Segurança Corporativa - Engenharia Social

Atualizado: 22 de Set de 2019

A informação é muito importante e preciosa, sendo que a segurança da informação é essencial para a proteção de uma empresa, órgão público e para pessoas.


Quando se fala em segurança da informação, logo se pensa em meios informáticos capazes de garantir a segurança, como por exemplo, antivírus e firewalls. Um sistema informatizado devidamente protegido com meios preventivos evitando malwares, spywares entre outros, pode evitar várias espécies de ataques.


Contudo, o que mais preocupa é o fator humano, pois grande parte dos casos de ataques cibernéticos e phishing são por descuido de pessoas e não de máquinas, dando-se o nome para tal fenômeno de engenharia social.


De acordo com Martins, a engenharia social:


“Na área de sistemas de informação, é um termo empregado na qualificação dos tipos de intrusão não técnica, que enfatiza a interação humana, envolvendo com frequência a habilidade de enganar pessoas, com o objetivo de violar procedimentos de segurança. O aspecto mais relevante na engenharia social envolve a inaptidão das pessoas em manterem-se atualizadas com as questões que envolvem a tecnologia da informação, que na maioria das vezes não tem consciência do valor das informações que possuem e, por isso, não se preocupam em protegê-las.” (Apud, PEREIRA, 2014)


Segundo Brito, a engenharia social:


“Também conhecida como a arte de enganar, não é nova, mas com a soma dos novos recursos tecnológicos ela tornou-se mais sofisticada. Sua finalidade é simples, conseguir informações importantes de qualquer maneira, desde que se valha apenas do seu poder de persuasão, sem violência ou grave ameaça. Daí surgem estratégias de inteligência admirável, outras descaradas e malfeitas, mas que ainda assim obtêm êxito em razão da desatenção da vítima.” (BRITO, 2013, p. 84)


As pessoas responsáveis pelo engano são chamadas de engenheiros sociais, e “além dos conhecimentos técnicos relacionados à informática, esses criminosos possuem conhecimentos relacionados à psicologia, matemática e, principalmente, ao comportamento das suas vítimas.” (BRITO, 2013, p. 84)


O phishing é uma das práticas comuns da engenharia social que exige a participação da vítima. A forma mais comum é por meio de e-mails destinados às potenciais vítimas, contendo solicitações de informações bancárias com o objetivo de pescar dados e senhas dos usuários. Outra forma é o envio de e-mail com assuntos que despertam o interesse das vítimas, que clicando em um link são direcionadas para uma página falsa ou no link contém algum conteúdo malicioso, contaminando o computador e consequentemente conseguindo dados pessoais (BRITO, 2013, p. 87).


Os meios utilizados na engenharia social são:


  • “Telefone convencional ou voz sobre IP (VolP): O engenheiro social usa suas técnica e habilidades passando-se por alguém para ludibriar a vítima;

  • Internet: Coletar informações sensíveis dos usuários como, por exemplo, login e senha ao serem digitados;

  • Intranet: Tem por objetivo acessar remotamente algum microcomputador da rede com o objetivo de se passar por alguém;

  • E-mail: Enviar e-mails falsos para induzir a vítima a clicar em links que instalarão softwares maliciosos ou redirecionarão para páginas falsas que capturam dados digitados;

  • Pessoalmente: constitui uma visita in loco por parte do transgressor para levantamento de informações ou para execução de ações. Talvez seja o menos utilizado, pois o que atrai um engenheiro social é a obscuridade que essa técnica fornece. Mas, apesar do risco, às vezes essa é a única alternativa que resta aos criminosos; Correio convencional: Envia correspondências ou cartas falsas para as vítimas. É um método considerado nada atual, mas é muito utilizado para enganar pessoas mais antigas ou idosas;

  • Spyware: É um software espião que monitora o microcomputador sem que a vítima perceba; Redes P2P (Peer-to-Peer): Essa é uma tecnologia que permite o compartilhamento de arquivos entre diversos computadores. O atacante usa essa tecnologia para espalhar softwares maliciosos, além de oferecer ajuda para suas vítimas a fim de trapaceá-las;

  • Redes sociais: Os sites de relacionamento são cada vez mais utilizados pelos usuários. O que muitos deles talvez não saibam é que esses sites deixam um rastro das informações de maneira que pessoas mal intencionadas possam se passar por outras pessoas, camuflando assim sua real identidade. Isso contribui bastante para o sucesso de um ataque de engenharia social.” (Apud PEREIRA, 2014)


Sendo que as técnicas de engenharia social são:


“Pesquisa: Essa tática concerne no colhimento de materiais com a finalidade de descobrir quem são as pessoas que guardam as informações desejadas. O próximo passo será procurar meios para absorver as informações desejadas dessas pessoas;


Personificação e impostura: A personificação se baseia na criação de um personagem. Um exemplo clássico é aquele em que o engenheiro social faz uma ligação passando-se por alguém da área de informática da empresa e diz precisar da senha da pessoa, ou se passar por um assistente da presidência ou gerencia para pedir informações em nome do seu chefe. Muitos engenheiros sociais chegam a estudar padrões de fala e o tipo de linguagem utilizada por suas vítimas, pois cada organização possui suas próprias linguagem e expressões. Isso acontece porque ao conversar com alguém utilizando a mesma linguagem, se torna mais fácil persuadi-lo, pois a vítima se sente mais segura. Em grandes empresas é difícil conhecer todos os funcionários e devido a isso, normalmente a vítima acaba cedendo;


Divisão de responsabilidades: A técnica da divisão de responsabilidades também é bem comum e se resume em convencer os funcionários a compartilharem as senhas com o objetivo de dividirem determinadas tarefas ou responsabilidades;


