A Engenharia Social
Publicado em: 10-08-2010 | Por: Jorge Paulino | Em: Administração, Atualidades, Cotidiano, Educação, Influência das redes sociais, Liderança, Mercado de trabalho, Tecnologia
Tags:Atualidades, Comportamento, Cotidiano, dados, empresas, Estratégias, Liderança, linha de transmissão, Prevenção, Proteção, Segurança, social engineering, Tecnologia, Trabalho, vulnerabilidades
1
A Engenharia Social é a técnica que consiste na obtenção de informações de caráter sigiloso ou a habilidade de enganar pessoas objetivando violar os procedimentos de seguranças, o termo vem do inglês “social engineering”, que designa a arte de contornar dispositivos de segurança, podemos também defini-la como uma técnica de roubo de informações importantes por descuido, persuasão de pessoas ou despreparo da equipe técnica e/ou funcionários.
É a habilidade em obterem-se informações através de manipulação, obtenção de dados ou informações privilegiadas / sigilosas por acesso indevido a determinado ambiente ou sistemas – Organogacionais ou Computacionais.
Com todo os aparatos de segurança disponíveis e várias empresas especializadas, dificilmente encontraremos alguma empresa ou organização que não tenha sido vítima de um ataque de engenharia social.
No nosso próprio dia a dia, quem nunca se viu questionado sobre um assunto e, acabou falando dados sem a percepção do conteúdo dito.
Quem nunca falou sobre algum emprego, vaga e oportunidades de compra e, alguém da nossa relação acaba se beneficiando dessa informação e nos questionamos – mas como ele sabia?
Imagina isso em grandes organizações, empresas, órgãos do governo, instituições financeiras, militares e etc…
São situações idênticas, porem envolvem pessoas preparadas, e as formas de ataque são cada vez mais audaciosas e altamente eficazes, e dificilmente deixam rastros, ou quando o deixam é de difícil rastreabilidade que acabam dificultando as ações de combate e a mensuração dos prejuízos.
| Área de Risco | Técnica de Ataque | Estratégia de Segurança |
| Portarias | Acesso físico de pessoas não autorizadas | Treinar os funcionários envolvidos na área de segurança para não permitirem o acesso de pessoas sem o crachá de identificação ou autorizados e ainda checarem a informação |
| Prédios | Livre acesso às dependências do prédio inclusive as de caráter restrito | Os visitantes deverão estar sempre acompanhados por um funcionário da empresa; nunca digitar senhas na presença de pessoas estranhas ao setor.Manter todos os documentos ou relatórios longe do alcance de pessoas não autorizadas e de preferência em envelopes lacrados. |
| CPD, Informática (suporte/manutenção), Central Telefônica e Call Centers | Instalação de programas espiões e analisadores de protocolo para conseguirem burlar a segurança e obter informações confidenciais como senhas da Internet ou Intranet; remoção de equipamentos; roubo de senhas de acesso a linhas telefônicas. | Criar senhas fortes e fazer uso consciente da mesma, alterando-a periodicamente.Manter CPD e sala dos servidores sempre trancadas, e no caso de necessidade restringir o acesso aos técnicos da área, manter o inventário de equipamentos atualizado; controle de acesso às linhas telefônicas; desenvolver uma política de constante alteração das senhas e emitir constantes alertas aos funcionários para manterem em sigilo as suas senhas e evitarem o transito de informações confidenciais por telefone. |
| Depósito de lixo | Vasculhar o lixo buscandode informações privilegiadas, por descartes simples sem a observância de medidas de segurança. | Guardar o lixo da empresa em lugar seguro, triturar todo documento, e destruir todo o tipo de mídia magnética descartada. |
Como ocorre a Engenharia Social:
1- Os Estudos Preliminares – O engenheiro social, busca as mais diversas informações dos usuários como, por exemplo, o número de CPF, data de nascimento, nomes dos pais, manuais da empresa, etc.; informações estas, que ajudarão no estabelecimento de uma relação com alguém da empresa ou indivíduo visado.
2- A abordagem inicial – Exploração de um relacionamento – O engenheiro social procura obter informações da vítima ou empresa como, por exemplo, senha, agenda de compromissos, dados de conta bancária ou cartão de crédito a serem usados no ataque. O ser humano costuma se agradar e sentir-se bem quando elogiado, ficando mais vulnerável e aberto a dar informações, sem perceber o conteúdo da sua fala.
