View
3
Download
0
Category
Preview:
Citation preview
1
UNIVERSIDADE CANDIDO MENDES
AVM – FACULDADE INTEGRADA
PÓS-GRADUAÇÃO LATO SENSU
ENGENHARIA SOCIAL EM TEMPOS DE CRISE: UM DESAFIO
PARA AS EMPRESAS DE PEQUENO E MÉDIO PORTE
Jefferson Oliveira de Freitas
ORIENTADOR: Prof. (Luciana Madeira)
Rio de Janeiro 2016
DOCUMENTO P
ROTEGID
O PELA
LEID
E DIR
EITO A
UTORAL
2
UNIVERSIDADE CANDIDO MENDES
AVM – FACULDADE INTEGRADA
PÓS-GRADUAÇÃO LATO SENSU
Apresentação de monografia à AVM Faculdade Integrada como requisito parcial para obtenção do grau de especialista em Auditoria e Controladoria. Por: Jefferson Oliveira de Freitas
ENGENHARIA SOCIAL EM TEMPOS DE CRISE: UM DESAFIO
PARA AS EMPRESAS DE PEQUENO E MÉDIO PORTE
Rio de Janeiro 2016
3
AGRADECIMENTOS
Primeiramente a Deus que sempre foi a minha
força maior. Aos meus familiares, amigos e
namorada.
4
DEDICATÓRIA
Dedica-se a todos que sempre torceram pelo meu
crescimento. Sem vocês, eu jamais conseguiria.
5
RESUMO
No mundo de hoje, é difícil imaginar uma empresa operando sem a
que a influência da tecnologia, principalmente quando envolve dinamismo nas
transmissões dos dados. A globalização conecta tudo e todos com apenas um
clique.
No entanto, a tecnologia vem atrelada a desafios e cuidados para
que a segurança dos dados seja preservada da melhor forma possível, como
por exemplo, os efeitos catastróficos da Engenharia Social. O Engenheiro
Social utiliza-se de técnicas de influência e persuasão para ludibriar pessoas e
atingir seus objetivos.
Diante disso, surge o questionamento: em meio a grave crise
econômica e financeira do Brasil, as empresas de pequeno e médio porte
podem mitigar o impacto da Engenharia Social?
Sim. Podem! Ao contrário que diversos empresários pensam, a
melhor forma de tentar coibir possíveis ataques da Engenharia Social é investir
no capital humano, pois o ser humano é o ponto mais vulnerável de qualquer
sistema de informação.
Capacitar e desenvolver os colaboradores atrelados a uma política
de segurança consistente é o caminho “mais em conta” que as empresas de
pequeno e médio porte devem adotar para a preservação dos seus bens
intangíveis.
6
METODOLOGIA
O desenvolvimento do trabalho baseou-se na metodologia de
pesquisas bibliográficas, leituras de artigos e publicações em meios digitais e
consultas em endereços eletrônicos de instituições conceituadas, tais como: o
ABNT, SEBRAE, Instituto Brasileiro de Governança Corporativa, Controladoria
Geral da União, Centro de Estudo, Resposta e Treinamento de Incidentes de
Segurança no Brasil e outros.
7
SUMÁRIO
INTRODUÇÃO 08
CAPÍTULO I
A Tecnologia no Mundo Corporativo 10
CAPÍTULO II
A Arte da Engenharia Social 16
CAPÍTULO III
Combate ao Perigo da Engenharia Social 25
CONCLUSÃO 36
BIBLIOGRAFIA 38
ÍNDICE 39
ÍNDICE DE FIGURAS 40
8
INTRODUÇÃO
Em pleno século XXI, é difícil imaginar uma empresa que não utilize
a informática como ferramenta de trabalho. O artifício da tecnologia traz para
as empresas a velocidade na troca de informações; aumento na produtividade;
proximidades com fornecedores, parceiros comerciais e os clientes; entre
outros benefícios.
No entanto, para que as instituições desfrutem de todos os
benefícios atrelados à tecnologia, é necessário investimentos em infraestrutura,
softwares e treinamento de pessoal, já que tudo está contido na grande rede.
Cada detalhe é extremamente importante para que as empresas
busquem, mantenham-se e alavanquem o sucesso, principalmente no mundo
dinâmico e competitivo em que vivemos. Dentro de cada estratégia, um dos
detalhes primordiais é o chamado segredo empresarial, pois representa uma
vantagem competitiva para as instituições que o detenha.
O que muitas empresas ainda não enxergaram que não bastam
apenas investimentos para resguardar exposição de invasores virtuais. Hoje, o
elemento mais vulnerável de qualquer sistema de segurança da informação é o
fator humano, o qual possui traços comportamentais e psicológicos que o torna
suscetível a ataques de criminosos chamados Engenheiro Social. Segundo
Kevin MItnick (A Arte de Enganar; pag. 3), o fator humano é o elo mais fraco da
segurança.
Diante do exposto, surge a questão central desse trabalho: Em meio
a grave crise econômica e financeira do Brasil, as empresas de pequeno e
médio porte podem mitigar o impacto da Engenharia Social?
A escolha do tema deu-se através da complexidade e importância
para as pequenas e médias empresas, principalmente nos dias de hoje:
mercado competitivo, escassez de recursos, profissionais pouco treinados, etc.
O tema é amplamente discutido no campo da segurança da informação,
baseando-se em mitigar falhas de segurança de pessoas e organizações.
9
No entanto, todos esses esforços para mitigar os impactos gerados
pela Engenharia Social demandam investimentos, principalmente em mudança
de cultura, política de segurança, treinamento e conscientização de todos os
colaboradores.
Ao longo do trabalho será detalhada toda a complexidade em lidar
como os Engenheiros Sociais e seus danos que em muitos casos se tornam
irreparáveis para as empresas de pequeno e médio porte.
O impacto da tecnologia bem como a importância do segurança da
informação nas empresas será o tema central do capítulo I; apresentação
detalhada do conceito, forma de atuação e tipos de ataques gerados pela
Engenharia Social serão abordados no Capítulo II; o capítulo III será destinado
à forma de como as empresas devem se prevenir dos ataques e mitigar os
possíveis riscos dos Engenheiros Sociais.
