Tratando de segurança na Engenharia Social

A informa��o pode ser um ativo de extremo valor e a seguran�a da mesma � algo que as empresas almejam.

Seguran�a da informa��o utiliza controles f�sicos, tecnol�gicos e humanos personalizados, que proporcionem a redu��o e administra��o dos riscos, conduzindo a empresa a atingir o n�vel de seguran�a apropriado ao seu neg�cio, de acordo com Manoel (2014). A seguran�a abrange diversas �reas e cada uma delas com seus pr�prios riscos, controles aplic�veis e solu��es de seguran�a que podem minimizar o n�vel de exposi��o ao qual a empresa est� sujeita com o objetivo de garantir seguran�a para o seu principal patrim�nio que � a informa��o, (MAIA, 2013).

Organiza��es e entidades do governo investem bastante em seguran�a por meio de novas tecnologias: antiv�rus, firewall, proxy, sistemas para detectar intrus�o, autentica��o por biometria, entre outros. Esse investimento sai caro e pode ser completamente in�til se os funcion�rios que trabalham com essas tecnologias n�o forem treinados adequadamente.

Os tr�s
pilares de um sistema de informa��o, o alvo do engenheiro social — **Figura 1.** Os tr�s pilares de um sistema de informa��o, o alvo do engenheiro social.

O alvo do engenheiro social s�o as informa��es, e as mesmas est�o contidas nas organiza��es e nos sistemas de informa��o. Quem manipula as informa��es e os sistemas das empresas s�o pessoas, por esse motivo o ataque � feito em cima delas.

O que � Engenharia Social

De acordo com Cipoli (2012), engenharia social s�o pr�ticas utilizadas para obter ingresso �s informa��es importantes ou sigilosas em empresas ou sistemas por meio do engano ou explora��o da confian�a das pessoas. Para isso, o explorador pode se passar outra pessoa, assumir uma personalidade diferente, fingindo ser um profissional de certa �rea, dentre outras formas. � uma maneira de entrar nas empresas sem a necessitam da for�a bruta ou de erros em m�quinas aproveitando da ingenuidade, credo, despreparo t�cnico e emocional, ou at� mesmo confian�a que as pessoas t�m umas nas outras.

Por que atacar pessoas e n�o o sistema:

Pessoas t�m a tend�ncia de acreditar;
Pessoas querem ajudar;
Pessoas s�o complacente, caridosas;
Pessoas s�o f�ceis de manipular...

Engenharia social entende-se a inabilidade das pessoas de se manterem atualizadas com diversas quest�es referentes a tecnologia da informa��o, apesar de n�o estarem cientes do valor da inform�tica que eles exercem e, portanto, n�o tem preocupa��o em proteger essa informa��o. � importante frisar que, a engenharia social � aplicada em v�rias �reas da seguran�a da informa��o independente de sistemas computacionais, software e ou plataforma usada, e sabe-se que o elemento mais suscet�vel a falhas � o ser humano e n�o o sistema em si.

Para Cipoli (2012), as t�cnicas que os engenheiros sociais usam, consistem em obter informa��es confidenciais enganando os usu�rios de um certo sistema por meio de identifica��es falsas, aquisi��o de carisma e confian�a da v�tima. Um ataque de engenharia social pode utilizar de todos os meios de comunica��o tendo-se destaque para liga��es telef�nicas, conversas diretas com a v�tima, telegramas, e-mail e internet.

