Centro Universitrio do Distrito Federal UDF

Coordenao do Curso de Sistemas de Informao

Cssio Bastos Alves






SEGURANA DA INFORMAO VS. ENGENHARIA SOCIAL
Como se proteger para no ser mais uma vtima















Braslia
2010




Cssio Bastos Alves






SEGURANA DA INFORMAO VS. ENGENHARIA SOCIAL
Como se proteger para no ser mais uma vtima




Artigo apresentado Banca examinadora
do Centro Universitrio do Distrito Federal
UDF como requisito parcial para
obteno do grau de bacharel em
Sistemas de Informao sob a orientao
do Professor Cludio Raymundo S. de
Souza.









Braslia
2010

Reproduo parcial permitida desde que citada a fonte.


























Alves, Cssio Bastos.
Segurana da Informao vs. Engenharia Social : Como se proteger para
no ser mais uma vtima / Cssio Bastos Alves. Braslia, 2010.
63 f.

Artigo apresentado Banca examinadora do Centro Universitrio do
Distrito Federal - UDF, como requisito parcial para obteno do grau de
bacharel em Sistemas de Informao. Orientador: Cludio Raymundo S.
de Souza



1. Segurana da Informao. 2. Engenharia Social I. Ttulo

CDU
004.056
A474s


Cssio Bastos Alves




Segurana da informao vs. Engenharia social
Como se proteger para no ser mais uma vtima




Artigo apresentado Banca examinadora
do Centro Universitrio do Distrito Federal
UDF, como requisito parcial para
obteno do grau de bacharel em
Sistemas de Informao.



Aprovado pelos membros da banca examinadora em ____/____/_____, com
meno _____ (_____________________________________________________).


Banca Examinadora



__________________________________________________________
Cludio Raymundo S. de Souza
Orientador
Centro Universitrio do Distrito Federal



____________________________________________________________
Srgio Roberto Ferreira de Carvalho
Examinador
Centro Universitrio do Distrito Federal



____________________________________________________________
Ricardo Fonseca Arajo
Examinador
Centro Universitrio do Distrito Federal

































Dedico este trabalho a minha querida
mezinha Dona Ceclia Pereira, ao meu
querido pai Sr. Vicente de Paulo, ao meu
irmo Joo Victor e a minha filhinha linda
Milena Bastos, pois so os amores da
minha vida e a fonte de toda a minha
determinao e dedicao neste curso de
graduao.





AGRADECIMENTO


























Agradeo primeiramente ao Senhor Jesus
Cristo, pois sempre esteve ao meu lado me
dando fora nos momentos mais difceis, aos
meus pais que apesar de todas as dificuldades
sempre priorizaram a minha educao, aos
mestres por terem sido facilitadores e difusores
do conhecimento adquirido neste curso de
graduao e aos colegas de curso que juntos
caminhamos firmes e unidos at o fim de mais
um ciclo em nossas vidas.




















































O nico lugar onde sucesso vem antes do
trabalho no dicionrio.
Albert Einstein


RESUMO


O presente artigo tem por objetivo principal abordar a engenharia social no que se
refere aos seus mtodos, tcnicas e meios utilizados pelo engenheiro social para
enganar sua vitima e comprometer assim a segurana da informao, de maneira
que o leitor possa reconhecer esse tipo de abordagem para assim no ser mais uma
vitima dessa prtica to comum nos dias de hoje. O artigo tambm tem como
objetivo despertar o interesse e a conscientizao das pessoas e das organizaes
para esse perigo eminente, pois esse o melhor caminho para proteger a
informao. O artigo no tem como objetivo abordar a parte tcnica da segurana da
informao, no que se referem aos protocolos, cdigos e etc. Partindo do princpio
que a maioria dos usurios no compreende isso, pois so leigos nesse assunto. O
artigo foi divido em trs grandes momentos. No primeiro momento ser abordado o
conceito de engenharia social e segurana da informao assim como a importncia
da informao nos dias de hoje para as pessoas e principalmente para as
organizaes. Em um segundo momento, sero expostas algumas caractersticas
inerentes ao ser humano que assim o torna presa fcil, assim como tambm as
caractersticas do engenheiro social, para que assim possa ser reconhecido.
Tambm sero tratados os procedimentos que no podem ficar de fora de uma
poltica de segurana da informao, como por exemplo, os planos de treinamento e
conscientizao dos funcionrios. Por ltimo, sero dadas dicas de como se
proteger para no ser mais uma vitima da engenharia social. Com isso o leitor ter
uma viso mais ampla dos riscos, danos e consequncias causadas pela
engenharia social, assim como o que precisa ser feito para combat-la e como se
proteger.



Palavras-chave: Engenharia Social. Segurana da Informao. Conscientizao.

ABSTRACT


This article aims to address the main social engineering regarding to its methods,
techniques and methods used by social engineers to fool his victim and thereby
compromise the security of information, so that the reader can recognize this kind of
approach for not being a victim of this practice so common nowadays. The article
also aims to arouse interest and awareness of people and organizations for this
imminent danger, because this is the best way to protect information. The article is
not intended to address the technical aspects of information security, as they refer to
protocols, codes and so on. Assuming that most users do not understand this,
because they are laymen in this matter. The article was divided into three great
moments. At first we will address the concept of social engineering and information
security as well as the importance of information nowadays for people and especially
for organizations. In a second stage, it will be exposed some inherent characteristics
of the human being that makes it a so easy prey, as well as the characteristics of the
social engineer, so it can be recognized. It also will address the procedures that can
not be left out of an information security policy, such as plans for training and
awareness of employees. Finally, it will be given tips on how to protect yourself for
not being another victim of social engineering. Thus the reader will have a broader
view of risks, consequences and damage caused by social engineering, as well as
what must be done to combat it and how to protect yourself.



