Engenharia social (segurana da informao)

Origem: Wikipdia, a enciclopdia livre. Em Segurana da informao, chama-se Engenharia Social as prticas utilizadas para obter acesso a informaes importantes ou sigilosas em organizaes ou sistemas por meio da enganao ou explorao da confiana das pessoas. Para isso, o golpista pode se passar por outra pessoa, assumir outra personalidade, fingir que um profissional de determinada rea, etc. uma forma de entrar em organizaes que no necessita da fora bruta ou de erros em mquinas. Explora as falhas de segurana das prprias pessoas que, quando no treinadas para esses ataques, podem ser facilmente manipuladas.

Entendendo a Engenharia Social

Engenharia social compreende a inaptido dos indivduos manterem-se atualizados com diversas questes pertinentes a tecnologia da informao, alm de no estarem conscientes do valor da informao que eles possuem e, portanto, no terem preocupao em proteger essa informao conscientemente. importante salientar que, a engenharia social aplicada em diversos setores da segurana da informao independente de sistemas computacionais, software e ou plataforma utilizada, o elemento mais vulnervel de qualquer sistema de segurana da informao o ser humano, o qual possui traos comportamentais e psicolgicos que o torna suscetvel a ataques de engenharia social. Dentre essas caractersticas, pode-se destacar: Vaidade pessoal e/ou profissional: O ser humano costuma ser mais receptivo a avaliao positiva e favorvel aos seus objetivos, aceitando basicamente argumentos favorveis a sua avaliao pessoal ou profissional ligada diretamente ao benefcio prprio ou coletivo de forma demonstrativa. Autoconfiana: O ser humano busca transmitir em dilogos individuais ou coletivos o ato de fazer algo bem, coletivamente ou individualmente, buscando transmitir segurana, conhecimento, saber e eficincia, buscando criar uma estrutura base para o incio de uma comunicao ou ao favorvel a uma organizao ou individuo. Formao profissional: O ser humano busca valorizar sua formao e suas habilidades adquiridas nesta faculdade, buscando o controle em uma comunicao, execuo ou apresentao seja ela profissional ou pessoal buscando o reconhecimento pessoal inconscientemente em primeiro plano. Vontade de ser til : O ser humano, comumente, procura agir com cortesia, bem como ajudar outros quando necessrio. Busca por novas amizades : O ser humano costuma se agradar e sentir-se bem quando elogiado, ficando mais vulnervel e aberto a dar informaes. Propagao de responsabilidade : Trata-se da situao na qual o ser humano considera que ele no o nico responsvel por um conjunto de atividades. Persuaso : Compreende quase uma arte a capacidade de persuadir pessoas, onde se busca obter respostas especficas. Isto possvel porque as pessoas possuem caractersticas comportamentais que as tornam vulnerveis a manipulao. A engenharia social no exclusivamente utilizada em informtica, a engenharia social uma

ferramenta onde exploram-se falhas humanas em organizaes fsicas ou jurdicas onde operadores do sistema de segurana da informao possuem poder de deciso parcial ou total ao sistema de segurana da informao seja ele fsico ou virtual, porm devemos considerar que as informaes pessoais, no documentadas, conhecimentos, saber, no so informaes fsicas ou virtuais, elas fazem parte de um sistema em que possuem caractersticas comportamentais e psicolgicas na qual a engenharia social passa a ser auxiliada por outras tcnicas como: leitura fria, linguagem corporal, leitura quente, termos usados no auxlio da engenharia social para obter informaes que no so fsicas ou virtuais mas sim comportamentais e psicolgicas. A engenharia social praticada em diversas profisses beneficamente ou no, visando proteger um sistema da segurana da informao ou atacar um sistema da segurana da informao. Um engenheiro social no um profissional na engenharia social (a engenharia social no uma faculdade e sim tcnicas), mas trata-se de uma pessoa que possui conhecimentos em diversas reas profundamente ou no, 99% das pessoas que praticam a engenharia social, de forma benfica ou no, trabalham em grandes empresas ou em empresas de mdio porte, visando buscar falhas em um sistema de segurana da informao para aperfeioar ou explorar falhas. Exemplos de empresas: Agencias caa talentos: Estas empresas buscam pessoas com habilidades na engenharia social para usar de forma benfica dentro da empresa, visando aperfeioar a abordagem de pessoas com talentos por parte de seus funcionrios que sofrem ataques constantes de engenharia social para revelarem talentos descobertos pela empresa. Seguradoras, Planos de Sade: Estas empresas buscam constantemente na internet e outros meios de busca de pessoas com talentos em engenharia social, visando reduzir ataques individuais ou coletivos visando proteger o quadro de clientes, visando evitar a migrao de clientes para outras empresas da mesma atividade. A engenharia social muito confundida com a arte da enganao em termos tcnicos por estar relacionada em casos de violao da segurana da informao virtualmente e fsicamente, porm devemos lembrar que a engenharia social utilizada para a proteo da informao tambm, estes casos so frequentes e no so divulgados por motivos de segurana da informao de uma pessoa jurdica ou pessoa fsica, uma falha descoberta por uma pessoa com habilidades na engenharia social ela pode ser explorada de duas formas, beneficamente ou maleficamente, sua atuao como pessoa com habilidades na engenharia social contratado para solucionar falhas e no amplia-las, est a forma benfica de usar a engenharia social, a forma malfica de utilizar a engenharia social est ligada a 99% dos casos por pessoas que buscam violar, obter a informao de forma desonesta, buscando lucros pessoais ou empresariais, lembramos que a engenharia social no uma faculdade e sim uma habilidade pessoal de um profissional ou no em uma determinada rea, profisso, dedicao, hobby, entre outros. A engenharia social utilizada no dia-a-dia de pessoas comuns ou no de forma involuntria, o que difere o uso involuntrio da engenharia social do prejulgamento ou deduo a vaidade pessoal ligada ao objetivo pessoal que induz a engenharia social involuntria, frequentes em lugares comuns como: Exemplos de locais: Feiras livres: A engenharia social involuntria frequente nas feiras livres em desconfiamos da qualidade, da validade, do preo, usamos a engelharia social involuntria para obtermos informaes que nos favorea diretamente, esta forma de praticar a engenharia social involuntria avaliada como trao comportamental. Bares: A engenharia social involuntria frequente em bares, buscando informaes que possam nos favorecer, em sua grande maioria esta pratica est ligada conquista, romantismo, de uma forma geral visando a conquista afetiva ou amorosa de uma segunda

