Início > Segurança > Engenharia Social

Engenharia Social

A informação é o ativo mais valioso das organizações e é por isso que também é o mais visado por pessoas mal intencionadas que têm o objetivo de causar danos para terem lucro ou apenas para se divertirem.

As corporações normalmente investem bastante em sistemas de detecção de intrusos, anti-malwares, etc. Ou seja, elas se preocupam em fechar as portas, mas esquecem que há alguém lá dentro que pode abri-las, pois não faz parte da cultura das empresas investir em treinamento e conscientização dos usuários sobre o valor da informação que produzem e manipulam. Porém, de acordo com Mitnick (2003), nem isso é o suficiente:

Uma empresa pode ter adquirido as melhores tecnologias de segurança que o dinheiro pode comprar, pode ter treinado seu pessoal tão bem que eles trancam todos os segredos antes de ir embora e pode ter contratado guardas para o prédio na melhor empresa de segurança que existe. Mesmo assim essa empresa ainda estará vulnerável. Os indivíduos podem seguir cada uma das melhores práticas de segurança recomendadas pelos especialistas, podem instalar cada produto de segurança recomendado e vigiar muito bem a configuração adequada do sistema e a aplicação das correções de segurança. Esses indivíduos ainda estarão completamente vulneráveis.

A engenharia social é um dos maiores desafios enfrentados pelos gestores da segurança da informação, pois explora as maiores vulnerabilidades encontradas nas organizações: as pessoas.

Engenharia Social

Engenharia social é uma forma de explorar vulnerabilidades, mas antes de tratar de que vulnerabilidades são essas e como são exploradas, é necessário conceituar ameaça, vulnerabilidade, incidente e risco. De acordo com Alevate (2014):

  • Ameaça: Todo o agente ou situação capaz de desencadear um ou uma série de incidentes;
  • Vulnerabilidade: É o grau de exposição que um ativo ou processo possui em relação a uma ou várias ameaças;
  • Incidente: Concretização de uma ameaça que ocasione perda ou dano ao ativo, causando sua indisponibilidade e/ou interrupção e/ou comprometimento do processo;
  • Risco: Probabilidade da ocorrência de um incidente, motivado pela exploração de vulnerabilidades provenientes de ameaças;

Aplicando esses conceitos na avaliação de segurança das empresas, descobrimos que o elo mais fraco, a maior vulnerabilidade, é o próprio usuário. Os atacantes, que estão atrás de dinheiro, informações do usuário, segredos corporativos, diversão e status tiram vantagem da ingenuidade, da confiança, da ganância e da vaidade do usuário para acessarem sistemas de computadores e redes.

Sabendo que o usuário é a grande vulnerabilidade, precisamos descobrir que ameaças podem explorá-las e a que riscos a infraestrutura da empresa está sujeita. As ameaças se apresentam de forma sutil: um simples e-mail com links para ofertas imperdíveis, pornografia, vídeos engraçados, etc. Quando um usuário clica em um link malicioso, um back door, por exemplo, pode ser executado e todas as portas da máquina do usuário serão abertas.

O principal objetivo de um engenheiro social é criar uma imagem social para confundir a vitima. Sendo assim, engenharia social é o conjunto de práticas utilizadas para obter acesso a informações importantes em organizações explorando aspectos comportamentais das pessoas. Para isso, o engenheiro social pode se passar por outra pessoa, assumir outra personalidade, fingir que é um profissional de determinada área, etc. São formas de entrar nas organizações manipulando as pessoas.

Em engenharia social, a palavra “engenharia” está ligada à forma como o atacante atua: reunindo informações e utilizando táticas e ferramentas. A palavra “social” diz respeito aos alvos, que são pessoas que fazem parte de grupos organizados.