Key words: Social Engineering. Information Security. Awareness.
LISTA DE FIGURAS


Figura 1 O ciclo .....................................................................................................16
Figura 2 Os pilares da Segurana da Informao .................................................19
Figura 3 Aspectos da segurana da informao ...................................................19
Figura 4 Atual modelo da segurana da informao. ............................................24
Figura 5 Proposta de novo modelo para Segurana da Informao. ....................24
Figura 6 Elo mais fraco..........................................................................................25
Figura 7 Como metade de oito para o Engenheiro Social. .................................29
Figura 8 Ambiente sem polticas de Segurana. ...................................................32



LISTA DE TABELAS



Tabela 1 Tipos de intrusos e seus objetivos. .........................................................27
Tabela 2 reas de Risco, Tticas e Estratgias ....................................................54


SUMRIO


INTRODUO..........................................................................................................12
1. CONCEITOS DE ENGENHARIA SOCIAL E SEGURANA DA
INFORMAO......................................................................................................15
1.1. O QUE A ENGENHARIA SOCIAL...................................................................15
1.2. O QUE INFORMAO E QUAL A SUA IMPORTNCIA................................17
1.3. O QUE SEGURANA DA INFORMAO. .....................................................17
1.4. TIPOS DE VULNERABILIDADES.......................................................................21
2. O FATOR HUMANO..............................................................................................23
2.1. SUAS VULNERABILIDADES..............................................................................25
2.2. COMO AGE O ENGENHEIRO SOCIAL .............................................................27
3. A IMPORTNCIA DA POLTICA DE SEGURANA, TREINAMENTO E
CONSCIENTIZAO............................................................................................30
3.1. AMEAAS ..........................................................................................................30
3.2. POLTICA DE SEGURANA..............................................................................31
3.2.1. Plano de treinamento e conscientizao.................................................... 34
3.2.2. Plano de resposta a incidentes.................................................................... 39
4. TIPOS DE FRAUDES USANDO A ENGENHARIA SOCIAL, SUAS
TCNICAS E MEIOS UTILIZADOS......................................................................42
4.1. MEIOS MAIS COMUNS PARA ATACAR............................................................42
4.2. TCNICAS DE ATAQUE MAIS COMUNS..........................................................43
5. DICAS PARA NO SER MAIS UMA VTIMA DA ENGENHARIA SOCIAL .........47
5.1. COMO SE PROTEGER......................................................................................47
5.1.1. Elaborando senhas fortes ............................................................................ 55
CONCLUSO...........................................................................................................59
REFERNCIAS.........................................................................................................61





12
INTRODUO
Hoje em dia, a informao o ativo mais valioso das organizaes. Ao
mesmo tempo passa tambm a ser o mais visado e desejado por pessoas mal
intencionadas com objetivo de vasculhar por curiosidade, furtar para obter
informaes sigilosas e valiosas, trazer danos seja por diverso, benefcio prprio ou
vingana, descobrir segredos e etc. Por isso, mais do que nunca, existe uma
preocupao enorme com relao segurana das informaes nas organizaes e
at mesmo nos lares, pois ela representa a inteligncia competitiva dos negcios
(competitividade) e lucratividade. Por isso est exposta a uma enorme variedade de
ameaas e vulnerabilidades.
A questo que as organizaes do nfase somente na atualizao dos
seus parques tecnolgicos como, por exemplo, tecnologias de ultima gerao,
produtos cada vez mais sofisticados, firewalls, anti-malwares, Sistemas de deteco
de intruso (IDS), dispositivos de autenticao cada vez mais poderosos, tokens,
Smart cards, biometria e etc. Claro que toda essa tecnologia importante e
fundamental para a segurana da informao, mas no o bastante. De nada
adiantar trancar sempre as portas de sua casa, manter cadeados ou sistemas de
segurana que monitorem ou dificultem a entrada pelas portas, sendo que algum
de dentro de casa sempre abre as portas para o bandido. Dessa maneira, todo
investimento vai por gua abaixo.
Infelizmente ainda no da cultura das empresas investirem no
treinamento e na conscientizao dos seus funcionrios, afinal eles tambm fazem
parte da segurana da informao, mas as empresas acabam deixando de lado
outro aspecto to importante quanto tecnologia, que o fator humano, que por
sinal o elo mais fraco da segurana da informao. Quanto mais a tecnologia e os
dispositivos de segurana evoluem dificultando assim a explorao de
vulnerabilidades, mais os invasores exploraro o fator humano, pois como diz o
prprio ditado: No h Patch contra a Burrice Humana. (MARCELO; PEREIRA,



