rea, dentre outras formas. � uma maneira de entrar nas empresas sem a necessitam da força bruta ou de erros em m�quinas aproveitando da ingenuidade, credo, despreparo t�cnico e emocional, ou at� mesmo confiança que as pessoas t�m umas nas outras.

Por que atacar pessoas e n�o o sistema:

Pessoas t�m a tend�ncia de acreditar;
Pessoas querem ajudar;
Pessoas s�o complacente, caridosas;
Pessoas s�o f�ceis de manipular...

Engenharia social entende-se a inabilidade das pessoas de se manterem atualizadas com diversas quest�es referentes a tecnologia da informaç�o, apesar de n�o estarem cientes do valor da inform�tica que eles exercem e, portanto, n�o tem preocupaç�o em proteger essa informaç�o. � importante frisar que, a engenharia social � aplicada em v�rias �reas da segurança da informaç�o independente de sistemas computacionais, software e ou plataforma usada, e sabe-se que o elemento mais suscet�vel a falhas � o ser humano e n�o o sistema em si.

Para Cipoli (2012), as t�cnicas que os engenheiros sociais usam, consistem em obter informaç�es confidenciais enganando os usu�rios de um certo sistema por meio de identificaç�es falsas, aquisiç�o de carisma e confiança da v�tima. Um ataque de engenharia social pode utilizar de todos os meios de comunicaç�o tendo-se destaque para ligaç�es telef�nicas, conversas diretas com a v�tima, telegramas, e-mail e internet.

A seguir vemos algumas t�cnicas de Engenharia Social:

Internet, redes sociais: a internet e as redes sociais s�o grandes fontes de informaç�es e v�rias delas s�o retiradas das mesmas para a realizaç�o da abordagem sobre a v�tima em quest�o. O engenheiro social usa dessas artimanhas para conhecer melhor sua v�tima, inicia um estudo no site da empresa para melhor entendimento, faz pesquisas na internet e averigua as redes sociais onde � poss�vel encontrar informaç�es importantes dos funcion�rios da organizaç�o, qual sua funç�o dentro da empresa, circulo de amizades, seu perfil em geral entre v�rias outras coisas.
Lixo: poucas empresas verificam o que est� sendo descartado e qual a forma � feita este descarte. O lixo pode ser uma fonte rica de informaç�es.J� foram relatados v�rios casos de publicaç�o na internet com esse tipo de ataque, informaç�es coletadas no lixo que continham: nome de um empregado da empresa, n�meros de telefones tanto pessoal como de clientes e fornecedores, senhas e at� mesmo transaç�es realizadas, entre outros, ou seja, este pode ser um dos primeiros passos para começar um ataque direcionado � empresa.
Telefone: depois de coletar informaç�es realizando an�lise com o lixo da empresa, ou atrav�s da internet e redes sociais ou at� por informaç�es adquiridas por terceiros, o ataque pode dar in�cio com uma abordagem pelo telefone, podendo se passar por um funcion�rio da empresa, fornecedor ou terceiros. Nisso ele j� sabe o nome da secret�ria, e-mail de alguns funcion�rios, nome de colaboradores da TI. Com uma simples ligaç�o e passando por outra pessoa, de prefer�ncia que seja confi�vel aos olhos da v�tima, fica mais tranquilo obter um acesso �s informaç�es que necessita a respeito da empresa.
Abordagem pessoal: o engenheiro social faz uma visita na empresa alvo, podendo se passar por um cliente, parente do diretor, prestador de serviço, entre outros, usando de persuas�o e a falta de treinamento dos funcion�rios, pode conseguir com facilidade convencer um segurança, secret�ria, recepcionista a liberar acesso �s depend�ncias da empresa e at� mesmo no setor de TI. � uma abordagem arriscada, por�m, muitos crackers j� utilizaram e obtiveram sucesso contra a empresa.
Falha humana: as pessoas possuem muitas vulnerabilidades e as mesmas s�o exploradas pelos engenheiros sociais como: confiança, medo, curiosidade, bondade, querer ajudar, culpa, ingenuidade, entre outros.
Redes P2P (Peer-to-peer) : um tipo de arquitetura de computadores que permite compartilhar arquivos, serviços, entre v�rios computadores. O engenheiro social usa essa tecnologia para espalhar v�rus, cavalos de troia e muitas outros lixos na rede, e de claro oferece ajuda para suas v�timas com a finalidade de engan�-las
Engenharia Social Inversa: uma t�cnica que exige preparo e v�rias pesquisas para se alcançar o objetivo almejado. Nessa t�cnica os papeis s�o trocados. O explorador(engenheiro) finge ser uma autoridade, de maneira que os empregados da empresa ter�o confiança no mesmo e pedir�o informaç�es a ele at� chegar ao objetivo do mesmo que � alcançar informaç�es valiosas sem que ningu�m perceba.
Spyware: software de espionagem que monitora o computador sem que o usu�rio perceba.
Phishing: essa � uma das t�cnicas mais utilizadas para conseguir um acesso na rede alvo. O phishing � na �ntegra � uma falsificaç�o, e-mails s�o forjados e enviados a empresa com a intenç�o de fazer o usu�rio aceitar o e-mail e realizar operaç�es solicitadas no mesmo. Casos comuns de Phishing: e-mails de supostos bancos, afirmando que a conta est� irregular, o cart�o sem limite, falando da exist�ncia de um novo software de segurança do banco que necessita ser instalado para que n�o aconteça o bloqueio de acesso, informaç�es de irregularidades de CPF e ou imposto de renda se passando pela Receita Federal, entre outras in�meras situaç�es, como mostram asFiguras 2 e 3. A maior parte dos Phishings possuem algum anexo ou links nos e-mails que redirecionam para o modo almejado pelo cracker, como mostra a Tabela 1.