10
CAPÍTULO I
A TECNOLOGIA NO MUNDO CORPORATIVO
Em um mundo que diariamente urge a necessidade de transmissão
cada vez mais dinâmica das informações, a tecnologia desempenha um papel
fundamental e se torna crucial para o mundo corporativo. Vivemos em um
planeta conectado, que oferece infinitas opções de comunicação, e isso mudou
profundamente o cenário dos negócios, gerando novas oportunidades bem
como novos desafios e cuidados.
Além de todos os benefícios atrelados à tecnologia (velocidade e
eficiência nas informações sem precedentes, contatos dinâmicos com clientes,
colaboradores e fornecedores, entre outros), as empresas precisam lidar com
determinadas situações de perigo, identificando e protegendo seus dados.
1.1. A importância da Segurança da informação para as
pequenas e médias empresas no Brasil.
De acordo com Peixoto (2006), “O termo segurança da informação
pode ser designado como uma área do conhecimento que salvaguarda os
chamados ativos da informação, contra acessos indevidos, modificações não
autorizadas ou até mesmo sua não disponibilidade” (p.37).
O NBR ISO/IEC 17799:2001, pág 2, descreve a segurança da
informação assim:
Segurança da informação é a proteção da informação de vários
tipos de ameaças para garantir a continuidade do negócio,
minimizar o risco ao negócio, maximizar o retorno sobre os
investimentos e as oportunidades de negócio.
O grande desafio das empresas brasileiras é como lidar com o
vazamento das informações no cenário econômico atual do país, resumindo:
gerir com recursos cada vez mais escassos.
11
Segundo a pesquisa realizada pela empresa PwC (2014) sobre
segurança da Informação (figura 1), “no Brasil, a ação de hackers e
concorrentes é quase 10% maior do que no restante do mundo”. A pesquisa
também relata que o principal impacto gerado por esse problema, está
relacionando ao comprometimento dos registros dos clientes e não dos
empregados, como acontece no resto do mundo.
Ainda de acordo com pesquisa supracitada, empresas brasileiras
não investem na prevenção dos seus dados com base nas possíveis perdas
financeiras que um ataque pode gerar ao explorar uma fraqueza da companhia
e sim com recursos limitados fortemente influenciados pela economia
brasileira.
Figura 1 – Impactos dos incidentes de segurança Fonte: Pesquisa Global de Segurança da Informação 2014 - PcW
Diante do exposto, a segurança da informação é o bem intrínseco
mais importante das corporações, pois resguarda o diferencial competitivo,
informações sigilosas e até mesmo dados para tomadas de decisões e devem
ser preservados unindo investimentos em tecnologia com o treinamento de
pessoal.
12
1.1.1. Principais Riscos e Ameaças à Segurança da Informação.
Todo conteúdo que circula dentro e fora das empresas deve ser
protegido para manter sua confidencialidade, disponibilidade e integridade.
Contudo, a segurança da informação pode ser afetada por uma gama de
fatores, como: ambientais/infraestrutura, comportamentais do usuário e por
Engenheiros Sociais.
Como exemplo de falhas ambientais/infraestrutura:
• Forças da natureza: Fogo, inundações, terremotos, etc.
• Erros ou falhas técnicas de hardware: Falha de
equipamentos.
• Erros ou falhas técnicas de software: Bugs, erros de
conceção, etc.
• Obsolescência tecnológica.
Comportamentais do usuário, temos:
• Atos de falha ou erro humano.
• Comprometimento de propriedade intelectual: ofensas aos
direitos do autor, cópias não autorizadas.
• Atos deliberados de sabotagem ou vandalismo:
Destruição de sistemas ou informação.
No Capitulo II, serão detalhados os tipos de ameaças desenvolvidas
por Engenheiros sociais.
Como forma de coibir os possíveis riscos e ameaças às falhas de
segurança, é necessário o desenvolvimento de políticas de seguranças sólidas
e amplamente divulgada a todos os envolvidos no processo.
Para que os resultados sejam satisfatórios, a política de segurança
deverá explicitá os seguintes termos:
13
• Vulnerabilidade: Existência de um potencial de falha de
segurança.
• Ameaça: Elementos concretos, potenciadores de exploração
de falhas de segurança.
• Risco: Probabilidade de efetiva de concretização de ameaças
para as vulnerabilidades existentes.
• Medida: Meio ou procedimento de combate ou minimização
do risco.
• Impacte: Prejuízo em caso de concretização da ameaça.
• Incidente: Situação efetiva de aproveitamento de uma
vulnerabilidade.
Conforme figura abaixo, esses termos podem ser ilustrados através
de um fluxograma:
Figura 2 – Fluxograma Fonte: Artigo: Desafios da segurança da informação: da sua cultura e aplicação
à confiabilidade
14
Além de uma política sólida de segurança, as empresas necessitam
de software consistente para ajudar na proteção e na gestão dos processos,
conforme descrito no próximo tópico.
1.1.2. Software de Segurança da Informação.
Software de segurança é uma classe de software que atua para
identificar, prevenir, impedir e reparar a causa dano por código malicioso. Sua
forma de atuação consiste em: prevenção, limitação e o rastreamento dos
ataques. Porém, a evolução constante da natureza desses códigos exige que
os software sejam atualizados na mesma intensidade.
Abaixo, alguns tipos de Software mais utilizados nas empresas de
pequeno e médio porte:
• Firewall: Um Firewall impede que usuários não autorizados
acessem um computador, permitindo somente usuários
autorizados, protegendo assim, qualquer forma de ataque.
Alguns sistemas operacionais de computadores incluem
Firewalls de Software no próprio sistema operacional. Por
exemplo, o Microsoft Windows XP.
• Antivírus: Antivírus reconhece um ataque, quando possível,
antes que o mesmo se inicie, evitando assim que o código
malicioso invada um computador. Para manter a eficácia, é
imprescindível sua atualização constante, pois novos vírus
aparecem diariamente.