13
2005, p. 3). H somente uma maneira de combater a questo do fator humano e
isso deve ser feito atravs de treinamentos e conscientizao dos funcionrios.
Empregados devem ser treinados e orientados sobre o que a informao precisa
para estar protegida e como proteg-la.
A engenharia social, propriamente dita, est inserida como um dos
desafios (se no o maior deles) mais complexos no mbito das vulnerabilidades
encontradas na gesto da segurana da informao. (PEIXOTO, 2006, p. 36). A
falta de conscincia das pessoas a respeito das tcnicas de Engenharia Social e o
seu excesso de autoconfiana so os principais aspectos que favorecem o sucesso
da Engenharia Social. Uma empresa que realmente leva a srio a questo da
segurana da informao e considera isso como uma prioridade em sua cultura
corporativa passa a treinar seus funcionrios assim que so admitidos, de maneira
que nenhum funcionrio possa receber acesso a um microcomputador antes de
participar de pelo menos uma aula bsica sobre conscientizao em segurana da
informao.
O objetivo desse artigo ajudar as pessoas a entenderem como elas so
manipuladas e ensinar as barreiras que devem ser construdas por elas para no
serem vtimas da engenharia social. Em resumo esse artigo tem como objetivo
levantar a conscientizao das pessoas com relao sria ameaa causada pela
engenharia social e ajud-las a terem certeza que suas empresas ou at mesmo
seus prprios lares esto menos suscetveis a serem explorados por essas tcnicas.
Esse artigo tem como escopo a parte no tcnica da segurana da
informao, que envolve mtodos utilizados pelos intrusos para roubarem
informao, comprometerem a integridade da informao que se acredita ser
segura, mas na realidade no , ou destruir o ativo mais importante das empresas
que so suas informaes, utilizando o mtodo da engenharia social.
Esse artigo no ter como escopo a parte tcnica da segurana da
informao, partindo do princpio que a maioria esmagadora dos usurios leiga e



14
que muitas vezes mal consegue operar um microcomputador, quanto mais
compreender cdigos, protocolos e etc.
Uma empresa pode ter adquirido as melhores tecnologias de segurana que
o dinheiro pode comprar, pode ter treinado seu pessoal to bem que eles
trancam todos os segredos antes de ir embora e pode ter contratado
guardas para o prdio na melhor empresa de segurana que existe. Mesmo
assim essa empresa ainda estar vulnervel. Os indivduos podem seguir
cada uma das melhores prticas de segurana recomendadas pelos
especialistas, podem instalar cada produto de segurana recomendado e
vigiar muito bem a configurao adequada do sistema e a aplicao das
correes de segurana. Esses indivduos ainda estaro completamente
vulnerveis.(MITNICK; SIMON, 2003, p. 3).



15
1. CONCEITOS DE ENGENHARIA SOCIAL E SEGURANA DA INFORMAO

1.1. O QUE A ENGENHARIA SOCIAL

O termo engenharia social ficou mais conhecido em 1990, atravs de um
famoso hacker chamado Kevin Mitnick. Esse termo designa para prticas utilizadas
a fim de se obter informaes sigilosas ou importantes de empresas, pessoas e
sistemas de informao, explorando a confiana das pessoas para engan-las.
Pode-se tambm definir engenharia social como a arte de manipular pessoas a fim
de contornar dispositivos de segurana ou construir mtodos e estratgias para
ludibriar pessoas, utilizando informaes cedidas por elas de maneira a ganhar a
confiana delas para obter informaes. (SILVA, E., 2008).
Muitos so os significados e interpretaes dadas ao termo Engenharia
Social. Uma das melhores encontradas a seguinte:
Engenharia Social a cincia que estuda como o conhecimento do
comportamento humano pode ser utilizado para induzir uma pessoa a atuar
segundo seu desejo. No se trata de hipnose ou controle da mente, as
tcnicas de Engenharia Social so amplamente utilizadas por detetives
(para obter informao) e magistrados (para comprovar se um declarante
fala a verdade). Tambm utilizada para lograr todo tipo de fraudes,
inclusive invaso de sistemas eletrnicos. (KONSULTEX, 2004 apud
PEIXOTO, 2006, p. 4).
O termo engenharia foi atribudo a essa prtica porque construda
sobre informaes e tticas de acesso a informaes sigilosas de forma indevida. J
o termo social foi atribudo porque utiliza pessoas que vivem e trabalham em
grupos organizados. Essas prticas simplesmente ganharam esse novo termo, pois
so bem antigas sendo bastante utilizadas por detetives a fim de obterem
informaes e tambm por magistrados com o objetivo de comprovar se um
declarante fala a verdade. (SANTOS, 2004).
De acordo com Peixoto (2006, p. 36), A engenharia social, propriamente
dita, est inserida como um dos desafios (se no o maior deles) mais complexos no
mbito das vulnerabilidades encontradas na gesto da segurana da informao.



16
Os ataques de engenharia social podem ser divididos em dois grupos:
Os ataques diretos: Como o prprio nome j diz, so aqueles
caracterizados pelo contato direto entre o engenheiro social e a vtima atravs de
telefonemas, fax e at mesmo pessoalmente. Este exige do engenheiro social, um
planejamento antecipado e bem detalhado, alm de um segundo plano para caso o
primeiro no d certo, alm de muita criatividade e articulao para que o plano seja
bem sucedido.
Os ataques indiretos: Caracterizam-se pela utilizao de softwares ou
ferramentas para invadir como, por exemplo, vrus, Cavalos de Troia ou atravs de
sites e e-mails falsos para assim obter informaes desejadas.
A figura abaixo ilustra o ciclo de ataque da engenharia social que consiste
em quatro fases (Reunir Informaes, Desenvolver o Relacionamento com a vtima,
Explorao e Execuo). Cada ataque de engenharia social nico, com a
possibilidade de envolver mltiplas fases/ciclos e/ou pode at mesmo agregar o uso
de outras tcnicas de ataque mais tradicionais para atingir o resultado final desejado
(ALLEN, 2006, p. 5, traduo nossa).