3- O Planejamento – com base nas informações coletadas, são exploradas todas as variáveis possíveis e construído todo um planejamento através dos dados obtidos.
4- A Simulação do Ataque – O Engenheiro Social testa a eficiência do plano, a execução ocorre até a completa assimilação de todos os envolvidos.
5- A ação – com base na estratégia de ação, são analisados os fatores humanos, psicológicos e físicos da estratégia, e a partir daí são colocados em práticas os movimentos iniciais da ação.
As formas de prevenção e proteção
A melhor estratégia de proteção à Engenharia Social é a utilização do bom senso, as empresas investem na manutenção de sistemas, em novas tecnologias, porem esquece de investir em palestras e treinamentos dos funcionários.
As palestras e treinamentos devem ser extensivos a toda a empresa e de forma hierarquizada, de acordo com o seu grau de envolvimento, porem em comum é o fato de quando houver indícios de “ataque”, deverá haver um alerta imediato.
Principais Medidas para a Prevenção e Proteção
|
Estratégias de Segurança |
Abordagem |
| Treinamentos e Palestras | Conscientização dos funcionários do valor e da responsabilidade da informação que elas tem acesso, tanto as de aspecto pessoal quanto as institucionais. |
| Política de Segurança Patrimonial | Dispor de funcionários de segurança treinados a fim de monitorar entrada e saída da organização e com os controles de acesso as dependências do prédio. |
| Política de Segurança de Informações/ Controles de Acesso à Internet/intranet |
Estabelecer procedimentos que eliminem quaisquer trocas de senha.Estimulo ao uso de senhas de difícil descoberta evitando as óbvias e imediata remoção das contas de usuários que não mais façam parte da instituição.Criação de mecanismos de controle de acesso e restrição de acessos evitando privilégios a mínimos a usuários, de acordo com a sua área/setror – a fim de que estes possam realizar suas atividades.Criar o controle de acesso restringindo a permissão de usuários que possam criar/remover/alterar contas e instalar software danosos à organização. |
A engenharia social explora as vulnerabilidades, e grande parte dos incidentes tem como fator predominante a intervenção humana.
Muitas vezes, os investimentos em segurança não acompanham o crescimento das empresas, a segurança tem a ver com atualizações tecnológicas, de pessoas e dos processos.
É recomendável uma política de segurança centralizada, investimentos no fator humano e nas atualizações tecnológicas e em casos de ataque, possuir um plano de contingência (o Plano B)-evitando em casos de ataque a descontinuidade dos processos.
Fontes:
A Arte de Enganar , Kevin D. Mitnick e William L. Simon
Engenharia Social – Um Perigo Eminente, Marcos Antonio Popper e Juliano Tonizetti Brignoli, Monografia (Conclusão de Pós-Graduação – ICPG -Gestão Empresarial e Estratégias de Informática da Universidade da Região de Joinville.
Sugiro o excelente vídeo A Arte de Enganar com a Engenharia Social – Palestra realizada por Marcos Flávio Araújo Assunção, onde ele apresenta os principais tipos de golpes e fraudes realizados pelos chamados Engenheiros Sociais, disponível no Canal Engenharia ver em http://engenharianodiaadia.blogspot.com/p/engenharia-em-videos.html.
Autorizada a reprodução total ou parcial deste Artigo, desde que citada a fonte. Vedada a memorização e/ou recuperação total ou parcial, bem como a inclusão de trechos ou partes, em qualquer sistema de processamento de dados.
Por Jorge Paulino
Bom post.
Contudo, este livro foi publicado a quase 10 anos atrás, a facilidade que um engenheiro social tinha na época para realizar seus feitos não pode ser comparada com a atualidade.
Você se lembra de, no ano 2000, andar na rua e ver quantas placas do “sorria você esta sendo filmado”?
Casos falados no livro, foram retratados no Filme “Piratas do Vale do Silicio”, onde o Mitnick conectava o notebook em ORELHÕES para acessar a NET.
Hoje todas as empresas com o MINÍMO de organização possui um ótimo sistema de vigilância e gerenciamento.
Portarias com profissionais treinados e diversas câmeras. Politicas de segurança da informação rigídas e em constante desenvolvimento.
98% do que contou no livro é praticamente impossível ser posto em prática atualmente e passar despercebido pelo adm. de rede ou de segurança, no que diz respeito a TI.