entendendo e evitando a engenharia social
12
Entendendo e Evitando a Engenharia Social: Protegendo Sistemas e Informações Atualmente, informação constitui um bem de suma importância para as organizações dos mais variados segmentos. A Internet popularizada ao longo dos anos 90 permitiu a troca e disponibilidade de informações por meio da WWW (World Wide Web). Outros mecanismos de comunicação e troca de informações como correio eletrônico também têm proporcionado benefícios no uso profissional e pessoal. Note que a informação compreende qualquer conteúdo que possa ser armazenado ou transferido de algum modo, servindo a determinado propósito e sendo de utilidade ao ser humano. Dentro do universo de informações, muitas delas têm valor pessoal ou mesmo organizacional. Na grande maioria das situações, usuários de informações desconhecem seu valor e pode colocar a si ou uma instituição numa condição vulnerável, principalmente, quando diante de um engenheiro social, conforme discutido abaixo. Necessidade de Proteger Sistemas No contexto apresentado acima, a necessidade de prover segurança da informação e sistemas de informações tem sido uma questão constante nas organizações. A segurança da informação visa proteger os sistemas através de um conjunto de medidas que preservam informações e sistemas de informações, assegurando-lhes integridade, não repúdio, disponibilidade, autenticidade e confidencialidade. Embora a grande maioria das organizações e usuários comuns possua mecanismos técnicos defensivos contra ataques, os quais exigem o usuário informar não apenas seu login (ou nome de usuário num sistema) e respectiva senha, bem como verifica a existência de vírus em arquivos, ainda assim os sistemas atuais são susceptíveis a ataques não técnicos decorrentes da engenharia social. Considere a situação na qual um executivo de uma companhia, o qual na realidade não é funcionário dessa companhia, faz uma ligação telefônica ao administrador de sistemas dessa companhia. O executivo (i.e. engenheiro social ou hacker social) informa ao administrador de sistemas que se encontra numa viagem de negócios fora da cidade e precisa ter acesso a um relatório de um cliente a fim de fechar um negócio de milhões de reais. Em razão disto, solicita que o administrador de sistemas troque sua senha, permitindo-lhe digitar nova senha, pois do contrário ele não terá acesso ao relatório do cliente e, conseqüentemente, perderá um negocio de milhões. O administrador, então, tentando ajudá-lo emite um comando de reset para o login daquele usuário e, a partir daí, o suposto executivo obtém acesso privilegiado ao sistema da companhia, sem ter a necessidade de passar por qualquer mecanismo de detecção de intrusão. Entendendo a Engenharia Social Engenharia social, dentro da área de segurança de sistemas computacionais, é um termo utilizado para qualificar os tipos de intrusão não técnica, que coloca ênfase na interação humana e, freqüentemente, envolve a habilidade de enganar pessoas objetivando violar procedimentos de segurança. Um aspecto relevante da engenharia social compreende a inaptidão dos indivíduos manterem-se atualizados com diversas questões pertinentes a tecnologia da informação, além de não
Transcript of entendendo e evitando a engenharia social
Entendendo e Evitando a Engenharia Social: Protegendo Sistemas e Informações
Atualmente, informação constitui um bem de suma importância para as organizações dos mais variados segmentos. A Internet popularizada ao longo dos anos 90 permitiu a troca e disponibilidade de informações por meio da WWW (World Wide Web). Outros mecanismos de comunicação e troca de informações como correio eletrônico também têm proporcionado benefícios no uso profissional e pessoal. Note que a informação
compreende qualquer conteúdo que possa ser armazenado ou transferido de algum modo, servindo a determinado propósito e sendo de utilidade ao ser humano. Dentro do universo de informações, muitas delas têm valor pessoal ou mesmo organizacional. Na grande maioria das situações, usuários de informações desconhecem seu valor e pode colocar a si ou uma instituição numa condição vulnerável, principalmente, quando diante de um engenheiro social, conforme discutido abaixo.