Figura 1 O ciclo
Fonte: (ALLEN, 2006)







17
1.2. O QUE INFORMAO E QUAL A SUA IMPORTNCIA

A informao representa a inteligncia competitiva dos negcios e
reconhecida como ativo crtico para a continuidade operacional da empresa.
(PEIXOTO, 2006, p. 37).
Informao tambm se define como:
Ato ou efeito de informar ou informar-se; comunicao, indagao ou
devassa. Conjunto de conhecimentos sobre algum ou alguma coisa;
conhecimentos obtidos por algum. Fato ou acontecimento que levado ao
conhecimento de algum ou de um pblico atravs de palavras, sons ou
imagens. Elemento de conhecimento suscetvel de ser transmitido e
conservado graas a um suporte e um cdigo (PEIXOTO, 2006, p. 4).
O Cdigo de prtica para a gesto da segurana da informao diz o
seguinte:
A informao um ativo que, como qualquer outro ativo importante,
essencial para os negcios de uma organizao e consequentemente
necessita ser adequadamente protegida. Isto especialmente importante no
ambiente dos negcios, cada vez mais interconectado. Como um resultado
deste incrvel aumento da interconectividade, a informao est agora
exposta a um crescente nmero e a uma grande variedade de ameaas e
vulnerabilidades (ASSOCIAO BRASILEIRA DE NORMAS TCNICAS-
ABNT, 2005, p.2)

1.3. O QUE SEGURANA DA INFORMAO.

De acordo com Peixoto (2006, p. 37), O termo segurana da informao
pode ser designado como uma rea do conhecimento que salvaguarda os
chamados ativos da informao, contra acessos indevidos, modificaes no
autorizadas ou at mesmo sua no disponibilidade.
De acordo com as pesquisas mais recentes, aproximadamente 53% das
empresas brasileiras apontam os funcionrios insatisfeitos como a maior
ameaa segurana da informao, 40% delas afirmam ter sido vtimas de
algum tipo de invaso, 31% no sabem dizer se sofreram ataques e
somente 29% alegam nunca ter sofrido ataques, [...]. Em 22% dos casos de
ataque, as organizaes no conseguiram detectar as causas e em 85%
dos casos no souberam quantificar o prejuzo. (BANNWART, 2001 apud
PEIXOTO, 2006, p. 36).



18
A segurana da informao formada pelos seguintes pilares bsicos,
que podem ser definidos da seguinte maneira (PEIXOTO, 2006):
Confidencialidade: a garantia de que as informaes transmitidas
chegaro ao seu destino sem que se dissipem para outro lugar
onde no deveria passar. Vrias tecnologias como, por exemplo,
criptografia e autenticaes podem ser usadas, desde que
mantenham a integridade das informaes;
Integridade: a garantia de que as informaes no sofreram
nenhuma modificao durante o trajeto entre a pessoa que enviou
e a pessoa que recebeu a informao, garantindo assim a sua real
veracidade aps chegarem ao destino.
Disponibilidade: De nada adianta possuir integridade e
confidencialidade, se a informao nunca est disponvel. Ento, o
grande desafio manter essa estrutura de passagem de
informaes de forma confivel e integra sem que haja
impossibilidade de captar as informaes.
Alguns modelos chegam a incluir mais dois pilares bsicos que seriam os
seguintes:
No repdio e autenticidade: Conhecido como responsabilidade
final, tem como objetivo verificar a identidade e autenticidade de
algum ou at mesmo de um agente exterior a fim de garantir a
integridade de origem.
Dessa maneira o modelo seria representado como na imagem abaixo:



19

Figura 2 Os pilares da Segurana da Informao
Fonte: (PILARES..., [200-?])
Os pilares acima refletem na organizao e tambm envolvem trs
aspectos principais:
Pessoas: Usurios bem orientados, treinados e conscientizados.
Processos: Regras bem claras para utilizao dos recursos
tecnolgicos fornecidos pela empresa e leis que venham punir de
maneira rigorosa os infratores em caso de desvio de informaes.
Tecnologia: Sistemas bem implementados para garantir a proteo
das informaes da empresa.

Figura 3 - Aspectos da segurana da informao
Fonte: (SKYLAN, 2010)



20

A informao precisa ser protegida, pois:
A informao um ativo que, como qualquer outro ativo importante,
essencial para os negcios de uma organizao e consequentemente
necessita ser adequadamente protegida. Isto especialmente importante no
ambiente dos negcios, cada vez mais interconectado. Como um resultado
deste incrvel aumento da interconectividade, a informao est agora
exposta a um crescente nmero e a uma grande variedade de ameaas e
vulnerabilidades (ABNT, 2005, p.2).
A segurana da informao necessria pelos seguintes motivos:
A informao e os processos de apoio, sistemas e redes so importantes
ativos para os negcios. Definir, alcanar, manter e melhorar a segurana
da informao podem ser atividades essenciais para assegurar a
competitividade, o fluxo de caixa, a lucratividade, o atendimento aos
requisitos legais e a imagem da organizao junto ao mercado. [...] a funo
da segurana da informao viabilizar os negcios[...] (ABNT, 2005, p.2).
Como o prprio Comit Gestor da Internet no Brasil diz:
Computadores domsticos so utilizados para realizar inmeras tarefas, tais
como: transaes financeiras, sejam elas bancrias ou mesmo compra de
produtos e servios; comunicao, por exemplo, atravs de e-mails;
armazenamento de dados, sejam eles pessoais ou comerciais, etc.
(COMIT GESTOR DA INTERNET NO BRASIL, 2006, p. 1).
E altamente recomendado que voc se preocupe com a segurana do
seu microcomputador, pois ningum gostaria que:
Suas senhas e cartes de crdito fossem furtados e utilizados por outras
pessoas;
Sua conta do Internet Banking fosse utilizada por terceiros;
Seus dados pessoais fossem alterados, destrudos ou visualizados por
terceiros;
Seu computador fosse danificado e arquivos importantes perdidos;
Segundo (COMIT GESTOR DA INTERNET NO BRASIL, 2006), pessoas
mal intencionadas tentam invadir computadores a fim de:
Usar computador de terceiros para atividades ilcitas para dificultar sua
identificao;