A seguir vemos algumas t�cnicas de Engenharia Social:

Internet, redes sociais: a internet e as redes sociais s�o grandes fontes de informa��es e v�rias delas s�o retiradas das mesmas para a realiza��o da abordagem sobre a v�tima em quest�o. O engenheiro social usa dessas artimanhas para conhecer melhor sua v�tima, inicia um estudo no site da empresa para melhor entendimento, faz pesquisas na internet e averigua as redes sociais onde � poss�vel encontrar informa��es importantes dos funcion�rios da organiza��o, qual sua fun��o dentro da empresa, circulo de amizades, seu perfil em geral entre v�rias outras coisas.
Lixo: poucas empresas verificam o que est� sendo descartado e qual a forma � feita este descarte. O lixo pode ser uma fonte rica de informa��es.J� foram relatados v�rios casos de publica��o na internet com esse tipo de ataque, informa��es coletadas no lixo que continham: nome de um empregado da empresa, n�meros de telefones tanto pessoal como de clientes e fornecedores, senhas e at� mesmo transa��es realizadas, entre outros, ou seja, este pode ser um dos primeiros passos para come�ar um ataque direcionado � empresa.
Telefone: depois de coletar informa��es realizando an�lise com o lixo da empresa, ou atrav�s da internet e redes sociais ou at� por informa��es adquiridas por terceiros, o ataque pode dar in�cio com uma abordagem pelo telefone, podendo se passar por um funcion�rio da empresa, fornecedor ou terceiros. Nisso ele j� sabe o nome da secret�ria, e-mail de alguns funcion�rios, nome de colaboradores da TI. Com uma simples liga��o e passando por outra pessoa, de prefer�ncia que seja confi�vel aos olhos da v�tima, fica mais tranquilo obter um acesso �s informa��es que necessita a respeito da empresa.
Abordagem pessoal: o engenheiro social faz uma visita na empresa alvo, podendo se passar por um cliente, parente do diretor, prestador de servi�o, entre outros, usando de persuas�o e a falta de treinamento dos funcion�rios, pode conseguir com facilidade convencer um seguran�a, secret�ria, recepcionista a liberar acesso �s depend�ncias da empresa e at� mesmo no setor de TI. � uma abordagem arriscada, por�m, muitos crackers j� utilizaram e obtiveram sucesso contra a empresa.
Falha humana: as pessoas possuem muitas vulnerabilidades e as mesmas s�o exploradas pelos engenheiros sociais como: confian�a, medo, curiosidade, bondade, querer ajudar, culpa, ingenuidade, entre outros.
Redes P2P (Peer-to-peer) : um tipo de arquitetura de computadores que permite compartilhar arquivos, servi�os, entre v�rios computadores. O engenheiro social usa essa tecnologia para espalhar v�rus, cavalos de troia e muitas outros lixos na rede, e de claro oferece ajuda para suas v�timas com a finalidade de engan�-las
Engenharia Social Inversa: uma t�cnica que exige preparo e v�rias pesquisas para se alcan�ar o objetivo almejado. Nessa t�cnica os papeis s�o trocados. O explorador(engenheiro) finge ser uma autoridade, de maneira que os empregados da empresa ter�o confian�a no mesmo e pedir�o informa��es a ele at� chegar ao objetivo do mesmo que � alcan�ar informa��es valiosas sem que ningu�m perceba.
Spyware: software de espionagem que monitora o computador sem que o usu�rio perceba.
Phishing: essa � uma das t�cnicas mais utilizadas para conseguir um acesso na rede alvo. O phishing � na �ntegra � uma falsifica��o, e-mails s�o forjados e enviados a empresa com a inten��o de fazer o usu�rio aceitar o e-mail e realizar opera��es solicitadas no mesmo. Casos comuns de Phishing: e-mails de supostos bancos, afirmando que a conta est� irregular, o cart�o sem limite, falando da exist�ncia de um novo software de seguran�a do banco que necessita ser instalado para que n�o aconte�a o bloqueio de acesso, informa��es de irregularidades de CPF e ou imposto de renda se passando pela Receita Federal, entre outras in�meras situa��es, como mostram asFiguras 2 e 3. A maior parte dos Phishings possuem algum anexo ou links nos e-mails que redirecionam para o modo almejado pelo cracker, como mostra a Tabela 1.

Exemplo
comum de Phishing — **Figura 2.** Exemplo comum de *Phishing.*

Phishing correspond�ncia da Receita Federal — **Figura 3.** *Phishing* correspond�ncia da Receita Federal.