Os ataques de engenharia social podem ser classificados como diretos ou indiretos:

  • Ataque Direto: o atacante sabe quem e como atacar. O contato entre a vítima e o engenheiro social é direto, seja por telefone ou pessoalmente;
  • Ataque Indireto: utilização de malwares para invadir à partir de e-mails falsos, pendrives, etc. A ferramenta SET auxilia na montagem de um pendrive com autorun, um e-mail falso e até mesmo um site inteiro falso que é um cópia do original

Para um ataque direto, a engenharia social segue o seguinte ciclo:

seguranca 1

Primeiro, o engenheiro social reúne informações sobre sua vítima. Depois, ele desenvolve algum tipo de relacionamento com ela, seja de amizade, parceria comercial ou até afetiva. Em seguida, ele começa a explorar esse relacionamento para adquirir as informações que necessita para realizar um ataque. Por fim, o ataque é executado.

Com os dados das vítimas, é possível efetuar transações financeiras, autenticar-se em sites, enviar e-mails, etc. Os principais golpes aplicados na Internet são os seguintes (CERT.BR, 2014):

  • Identity theft (“furto de identidade”): uma pessoa assume uma falsa identidade para obter alguma vantagem;
  • Advance fee fraud (“fraude de antecipação de recursos”): um golpista induz a vítima a fornecer informações confidenciais ou a fazer pagamentos;
  • Golpes de comércio eletrônico: um golpista explora a relação de confiança existente entre as partes envolvidas em uma transação comercial. O golpista pode criar um site fraudulento, por exemplo, para fazer com que a vítima efetue uma compra;
  • Hoax (“boato”): é uma mensagem que possui conteúdo alarmante ou falso que parece vir ou remete a instituições governamentais ou conhecidas;
  • Phishing (“pesca”): um golpista tenta obter dados pessoais e financeiros de um usuário combinando meios técnicos e engenharia social. Existem dois tipos principais de Phishing (TECHMUNDO, 2014):
    • Blind Phishing: é o tipo mais conhecido, aquele que é atirado em massa por meio de spams e emails na esperança de que alguém caia na armadilha;
    • Spear-phishing (“pesca com arpão”): esse tipo de ataque é mais direcionado e busca atingir alvos específicos e previamente estudados. Além disso, apresentam-se de forma mais convincente do que o normal. Pode ser, por exemplo, um e-mail que parece ter vindo de um amigo ou conoecido da vítima.

Para se proteger da engenharia social nas organizações, deve-se:

  • Conscientizar as pessoas sobre o valor da informação que elas dispõem e manipulam;
  • Tomar cuidado ao divulgar informações pessoais em e-mails e sites de relacionamento;
  • Ter atenção ao abrir mensagens enviadas por e-mail, principalmente ao clicar em links;
  • Ter certeza que seu acesso a rede está sendo feito em um ambiente seguro;
  • Restringir o acesso às dependências de uma organização às pessoas autorizadas;
  • Remover permissões para criar, remover, alterar contas e instalar softwares danosos;
  • Estabelecer procedimentos para mudanças de senhas.

Conclusão

Muitos incidentes de segurança são causados por funcionários da organização. Como a segurança da informação está mais relacionada a processos do que às próprias tecnologias empregadas, é necessário conscientizá-las e treiná-las constantemente para que saibam como agir em relação à proteção dos ativos da empresa e para que entendam o valor das informações que manipulam. Essa é a melhor forma de mitigar as maiores vulnerabilidades que podem ser exploradas em toda empresa: as pessoas.

Bibliografia

ALEVATE, WILLIAM. Gestão da Continuidade de Negócios. Rio de Janeiro. Elsevier, 2014.

CERT.BR. Cartilha de Segurança para Internet: 2. Golpes na Internet. Disponível em: [http://cartilha.cert.br/golpes/]. Acesso em: 18 ago 2014.

MITNICK, Kevin D.; SIMON, William L. A arte de enganar: Ataques de Hackers: Controlando o Fator Humano na Segurança da Informação. São Paulo. Pearson Education, 2003.

TECHMUNDO. Como identificar um ataque por phishing. Disponível em: [http://www.tecmundo.com.br/antivirus/12110-como-identificar-um-ataque-por-phishing.htm]. Acesso em: 18 ago 2014.

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: