FATORES DE TECNOLOGIA SOCIAL QUE AFETAM A GESTÃO DE SEGURANÇA DA INFORMAÇÃO

João Pessoa, 29 de março de 2015

Aluno: Alessandro Gonçalves monteiro – Turno: Noturno

Curso: redes de computadores

FATORES DA ENGENHARIA SOCIAL QUE INFLUENCIAM A GESTÃO DE SEGURANÇA DA INFORMAÇÃO

    Há uma frase de Allen Frisch que diz: “Segurança tem início e termina com as pessoas”. Muitos executivos pensam que é suficiente a implementação de regras, regulamentos, normas, bem como o uso de programas de proteção da informação. Estas são ações importantes, contudo são apenas parte da solução. É essencial que haja a conscientização das pessoas da organização, sejam elas funcionárias, prestadores de serviços, executivos ou acionistas. Infelizmente a informação não é considerada como fonte preciosa de posse particular. Ou seja, como objeto preponderantemente valioso que cada funcionário carrega consigo, desde o momento em que se instala na empresa ate o presente momento. Funcionários despreparados podem ser alvos fáceis da técnica denominada ENGENHARIA SOCIAL.

    Mas o que vem a ser engenharia social? Emerson Alecrim a define como sendo “qualquer método utilizado para enganação ou exploração da confiança das pessoas para a obtenção de informações sigilosas ou importantes”. Ou, segundo um dos maiores especialistas na arte da engenharia social, Kevin Mitnick: “É um termo diferente para definir o uso da persuasão para influenciar as pessoas a concordarem com um pedido”.

    Em geral, o Engenheiro social tem o perfil do tipo de pessoa agradável, simpática, educada e carismática. Além disso, é criativo, flexível e dinâmico, possuindo uma conversa bastante envolvente. Ele utiliza varias ferramentas para a pratica da engenharia social, dentre elas têm-se:

• Telefone ou VoIP (voz sobre IP): Passam-se por alguém que não é.
• Internet: Utilizam sites que fornecem ID e password, sites clonados ou via FTP, Orkut, registro BR, google dentre outros.
• Intranet (Acesso remoto): Captura o micro de determinado usuário dentro da rede e se passa por alguém que não é. Pode se tratar de funcionário insatisfeito, que constitui uma das maiores ameaças existentes.
• E-mail: e-mails falsos (fakemails, pishing scan).
• Pessoalmente: O engenheiro social faz-se passar por alguém que ele não é. Utiliza a persuasão e como um artista de teatro, adota toda uma encenação, a fim de manipular a vitima de forma bastante convincente no que diz.
• Chats (bate papo): Utilizam softwares de canais de bate-papo, tais como Skype, ICQ, IRC para obter informações valiosas, passando-se por alguém que na verdade não é.
• Fax: Praticando os mesmos princípios do email, o engenheiro social envia pedidos de requisição, formulários de preenchimento, dentre outros, para posterior retorno do que se deseja obter.
• Cartas/Correspondências: Utilizado principalmente para enganar pessoas mais velhas e principalmente aquelas que tem certa resistência a tecnologia. Dai o engenheiro social elabora cartas-documentos com logomarcas e tudo mais, dando a impressão de que se trata realmente da origem.
• Spyware: Software espião usado para monitorar de modo oculto as atividades do computador alvo.
• Mergulho no lixo (“Dumpster diving”): Muitas informações valiosas são jogadas no lixo diariamente sem que o documento passe por um triturador.
• Surfar sobre os ombros: É o ato de observar uma pessoa digitando no teclado do computador para descobrir e roubar sua senha ou outras informações de usuário, em geral em locais públicos.
• P2P (Peer-to-Peer): Tecnologia utilizada para estabelecer uma espécie de rede de computadores virtual onde cada estação possui capacidade e responsabilidades equivalentes. Difere da arquitetura cliente/servidor, no qual alguns computadores são dedicados a servirem dados a outros computadores. Aparentemente mal empregado, o termo quando utilizado para aplicações como o napster, ressaltam a importância do papel exercido pelos nós da rede. Estes passam a servir como  provedores de informação, não apenas consumidores passivos. São exemplos de aplicações Peer-to-Peer: Kazaa, freenet, emule entre outros.

   O engenheiro social utiliza varias técnicas para obter as informações de que necessita. Uma delas é criar confiança nas pessoas que deseja enganar. Após adquirir esta confiança, passa a atacar e conseguir essas informações. Ele prepara toda a teia de situações que podem vir a ocorrer, como questionamentos e perguntas das quais ele possa ter que responder no ato, sem gaguejar ou demonstrar insegurança, a ponto da vitima não ter motivo de desconfiar algo estranho na pessoa.

   O Hacker pode ser considerado o primo longe do engenheiro social. Nem todo engenheiro social é um hacker, mas em alguns casos o hacker chega a ser um engenheiro social, com conduta semelhante a captura de informações. O hacker age de forma a explorar muito mais as vulnerabilidades técnicas, enquanto o engenheiro social explora as vulnerabilidades humanas. A internet é um excelente recurso para coleta de informações, assim como para aprimorar ataques de engenharia social. Armadilhas como sites clonados, denominados fakemail ou scam (email falsos) que se passam por mensagens verdadeiras para atrair internautas. A ideia consiste em usar o nome de uma empresa ou de algum serviço conhecido na internet para convencer o usuários a clicarem no link da mensagem. No entanto, esse link não aponta para o que a mensagem oferece, mas sim para um site falso que tem o mesmo layout de um site verdadeiro com um arquivo executável que tem a função de capturar as informações da maquina da vitima.

   Segundo Emerson Alecrim, os scams usam qualquer tema, porém os mais comuns fingem ser e-mails de cartões virtuais. Nestes casos, o link para visualização do cartão geralmente aponta para um arquivo executável e muita gente, na expectativa de ver o cartão clica no link sem checar antes se este é mesmo verdadeiro.

   Há também scams que usam como tema assuntos financeiros, como mensagens que fingem ser e-mails de bancos conhecidos solicitando ao internauta o recadastramento de informações, sob o pretexto de alguma vantagem tentadora. Caso o usuário clique no link, este o levará a um site falso com um visual igual ou semelhante a pagina do banco em questão e, por isso, o internauta tende a não perceber que aquele endereço é falso e acaba fornecendo suas informações, inclusive senhas.

    A questão é que, cada vez mais, os internautas estão tomando ciência desse golpe e os scammers- os criminosos que enviam as mensagens falsas- estão em constante busca de alternativas para continuar a aplicar os golpes.

   Uma das técnicas encontradas é o uso do medo e do susto. Isso funciona, basicamente, da seguinte forma: Uma mensagem chega a caixa de e-mails do internauta dizendo que este possui dividas pendentes (por exemplo, em contas de telefone) ou irregularidades em algum documento (Por exemplo no CPF).

...