*TIPOS DE PHISHINGS* MAIS UTILIZADOS**
ASSUNTO	CORPO DA MENSAGEM
Cart�es virtuais	UOL, Voxcards, Musical Cards, etc.
SERASA e SPC	D�bitos e restri��es
Governo	CPF/CNPJ cancelados, problemas com imposto de renda ou elei��es
Celebridades, fatos da m�dia	Fotos e v�deos
Relacionamentos	Trai��o, convites para relacionamentos
Empresas de telefonia	D�bitos, bloqueio, servi�os
Antiv�rus	Atualiza��es
Lojas virtuai	Pedidos, d�bitos
Neg�cios	Solicita��es de or�amentos, recibos
Promo��es	V�rios
Programas	Novidades, ofertas

Tabela 1.Tipos mais comuns de phishings utilizados.

A caracter�stica mas marcante de um engenheiro social � a sua boa apar�ncia, bem apresent�vel, observador, fala bem, tem carisma e assim faz sua v�tima entregar a informa��o voluntariamente.

A Engenharia Social tem como objetivo ganhar dinheiro roubando ou vendendo dados das v�timas, espionagem industrial, satisfa��o pessoal, por prazer.

Os principais tipos de engenheiros podem ser encontrados na Tabela 2.

TIPOS DE ENGENHEIROS SOCIAIS
Estudantes	Olhar e-mails das pessoas por hobby
Crachers / Hackers	Verificar sistemas de seguran�a, roubar informa��es
Representantes comerciais	Descobrir cadastros dos clientes, pre�os das mercadorias
Executivos	Saber os planos estrat�gicos de seu concorrente
Ex-funcion�rio	Sabotar a empresa por vingan�a
Contadores / Administradores	Roubar as finan�as da empresa
Corretores de valores	Alterar dados para obter lucro com valores de a��es
Enganadores	Conseguir informa��es contendo senhas e n�mero de cart�es
Stalkeador(espi�o)	Sabotar planos militares
Terroristas	Encandear p�nico pela rede e furtar dados para futuros ataques

Tabela 2.Tipos engenheiro social.

Para evitar a engenharia social dentro das empresas, as seguintes instru��es devem ser seguidas por todos:

Ficar atento com liga��es que solicitem muitas informa��es via telefone ou e-mails de pessoas perguntando a respeito de funcion�rios e/ou outras informa��es internas da empresa.
N�o passar dados pessoais ou dados a respeito da sua empresa, incluindo a estrutura f�sica.
N�o informar dados pessoais ou financeiros em e-mail e muita cautela ao responder e-mails com esses tipos solicita��es, procurar sempre averiguar a veracidade da pessoa que enviou o e-mail. Com rela��o aos links enviados por e-mail, na d�vida, n�o clique no mesmo.
Verificar a grafia do dom�nio solicitado na URL. Sites falsos costumam parecer id�nticos a um original. Prestar aten��o no est� digitado no seu navegador
Se n�o tem certeza da veracidade de uma solicita��o via e-mail, entre em
Ficar atento com e-mails cujo conte�do contenha algo n�o solicitado por voc�, geralmente o mesmo possui um link mal intencionado ou um arquivo para ser executado.
N�o acessar conta banc�ria por meio de links contidos em e-mails. Digitar o endere�o do site em seu navegador. Os e-mails com remetentes desconhecidos / ou duvidosas podem conter links que direcionem para p�ginas fraudulentas.
E-mails com ofertas extraordin�rias que circulam pela Internet, n�o d� credibilidade
Aten��o com os arquivos com extens�es, anexados no email ".exe", ".zip" e ".scr"..
Fazer uso de firewall e manter o antiv�rus atualizado.

