A Engenharia Social

Por Jorge Paulino

Engenheiro Eletricista e de Produção

Republicação do artigo escrito em 05/08/2010

A Engenharia Social é a técnica que consiste na obtenção de informações de caráter sigiloso ou a habilidade de enganar pessoas objetivando violar os procedimentos de seguranças, o termo vem do inglês “social engineering”, que designa a arte de contornar dispositivos de segurança, podemos também defini-la como uma técnica de roubo de informações importantes por descuido, persuasão de pessoas ou despreparo da equipe técnica e/ou funcionários.

É a habilidade em obterem-se informações através de manipulação, obtenção de dados ou informações privilegiadas / sigilosas por acesso indevido a determinado ambiente ou sistemas - Organogacionais ou Computacionais. Os Principais alvos de um ataque e as Estratégias de Proteção Com todo os aparatos de segurança disponíveis e várias empresas especializadas, dificilmente encontraremos alguma empresa ou organização que não tenha sido vítima de um ataque de engenharia social. No nosso próprio dia a dia, quem nunca se viu questionado sobre um assunto e, acabou falando dados sem a percepção do conteúdo dito. Quem nunca falou sobre algum emprego, vaga e oportunidades de compra e, alguém da nossa relação acaba se beneficiando dessa informação e nos questionamos - mas como ele sabia? Imagina isso em grandes organizações, empresas, órgãos do governo, instituições financeiras, militares e etc... São situações idênticas, porem envolvem pessoas preparadas, e as formas de ataque são cada vez mais audaciosas e altamente eficazes, e dificilmente deixam rastros, ou quando o deixam é de difícil rastreabilidade que acabam dificultando as ações de combate e a mensuração dos dos prejuízos.

Área de Risco	Técnica de Ataque	Estratégia de Segurança
Portarias	Acesso físico de pessoas não autorizadas	Treinar os funcionários envolvidos na área de segurança para não permitirem o acesso de pessoas sem o crachá de identificação ou autorizados e ainda checarem a informação
Prédios	Livre acesso às dependências do prédio inclusive as de caráter restrito	Os visitantes deverão estar sempre acompanhados por um funcionário da empresa; nunca digitar senhas na presença de pessoas estranhas ao setor. Manter todos os documentos ou relatórios longe do alcance de pessoas não autorizadas e de preferência em envelopes lacrados.
CPD, Informática (suporte/manutenção), Central Telefônica e Call Centers	Instalação de programas espiões e analisadores de protocolo para conseguirem burlar a segurança e obter informações confidenciais como senhas da Internet ou Intranet; remoção de equipamentos; roubo de senhas de acesso a linhas telefônicas.	Criar senhas fortes e fazer uso consciente da mesma, alterando-a periodicamente. Manter CPD e sala dos servidores sempre trancadas, e no caso de necessidade restringir o acesso aos técnicos da área, manter o inventário de equipamentos atualizado; controle de acesso às linhas telefônicas; desenvolver uma política de constante alteração das senhas e emitir constantes alertas aos funcionários para manterem em sigilo as suas senhas e evitarem o transito de informações confidenciais por telefone.
Depósito de lixo	Vasculhar o lixo buscando de informações privilegiadas, por descartes simples sem a observância de medidas de segurança.	Guardar o lixo da empresa em lugar seguro, triturar todo documento, e destruir todo o tipo de mídia magnética descartada.

Como ocorre a Engenharia Social:

1- Os Estudos Preliminares - O engenheiro social, busca as mais diversas informações dos usuários como, por exemplo, o número de CPF, data de nascimento, nomes dos pais, manuais da empresa, etc.; informações estas, que ajudarão no estabelecimento de uma relação com alguém da empresa ou indivíduo visado. 2- A abordagem inicial - Exploração de um relacionamento – O engenheiro social procura obter informações da vítima ou empresa como, por exemplo, senha, agenda de compromissos, dados de conta bancária ou cartão de crédito a serem usados no ataque. O ser humano costuma se agradar e sentir-se bem quando elogiado, ficando mais vulnerável e aberto a dar informações, sem perceber o conteúdo da sua fala. 3- O Planejamento – com base nas informações coletadas, são exploradas todas as variáveis possíveis e construído todo um planejamento através dos dados obtidos. 4- A Simulação do Ataque – O Engenheiro Social testa a eficiência do plano, a execução ocorre até a completa assimilação de todos os envolvidos. 5- A ação – com base na estratégia de ação, são analisados os fatores humanos, psicológicos e físicos da estratégia, e a partir daí são colocados em práticas os movimentos iniciais da ação. As formas de prevenção e proteção A melhor estratégia de proteção à Engenharia Social é a utilização do bom senso, as empresas investem na manutenção de sistemas, em novas tecnologias, porem esquece de investir em palestras e treinamentos dos funcionários. As palestras e treinamentos devem ser extensivos a toda a empresa e de forma hierarquizada, de acordo com o seu grau de envolvimento, porem em comum é o fato de quando houver indícios de “ataque”, deverá haver um alerta imediato. Principais Medidas para a Prevenção e Proteção

Estratégias de Segurança	Abordagem
Treinamentos e Palestras	Conscientização dos funcionários do valor e da responsabilidade da informação que elas tem acesso, tanto as de aspecto pessoal quanto as institucionais.
Política de Segurança Patrimonial	Dispor de funcionários de segurança treinados a fim de monitorar entrada e saída da organização e com os controles de acesso as dependências do prédio.
Política de Segurança de Informações/ Controles de Acesso à Internet/intranet	Estabelecer procedimentos que eliminem quaisquer trocas de senhas. Estimulo ao uso de senhas de difícil descoberta evitando as óbvias e imediata remoção das contas de usuários que não mais façam parte da instituição. Criação de mecanismos de controle de acesso e restrição de acessos evitando privilégios a mínimos a usuários, de acordo com a sua área/setror - a fim de que estes possam realizar suas atividades. Criar o controle de acesso restringindo a permissão de usuários que possam criar/remover/alterar contas e instalar software danosos à organização.

A engenharia social explora as vulnerabilidades, e grande parte dos incidentes tem como fator predominante a intervenção humana. Muitas vezes, os investimentos em segurança não acompanham o crescimento das empresas, a segurança tem a ver com atualizações tecnológicas, de pessoas e dos processos. É recomendável uma política de segurança centralizada, investimentos no fator humano e nas atualizações tecnológicas e em casos de ataque, possuir um plano de contingência (o Plano B)-evitando em casos de ataque a descontinuidade dos processos. Fontes: A Arte de Enganar , Kevin D. Mitnick e William L. Simon Engenharia Social - Um Perigo Eminente, Marcos Antonio Popper e Juliano Tonizetti Brignoli, Monografia (Conclusão de Pós-Graduação – ICPG -Gestão Empresarial e Estratégias de Informática da Universidade da Região de Joinville. Sugiro o excelente vídeo A Arte de Enganar com a Engenharia Social - Palestra realizada por Marcos Flávio Araújo Assunção, onde ele apresenta os principais tipos de golpes e fraudes realizados pelos chamados Engenheiros Sociais, disponível no Canal Engenharia ver em http://engenharianodiaadia.blogspot.com/p/engenharia-em-videos.html. Autorizada a reprodução total ou parcial deste Artigo, desde que citada a fonte. Vedada a memorização e/ou recuperação total ou parcial, bem como a inclusão de trechos ou partes, em qualquer sistema de processamento de dados.