21
Lanar ataques contra outros computadores;
Usar seu disco rgido para armazenar dados.
Destruir informaes;
Disseminar Spam;
Se passar por outras pessoas em mensagens de e-mail;
Espalhar vrus de computador;
Furtar nmero de cartes de credito ou senhas de banco;
Furtar dados do seu computador em geral como, por exemplo, informaes
do seu imposto de renda.
O rpido crescimento do uso do computador e a difuso da Internet tm
contribudo para um crescimento fenomenal de crimes de computador e uma
diversidade significativa de criminosos de computador. Embora a maioria dos
ataques que causam perda financeira venha de dentro, estudos mostram que a
maioria dos ataques vm de fora da organizao. (PIPKIN, 2003, p. 8, traduo
nossa).

1.4. TIPOS DE VULNERABILIDADES

Os principais tipos de vulnerabilidades existentes podem ser do tipo:
(PEIXOTO, 2006).
Fsicas: Salas de CPD mal planejadas, estrutura de segurana fora dos
padres exigidos;



22
Naturais: computadores so propensos a sofrerem danos naturais, como
tempestades, incndio, alm, por exemplo, de falta de energia, acmulo de
poeira, aumento da umidade e temperatura.
Hardware: Desgaste do equipamento, obsolescncia ou m utilizao;
Software: M instalao, erros de configurao, vazamento de informaes e,
dependendo do caso, perda de dados ou indisponibilidade de recursos;
Mdias: Disquetes e CDs podem ser perdidos ou danificados, e a radiao
eletromagntica pode causar danos s vezes irreparveis nas mdias;
Comunicao: Acessos no autorizados ou perda de comunicao;
Humanas: Tratadas anteriormente, como, por exemplo, as tcnicas de
engenharia social, as vulnerabilidades referindo-se ao fator humano, como
falta de treinamentos, conscientizao, o no seguimento das polticas de
segurana.
Como afirma Peixoto (2006, p. 39), Infelizmente ainda no da cultura
de nosso pas as empresas adotarem potencial investimento em segurana digital
mais especificamente na segurana das informaes.
Pesquisa feita pela Symantec com 200 companhias sedadas no Brasil
revela que 80% investem at 10% do oramento total em segurana e 57%
dedicam at 5%. O estudo mostra ainda que os vrus e cdigos maliciosos
seriam a causa de 54% dos problemas digitais enfrentados. Em seguida
estariam as vulnerabilidades de software e hardware com 32% e os ataques
causados por funcionrios 30%. (MAGALHES, 2004 apud PEIXOTO,
2006, p. 39).



23
2. O FATOR HUMANO

Segundo Kevin Mitnick:
Uma empresa pode ter adquirido as melhores tecnologias de segurana que
o dinheiro pode comprar, pode ter treinado seu pessoal to bem que eles
trancam todos os segredos antes de ir embora e pode ter contratado
guardas para o prdio na melhor empresa de segurana que existe. Mesmo
assim essa empresa ainda estar vulnervel. Os indivduos podem seguir
cada uma das melhores prticas de segurana recomendadas pelos
especialistas, podem instalar cada produto de segurana recomendado e
vigiar muito bem a configurao adequada do sistema e a aplicao das
correes de segurana. Esses indivduos ainda estaro completamente
vulnerveis.(MITNICK; SIMON, 2003, p. 3).
Em qualquer organizao, por maior que seja a sua segurana, sempre
haver um fator de desequilbrio chamado fator humano. O velho ditado que diz
que um segredo deixa de ser um segredo quando mais algum sabe uma das
mximas existentes dentro da segurana da informao. Os maiores engenheiros
sociais tiram proveito das fraquezas ou gostos pessoais de seus alvos para assim
aproximar e conseguir alcanar seus objetivos. (MARCELO; PEREIRA, 2005).
Um dos maiores problemas hoje em dia na segurana da informao est
relacionado ao ser humano e sua ignorncia. Prticas que permitem o acesso no
autorizado a dados, lugares, objetos e entre outros, fragiliza qualquer esquema de
segurana da informao, uma vez que as pessoas acabam tendo acesso a
informaes indevidas, colocando em risco a segurana da informao. A questo
comportamental pode afetar significativamente as demais medidas de segurana,
por mais modernas que elas sejam. (SILVA, M.; COSTA, 2009)
Um dos grandes assuntos discutidos atualmente a questo da incluso
do fator humano como um dos elementos base da segurana da informao.
Existem propostas de modelos para incluso desse fator primordial como um dos
pilares fundamentais da segurana da informao, pois o modela atual considera o
fator humano em um nvel no base.