Mendes (2004) afirma que, engenharia social pode ser evitada ao seguir algumas medidas como: educa��o e treinamento, conscientizando as pessoas sobre o valor da informa��o que elas possuem e modificam, seja ela de uso pessoal ou empresarial. Tendo um respaldo com a seguran�a f�sica permitindo acesso nas depend�ncias da empresa apenas �s pessoas autorizadas, realizando o monitoramento de entrada e sa�da da empresa. Outro ponto importante seria ter uma pol�tica de seguran�a onde, se estabelece procedimentos que eliminem qualquer troca de senhas, criar senhas de dif�cil descobertas, entre outras. E por �ltimo deve-se ter um controle de aceso como mecanismos para esse fim dando poucos privil�gios a usu�rios com a finalidade de que estes possam realizar suas tarefas. O controle de acesso pode tamb�m evitar que usu�rios sem devida permiss�o possam criar/remover/alterar contas e instalar softwares prejudiciais a organiza��o.

Para se defender contra amea�as da engenharia social desenvolva uma estrutura de gerenciamento de seguran�a composta por tr�s etapas:

Desenvolver uma estrutura de gerenciamento de seguran�a: definir um conjunto de metas da seguran�a contra engenharia social e um grupo de funcion�rios respons�veis pelo cumprimento dessas metas.
Avaliar e ter um gerenciamento do risco: amea�as semelhantes n�o apresentam o mesmo percentual de risco para empresas diferentes. � necess�rio avaliar cada uma das amea�as da engenharia social e verificar o perigo que representa para a sua empresa.
Implementa��o de prote��es contra engenharia social em sua diretiva de seguran�a: criar um conjunto de diretivas e m�todos por escrito que incentivem , mostrem como os funcion�rios devam se portar com situa��es de abordagem como a engenharia social.

Como criar uma estrutura para gerenciar a seguran�a

Uma estrutura de gerenciamento de seguran�a mostra uma vis�o geral das possibilidades de amea�as da engenharia social � empresa e guarda fun��es nomeadas respons�veis pelo desenvolvimento de diretivas e procedimentos para minimizar as amea�as. Boa pr�tica seria ter um grupo de pessoas que assuma as principais responsabilidades pelas seguintes fun��es de seguran�a:

Promotor para seguran�a: um gerente , que possa transmitir autoridade necess�ria para garantir que todos os funcion�rios levem a quest�o da seguran�a a s�rio, e se previnam de acordo com as instru��es passadas.
Gerente de seguran�a: um gerente respons�vel por verificar o desenvolvimento e a manuten��o de uma diretiva de seguran�a.
Diretor de seguran�a de TI: pessoa respons�vel pela infra-estrutura de TI e de diretivas e procedimentos operacionais de seguran�a.
Diretor de seguran�a nas instala��es. Profissional respons�vel pelas instala��es que e pelo desenvolvimento de diretivas e procedimentos operacionais de seguran�a do local.
Diretor de conscientiza��o da seguran�a. Um gerente, normalmente do departamento de recursos humanos ou de desenvolvimento de pessoas, que possa se responsabilizar comcretiza��o e conscientiza��o da seguran�a.

Modelo em camadas para preven��o

N�o exite uma maneira totalmente eficaz, mas sabemos que a engenharia social age por n�veis, ent�o o modo de precaver dever� ser na defesa da profundidade de cada n�vel.

O modelo em camadas dessa defesa caracteriza solu��es de seguran�a contra poss�veis ataques, existem alguns pontos fracos que os engenheiros sociais podem usar para a tentativa de ataques no ambiente computacional.

Diretivas, procedimentos e conscientiza��o: regras, normas para gerenciamento das �reas de seguran�a, e um programa de edu��o para deixar os funcion�rios cientes das regras.

Seguran�a f�sica: � claro que para se ter uma quantidade de funcion�rios deste n�vel a empresa dever� ser de grande porte. Vale ressaltar que a informa��o da empresa pode ser o seu bem mais valioso, e a viola��o da mesma pode levar a empresa a fal�ncia.

Funcion�rio conscientizados e bem instru�do � o maior passo para a seguran�a da sua empresa.