Spoofing: Uma nova técnica utilizada é o chamado Spoofing de identificador de chamadas, que tem o objetivo de fraudar o número de telefone, fazendo com que o número exibido pelo identificador de chamadas seja aquele desejado pelo fraudador;


E-mails falsos: Essa técnica é uma das mais comuns aplicadas pelos engenheiros sociais para conseguirem dados alheios como, por exemplo, senhas, contas bancárias, cartões de crédito, etc. Normalmente esses e-mails falsos abordam assuntos que estão em alta na mídia, atualizações de segurança, recuperação de dados bancários, promoções, premiações ou qualquer outro assunto que venha despertar a curiosidade da vítima para que ela seja persuadida a clicar em links que instalarão softwares maliciosos ou direcionarão para páginas falsas, que capturarão os dados da vítima ao serem digitados;


Phishing: É um tipo de golpe eletrônico cujo objetivo é o furto de dados pessoais.;

Engenharia social inversa: A engenharia social inversa é uma técnica mais avançada e que exige muito mais preparação e pesquisa. Nessa técnica os papéis se invertem. O atacante

finge ser uma autoridade, de maneira que os funcionários passarão a pedir informação para ele, até chegar um ponto que o criminoso extrairá informações valiosas sem que ninguém desconfie;


Footprint: Essa técnica tem por objetivo maior, descobrir informações a respeito de algumas tecnologias usadas pela empresa, referentes principalmente ao acesso remoto, internet e intranet. Essa técnica utiliza-se de softwares especiais para coletar as informações desejadas e é normalmente utilizada quando o invasor não consegue absorver as informações desejadas através de outras técnicas de persuasão devido à falta de conhecimento por parte das vítimas a respeito do assunto desejado pelo invasor;


Vasculhar lixo: Vasculhar o lixo da empresa é um dos grandes métodos usados por esses criminosos para conseguirem acessar informações sensíveis, pois muitas empresas não se preocupam com o destino do seu lixo ou sequer utilizam máquinas fragmentadoras ou trituradoras de papel para que os diversos documentos sigilosos não sejam recuperados por pessoas mal intencionadas;


Olhar pessoas digitando: Essa técnica tem por objetivo descobrir as senhas das pessoas enquanto elas digitam no teclado;


Programação neurolinguística: Essa técnica baseia-se em imitar o jeito de ser da vítima como, por exemplo, sua maneira de falar, se expressar, gestos e entre outros, por um determinado tempo para assim confundi-la, de maneira a formar certa intimidade, deixando a vítima pensar que está no comando da situação. Até que a partir de certo momento, o engenheiro social passa a comandar o diálogo sem que a vítima sequer perceba, capturando assim as informações desejadas.” (Apud, PEREIRA, 2014)


Existem diversas formas de phishing, que é uma das técnicas mais utilizadas pelos engenheiros sociais e conseqüentemente tem o maior número de vítimas. As formas mais comuns são:


Phishing por e-mail: E-mails com mensagens de depósitos ou de prêmios são comuns. Geralmente esses e-mails contam com um link que leva a uma página sem sentido para o usuário. Este tipo de golpe instala programas chamados de cavalos de tróia ou trojans no computador do usuário. Uma vez instalado, esses programas monitoram praticamente qualquer atividade e capta dados importantes do usuário;


iPhishing: É uma variação do tradicional phishing. Esta variante explora deficiências de segurança em dispositivos modernos. Sua manifestação mais comum é o envenenamento do Domain Name System (DNS). Esse procedimento limita o usuário a acessar apenas os sites programados;

Phishing por mensageiros instantâneos: A contaminação acontece através de um link que, se clicado, instala um programa malicioso que captura os dados do usuário. O maior problema são os computadores de seus contatos que, caso infectados, enviam os links maliciosos para contaminar toda sua lista de contatos;


Phishing por sites de relacionamentos: Atualmente é um dos meios preferidos dos estelionatários virtuais. Isso ocorre pelo número de compartilhamentos realizados nestas redes, e pelo nível alto de confiança que os usuários depositam nestes ambientes. (Apud, PEREIRA, 2014)


Como visto, a engenharia social é um grande problema, pois sujeitos mal intencionados que praticam tal fenômeno se aproveitam das fragilidades humanas. Podendo prejudicar até mesmo uma grande empresa, mesmo tendo as mais avançadas tecnologias de segurança da informação, pois a principal falha será o fator humano. Necessitando de investimento não apenas em tecnologia, mas também em cursos e em conscientização de pessoal.


REFERÊNCIAS:


BRITO, Auriney. Direito Penal Informático. São Paulo: Saraiva, p. 83-89, 2013.


PEREIRA, Leandro de Deus. MARTINS, Daves Márcio Silvio. Engenharia social: segurança da informação aplicada à gestão de pessoas – estudo de caso. Caderno de Estudos em Sistemas de Informação, 2014. Disponível em:<http://seer.cesjf.br/index.php/cesi/article/view/129/49&gt; Acesso em: 13 dez. 2015)


MARTINS, Elaine. Cuidado com a engenharia social, 2008. Disponível em: <http://www.tecmundo.com.br/msn-messenger/1078-cuidado-com-a-engenharia-social.htm&gt;. Acesso em 13 dez. 2015.

0 visualização

© 2020 Ribeiro & Veil Advocacia

CNPJ 33.482.154/0001-16

atendimento@revconsultoria.com

Tel.: 61 98282-4097

Rua Copaíba, n. 1, Complexo DF Century Plaza, Torre A, Sala 617, Águas Claras/DF, CEP: 71.919-540