24

Figura 4 Atual modelo da segurana da informao.
Fonte: (SILVA, M.; COSTA, 2009)


Figura 5 Proposta de novo modelo para Segurana da Informao.
Fonte: (SILVA, M.; COSTA, 2009)

O fator humano uma das maiores causas de invases e ataques, devido
a vrios motivos que sero abordados de maneira mais profunda posteriormente,
como por exemplo, a escolha de senhas fracas ou pelo esquecimento de algum
cuidado bsico de segurana.
Algo que pode ser facilmente percebido que usurios no ligam para a
empresa na qual trabalha. Eles s se preocupam mesmo com o pagamento, sua
avaliao e aumento de salrio. (SCHWARTAU, 2010).





25
2.1. SUAS VULNERABILIDADES

Podemos destacar as seguintes caractersticas do ser humano que o
torna vulnervel e suscetvel a ataques de engenharia social: (JUNIOR, 2006).
Vontade de se tornar til: O ser humano procura ser Cortez ou ajudar os
outros quando necessrio.
Buscar amizades: Os humanos costumam se sentir bem ao serem elogiados,
de maneira que muitas vezes ficam abertos para fornecer informaes.
Prorrogar responsabilidades: Muitas vezes o ser humano considera no ser o
nico responsvel pelo conjunto de responsabilidades ou atividades.
Persuaso: caracterizada pela capacidade de convencer, buscando assim a
respostas desejadas para alcanar o objetivo. Isso acontece porque o ser
humano possui caractersticas que o tornam vulnerveis a manipulao.
Outra grande vulnerabilidade dentro da empresa o prprio funcionrio
insatisfeito, desmotivado e desvalorizado. Todo o investimento em tecnologia,
treinamentos e conscientizao, pode ser jogado fora se a companhia no cuidar e
valorizar seus funcionrios. (PRESCOTT, 2007).

Figura 6 - Elo mais fraco
Fonte: (PEIXOTO, 2006)



26
Eu no sou criptoanalista, nem matemtico. Apenas sei como as pessoas
cometem erros e elas cometem sempre os mesmos erros. (MITNICK; SIMON, 2005,
p. 247, traduo nossa).
Os seres humanos so seres imperfeitos e multifacetados. Alm disso,
situaes de risco modificam seus comportamentos, e, decises sero fortemente
baseadas em confiana e grau de criticidade da situao. (VARGAS, 2002 citado
por POPPER; BRIGNOLI, 2003, p. 7).
Em razo de todos esses fatores, sempre havero brechas de segurana
devido ao comportamento humano e sua falta de conscincia com relao
segurana da informao, onde a engenharia social poder produzir bons
resultados.
Mesmo aqueles que descobrem que foram atacados, dificilmente
admitem o fato, com receio de prejudicarem sua reputao. Na Inglaterra, por
exemplo, as empresas j podem ostentar um certificado de que exercitam boas
prticas de mercado no que diz respeito segurana da informao, que
rapidamente est se tornando um diferencial competitivo para as empresas que
souberem administr-lo. (SALDANHA, 2002 citado por POPPER; BRIGNOLI, 2003,
p. 2).
Aps uma meticulosa anlise, pode-se concluir que dificilmente haver
algum ou alguma companhia que nunca tenha sofrido pelo menos uma tentativa de
ataque utilizando a engenharia social.
A falta de conscincia das pessoas a respeito das tcnicas de Engenharia
Social e o seu excesso de autoconfiana (pois a maioria das pessoas no se
considerara ingnuas e acham que no podem ser ludibriadas) so os principais
aspectos que favorecem o sucesso da Engenharia Social.
A maioria dos funcionrios acha que o problema da segurana da
informao tratado somente pela tecnologia em si como, por exemplo, firewalls,
antivrus e outras tecnologias, por isso de fundamental importncia criar



27
programas de treinamento e conscientizao sobre a segurana da informao, pois
o fator humano a linha de frente para proteo geral da empresa. Esse assunto
ser abordado de maneira mais detalhada no captulo subsequente.
Com o aumento crescente de ataques e invases sofridos pelas
empresas, estas esto procurando modernizar seus parques tecnolgicos, adquirir
novos produtos como firewalls, formas de criptografia, Sistemas de Deteco de
Intruso (IDS), dispositivos de autenticao cada vez mais poderosos e muitos
outros mecanismos de segurana, e acabam muitas vezes deixando em segundo
plano outro aspecto to importante quanto tecnologia, e esse aspecto o fator
humano.
No h Patch contra a Burrice Humana. (MARCELO; PEREIRA, 2005, p.
3).

2.2. COMO AGE O ENGENHEIRO SOCIAL

Geralmente o engenheiro social um tipo de pessoa agradvel. Ou seja,
uma pessoa educada, simptica, carismtica. Mas, sobretudo criativa, flexvel e
dinmica. Possuindo uma conversa bastante envolvente. (ARAUJO, 2005, p. 27).
A tabela abaixo exibe os tipos de intrusos e seus respectivos objetivos ao
utilizar a engenharia social. (POPPER; BRIGNOLI, 2003).

Tabela 1 Tipos de intrusos e seus objetivos.
Intrusos Objetivos
Estudantes Vasculhar mensagens de e-mail alheias por diverso ou curiosidade.
Crackers Quebrar sistemas de segurana e roubar informaes.
Representantes
Comerciais
Encontrar planilhas referentes a preos ou cadastro de clientes.
Executivos Descobrir plano estratgico dos seus concorrentes.
Espies Descobrir planos militares.