Dados:os dados da organiza��o como, detalhes de contas, correspond�ncia entre outros. � necess�rio se ter uma preven��o, incluir no planejamento de seguran�a, tanto informa��es em papel ( informa��o impressa), quanto no formato eletr�nico.

Programas/Software: � necess�rio avaliar como os crackers na engenharia social podem adulterar os aplicativos, como e-mail ou mensagens instant�neas, utilizadas pelos usu�rios.

Host: para garantir a seguran�a dos usu�rio contra ataques diretos em seus computadores, � necess�rio definir orienta��es sobre os aplicativos utilizados na empresa, como realizar o gerenciamento de seguran�a, como por exemplo: identifica��o de usu�rios e senhas, (host s�o computadores e servidores usados na empresa).

Rede interna: � o canal por onde os computadores da empresa se comunicam. A mesma pode ser local, sem fio ou de longa dist�ncia (WAN). A rede interna n�o se limita apenas nas depend�ncias das empresas mais, houve um aumento na populariza��o do trabalho em casa , nos celulares, notebooks, entre outros. Com isso se torna essencial que o usu�rio compreenda as formas de se trabalhar com seguran�a em qualquer ambiente de rede.

O ponto de contato entre as redes internas e redes externas: (per�metro), os engenheiros sociais tentam infringir o per�metro para dar in�cio ao ataques sobre os dados, programas e host por meio da rede interna. Isso pode atrav�s da internet ou redes que perten�as a parceiros da organiza��o.

Modelo de
seguran�a de reguardo de profundidade — **Figura 4.** Modelo de seguran�a de reguardo de profundidade.

Esse modelo n�o � espec�fico contra proje��o da engenharia social, mas cada uma dessas camadas deve contar com defesas contra a engenharia social. Quando se � projetado defesas, o modelo de defesa em profundidade ajuda a visualizar as poss�veis amea�as da organiza��o.

Desenvolver uma PSI para empresa

Estabelecer diretrizes que permitam aos colaboradores e clientes da empresa, seguirem os padr�es de comportamento relacionados � seguran�a da informa��o adequados �s necessidades de neg�cio e de prote��o legal da empresa e do indiv�duo. Dar defini��o de normas e procedimentos espec�ficos de seguran�a da informa��o, bem como a concretiza��o de controles e processos para seu atendimento. Preservar as informa��es da organiza��o quanto �:

Integridade: garantia de que a informa��o seja mantida em seu estado original, visando proteg�-la, na guarda ou transmiss�o, contra altera��es indevidas, intencionais ou acidentais.
Confidencialidade: garantia de que o acesso � informa��o seja obtido somente por pessoas autorizadas.
Disponibilidade: garantia de que os usu�rios autorizados obtenham acesso � informa��o e aos ativos correspondentes sempre que necess�rio.

As diretrizes estabelecidas dever�o ser cumpridas por todos os colaboradores em geral, ou seja, aplicando- se a mesma regra para os prestadores de servi�o e deve abranger as informa��es em qualquer ambiente da organiza��o e suporte.

A engenharia social � uma t�cnica que explora as fraquezas humanas e sociais, em vez de explorar a tecnologia, pelo fato de encontrar v�rias vulnerabilidades no mesmo. Com v�rias t�cnicas e ast�cias o engenheiros sociais podem conseguir roubar dados de grande valor para a empresa, podendo levar a mesma at� a ru�na, dependendo da informa��o que for roubada.

Como o foco � o ser humano, a empresa necessita cada vez mais investir al�m da segura f�sica e l�gica em: treinamentos, tipos deconscientiza��espara cada um de seus funcion�rios, procedimentos a seremseguidos, fazer uso de senhas fortes, entre outros.

A melhor maneira de se ver longe dos ataques da engenharia social �prevenindo-se, pois esse tipo de ataque pode acontecer com qualquer um.