• Anti-spyware: O objetivo do Software Anti-spyware é evitar
que Softwares não autorizados roubem a transmissão de
dados que está no disco rígido do usuário, bem como os
dados que compartilha nas atividades online, através do
monitoramento das comunicações entre um computador e os
destinatários das mensagens externas.
15
• Rede: São Software de segurança que identifica problemas
de segurança antes que possam afetar os usuários finais,
verificando os dados transmitidos através de conectores de
rede (Gatewayes e roteadores).
Os tipos de Software de segurança supracitados são exemplos de controle de
com baixo custo para as empresas. O mercado disponibiliza diversas opções
gratuitas ou não (licenças), cabe ao gestor analisar e avaliar as necessidades
da empresa.
Apresentado o conceito da segurança da informação bem como
seus desafios de sua proteção no cenário atual brasileiro, o próximo capítulo
será destinado á apresentação detalhada do conceito, forma de atuação e tipos
de ataques gerados pela Engenharia Social.
16
CAPÍTULO II
A ARTE DA ENGENHARIA SOCIAL
2.1. Conceituando a Engenharia Social.
O termo Engenharia Social pode ser dividido assim:
Engenharia: É a ciência, a arte e a profissão de adquirir e de aplicar os
conhecimentos matemáticos, técnicos e científicos na criação, aperfeiçoamento
e implementação de utilidades, tais como materiais, estruturas, máquinas,
aparelhos, sistemas ou processos, que realizem uma determinada função ou
objetivo (CREA-RN, 2013).
Social: É aquilo que pressupõe relações, sociabilidade, abarcando
relacionamentos, sentimentos, modos de ser, de estar, de agir e de se
manifestar. (Dicionário informal, 2016)
No livro Arte de Enganar (2002), Kevin Mitnick define assim a
Engenharia Social:
A Engenharia social usa a influência e a persuasão para
enganar as pessoas e convencê-las de que o engenheiro social
é alguém que na verdade ele não é, ou pela manipulação.
Como resultado, o engenheiro social pode aproveitar-se das
pessoas para obter as informações com ou sem uso da
tecnologia.
Podemos definir a Engenharia Social como um tipo de ataque, onde
são utilizados métodos, estratégias e táticas (Engenharia) com intuito de
conquistar a confiança das pessoas (Social), ludibriando-as, para obter
informações sigilosas, acesso às áreas restritas, entre outros.
Segundo especialistas em segurança da informação, a Engenharia
Social será a maior ameaça à continuidade dos negócios desta década.
Importante observar que o sucesso da Engenharia Social depende
da compreensão do comportamento do ser humano, além da habilidade de
17
persuadir outros a disponibilizarem informações ou realizarem ações desejadas
pelo Engenheiro Social.
Os ataques da Engenharia Social podem ser divididos em dois
grupos:
• Ataques Diretos: Como o próprio nome já diz, são aqueles
caracterizados pelo contato direto entre o Engenheiro Social e
a vítima através de telefonemas, fax e até mesmo
pessoalmente. Este exige do Engenheiro Social, um
planejamento antecipado e bem detalhado, além de um
segundo plano para caso o primeiro não dê certo, tudo
atrelado a muita criatividade e articulação.
• Ataques Indiretos: Caracterizam-se pela utilização de
Software ou ferramentas de invasão, como: vírus, sites e e-
mails falsos para assim obter informações desejadas.
Mas quem são os Engenheiros Sociais que estão por trás desses
ataques? Como é o perfil? O que buscam? Essas são apenas algumas
perguntas que o próximo tópico tentará elucidar da melhor forma.
2.2. O Engenheiro Social.
Como dito anteriormente, o ser humano é o ponto mais vulnerável
de qualquer sistema de informação; seus traços comportamentais e
psicológicos os tornam suscetíveis a ataques dos Engenheiros Sociais.
Segundo Araujo (2015, p. 27), o Engenheiro Social geralmente é um
tipo de pessoa agradável. Ou seja, uma pessoa educada, simpática,
carismática. Mas, sobretudo criativa, flexível e dinâmica. Possuindo uma
conversa envolvente.
De acordo com Kevin Mitnick (Arte de Enganar, pág xiii, 2002), o
perfil do Engenheiro Social é a combinação entre enganar pessoas com os
talentos da influência e persuasão.
18
Na Engenharia social, a persuasão pode ser trabalhada da seguinte
forma:
a) Conformidade – Quando a “vítima” é alertada que está fora do padrão
da empresa, setor, etc. No entanto, o Engenheiro Social define novas
regras, mostrando seu “passo a passo”.
b) Lógica – O Engenheiro Social induz a acreditar, a partir de premissas
corretas, que sua “vítima” não está desenvolvendo o trabalho
corretamente, conseguindo assim, que a mesma insira informações
falsas e/ou libere acessos restritos da empresa/máquina.
c) Necessidade – Essa característica visa sensibilizar a “vítima” com falsa
ideia que o Engenheiro Social está “em apuros”. Normalmente, as
pessoas tendem a ajudar.
d) Autoridade – Utilizando de indumentárias específicas (ternos, por
exemplo) e/ou citando nomes importantes/influentes da empresa, o
Engenheiro explora o medo na “vítima”.
e) Reciprocidade – O Engenheiro utiliza da ajuda mútua e gratidão para
atingir seus objetivos com as “vítimas”. Normalmente, as pessoas ficam
propensas a ajudar após ser ajudada.
f) Similaridade – Com base nas informações das “vítimas” como gênero,
ramo de atuação, idade, mesma situação (deficiência/limitação, por
exemplo), o Engenheiro Social busca a confiança para respaldar seu
ataque.
g) Informacional – Todo Engenheiro Social necessita ser bem informado
sobre o local que vai atacar. Isso facilita e muito na persuasão das
“vítimas”, pois cria uma situação mais confortável e retira o bloqueio
inicial. Nesse tipo de ataque, os funcionários recém admitidos são os
mais propensos a cair no golpe.
Além da persuasão, o Engenheiro Social é dotado de um enorme
poder de criatividade. Essa criatividade é tão grande que na maioria das vezes,
a vítima nem imagina que foi usada e muito menos que acabou de abrir o
caminho para um invasor.