Necessidade de Proteger Sistemas
No contexto apresentado acima, a necessidade de prover segurança da informação e sistemas de informações tem sido uma questão constante nas organizações. A segurança da informação visa proteger os sistemas através de um conjunto de medidas que preservam informações e sistemas de informações, assegurando-lhes integridade, não repúdio, disponibilidade, autenticidade e confidencialidade.
Embora a grande maioria das organizações e usuários comuns possua mecanismos técnicos defensivos contra ataques, os quais exigem o usuário informar não apenas seu login (ou nome de usuário num sistema) e respectiva senha, bem como verifica a existência de vírus em arquivos, ainda assim os sistemas atuais são susceptíveis a ataques não técnicos decorrentes da engenharia social.
Considere a situação na qual um executivo de uma companhia, o qual na realidade não é funcionário dessa companhia, faz uma ligação telefônica ao administrador de sistemas dessa companhia. O executivo (i.e. engenheiro social ou hacker social) informa ao administrador de sistemas que se encontra numa viagem de negócios fora da cidade e precisa ter acesso a um relatório de um cliente a fim de fechar um negócio de milhões de reais. Em razão disto, solicita que o administrador de sistemas troque sua senha, permitindo-lhe digitar nova senha, pois do contrário ele não terá acesso ao relatório do cliente e, conseqüentemente, perderá um negocio de milhões. O administrador, então, tentando ajudá-lo emite um comando de reset para o login daquele usuário e, a partir daí, o suposto executivo obtém acesso privilegiado ao sistema da companhia, sem ter a necessidade de passar por qualquer mecanismo de detecção de intrusão.
Entendendo a Engenharia Social
Engenharia social, dentro da área de segurança de sistemas computacionais, é um termo utilizado para qualificar os tipos de intrusão não técnica, que coloca ênfase na interação humana e, freqüentemente, envolve a habilidade de enganar pessoas objetivando violar procedimentos de segurança. Um aspecto relevante da engenharia social compreende a inaptidão dos indivíduos manterem-se atualizados com diversas questões pertinentes a tecnologia da informação, além de não estarem conscientes do valor da informação que eles possuem e, portanto, não terem preocupação em proteger essa informação.
É importante salientar que, independente do hardware, software e plataforma utilizada, o elemento mais vulnerável de qualquer sistema é o ser humano, o qual possui traços comportamentais e psicológicos que o torna susceptível a ataques de engenharia social. Dentre essas características, pode-se destacar:
Vontade de ser útil – O ser humano, comumente, procura agir com cortesia, bem como ajudar outros quando necessário.
Busca por novas amizades – O ser humano costuma se agradar e sentir-se bem quando elogiado, ficando mais vulnerável e aberto a dar informações.
Propagação de responsabilidade – Trata-se da situação na qual o ser humano considera que ele não é o único responsável por um conjunto de atividades.
Persuasão – Compreende quase uma arte a capacidade de persuadir pessoas, onde se busca obter respostas específicas. Isto é possível porque as pessoas têm características comportamentais que as tornam vulneráveis a manipulação.
Importante observar que o sucesso da engenharia social depende da compreensão do comportamento do
ser humano, além da habilidade de persuadir outros a disponibilizarem informações ou realizarem ações desejadas pelo engenheiro social. Perceba ainda que o medo de perder seu emprego ou vontade de ascender pode resultar na entrega de informação de natureza proprietária. Nesse sentido, observa-se que a engenharia social possui uma seqüência de passos na qual um ataque pode ocorrer:
Coleta de informações – O hacker ou engenheiro social busca as mais diversas informações dos usuários como número de CPF, data de nascimento, nomes dos pais, manuais da empresa, etc. Essas informações ajudarão no estabelecimento de uma relação com alguém da empresa visada.
Desenvolvimento de relacionamento – O engenheiro social explora a natureza humana de ser confiante nas pessoas até que se prove o contrário.
Exploração de um relacionamento – O engenheiro social procura obter informações da vítima ou empresa como, por exemplo, senha, agenda de compromissos, dados de conta bancária ou cartão de crédito a serem usados no ataque.
Execução do ataque – O hacker ou engenheiro social realiza o ataque a empresa ou vítima, fazendo uso de todas informações e recursos obtidos.