Figura 2. Exemplo comum de Phishing.

Figura 3. Phishing correspond�ncia da Receita Federal.

*TIPOS DE PHISHINGS* MAIS UTILIZADOS**
ASSUNTO	CORPO DA MENSAGEM
Cart�es virtuais	UOL, Voxcards, Musical Cards, etc.
SERASA e SPC	D�bitos e restriç�es
Governo	CPF/CNPJ cancelados, problemas com imposto de renda ou eleiç�es
Celebridades, fatos da m�dia	Fotos e v�deos
Relacionamentos	Traiç�o, convites para relacionamentos
Empresas de telefonia	D�bitos, bloqueio, serviços
Antiv�rus	Atualizaç�es
Lojas virtuai	Pedidos, d�bitos
Neg�cios	Solicitaç�es de orçamentos, recibos
Promoç�es	V�rios
Programas	Novidades, ofertas

Tabela 1.Tipos mais comuns de phishings utilizados.

A caracter�stica mas marcante de um engenheiro social � a sua boa apar�ncia, bem apresent�vel, observador, fala bem, tem carisma e assim faz sua v�tima entregar a informaç�o voluntariamente.

A Engenharia Social tem como objetivo ganhar dinheiro roubando ou vendendo dados das v�timas, espionagem industrial, satisfaç�o pessoal, por prazer.

Os principais tipos de engenheiros podem ser encontrados na Tabela 2.

TIPOS DE ENGENHEIROS SOCIAIS
Estudantes	Olhar e-mails das pessoas por hobby
Crachers / Hackers	Verificar sistemas de segurança, roubar informaç�es
Representantes comerciais	Descobrir cadastros dos clientes, preços das mercadorias
Executivos	Saber os planos estrat�gicos de seu concorrente
Ex-funcion�rio	Sabotar a empresa por vingança
Contadores / Administradores	Roubar as finanças da empresa
Corretores de valores	Alterar dados para obter lucro com valores de aç�es
Enganadores	Conseguir informaç�es contendo senhas e n�mero de cart�es
Stalkeador(espi�o)	Sabotar planos militares
Terroristas	Encandear p�nico pela rede e furtar dados para futuros ataques

Tabela 2.Tipos engenheiro social.

Para evitar a engenharia social dentro das empresas, as seguintes instruç�es devem ser seguidas por todos:

Ficar atento com ligaç�es que solicitem muitas informaç�es via telefone ou e-mails de pessoas perguntando a respeito de funcion�rios e/ou outras informaç�es internas da empresa.
N�o passar dados pessoais ou dados a respeito da sua empresa, incluindo a estrutura f�sica.
N�o informar dados pessoais ou financeiros em e-mail e muita cautela ao responder e-mails com esses tipos solicitaç�es, procurar sempre averiguar a veracidade da pessoa que enviou o e-mail. Com relaç�o aos links enviados por e-mail, na d�vida, n�o clique no mesmo.
Verificar a grafia do dom�nio solicitado na URL. Sites falsos costumam parecer id�nticos a um original. Prestar atenç�o no est� digitado no seu navegador
Se n�o tem certeza da veracidade de uma solicitaç�o via e-mail, entre em
Ficar atento com e-mails cujo conte�do contenha algo n�o solicitado por voc�, geralmente o mesmo possui um link mal intencionado ou um arquivo para ser executado.
N�o acessar conta banc�ria por meio de links contidos em e-mails. Digitar o endereço do site em seu navegador. Os e-mails com remetentes desconhecidos / ou duvidosas podem conter links que direcionem para p�ginas fraudulentas.
E-mails com ofertas extraordin�rias que circulam pela Internet, n�o d� credibilidade
Atenç�o com os arquivos com extens�es, anexados no email ".exe", ".zip" e ".scr"..
Fazer uso de firewall e manter o antiv�rus atualizado.