19
Para que o ataque seja bem sucedido, é criado um ambiente
psicológico perfeito, como exemplo, identificações falsas, apelo sentimental,
sempre deixando a “vitima” bem tranquila.
A tabela abaixo exibe os tipos de Engenheiros Sociais e seus
respectivos objetivos ao utilizar a Engenharia Social (POPPER; BRIGNOLI,
2003):
INTRUSOS OBJETIVOS
Estudantes Vasculhar mensagens de e-mail
alheias por diversão ou curiosidade.
Crackers Quebrar sistemas de segurança e
roubar informações.
Representantes Comerciais Encontrar Planilhas referentes a
preços ou cadastro de clientes.
Executivos Descobrir plano estratégico dos seus
concorrentes.
Espiões Descobrir planos militares
Terroristas Causar pânico pela rede e roubar
informações estratégicas.
Contatores Desfalques financeiros.
Corretores de Valores Adulterar informações para obter
lucro com o valor das ações.
Ex-funcionários Causar prejuízos apenas por
vingança.
Vigaristas Roubar informações, como senhas e
números de cartões de crédito.
20
Tabela 1: Tipos de Engenheiros Sociais e seus objetivos Fonte: (POPPER; BRIGNOLI, 2003)
Os ataques de Engenharia Social são normalmente praticados por
Crackers, que são Hackers mal intencionadas, pois ainda existe uma confusão
enorme com relação a esses dois termos, pois o termo “Hacker” está mais
relacionado ao indivíduo que possui um elevadíssimo graçu de conhecimento
em assuntos relacionados a computação como, por exemplo, linguagens de
programação, redes de computadores e entre outros conhecimentos e muitas
vezes esses eruditos utilizam todo o seu conhecimento para melhorar Software
de forma legal ao contrário dos Crackers que têm como objetivo trazer danos,
roubar informações, dinheiros, etc.
2.2.2. Tipos de Ataques.
Segundo Kevin Mitnick:
É prática comum pedir que um colega ou subordinado faça um
favor. Os Engenheiros Sociais sabem como explorar o desejo
natural das pessoas de ajudar e fazer parte de uma equipe. Um
atacante explora esse traço humano positivo para enganar
empregado desavisado para que executem ações que o
coloquem mais perto de seu objetivo. É importante entender
esse conceito simples para que você reconheça quando outra
pessoa está tentando manipulá-lo. (MITNICK;SIMON, 2003,
P.163).
Como dito anteriormente, a Engenharia Social é uma das técnicas
utilizadas por Crackers para obter acesso não autorizado a sistemas, redes ou
informações com grande valor estratégico para as organizações.
Alguns dos principais tipos de ataques serão ilustrados abaixo:
a) Análise do Lixo: O lixo é uma das fontes mais ricas de informações
para os Engenheiros Sociais; nele, podem ser encontrados dados de
fornecedores, colaboradores, senhas, etc.
21
b) Telefone convencional ou VolP (voz sobre IP): O engenheiro
social usa suas técnica e habilidades passando-se por alguém
(influente, familiar) para ludibriar a vítima.
c) Spoofing: Uma nova técnica utilizada é o chamado Spoofing do
número telefônico, que tem por objetivo defraudar o sistema de
identificação de chamadas, fazendo com que o número exibido pelo
identificador de chamadas seja aquele desejado pelo fraudador.
d) Internet e Redes Sociais: Quando um Engenheiro Social precisa
conhecer melhor seu alvo, esta técnica é utilizada, iniciando um
estudo no site da empresa para melhor entendimento, pesquisas na
Internet e uma boa consulta nas redes sociais na qual é possível
encontrar informações interessantes de funcionários da empresa,
cargos, amizades, perfil pessoal, entre outros.
e) Intranet: Tem por objetivo acessar remotamente algum
microcomputador da rede da empresa com o objetivo de se passar
por alguém.
f) Phishing: Enviar e-mails falsos para induzir a vítima a clicar em links
que instalarão vírus, Cavalos de Troia ou redirecionarão para
páginas falsas que capturam dados digitados.
g) Abordagem pessoal: Visita na empresa se passando por alguém
influente e/ou inofensiva (fornecedor, prestador de serviços, etc) e
através do poder de persuasão e falta de treinamento dos
funcionários, consegue convencer os colaboradores a liberarem o
acesso restrito.
h) Fax: Obter informações primárias para posteriormente fazer um
ataque melhor elaborado.
i) Spyware: É um software espião que monitora o microcomputador
sem que a vítima perceba.
j) Redes P2P (Peer-to-Peer): Essa é uma tecnologia que permite o
compartilhamento de arquivos entre diversos computadores. O
atacante usa essa tecnologia para espalhar vírus, Cavalos de Troia e
22
muitas outras pragas, além de claro oferecer ajuda para suas vítimas
a fim de trapaceá-las.
k) Engenharia Social Inversa: A engenharia social inversa é uma
técnica mais avançada e que exige muito mais preparação e
pesquisa. Nessa técnica os papeis se invertem. O atacante finge ser
uma autoridade, de maneira que os funcionários passarão a pedir
informação para ele, até chegar um ponto que o criminoso extraíra
informações valiosas sem que ninguém desconfie.
l) Footprint: Essa técnica tem por objetivo maior descobrir
informações a respeito de algumas tecnologias usadas pela
empresa, referentes principalmente ao acesso remoto, Internet e
extranet. Essa técnica utiliza-se de softwares especiais para coletar
as informações desejadas e é normalmente utilizada quando o
invasor não consegue absorver as informações desejadas através de
outras técnicas de persuasão devido à falta de conhecimento por
parte das vítimas a respeito do assunto desejado pelo invasor.
m) Programação neurolinguística: Essa técnica se baseia em imitar o
jeito de ser da vítima como, por exemplo, sua maneira de falar, se
expressar, gestos e entre outros, por um determinado tempo para
assim confundi-la, de maneira a formar certa intimidade, deixando a
vítima pensar que está no comando da situação. Até que a partir de
certo momento, o engenheiro social passa a comandar o dialogo sem
que a vítima sequer perceba, capturando assim as informações
desejadas. (JUNIOR, 2006).