Evitando a Engenharia Social
Especialistas afirmam que a medida que nossa sociedade torna-se cada vez mais dependente da informação, a engenharia social tende a crescer e constituir-se numa das principais ameaças aos sistemas de segurança das (grandes) organizações. Entretanto, embora as situações apresentadas acima sejam um tanto indesejáveis e até certo ponto assustadoras, há mecanismos através dos quais uma organização pode implementar a fim de detectar e prevenir ataques de engenharia social. Tais medidas visam, principalmente, atenuar a participação do componente humano. Essas medidas compreendem:
Educação e Treinamento – Importante conscientizar as pessoas sobre o valor da informação que elas dispõem e manipulam, seja ela de uso pessoal ou institucional. Informar os usuários sobre como age um engenheiro social.
Segurança Física – Permitir o acesso a dependências de uma organização apenas às pessoas devidamente autorizadas, bem como dispor de funcionários de segurança a fim de monitorar entrada e saída da organização.
Política de Segurança – Estabelecer procedimentos que eliminem quaisquer trocas de senhas. Por exemplo, um administrador jamais deve solicitar a senha e/ou ser capaz de ter acesso a senha de usuários de um sistema. Estimular o uso de senhas de difícil descoberta, além de remover contas de usuários que deixaram a instituição.
Controle de Acesso – Os mecanismos de controle de acesso tem o objetivo de implementar privilégios mínimos a usuários a fim de que estes possam realizar suas atividades. O controle de acesso pode também evitar que usuários sem permissão possam criar/remover/alterar contas e instalar software danosos a organização.
Tenho observado que gasto milhares de reais na aquisição de ferramentas de segurança (detecção de intrusão, firewalls, etc) a fim de dotarem seus sistemas de maior segurança. Todavia, a maioria das empresas acredita que a solução, unicamente, técnica garantem a segurança dos sistemas. Embora eu concorde que a solução técnica seja necessária, ela por si só não é suficiente. É preciso também considerar o componente humano de um sistema de segurança da informação a fim de minimizar ou quiçá minimizar a vulnerabilidade de sistemas.
Cuidado com a engenharia socialSaiba dos cuidados necessários para não cair nas armadilhas dos engenheiros sociais.
• Por Elaine Martins da Silva • 2 de Dezembro de 2008
• recomende (12)
Object 1 Compartilhar
comentários (6)
compartilhe este link
O termo engenharia social ficou mais conhecido em 1990, através do famoso hacker Kevin Mitnick. Mas afinal, qual o significado do termo? Engenharia social são as práticas utilizadas para se obter informações sigilosas ou importantes de empresas e sistemas, enganando e explorando a confiança das pessoas.
Na maioria das vezes, os golpistas se passam por funcionários da empresa alvo, ou mesmo autoridades interessadas em prestar ou comprar serviços. As pessoas que não estão preparadas para enfrentar ataques deste tipo são facilmente manipuladas e fornecem as informações pedidas.
Mas como se proteger de golpistas que utilizam esta técnica? A melhor maneira é sabendo como os engenheiros sociais agem e ficar sempre atento ao fornecer informações.
Primeiros alvos ao telefone
Engenheiros sociais que utilizam o telefone para obter informações possuem como objetivo ou passar-se por algum funcionário e colega de trabalho, ou algum tipo de autoridade externa, como auditor por exemplo.
Os primeiros alvos são secretárias, recepcionistas e seguranças, pois esses funcionários estão sempre em contato (direto ou indireto) com as pessoas que detém cargos de poder dentro da empresa, os verdadeiros alvos. Assim, através de pessoas mais acessíveis e com cargos menores é possível obter informações sobre aquelas mais bem posicionadas na hierarquia.
Falar a mesma língua
Cada corporação possui sua própria linguagem e expressões que são usadas pelos funcionários. A engenharia social criminosa estuda tal linguagem para tirar o máximo proveito disso. O motivo é simples: se alguém fala com você utilizando uma linguagem que se reconheça é mais fácil sentir-se seguro e a baixar a guarda, falando o que o golpista quer ouvir.