28
Tabela 1 Tipos de intrusos e seus objetivos.
Intrusos Objetivos
Terroristas Causar pnico pela rede e roubar informaes estratgicas.
Contadores Desfalques financeiros.
Corretores de valores Adulterar informaes para obter lucro com o valor das aes.
Ex-funcionrios Causar prejuzos apenas por vingana.
Vigaristas Roubar informaes, como senhas e nmeros de cartes de crdito.
Fonte: (POPPER; BRIGNOLI, 2003).
Os ataques de engenharia social so normalmente praticados por
Crackers, que so hackers mal intencionados, pois ainda existe uma confuso
enorme com relao a esses dois termos, pois o termo Hacker est mais
relacionado ao indivduo que possui um elevadssimo grau de conhecimento em
assuntos relacionados computao como, por exemplo, linguagens de
programao, redes de computadores e entre outros conhecimentos e muitas vezes
esses eruditos utilizam todo o seu conhecimento para melhorar softwares de forma
legal ao contrrio dos Crackers que tm como objetivo trazer danos, roubar
informaes, dinheiro e etc.
A ideia de hackear pode invocar imagens estilizadas de vandalismo
eletrnico, espionagem, cabelo tingido e piercing. A maioria das pessoas associa
hackear com violao da lei, portanto insinuam que todos aqueles que se dedicam a
atividades hackers so criminosos. verdade que existem pessoas l fora, que
utilizam tcnicas hackers para quebrar a lei, mas hackear no est muito
relacionado a isso. Na verdade, hackear est mais relacionado a seguir a lei do que
quebr-la. (ERICKSON, 2009, p. 1, traduo nossa).
O profissional da arte de enganar pessoas utiliza-se de tcnicas de
persuaso e explorao da ingenuidade dos usurios, criando um ambiente
psicolgico perfeito para seu ataque, como por exemplo, utilizando identificaes
falsas, carisma e o apelo sentimental a fim de conquistar a confiana da vtima.
Normalmente o engenheiro social procura deixar sua vtima bem tranquila,
passando-se por algum do mesmo nvel hierrquico ou superior dentro da
organizao ou at mesmo por clientes e fornecedores de maneira a induzi-los a
fornecer informaes, executar programas ou at mesmo fornecer senhas de
acesso. Esses profissionais da arte de enganar podem utilizar como pretexto



29
situaes de emergncia ou de segurana da empresa e geralmente, no pedem
muita informao de uma s vez para a mesma pessoa e sim aos poucos e para
pessoas diferentes, para que ningum desconfie dele. Muitas vezes eles usam
disfarces dos mais variados tipos como, por exemplo: faxineiros, consultores,
gerentes e etc.
O chamado engenheiro social dotado de um enorme poder de
criatividade. Essa criatividade to grande que na maioria das vezes, a vtima nem
imagina que foi usada e muito menos que acabou de abrir o caminho para um
invasor. Para que um ataque de engenharia social seja bem sucedido, necessria
bastante pacincia e persistncia e essa uma das grandes caractersticas dos
engenheiros sociais.
Uma das primeiras e mais obvias maneiras de atravessar um firewall a
trapaa. (RUSSELL, 2003, p. 283, traduo nossa).
Se algum perguntar a uma pessoa normal quanto a metade de oito,
normalmente essa pessoa ir responder quatro, mas o Engenheiro Social v a
resposta como na imagem abaixo:

Figura 7 - Como metade de oito para o Engenheiro Social.
Fonte: (MARCELO; PEREIRA, 2005)

Dificilmente um ser humano teria essa viso. Quase todo mundo tem
somente a viso matemtica, ou seja, o mais obvio, mas o engenheiro social nem
sempre se guia pelo mais lgico. Muitas vezes o ilgico pode ser a melhor resposta
para o problema em questo. (MARCELO; PEREIRA, 2005).



30
3. A IMPORTNCIA DA POLTICA DE SEGURANA, TREINAMENTO E
CONSCIENTIZAO

Mitnick afirma o seguinte:
Como diz o ditado; at mesmo os verdadeiros paranicos [sic]
provavelmente tm inimigos. Devemos assumir que cada empresa tambm
tem os seus os atacantes que visam a infra-estrutura [sic] da rede para
comprometer os segredos da empresa. No acabe sendo uma estatstica
nos crimes de computadores; est mais do que na hora de armazenar as
defesas necessrias implementando controles adequados por meio de
polticas de segurana e procedimentos bem planejados. (MITNICK;
SIMON, 2003, p. 23).

3.1. AMEAAS

Concordando com o que diz Peixoto (2006), muitas vezes nos sentimos
ameaados em determinadas situaes, mas isso no quer dizer necessariamente
que voc se sente vulnervel. J na situao oposta, quando algum se considera
vulnervel, certamente essa pessoa se v ameaada. No uma regra, mas
valida se comparada com o que diz respeito s informaes.
Na tica de Peixoto (2006), As ameaas so o resultado das
vulnerabilidades existentes, o que prova a perda dos elementos bsicos para existir
segurana da informao que so eles a confidencialidade, integridade e
disponibilidade. Essas ameaas podem ser divididas em:
Naturais: Fenmenos da natureza. Como por exemplo, raios
que danificam equipamentos, chuvas, umidade, terremotos e
etc.
Involuntrias: Aquelas que ocorrem por causa do
desconhecimento, erros ou acidentes e entre outros.