2.3. Engenharia Social nas Empresas de Pequeno e Médio
Porte.
O valor de uma empresa depende cada vez mais de informações
como propriedade intelectual e os dados críticos de negócios estão cada vez
mais volumosos, dispersos, móveis e dinâmicos. Essas realidades demandam
atenção na defesa dos ativos digitais corporativos.
23
Para as empresas de grande porte, os investimentos em segurança
da informação já ocupam boa parte dos seus orçamentos anuais. No entanto, a
mentalidade das empresas de Pequeno e Médio Porte ainda precisa
amadurecer nesse sentido. Principalmente na conscientização que não
somente os esforços para investimentos em ferramentas e soluções de
segurança, mas também no desenvolvimento de uma política e cultura entre
seus clientes internos e externos para que possam mitigar os riscos de ataques
virtuais.
O Relatório sobre Segurança da Informação nas Empresas (2010)
da Symantec mostra que as empresas da América Latina perdem mais de US$
500 mil por ano em decorrência de ataques virtuais. Outra pesquisa da
Qualibest apontou que mais de 85% dos funcionários no Brasil usam a internet
da empresa para fins pessoais. Desses, quase 80% usam o e-mail pessoal
durante o expediente, mais de 60% fazem pesquisas pessoais em sites de
busca, mais de 50% fazem operações com internet banking e cerca de 15%
utilizam a conexão com a internet da empresas para download de músicas,
jogos e outros downloads de interesses pessoais.
Outra facilidade muito comum nessas empresas é a displicência dos
usuários em criar senhas fáceis de serem descobertas. Muitos utilizam como
senha, nome do login, palavras existentes nos dicionários, apelidos, datas de
nascimento, de namoro/casamento, números sequenciais, informação de
familiares ou até mesmo o próprio nome que, com um software gerenciador de
senhas, é possível decifra-lás em segundos.
Com base nos dados acima, podemos concluir que as empresas de
Pequeno e Médio Porte proporcionam um “cenário ideal” para as ações dos
Engenheiros sociais, pois de acordo com a Pesquisa Global da EY sobre
Segurança da Informação – 2015, os criminosos cibernéticos procuram
fraquezas e brechas para que, aliadas a conhecimentos específicos sobre a
empresa, consigam atingir seus objetivos.
24
Apresentado de forma detalhada o conceito, forma de atuação e
tipos de ataques gerados pela Engenharia Social, o próximo capítulo será
destinado á forma de como as empresas devem se prevenir dos ataques e
mitigar os possíveis riscos dos Engenheiros Sociais.
25
CAPÍTULO III
COMBATE AO PERIGO DA ENGENHARIA SOCIAL
3.1. Combatendo os Engenheiros Sociais.
Conforme mencionado anteriormente, os Engenheiros Sociais
utilizam-se da persuasão e do profundo conhecimento do ambiente a ser
atacado para atingir seus objetivos.
O grande desafio das empresas é saber como minimizar esse risco.
A prevenção não é tarefa fácil. A maioria das empresas não direciona recursos
financeiros nem humanos para tal, pois investem na manutenção de sistemas e
em novas tecnologias, ao invés de direcionar parte desse investimento para
combater um inimigo que pode ser bem mais perigoso, a Engenharia Social.
Na visão do (PEIXOTO, 2006, p.20):
Se todo funcionário fosse tão questionador como uma criança,
demonstrando interesse nos mínimos detalhes, ouvindo mais,
estando fortemente atento a tudo a sua volta, e principalmente
fazendo o uso dos poderosos “por quês”, com certeza as
empresas transformariam os frágeis cadeados em legítimos
dispositivos dificultantes de segurança da informação.
Ainda segundo (PEIXOTO, 2006, p. 54)
A maior prova para se ter certeza de que você será a próxima
vítima da engenharia social é simplesmente subestimar o
praticante desta arte. Mas como ao certo saber quem é afinal o
engenheiro social naquele dado momento, lugar ou situação?
Não saberá, na primeira instância. Apenas desconfiará de
algum suspeito à medida que você vá adquirindo conhecimento
das técnicas padrões e revolucionárias da engenharia social. E
assim percebendo algumas “gafes” do engenheiro social,
deixará a incerteza para então capturar o alvo certo.
26
Os seres humanos são seres imperfeitos e multifacetados. Além
disso, situações de risco modificam seus comportamentos e, decisões serão
fortemente baseadas em confiança e grau de criatividade da situação.
Em função disso desses fatores, sempre existirão brechas em seu
caráter ou comportamento pouco consciente em relação à segurança, onde a
Engenharia Social poderá ser plenamente eficaz.
Dentro do ambiente coorporativo, alguns erros cometidos aumentam
potencialmente o risco de se tornar uma vítima da Engenharia Social:
(PEIXOTO, 2006):
• Mencionar senha por telefone é um erro gravíssimo, pois antes de
disponibilizar qualquer tipo de informação, deve-se saber com quem se
fala e onde se fala, além de conferir através de aparelhos indicadores de
chamada se o telefone de origem da ligação se é o realmente
mencionado;
• Visitantes terem acesso às áreas interna na empresa, obtendo contato
com as informações confidenciais;
• Entrada de pessoas não autorizadas ou principalmente sem
identificação, com as portas abertas e expostas à entrada de qualquer
um;
• Entrega de informações sem o devido conhecimento real de quem as
está levando;
• Recebimento de informações digitais sem o prévio conhecimento da
procedência, sem fazer primeiramente uma inspeção do material
recebido de algum lugar ou equipamento que não comprometa a
empresa ou organização;
27
• Descarte incorreto de material que se acha inútil, como por exemplo,
não triturar documentos antes de jogá-los fora e de preferência em
diversas lixeiras ou o descarte de CDs e outros, sem eliminar
definitivamente as informações contidas neles;
• Gavetas abertas, de fácil acesso a documentos;
• Jogo via internet ou mesmo por Pen-drives ou CD-ROM são passíveis
de conter armadilhas, como ativação de worms, cavalo de troia, vírus e
dentre outros perigos que se escondem por trás dos envolventes jogos
ou diversões oferecidas;
• Deixar expostos arquivos de backup, não guardando em lugar seguro e
confiável, além de demonstrar explicitamente que é um backup;
• Nome de usuários e senhas expostas para qualquer um que passar ver
e ter acesso;
• Computador ligado exibindo informações confidenciais como senha,
login de usuários e código fontes;
• Acesso a sites indevidos, não confiáveis, ou fora das políticas de
trabalho da empresa;
• Sistema de alarme desativado, desligado ou inoperante, em caso de
alguma urgência ou emergência.