Música de espera
Ataques bem-sucedidos exigem paciência, tempo e persistência. Uma abordagem que está sendo muito utilizada é utilizar a música que as empresas utilizam para deixar as pessoas esperando ao telefone. Ao ouvi a música à qual está habituado, o funcionário conclui que quem está do outro lado da linha realmente trabalha na mesma corporação que ele e acaba baixando a guarda e fornecendo todas as informações solicitadas.
Telefone falso
Uma nova técnica está sendo usada pela engenharia social criminosa para burlar o sistema de identificador de chamada das empresas. É o chamado spoofing do número telefônico, que faz com que o identificador de chamadas mostre um número diferente daquele que realmente originou a ligação.
Notícias e SPAMs
Este é um dos ataques mais comuns e é utilizado principalmente para obter dados bancários e financeiros das pessoas, como número de conta, senha, número do cartão de crédito, etc. Os assuntos dos emails normalmente são pertinentes a notícias divulgadas na mídia, seja pelo jornal, televisão, rádio ou Internet.
A maioria dos textos contém um link que encaminha o usuário para uma página falsa de banco, contas de email, sites de relacionamento, etc. Ao entrar com os dados solicitados, o usuário está, na verdade, enviando o login e a senha para o criminoso sem perceber.
Redes sociais
Boa parte das pessoas possui perfis e contas em redes sociais, o que facilita a engenharia social criminosa. Ao criar perfis em sites de relacionamento é preciso ter cautela com os dados ali fornecidos, pois muitas vezes eles podem ser usados para prejudicar você. Não é aconselhável colocar telefones, endereço, empresa na qual trabalha e qualquer tipo de informação pessoal em seu perfil.
Erros de digitação
Pessoas que praticam a engenharia social criminosa se aproveitam de qualquer deslize dos usuários para tirar informações. Uma das novas técnicas empregadas é aproveitar-se dos erros de digitação cometidos.
Sites falsos são criados com endereços muito semelhantes aos do site original, mas estes sites fake, como são conhecidos, na verdade enviam os dados digitados diretamente para a mão dos
criminosos., é o conhecemos por phishing. Por isso, cuidado ao digitar o endereço de qualquer página na barra de endereços do seu navegador. Antes de enviar qualquer dado, tenha certeza que está no site correto.
Boatos = queda
Os boatos que circulam pela Internet podem refletir diretamente na empresa sobre a qual se fala. Um bom exemplo dessa situação é a Apple, que teve queda em suas ações depois que o boato sobre a suposta morte de Steve Jobs circulou por emails, blogs e fóruns. Tal método é conhecido no mercado financeiro como “pump-and-dump”.
Concluindo
Com as dicas dadas acima é possível se prevenir, mas a melhor maneira de ficar longe de problemas é ter cautela enquanto você está navegando pela Internet e não dar informações à qualquer pessoa. É muito importante manter o antivírus atualizado, assim como os aplicativos que detectam spywares e malwares. Garanta sua segurança e noites tranqüilas de sono.
Cuidado com a engenharia socialSaiba dos cuidados necessários para não cair nas armadilhas dos engenheiros sociais.
• Por Elaine Martins da Silva • 2 de Dezembro de 2008
• recomende (12)
Object 2 Compartilhar
comentários (6)
compartilhe este link
O termo engenharia social ficou mais conhecido em 1990, através do famoso hacker Kevin Mitnick. Mas afinal, qual o significado do termo? Engenharia social são as práticas utilizadas para se obter informações sigilosas ou importantes de empresas e sistemas, enganando e explorando a confiança das pessoas.
Na maioria das vezes, os golpistas se passam por funcionários da empresa alvo, ou mesmo autoridades interessadas em prestar ou comprar serviços. As pessoas que não estão preparadas para enfrentar ataques deste tipo são facilmente manipuladas e fornecem as informações pedidas.
Mas como se proteger de golpistas que utilizam esta técnica? A melhor maneira é sabendo como os engenheiros sociais agem e ficar sempre atento ao fornecer informações. A equipe do Baixaki preparou este artigo com algumas dicas para você ficar esperto e não cair em armadilhas.