Mendes (2004) afirma que, engenharia social pode ser evitada ao seguir algumas medidas como: educaç�o e treinamento, conscientizando as pessoas sobre o valor da informaç�o que elas possuem e modificam, seja ela de uso pessoal ou empresarial. Tendo um respaldo com a segurança f�sica permitindo acesso nas depend�ncias da empresa apenas �s pessoas autorizadas, realizando o monitoramento de entrada e sa�da da empresa. Outro ponto importante seria ter uma pol�tica de segurança onde, se estabelece procedimentos que eliminem qualquer troca de senhas, criar senhas de dif�cil descobertas, entre outras. E por �ltimo deve-se ter um controle de aceso como mecanismos para esse fim dando poucos privil�gios a usu�rios com a finalidade de que estes possam realizar suas tarefas. O controle de acesso pode tamb�m evitar que usu�rios sem devida permiss�o possam criar/remover/alterar contas e instalar softwares prejudiciais a organizaç�o.

Para se defender contra ameaças da engenharia social desenvolva uma estrutura de gerenciamento de segurança composta por tr�s etapas:

Desenvolver uma estrutura de gerenciamento de segurança: definir um conjunto de metas da segurança contra engenharia social e um grupo de funcion�rios respons�veis pelo cumprimento dessas metas.
Avaliar e ter um gerenciamento do risco: ameaças semelhantes n�o apresentam o mesmo percentual de risco para empresas diferentes. � necess�rio avaliar cada uma das ameaças da engenharia social e verificar o perigo que representa para a sua empresa.
Implementaç�o de proteç�es contra engenharia social em sua diretiva de segurança: criar um conjunto de diretivas e m�todos por escrito que incentivem , mostrem como os funcion�rios devam se portar com situaç�es de abordagem como a engenharia social.

Como criar uma estrutura para gerenciar a segurança

Uma estrutura de gerenciamento de segurança mostra uma vis�o geral das possibilidades de ameaças da engenharia social � empresa e guarda funç�es nomeadas respons�veis pelo desenvolvimento de diretivas e procedimentos para minimizar as ameaças. Boa pr�tica seria ter um grupo de pessoas que assuma as principais responsabilidades pelas seguintes funç�es de segurança:

Promotor para segurança: um gerente , que possa transmitir autoridade necess�ria para garantir que todos os funcion�rios levem a quest�o da segurança a s�rio, e se previnam de acordo com as instruç�es passadas.
Gerente de segurança: um gerente respons�vel por verificar o desenvolvimento e a manutenç�o de uma diretiva de segurança.
Diretor de segurança de TI: pessoa respons�vel pela infra-estrutura de TI e de diretivas e procedimentos operacionais de segurança.
Diretor de segurança nas instalaç�es. Profissional respons�vel pelas instalaç�es que e pelo desenvolvimento de diretivas e procedimentos operacionais de segurança do local.
Diretor de conscientizaç�o da segurança. Um gerente, normalmente do departamento de recursos humanos ou de desenvolvimento de pessoas, que possa se responsabilizar comcretizaç�o e conscientizaç�o da segurança.

Modelo em camadas para prevenç�o

N�o exite uma maneira totalmente eficaz, mas sabemos que a engenharia social age por n�veis, ent�o o modo de precaver dever� ser na defesa da profundidade de cada n�vel.

O modelo em camadas dessa defesa caracteriza soluç�es de segurança contra poss�veis ataques, existem alguns pontos fracos que os engenheiros sociais podem usar para a tentativa de ataques no ambiente computacional.

Diretivas, procedimentos e conscientizaç�o: regras, normas para gerenciamento das �reas de segurança, e um programa de eduç�o para deixar os funcion�rios cientes das regras.

Segurança f�sica: � claro que para se ter uma quantidade de funcion�rios deste n�vel a empresa dever� ser de grande porte. Vale ressaltar que a informaç�o da empresa pode ser o seu bem mais valioso, e a violaç�o da mesma pode levar a empresa a fal�ncia.

Funcion�rio conscientizados e bem instru�do � o maior passo para a segurança da sua empresa.