Para que as empresas possam mitigar os riscos de possíveis
ataques de Engenheiros Sociais é necessário a criação de políticas de
28
segurança centralizada e bem divulgada e implementar essa nova cultura nos
colaboradores.
Além disso, para auxiliar as empresas a se protegerem dos ataques
dos Engenheiros Sociais é imprescindível que haja uma política de criação de
senhas consideradas fortes, tais como:
• Sequência longa e aleatória de caracteres;
• Combinar letras, números e símbolos;
• Utilizar espaços entre palavras ou caracteres (se o sistema
aceitar);
• Mesclar letras maiúsculas com minúsculas.
Essas e outras dicas têm como objetivo minimizar ou dificultar ao
máximo a possibilidade de sofrer prejuízos causados pela Engenharia Social.
3.1.1. Política de Segurança.
Como definição da Cartilha de Segurança para Internet (CGI.br,
NIC.br, CERT.br, 2012), a Política de Segurança é considerada como um
importante mecanismo de segurança, tanto para as instituições como para os
usuários, pois com ela é possível deixar claro o comportamento esperado de
cada um. Desta forma, casos de mau comportamento, que estejam previstos
na política, podem ser tratados de forma adequada pelas partes envolvidas.
Ainda segundo a Cartilha, a política de segurança define os direitos
e as responsabilidades de cada um em relação à segurança dos recursos
computacionais que os utiliza e as penalidades às quais está sujeito, caso não
a cumpra.
A política de segurança pode conter outras políticas específicas,
como:
• Política de senhas: define as regras sobre o uso de senhas nos
recursos computacionais, como tamanho mínimo e máximo, regra de
formação e periodicidade de troca.
29
• Política de backup: define as regras sobre a realização de cópias de
segurança, como tipo de mídia utilizada, período de retenção e
frequência de execução.
• Política de privacidade: define como são tratadas as informações
pessoais, sejam elas de clientes, usuários ou funcionários.
• Política de confidencialidade: define como são tratadas as
informações institucionais, ou seja, se elas podem ser repassadas a
terceiros.
• Política de uso aceitável (PUA) ou Acceptable Use Policy (AUP):
também chamada de “Termo de Uso” ou “Termo de Serviço”, define as
regras de uso dos recursos computacionais, os direitos e as
responsabilidades de quem os utilizam e as situações que são
consideradas abusivas.
Como forma de divulgação da política de segurança as empresas
podem utilizar alguns recursos valiosos, como exemplos: intranet, boletins
periódicos on-line, lembretes no correio eletrônico, requisitos de mudança de
senha e treinamento.
Para as empresas, o maior risco é que os colaboradores tornarem-
se complacentes e relaxarem na segurança; por isso a importância da ampla
divulgação e treinamento direcionado.
Esse treinamento deve estender-se por toda a empresa, incluindo
Diretores, Gerentes, Supervisores e demais funcionários. O foco deve ser as
tácticas comuns de intromissão e as estratégias de prevenção. Quando alguém
captar sinais de um ataque, deve imediatamente alertar os demais, para que
não sejam também abordados.
Para evitar ser mais uma vítima, as áreas de risco da empresa, a
tática do invasor e a respectiva estratégia de combate necessitam estão
30
relacionadas (POPPER; BRIGNOLI, 2003), conforme ilustrado na tabela
abaixo:
ÁREA DE RISCO
TÁTICA DO INVASOR
ESTRATÉGIA DE
COMBATE
Suporte de Informática
Representação e Persuasão
Desenvolver na empresa uma política de mudança frequente de senhas e treinar os demais funcionários para nunca repassarem senhas ou outras informações confidenciais por telefone.
Entrada de Edifícios
Acesso físico não
autorizado.
Treinar os funcionários da segurança para não permitirem o acesso de pessoas sem o devido crachá de identificação e mesmo assim fazer uma verificação visual.
Escritórios
Caminhar pelo Ambiente
Não digitar senhas na presença de pessoas estranhas, a não ser que você consiga fazer isso rapidamente.
Escritórios
Caminhar pelos corredores à procura de salas desprotegidas.
Todos os visitantes devem ser acompanhados por um funcionário da empresa.
Escritórios
Roubar documentos importantes
Manter os documentos confidenciais fora do alcance de pessoas não autorizadas.
Sala de correspondência
Inserção de mensagens falsas.
Fechar e monitorar a sala de correspondência.
Sala dos servidores
Instalam programas analisadores de protocolo para conseguirem informações confidenciais, além da remoção de equipamentos.
Manter sala dos servidores sempre trancada e o inventário de equipamento atualizado.
Central telefônica
Roubar acesso a linhas telefônicas
Controlar chamadas para o exterior e para longas distâncias e recusar pedidos de transferências suspeitas
Suporte Telefônico
Usar de disfarces na hora de solicitar ajuda aos atendentes,
Os atendentes devem solicitar sempre um código de acesso, para só então
31
geralmente se passando por outra pessoa.
prestarem o suporte solicitado.
ÁREA DE RISCO
TÁTICA DO INVASOR
ESTRATÉGIA DE
COMBATE
Depósito de lixo
Vasculhar o lixo
Guardar o lixo da empresa em lugar seguro, triturar todo tipo de documento e destruir todo o tipo de mídia magnética fora de uso.
Internet e Intranet
Criar e/ou inserir programas na Internet ou Intranet para capturar senhas
Criar senhas fortes e fazer uso consciente da mesma, alterando-a periodicamente.
Tabela 1: Área de Risco, Táticas e Estratégia
Fonte: (POPPER; BRIGNOLI, 2003).