pessoa seja organizadamente ou no. A engenharia social lida com varias formas e tcnicas em situaes diversas, pessoas com habilidades na engenharia social que atuam nesta rea por muitos anos definem a engenharia social como umas das ferramentas mais utilizadas no mundo em comunicao humana, visando proteger a informao ou no, divulgar a informao ou no, uma arma ou uma flor em suas mos com uma imagem desfocada ou focada, porm muito perigosa ao corao.

Tcnicas
A maioria das tcnicas de engenharia social consiste em obter informaes privilegiadas enganando os usurios de um determinado sistema atravs de identificaes falsas, aquisio de carisma e confiana da vtima. Um ataque de engenharia social pode se dar atravs de qualquer meio de comunicao. Tendo-se destaque para telefonemas, conversas diretas com a vtima, e-mail e WWW. Algumas dessas tcnicas so: Vrus que se espalham por e-mail Criadores de vrus geralmente usam e-mail para a propagar de suas criaes. Na maioria dos casos, necessrio que o usurio ao receber o e-mail execute o arquivo em anexo para que seu computador seja contaminado. O criador do vrus pensa ento em uma maneira de fazer com que o usurio clique no anexo. Um dos mtodos mais usados colocar um texto que desperte a curiosidade do usurio. O texto pode tratar de sexo, de amor, de notcias atuais ou at mesmo de um assunto particular do internauta. Um dos exemplos mais clssicos o vrus I Love You, que chegava ao e-mail das pessoas usando este mesmo nome. Ao receber a mensagem, muitos pensavam que tinham um(a) admirador(a) secreto(a) e na expectativa de descobrir quem era, clicavam no anexo e contaminam o computador. Repare que neste caso, o autor explorou um assunto que mexe com qualquer pessoa. Alguns vrus possuem a caracterstica de se espalhar muito facilmente e por isso recebem o nome de worms (vermes). Aqui, a engenharia social tambm pode ser aplicada. Imagine, por exemplo, que um worm se espalha por e-mail usando como tema cartes virtuais de amizade. O internauta que acreditar na mensagem vai contaminar seu computador e o worm, para se propagar, envia cpias da mesma mensagem para a lista de contatos da vtima e coloca o endereo de e-mail dela como remetente. Quando algum da lista receber a mensagem, vai pensar que foi um conhecido que enviou aquele e-mail e como o assunto amizade, pode acreditar que est mesmo recebendo um carto virtual de seu amigo. A ttica de engenharia social para este caso, explora um assunto cabvel a qualquer pessoa: a amizade. E-mails falsos (spam) Este um dos tipos de ataque de engenharia social mais comuns e usado principalmente para obter informaes financeiras da pessoa, como nmero de conta-corrente e senha. Neste caso, o aspecto explorado a confiana. Boa parte dos criadores desses e-mails so criminosos que desejam roubar o dinheiro presente em contas bancrias. Porm, os sistemas dos bancos so mais bem protegidos que a maioria dos sistemas informatizados. Como invivel tentar burlar a seguranas dos sistemas bancrios, mais fcil ao criminoso tentar enganar as pessoas para que elas forneam suas informaes bancrias. A ttica usada a seguinte: o criminoso adquire uma lista de e-mails usados para SPAM que contm milhes de endereos, depois vai a um site de um banco muito conhecido, copia o layout da pgina e o salva em um site provisrio, que tem a url semelhante ao site do banco. Por exemplo, imagine que o nome do banco seja 'Banco Dinheiro' e o site seja www.bancodinheiro.com. O criminoso cria um site semelhante: 'www.bancodinhero.com' ou 'www.bancodinheiro.com.br' ou 'www.bancodinheiro.org', enfim. Neste site, ele faz uma cpia idntica a do banco e disponibiliza campos especficos para o usurio digitar seus dados confidenciais. O passo seguinte enviar um e-mail lista adquirida usando um layout semelhante ao do site. Esse e-mail acompanhado por um link que leva ao site falso. Para fazer com que o internauta clique no link, o texto da mensagem pode, por exemplo, sugerir uma premiao: "Voc

acaba de ser premiado com 10 mil reais. Clique no link para atualizar seu cadastro e receber o prmio". Como a instituio bancria escolhida geralmente muito conhecida, as chances de que o internauta que recebeu o e-mail seja cliente do banco so grandes. Assim, ele pode pensar que de fato foi o banco que enviou aquela mensagem, afinal, o e-mail e o site do link tem o layout da instituio. Como conseqncia, a vtima ingenuamente digita seus dados e dias depois percebe que todo o dinheiro da sua conta sumiu! Repare que em casos assim, o golpista usa a imagem de confiabilidade que o banco tem para enganar as pessoas. Mensagens falsas que dizem que o internauta recebeu um carto virtual ou ganhou um prmio de uma empresa grande so comuns. Independente do assunto tratado em e-mails desse tipo, todos tentam convencer o internauta a clicar em um link ou no anexo. A forma utilizada para convencer o usurio a fazer isso uma ttica de engenharia social.