Primeiros alvos ao telefone
Engenheiros sociais que utilizam o telefone para obter informações possuem como objetivo ou passar-se por algum funcionário e colega de trabalho, ou algum tipo de autoridade externa, como auditor por exemplo.
Os primeiros alvos são secretárias, recepcionistas e seguranças, pois esses funcionários estão sempre em contato (direto ou indireto) com as pessoas que detém cargos de poder dentro da empresa, os verdadeiros alvos. Assim, através de pessoas mais acessíveis e com cargos menores é possível obter informações sobre aquelas mais bem posicionadas na hierarquia.
Falar a mesma língua
Cada corporação possui sua própria linguagem e expressões que são usadas pelos funcionários. A engenharia social criminosa estuda tal linguagem para tirar o máximo proveito disso. O motivo é simples: se alguém fala com você utilizando uma linguagem que se reconheça é mais fácil sentir-se seguro e a baixar a guarda, falando o que o golpista quer ouvir.
Música de espera
Ataques bem-sucedidos exigem paciência, tempo e persistência. Uma abordagem que está sendo muito utilizada é utilizar a música que as empresas utilizam para deixar as pessoas esperando ao telefone. Ao ouvi a música à qual está habituado, o funcionário conclui que quem está do outro lado da linha realmente trabalha na mesma corporação que ele e acaba baixando a guarda e fornecendo todas as informações solicitadas.
Telefone falso
Uma nova técnica está sendo usada pela engenharia social criminosa para burlar o sistema de identificador de chamada das empresas. É o chamado spoofing do número telefônico, que faz com que o identificador de chamadas mostre um número diferente daquele que realmente originou a ligação.
Notícias e SPAMs
Este é um dos ataques mais comuns e é utilizado principalmente para obter dados bancários e financeiros das pessoas, como número de conta, senha, número do cartão de crédito, etc. Os assuntos dos emails normalmente são pertinentes a notícias divulgadas na mídia, seja pelo jornal, televisão, rádio ou Internet.
A maioria dos textos contém um link que encaminha o usuário para uma página falsa de banco, contas de email, sites de relacionamento, etc. Ao entrar com os dados solicitados, o usuário está, na verdade, enviando o login e a senha para o criminoso sem perceber.
Redes sociais
Boa parte das pessoas possui perfis e contas em redes sociais, o que facilita a engenharia social criminosa. Ao criar perfis em sites de relacionamento é preciso ter cautela com os dados ali fornecidos, pois muitas vezes eles podem ser usados para prejudicar você. Não é aconselhável colocar telefones, endereço, empresa na qual trabalha e qualquer tipo de informação pessoal em seu perfil.
Erros de digitação
Pessoas que praticam a engenharia social criminosa se aproveitam de qualquer deslize dos usuários para tirar informações. Uma das novas técnicas empregadas é aproveitar-se dos erros de digitação cometidos.
Sites falsos são criados com endereços muito semelhantes aos do site original, mas estes sites fake, como são conhecidos, na verdade enviam os dados digitados diretamente para a mão dos
criminosos., é o conhecemos por phishing. Por isso, cuidado ao digitar o endereço de qualquer página na barra de endereços do seu navegador. Antes de enviar qualquer dado, tenha certeza que está no site correto.
Boatos = queda
Os boatos que circulam pela Internet podem refletir diretamente na empresa sobre a qual se fala. Um bom exemplo dessa situação é a Apple, que teve queda em suas ações depois que o boato sobre a suposta morte de Steve Jobs circulou por emails, blogs e fóruns. Tal método é conhecido no mercado financeiro como “pump-and-dump”.
Concluindo
Com as dicas dadas acima é possível se prevenir, mas a melhor maneira de ficar longe de problemas é ter cautela enquanto você está navegando pela Internet e não dar informações à qualquer pessoa. É muito importante manter o antivírus atualizado, assim como os aplicativos que detectam spywares e malwares. Garanta sua segurança e noites tranqüilas de sono.