3.1.3. Plano de Resposta a Incidentes.
Mesmo a melhor infraestrutura de segurança da informação não
pode garantir que intrusos ou outras ações maliciosas ocorram. Quando um
incidente de segurança ocorre, é um fator crítico para a organização ter meios
para responder a esse evento. A velocidade à qual uma organização pode
reconhecer, analisar e responder a um incidente de segurança, limita os
estragos e diminui os custos de restauração. A habilidade de usar essa
informação para reparar ou prevenir ocorrências similares, aprimora a
segurança geral a uma organização.
O Plano de Resposta a Incidentes é um documento que descreve as
diretrizes gerais e procedimentos para tratamento dos principais incidentes de
segurança que podem ocorrer na organização, proporcionando ao pessoal de
suporte instruções sobre as medidas a serem tomadas para definição e
correção dos mesmos.
O tipo de tratamento dado aos incidentes de segurança varia de
acordo com a sua intensidade de risco. Porém, o encaminhamento deve ser
decidido em acordo com a alta direção da sua empresa e com o respaldo do
departamento jurídico. As ações pertinentes podem envolver o relacionamento
32
com entidades externas (como clientes, parceiros, provedores de serviços e
outros) ou mesmo exigir o acionamento de autoridades e órgãos policiais.
Principais pontos a serem considerados em um Plano de Resposta a
Incidentes:
• Procedimentos para identificação e autoria dos ataques:
identificar a intensidade e quantificar os prejuízos causados
pelo incidente e também procurar identificar os
responsáveis pelo incidente;
• Divulgação das informações: divulgar imediatamente o fato
ocorrido para que outras áreas não sejam também
abordadas;
• Procedimentos e pessoal responsável pela restauração: as
ações de restauração como, mudança de senhas, troca de
pessoal, intensificação dos níveis de controle, devem ser
imediatamente tomadas a fim de evitar maiores prejuízos;
• Contatos com as fontes do ataques e órgãos de
segurança: contatar os responsáveis pelos ataques, a fim
de exigir a indenização dos prejuízos e também os órgãos
de segurança para que fique registrado o fato ocorrido
(Medeiros, 2001).
A gama de formas de ataque de engenharia social é muito grande e
os procedimentos de resposta a incidentes são particulares. Estas
particularidades variam de acordo com o ramo de atividade de cada empresa; o
que é imprescindível para uma, pode ser dispensável para outra. No entanto,
toda empresa, independente do porte, deve ter o seu Plano de Resposta a
Incidentes.
33
3.2. Software ou fator humano, onde concentrar o
investimento?
O grande dilema das empresas de pequeno e médio porte é onde
investir para mitigar os efeitos da Engenharia Social. De acordo com o Kenin
Mitnick (Arte de Enganar, pág. 03), o fator humano é o elo mais fraco da
segurança.
Então a pergunta do título estaria respondida. Errado! A resposta
não é tão simples assim devido à mentalidade dos empreendedores brasileiros,
pois segundo o Sebrae (2016), os mesmos não conseguem dar a devida
importância ao treinamento e capacitação da equipe e a encaram como custo
ou “bondade”.
Diante desse pensamento, a concentração dos investimentos,
normalmente, é em sistemas e software, já que são propriedades intangíveis
das empresas. No entanto, não são garantias de proteção contra os ataques
dos Engenheiros Sociais.
Investir na capacitação e desenvolvimento dos colaboradores é a
forma mais eficiente que as empresas têm para prevenir e combater os efeitos
da Engenharia Social.
Para que os colaboradores adquiram conhecimentos supracitados é
necessário investimentos, por parte das empresas, nos seguintes tópicos:
• Seminários de Sensibilização;
• Cursos de Capacitação;
• Campanhas de divulgação da política de segurança;
• Crachás de identificação;
• Procedimentos específicos para demissão e admissão de funcionários;
• Termo de Responsabilidade;
• Termo de Confidencialidade;
• Softwares de auditoria de acessos, monitoramento e filmagem de
conteúdo.
34
Aliado a todos esses pontos supracitados, as empresas devem
influenciar seus colaboradores a mudarem seus hábitos e motivá-los a
participarem do treinamento, para assim conscientizá-los que eles são parte da
segurança da informação na empresa e que ela poderá sofrer um ataque a
qualquer momento. Com essa consciência e bem motivados, eles buscarão
cumprir sua parte para proteger o ativo mais importante da empresa: as
informações.
Além disso, investimentos nos programas de treinamento e
conscientização devem ser realizados constantemente, pois como o passar do
tempo o preparo das pessoas diminui além de novas ameaças e técnicas
usadas pelos engenheiros sociais surgirem constantemente, o que faz com que
seja necessário reforçar e atualizar os riscos na mente dos colaboradores.
Uma empresa que realmente leva a sérios os riscos e as
consequências da Engenharia Social a sério e como uma prioridade em sua
cultura corporativa passa a treinar seus funcionários assim que são admitidos,
de maneira que nenhum funcionário possa receber acesso a um
microcomputador antes de participar de pelo menos um treinamento básico
sobre os princípios básicos da política de segurança da empresa.
Um ótimo aspecto a ser abordado que pode funcionar como um
grande agente motivador para os colaboradores é esclarecê-los de que a
segurança da informação não é um assunto de interesse somente da empresa,
mas também dos próprios funcionários, pois a própria empresa possui
informações particulares a respeito dos seus funcionários. Assim, os
colaboradores perceberão que seguindo a política da empresa estarão
protegendo não somente informações corporativas, mas também suas
informações pessoais.
Cabe ressaltar que o treinamento deve ser adaptado de acordo
com os requisitos específicos de cada grupo dentro da organização, pois
apesar de muitas vezes são aplicados a todos os colaboradores, há situações
em que será necessária a existência de políticas específicas para
determinados cargos ou grupos distintos dentro das organizações. Também é
35
muito importante destacar a questão de funcionários que mudarem de cargo,
função e etc; os mesmos deverão passar por um novo processo de treinamento
ajustado às suas novas atribuições.
É fundamental que todos os colaboradores envolvidos sejam
advertidos a respeito das consequências que sofrerão se não cumprirem as
normas e procedimentos estabelecidos, pois muitas vezes, os próprios
funcionários ignoram ou até mesmo negligenciam os procedimentos que
acham desnecessários, ou aqueles considerados tediosos segundo
entendimento próprio.
