A Engenharia Social

Por Jorge Paulino

Engenheiro Eletricista e de Produção

A Engenharia Social é a técnica que consiste na obtenção de informações de caráter sigiloso ou a habilidade de enganar pessoas objetivando violar os procedimentos de seguranças, o termo vem do inglês “social engineering”, que designa a arte de contornar dispositivos de segurança, podemos também defini-la como uma técnica de roubo de informações importantes por descuido, persuasão de pessoas ou despreparo da equipe técnica e/ou funcionários.

É a habilidade em obterem-se informações através de manipulação, obtenção de dados ou informações privilegiadas / sigilosas por acesso indevido a determinado ambiente ou sistemas - Organogacionais ou Computacionais.

Os Principais alvos de um ataque e as Estratégias de Proteção

Com todo os aparatos de segurança disponíveis e várias empresas especializadas, dificilmente encontraremos alguma empresa ou organização que não tenha sido vítima de um ataque de engenharia social.

No nosso próprio dia a dia, quem nunca se viu questionado sobre um assunto e, acabou falando dados sem a percepção do conteúdo dito.

Quem nunca falou sobre algum emprego, vaga e oportunidades de compra e, alguém da nossa relação acaba se beneficiando dessa informação e nos questionamos - mas como ele sabia?

Imagina isso em grandes organizações, empresas, órgãos do governo, instituições financeiras, militares e etc...

São situações idênticas, porem envolvem pessoas preparadas, e as formas de ataque são cada vez mais audaciosas e altamente eficazes, e dificilmente deixam rastros, ou quando o deixam é de difícil rastreabilidade que acabam dificultando as ações de combate e a mensuração dos prejuízos.

Área de Risco	Técnica de Ataque	Estratégia de Segurança
Portarias	Acesso físico de pessoas não autorizadas	Treinar os funcionários envolvidos na área de segurança para não permitirem o acesso de pessoas sem o crachá de identificação ou autorizados e ainda checarem a informação
Prédios	Livre acesso às dependências do prédio inclusive as de caráter restrito	Os visitantes deverão estar sempre acompanhados por um funcionário da empresa; nunca digitar senhas na presença de pessoas estranhas ao setor. Manter todos os documentos ou relatórios longe do alcance de pessoas não autorizadas e de preferência em envelopes lacrados.
CPD, Informática (suporte/ manutenção), Central Telefônica e Call Centers	Instalação de programas espiões e analisadores de protocolo para conseguirem burlar a segurança e obter informações confidenciais como senhas da Internet ou Intranet; remoção de equipamentos; roubo de senhas de acesso a linhas telefônicas.	Criar senhas fortes e fazer uso consciente da mesma, alterando-a periodicamente. Manter CPD e sala dos servidores sempre trancadas, e no caso de necessidade restringir o acesso aos técnicos da área, manter o inventário de equipamentos atualizado; controle de acesso às linhas telefônicas; desenvolver uma política de constante alteração das senhas e emitir constantes alertas aos funcionários para manterem em sigilo as suas senhas e evitarem o transito de informações confidenciais por telefone.
Depósito de lixo	Vasculhar o lixo buscando de informações privilegiadas, por descartes simples sem a observância de medidas de segurança.	Guardar o lixo da empresa em lugar seguro, triturar todo documento, e destruir todo o tipo de mídia magnética descartada.

Como ocorre a Engenharia Social:

1- Os Estudos Preliminares - O engenheiro social, busca as mais diversas informações dos usuários como, por exemplo, o número de CPF, data de nascimento, nomes dos pais, manuais da empresa, etc.; informações estas, que ajudarão no estabelecimento de uma relação com alguém da empresa ou indivíduo visado.

2- A abordagem inicial - Exploração de um relacionamento – O engenheiro social procura obter informações da vítima ou empresa como, por exemplo, senha, agenda de compromissos, dados de conta bancária ou cartão de crédito a serem usados no ataque. O ser humano costuma se agradar e sentir-se bem quando elogiado, ficando mais vulnerável e aberto a dar informações, sem perceber o conteúdo da sua fala.

3- O Planejamento – com base nas informações coletadas, são exploradas todas as variáveis possíveis e construído todo um planejamento através dos dados obtidos.

4- A Simulação do Ataque – O Engenheiro Social testa a eficiência do plano, a execução ocorre até a completa assimilação de todos os envolvidos.

5- A ação – com base na estratégia de ação, são analisados os fatores humanos, psicológicos e físicos da estratégia, e a partir daí são colocados em práticas os movimentos iniciais da ação.

As formas de prevenção e proteção

A melhor estratégia de proteção à Engenharia Social é a utilização do bom senso, as empresas investem na manutenção de sistemas, em novas tecnologias, porem esquece de investir em palestras e treinamentos dos funcionários.

As palestras e treinamentos devem ser extensivos a toda a empresa e de forma hierarquizada, de acordo com o seu grau de envolvimento, porem em comum é o fato de quando houver indícios de “ataque”, deverá haver um alerta imediato.

Principais Medidas para a Prevenção e Proteção

Estratégias de Segurança	Abordagem
Treinamentos e Palestras	Conscientização dos funcionários do valor e da responsabilidade da informação que elas tem acesso, tanto as de aspecto pessoal quanto as institucionais.
Política de Segurança Patrimonial	Dispor de funcionários de segurança treinados a fim de monitorar entrada e saída da organização e com os controles de acesso as dependências do prédio.
Política de Segurança de Informações/ Controles de Acesso à Internet/intranet	Estabelecer procedimentos que eliminem quaisquer trocas de senhas. Estimulo ao uso de senhas de difícil descoberta evitando as óbvias e imediata remoção das contas de usuários que não mais façam parte da instituição. Criação de mecanismos de controle de acesso e restrição de acessos evitando privilégios a mínimos a usuários, de acordo com a sua área/setror - a fim de que estes possam realizar suas atividades. Criar o controle de acesso restringindo a permissão de usuários que possam criar/remover/alterar contas e instalar software danosos à organização.

A engenharia social explora as vulnerabilidades, e grande parte dos incidentes tem como fator predominante a intervenção humana.

Muitas vezes, os investimentos em segurança não acompanham o crescimento das empresas, a segurança tem a ver com atualizações tecnológicas, de pessoas e dos processos.

É recomendável uma política de segurança centralizada, investimentos no fator humano e nas atualizações tecnológicas e em casos de ataque, possuir um plano de contingência (o Plano B)-evitando em casos de ataque a descontinuidade dos processos.

Fontes:

A Arte de Enganar , Kevin D. Mitnick e William L. Simon

Engenharia Social - Um Perigo Eminente, Marcos Antonio Popper e Juliano Tonizetti Brignoli, Monografia (Conclusão de Pós-Graduação – ICPG -Gestão Empresarial e Estratégias de Informática da Universidade da Região de Joinville.

Sugiro o excelente vídeo A Arte de Enganar com a Engenharia Social - Palestra realizada por Marcos Flávio Araújo Assunção, onde ele apresenta os principais tipos de golpes e fraudes realizados pelos chamados Engenheiros Sociais, disponível no Canal Engenharia ver em http://engenharianodiaadia.blogspot.com/p/engenharia-em-videos.html.

Autorizada a reprodução total ou parcial deste Artigo, desde que citada a fonte. Vedada a memorização e/ou recuperação total ou parcial, bem como a inclusão de trechos ou partes, em qualquer sistema de processamento de dados.