Dados:os dados da organizaç�o como, detalhes de contas, correspond�ncia entre outros. � necess�rio se ter uma prevenç�o, incluir no planejamento de segurança, tanto informaç�es em papel ( informaç�o impressa), quanto no formato eletr�nico.

Programas/Software: � necess�rio avaliar como os crackers na engenharia social podem adulterar os aplicativos, como e-mail ou mensagens instant�neas, utilizadas pelos usu�rios.

Host: para garantir a segurança dos usu�rio contra ataques diretos em seus computadores, � necess�rio definir orientaç�es sobre os aplicativos utilizados na empresa, como realizar o gerenciamento de segurança, como por exemplo: identificaç�o de usu�rios e senhas, (host s�o computadores e servidores usados na empresa).

Rede interna: � o canal por onde os computadores da empresa se comunicam. A mesma pode ser local, sem fio ou de longa dist�ncia (WAN). A rede interna n�o se limita apenas nas depend�ncias das empresas mais, houve um aumento na popularizaç�o do trabalho em casa , nos celulares, notebooks, entre outros. Com isso se torna essencial que o usu�rio compreenda as formas de se trabalhar com segurança em qualquer ambiente de rede.

O ponto de contato entre as redes internas e redes externas: (per�metro), os engenheiros sociais tentam infringir o per�metro para dar in�cio ao ataques sobre os dados, programas e host por meio da rede interna. Isso pode atrav�s da internet ou redes que pertenças a parceiros da organizaç�o.

Figura 4. Modelo de segurança de reguardo de profundidade.

Esse modelo n�o � espec�fico contra projeç�o da engenharia social, mas cada uma dessas camadas deve contar com defesas contra a engenharia social. Quando se � projetado defesas, o modelo de defesa em profundidade ajuda a visualizar as poss�veis ameaças da organizaç�o.

Desenvolver uma PSI para empresa

Estabelecer diretrizes que permitam aos colaboradores e clientes da empresa, seguirem os padr�es de comportamento relacionados � segurança da informaç�o adequados �s necessidades de neg�cio e de proteç�o legal da empresa e do indiv�duo. Dar definiç�o de normas e procedimentos espec�ficos de segurança da informaç�o, bem como a concretizaç�o de controles e processos para seu atendimento. Preservar as informaç�es da organizaç�o quanto �:

Integridade: garantia de que a informaç�o seja mantida em seu estado original, visando proteg�-la, na guarda ou transmiss�o, contra alteraç�es indevidas, intencionais ou acidentais.
Confidencialidade: garantia de que o acesso � informaç�o seja obtido somente por pessoas autorizadas.
Disponibilidade: garantia de que os usu�rios autorizados obtenham acesso � informaç�o e aos ativos correspondentes sempre que necess�rio.

As diretrizes estabelecidas dever�o ser cumpridas por todos os colaboradores em geral, ou seja, aplicando- se a mesma regra para os prestadores de serviço e deve abranger as informaç�es em qualquer ambiente da organizaç�o e suporte.

A engenharia social � uma t�cnica que explora as fraquezas humanas e sociais, em vez de explorar a tecnologia, pelo fato de encontrar v�rias vulnerabilidades no mesmo. Com v�rias t�cnicas e ast�cias o engenheiros sociais podem conseguir roubar dados de grande valor para a empresa, podendo levar a mesma at� a ru�na, dependendo da informaç�o que for roubada.

Como o foco � o ser humano, a empresa necessita cada vez mais investir al�m da segura f�sica e l�gica em: treinamentos, tipos deconscientizaç�espara cada um de seus funcion�rios, procedimentos a seremseguidos, fazer uso de senhas fortes, entre outros.

A melhor maneira de se ver longe dos ataques da engenharia social �prevenindo-se, pois esse tipo de ataque pode acontecer com qualquer um.

Bibliografia

CIPOLI, Pedro. �O que � engenharia social?�. mar. 2012.
MAIA, Marco Aur�lio. O que � segurança da informaç�o.
http://segurancadainformacao.modulo.com.br/seguranca-da-informacao
MANOEL, S�rgio da Silva. Governança de segurança da informaç�o: como criar oportunidade para seu neg�cio. Rio de Janeiro: Brasport, 2014.
MANN, Ian. �Engenharia Social�. Ed. Blucher � 1� ediç�o � 2011.
MENDES, Ant�nio da S. Filho. Entendendo e Evitando a Engenharia Social: protegendo Sistemas e Informaç�es. Revista Espaço Acad�mico N�43 dez. 2004 - Mensal-ISSN1519. 6186 (Ano IV).