Por Jorge Paulino
Engenheiro Eletricista e de Produção
Republicação do artigo escrito em 05/08/2010
A Engenharia Social é a técnica que consiste na obtenção de informações de caráter sigiloso ou a habilidade de enganar pessoas objetivando violar os procedimentos de seguranças, o termo vem do inglês “social engineering”, que designa a arte de contornar dispositivos de segurança, podemos também defini-la como uma técnica de roubo de informações importantes por descuido, persuasão de pessoas ou despreparo da equipe técnica e/ou funcionários.
É a habilidade em obterem-se informações através de manipulação, obtenção de dados ou informações privilegiadas / sigilosas por acesso indevido a determinado ambiente ou sistemas - Organogacionais ou Computacionais. Os Principais alvos de um ataque e as Estratégias de Proteção Com todo os aparatos de segurança disponíveis e várias empresas especializadas, dificilmente encontraremos alguma empresa ou organização que não tenha sido vítima de um ataque de engenharia social. No nosso próprio dia a dia, quem nunca se viu questionado sobre um assunto e, acabou falando dados sem a percepção do conteúdo dito. Quem nunca falou sobre algum emprego, vaga e oportunidades de compra e, alguém da nossa relação acaba se beneficiando dessa informação e nos questionamos - mas como ele sabia? Imagina isso em grandes organizações, empresas, órgãos do governo, instituições financeiras, militares e etc... São situações idênticas, porem envolvem pessoas preparadas, e as formas de ataque são cada vez mais audaciosas e altamente eficazes, e dificilmente deixam rastros, ou quando o deixam é de difícil rastreabilidade que acabam dificultando as ações de combate e a mensuração dos dos prejuízos.
Área de Risco | Técnica de Ataque | Estratégia de Segurança |
Portarias | Acesso físico de pessoas não autorizadas | Treinar os funcionários envolvidos na área de segurança para não permitirem o acesso de pessoas sem o crachá de identificação ou autorizados e ainda checarem a informação |
Prédios | Livre acesso às dependências do prédio inclusive as de caráter restrito | Os visitantes deverão estar sempre acompanhados por um funcionário da empresa; nunca digitar senhas na presença de pessoas estranhas ao setor. Manter todos os documentos ou relatórios longe do alcance de pessoas não autorizadas e de preferência em envelopes lacrados. |
CPD, Informática (suporte/manutenção), Central Telefônica e Call Centers | Instalação de programas espiões e analisadores de protocolo para conseguirem burlar a segurança e obter informações confidenciais como senhas da Internet ou Intranet; remoção de equipamentos; roubo de senhas de acesso a linhas telefônicas. | Criar senhas fortes e fazer uso consciente da mesma, alterando-a periodicamente. Manter CPD e sala dos servidores sempre trancadas, e no caso de necessidade restringir o acesso aos técnicos da área, manter o inventário de equipamentos atualizado; controle de acesso às linhas telefônicas; desenvolver uma política de constante alteração das senhas e emitir constantes alertas aos funcionários para manterem em sigilo as suas senhas e evitarem o transito de informações confidenciais por telefone. |
Depósito de lixo | Vasculhar o lixo buscando de informações privilegiadas, por descartes simples sem a observância de medidas de segurança. | Guardar o lixo da empresa em lugar seguro, triturar todo documento, e destruir todo o tipo de mídia magnética descartada. |
Como ocorre a Engenharia Social:
1- Os Estudos Preliminares - O engenheiro social, busca as mais diversas informações dos usuários como, por exemplo, o número de CPF, data de nascimento, nomes dos pais, manuais da empresa, etc.; informações estas, que ajudarão no estabelecimento de uma relação com alguém da empresa ou indivíduo visado. 2- A abordagem inicial - Exploração de um relacionamento – O engenheiro social procura obter informações da vítima ou empresa como, por exemplo, senha, agenda de compromissos, dados de conta bancária ou cartão de crédito a serem usados no ataque. O ser humano costuma se agradar e sentir-se bem quando elogiado, ficando mais vulnerável e aberto a dar informações, sem perceber o conteúdo da sua fala. 3- O Planejamento – com base nas informações coletadas, são exploradas todas as variáveis possíveis e construído todo um planejamento através dos dados obtidos. 4- A Simulação do Ataque – O Engenheiro Social testa a eficiência do plano, a execução ocorre até a completa assimilação de todos os envolvidos. 5- A ação – com base na estratégia de ação, são analisados os fatores humanos, psicológicos e físicos da estratégia, e a partir daí são colocados em práticas os movimentos iniciais da ação. As formas de prevenção e proteção A melhor estratégia de proteção à Engenharia Social é a utilização do bom senso, as empresas investem na manutenção de sistemas, em novas tecnologias, porem esquece de investir em palestras e treinamentos dos funcionários. As palestras e treinamentos devem ser extensivos a toda a empresa e de forma hierarquizada, de acordo com o seu grau de envolvimento, porem em comum é o fato de quando houver indícios de “ataque”, deverá haver um alerta imediato. Principais Medidas para a Prevenção e Proteção Estratégias de Segurança | Abordagem |
Treinamentos e Palestras | Conscientização dos funcionários do valor e da responsabilidade da informação que elas tem acesso, tanto as de aspecto pessoal quanto as institucionais. |
Política de Segurança Patrimonial | Dispor de funcionários de segurança treinados a fim de monitorar entrada e saída da organização e com os controles de acesso as dependências do prédio. |
Política de Segurança de Informações/ Controles de Acesso à Internet/intranet | Estabelecer procedimentos que eliminem quaisquer trocas de senhas. Estimulo ao uso de senhas de difícil descoberta evitando as óbvias e imediata remoção das contas de usuários que não mais façam parte da instituição. Criação de mecanismos de controle de acesso e restrição de acessos evitando privilégios a mínimos a usuários, de acordo com a sua área/setror - a fim de que estes possam realizar suas atividades. Criar o controle de acesso restringindo a permissão de usuários que possam criar/remover/alterar contas e instalar software danosos à organização. |
GOSTEI! NEM SABIA QUE EXISTIA ESSE TERMO .. ENGENHARIA SOCIAL ... BOA PAULINO! SALVEI TEU BLOG AQUI .... MANDA OUTRO! RS
ResponderExcluirValeu Engenheiro Gabriel Gudi, o Blog foi criado para divulgar assuntos de interesse para informação e formação. Te convido a escrever um artigo sobre qualquer assunto ligado a Engenharia que seja de interesse para os leitores do Engenharia no dia a dia.
ResponderExcluirSó me encaminhar um email...que eu postarei.
Abraços,
Eng. Jorge Paulino