Bibliografia

CIPOLI, Pedro. �O que � engenharia social?�. mar. 2012.
MAIA, Marco Aur�lio. O que � seguran�a da informa��o.
http://segurancadainformacao.modulo.com.br/seguranca-da-informacao
MANOEL, S�rgio da Silva. Governan�a de seguran�a da informa��o: como criar oportunidade para seu neg�cio. Rio de Janeiro: Brasport, 2014.
MANN, Ian. �Engenharia Social�. Ed. Blucher � 1� edi��o � 2011.
MENDES, Ant�nio da S. Filho. Entendendo e Evitando a Engenharia Social: protegendo Sistemas e Informa��es. Revista Espa�o Acad�mico N�43 dez. 2004 - Mensal-ISSN1519. 6186 (Ano IV).

Tecnologias:

Confira outros conte�dos:

Assista grátis a nossa aula inaugural

Perguntas frequentes

Quem somos?

Por que a programação se tornou a profissão mais promissora da atualidade?

Como faço para começar a estudar?

Em quanto tempo de estudo vou me tornar um programador?

Sim, você pode se tornar um programador e não precisa ter diploma de curso superior!

O que eu irei aprender estudando pela DevMedia?

Principais diferenciais da DevMedia

Qual o investimento financeiro que preciso fazer para me tornar um programador?

Como funciona a forma de pagamento da DevMedia?

Por Cibelle Em 2015

Nossos casos de sucesso

Leonardo Carlos

Eu sabia pouqu�ssimas coisas de programa��o antes de come�ar a estudar com voc�s, fui me especializando em v�rias �reas e ferramentas que tinham na plataforma, e com essa bagagem consegui um est�gio logo no in�cio do meu primeiro per�odo na faculdade.

Lucas Rodrigues

Estudo aqui na Dev desde o meio do ano passado! Nesse per�odo a Dev me ajudou a crescer muito aqui no trampo.
Fui o primeiro desenvolvedor contratado pela minha empresa. Hoje eu lidero um time de desenvolvimento!
Minha meta � continuar estudando e praticando para ser um Full-Stack Dev!

Her�clito J�nior

Economizei 3 meses para assinar a plataforma e sendo sincero valeu muito a pena, pois a plataforma � bem intuitiva e muuuuito did�tica a metodologia de ensino. Sinto que estou EVOLUINDO a cada dia. Muito obrigado!

Julio Cablen

Nossa! Plataforma maravilhosa. To amando o curso de desenvolvimento front-end, tinha coisas que eu ainda n�o tinha visto. A did�tica � do jeito que qualquer pessoa consegue aprender. S�rio, to apaixonado, adorando demais.

Joelberth Sena

Adquiri o curso de voc�s e logo percebi que s�o os melhores do Brasil. � um passo a passo incr�vel. S� n�o aprende quem n�o quer. Foi o melhor investimento da minha vida!

Felipe Nunes

Foi um dos melhores investimentos que j� fiz na vida e tenho aprendido bastante com a plataforma. Voc�s est�o fazendo parte da minha jornada nesse mundo da programa��o, irei assinar meu contrato como programador gra�as a plataforma.

Wanderson Oliveira

Comprei a assinatura tem uma semana, aprendi mais do que 4 meses estudando outros cursos. Exerc�cios pr�ticos que n�o tem como n�o aprender, est�o de parab�ns!

Jos� Lucas

Obrigado DevMedia, nunca presenciei uma plataforma de ensino t�o presente na vida acad�mica de seus alunos, parab�ns!

Eduardo Dorneles

Aprendi React na plataforma da DevMedia h� cerca de 1 ano e meio... Hoje estou h� 1 ano empregado trabalhando 100% com React!

Adauto Junior

J� fiz alguns cursos na �rea e nenhum � t�o bom quanto o de voc�s. Estou aprendendo muito, muito obrigado por existirem. Est�o de parab�ns... Espero um dia conseguir um emprego na �rea.

Ver todos os casos de sucesso

Tratando de seguran�a na Engenharia Social

Este artigo fala sobre algumas t�cnicas usadas na engenharia social para roubar informa��es sigilosas de uma organiza��o, comprometendo a seguran�a da informa��o e da organiza��o.