Elaborar um resumo dessas consequências e divulgá-los
amplamente é um ótimo procedimento a ser realizado.
36
CONCLUSÃO
Neste trabalho a Engenharia Social foi abordada de maneira a
esclarecer o que é essa prática tão utilizada para alcançar algum objetivo de
forma ilícita. Assim como a importância que a informação tem para as
organizações e a necessidade de protegê-la.
Hoje em dia, as informações são transmitidas cada vez mais
dinâmicas e sem a utilização da tecnologia esse processo seria impossível.
Com isso, o cuidado com os dados transmitidos são imprescindíveis para o
mundo coorporativo.
Diante disso, as empresas necessitam desenvolver políticas de
seguranças consistentes com objetivo de mitigar possíveis riscos e ameaças e
de manter sua confidencialidade, disponibilidade e integridade do seu
patrimônio intangível (informação, dados).
A maioria dos incidentes envolvendo a segurança da informação
está diretamente ligada ao fator humano, pois esta mais relacionada com
processos do que com a própria tecnologia. Traços comportamentais e
psicológicos tornam o ser humano suscetível a ataques dos Engenheiros
Sociais.
Utilizando-se de Conformidade, lógica, Necessidade, Autoridade,
Reciprocidade, similaridade e informacional, os Engenheiros Sociais procuram
atingir seus objetivos de forma mais precisa e detalhada, reduzindo assim,
chances de falhas.
Diante do exposto, a questão central desse trabalho resurge: Em
meio a grave crise econômica e financeira do Brasil, as empresas de pequeno
e médio porte podem mitigar o impacto da Engenharia Social?
Com base no trabalho desenvolvido, o mesmo atingiu as
expectativas e elucidou o tema de forma positiva: diante do cenário de
turbulência vivido pelo país, as empresas de pequeno e médio porte podem
mitigar o impacto da Engenharia Social.
37
Conclui-se então que investimentos somente em software modernos
não são impeditivos para coibir as ações dos Engenheiros Sociais, mesmo
porque em tempos de crise que o País está atravessando, isso não seria nada
simples para as empresas de pequeno e médio porte, diante dos altos custos
envolvidos.
A maneira mais eficiente de mitigar os possíveis ataques seria
investimentos na capacitação e desenvolvimentos dos colaboradores; o foco
deverá ser em ter atenção e responsabilidade ao manipular, transmitir ou
descartar informações, atrelados a política de segurança centralizada e bem
divulgada, através de uma reeducação na organização de maneira a inserir
uma nova cultura que abrange cem por cento da empresa, pois qualquer falha
poderá ser fatal.
38
BIBLIOGRAFIA
ABNT. Tecnologia da informação — Técnicas de segurança — Código de
prática para a gestão da segurança da informação. Rio de janeiro. 2005.
EY. Pesquisa Global sobre segurança da informação – 2015. Disponível em:
http://www.ey.com/Publication/vwLUAssetsPI/giss2015_/$FILE/EY_Global_Info
rmation_Security_Survey_2015_report_Web.pdf, Acesso em: 15-jul-2016
GOUVEIA, LUÍS B. Desafios da segurança da informação: da sua cultura e
aplicação à confidencialidade. Disponível em:
http://pt.slideshare.net/lmbg/desafios-da-segurana-da-informao-da-sua-cultura-
e-aplicao-confidencialidade. Acesso em 11-jul-16
MITNICK, Kevin D.; SIMON, William L. A Arte de Enganar: Ataques de
Hackers: Controlando o Fator Humano na Segurança da Informação. São
Paulo: Pearson Education, 2003.
NÚCLEO DE INFORMAÇÃO E COORDENAÇÃO DO PONTO BR; CENTRO DE ESTUDOS, RESPOSTA E TRATAMENTO DE INCIDENTES DE SEGURANÇA NO BRASIL. Cartilha de Segurança para a Internet. Disponível em: http://www.cgi.br/media/docs/publicacoes/1/cartilha-seguranca-
internet.pdf#page=5&zoom=auto,-107,345 Acesso em: 16-set-16
PEIXOTO, Mário C. P. Engenharia Social e Segurança da Informação na
Gestão Corporativa. Rio de Janeiro: Brasport, 2006.
POPPER, Marcos Antônio; BRIGNOLI, Juliano Tonizatti. Engenharia Social:
Um perigo Eminente. 2003
PWC. Pesquisa Global de Segurança da Informação. Disponível em:
https://www.pwc.com.br/pt/publicacoes/servicos/assets/consultoria-
negocios/pesq-seg-info-2014.pdf. Acesso em 05-mai-16
SEBRAE. Qualificação de pessoas, sem dúvida! Disponível em:
http://www.papodeespecialistas.sebrae.com.br/qualificacao-de-pessoas-sem-
duvida/ Acesso em 07-jul-16
39
ÍNDICE
FOLHA DE ROSTO 02 AGRADECIMENTOS 03 DEDICATÓRIA 04 RESUMO 05 METODOLOGIA 06 SUMÁRIO 07 INTRODUÇÃO 08
CAPÍTULO I
A TECNOLOGIA NO MUNDO CORPORATIVO 10
1.1. A importância da Segurança da Informação para as Pequenas e Médias empresas 10
CAPÍTULO II
A ARTE DA ENGENHARIA SOCIAL 16
2.1. Conceituando a Engenharia Social 16
2.2. O Engenheiro Social 17
2.3. Engenharia Social nas Empresas de Pequeno e Médio Porte 22
CAPÍTULO III
COMBATE AO PERIGO DA ENGENHARIA SOCIAL 25
3.1. Combatendo os Engenheiros Sociais 25
3.2. Software ou fator humano, onde concentrar o investimento? 33
CONCLUSÃO 36 BIBLIOGRAFIA 38 ÍNDICE 39 ÍNDICE DE FIGURAS 40
40
ÍNDICE DE FIGURAS
Figura 1 – Impactos dos incidentes de segurança 11
Figura 2 – Fluxograma 13
Recommended