31
Voluntrias: Ss aquelas propositais, resultantes de aes
como, por exemplo, aes de Crackers, espies,
disseminadores de vrus de computador.

3.2. POLTICA DE SEGURANA

Para evitar ou diminuir o risco de informaes confidenciais serem
acessadas indevidamente, perdidas ou at mesmo adulteradas dentro das
organizaes, necessrio que haja uma srie de procedimentos claramente
estabelecidos aonde quer que estas informaes venham transitar.
Ns no tocamos em redes, ns tocamos nas pessoas. Porque, no fim, o
elo mais fraco em todas essas coisas a pessoa que est frente da tela.
(SCHWARTAU, 2010 p. 1).
Poltica de segurana da informao pode ser definida como uma srie
de instrues bem claras a fim de fornecer orientao para preservar as
informaes. Esse um elemento essencial para o controle efetivo da segurana da
informao de maneira a combater e prevenir possveis ameaas ou ataques que
venham a comprometer a segurana da informao nas empresas ou organizaes.
Essas polticas esto entre as mais significativas no que diz respeito a evitar e
detectar os ataques da engenharia social. (FONSECA, 2009).



32

Figura 8 - Ambiente sem polticas de Segurana.
Fonte: (PEIXOTO, 2006)
Concordando com o que diz Fonseca (2009), o controle efetivo da
segurana posto em prtica atravs do treinamento dos funcionrios, bem como
atravs de polticas e procedimentos que devem ser muito bem documentados.
importante salientar que uma poltica de segurana no elimina a possibilidade de
ataques de engenharia social, mesmo que a poltica seja seguida corretamente por
todos os funcionrios. Sendo assim, o objetivo tornar mnimo o risco, a um nvel
que seja aceitvel.
As polticas de segurana que sero apresentadas neste artigo
incluem questes que talvez no estejam diretamente direcionadas a
engenharia social, mas de maneira indireta fazem parte das tcnicas
normalmente utilizadas nos ataques de engenharia social. Um bom exemplo
so as polticas relacionadas abertura de anexos em e-mails, que podem
ocasionar a instalao de vrus, Cavalos de Troia e etc., fazendo com que o
invasor tenha controle da mquina da vtima. Esse tipo de ato bastante
utilizado por engenheiros sociais.



33
Concordando com o que diz Fonseca (2009), um bom programa de
segurana da informao deve comear com uma avaliao dos riscos visando
determinar as seguintes questes:
Quais informaes, ou que tipo informao precisar estar
protegida e qual o seu nvel de proteo.
Quais ameaas ou que tipo de ameaa pode atingir a empresa.
Quais prejuzos a empresa teria se um desses sinistros viesse a
acontecer.
Concordando com o que diz Fonseca (2009), o objetivo da avaliao dos
riscos levantar as informaes que precisam de proteo imediata para que assim
possam ser priorizadas. Tambm dever haver uma anlise de custo/benefcio a fim
de saber o custo da informao que ser protegida, lembrando de um ponto
importantssimo nessa poltica de segurana o apoio firme da alta gerncia,
demonstrando claramente seu interesse e comprometimento por considerar isso
fundamental para o bom funcionamento da empresa ou organizao, de maneira
que os prprios funcionrios venham perceber esse interesse da alta gerncia.
Ao desenvolver uma poltica de segurana, deve-se levar em
considerao que existem funcionrios que no tm conhecimento da linguagem
tcnica. Portando, os jarges tcnicos no devem ser usados para que o documento
possa ser facilmente entendido por qualquer funcionrio. O documento tambm
deve deixar bem claro a importncia da poltica de segurana para que dessa
maneira os funcionrios no encarem isso como perca de tempo. Devem ser criados
dois documentos separadamente, onde um deles apresentar as polticas e o outro
abordar os procedimentos. Isso deve acontecer porque os procedimentos usados
para implementar as polticas, podem mudar com maior frequncia do que a prpria
poltica em si. Alm disso, ao redigir as polticas, deve-se tambm analisar se a
tecnologia que ser utilizada para implantar determinada poltica poder realmente
ser usada pela empresa, levando em considerao o custo/benefcio. Ento, os
redatores da poltica de segurana de uma organizao devem manter o foco em



34
polticas adequadas de acordo com o ambiente e objetivo do negcio da empresa,
pois cada empresa possui uma cultura organizacional particular, assim como
requisitos de segurana da informao baseados de acordo com suas
necessidades. (FONSECA, 2009).
importante ressaltar tambm que a poltica de segurana nunca deve
ser imutvel ou inflexvel, pois as novas tcnicas de ataques usando a engenharia
social esto surgindo a cada dia assim como as prprias tecnologias e ou
procedimentos para combat-las. Para que a poltica de segurana esteja sempre
atualizada, devem-se estabelecer procedimentos regulares com o objetivo de
identificar as novas ameaas e assim combat-las atravs das tecnologias e ou
procedimentos adequados. Lembrando que esse documento atualizado deve
sempre estar disponvel em um lugar bem acessvel a todos os funcionrios. Isso
facilitar bastante a consulta dos funcionrios ao surgir alguma dvida relacionada
s polticas e procedimento de segurana. Quanto mais rpido o funcionrio
conseguir acessar esse documento, melhor ser. (MITNICK; SIMON, 2003).

3.2.1. Plano de treinamento e conscientizao

Talvez haja pouqussimos assuntos de extrema importncia e ao mesmo
tempo to entediantes para a maioria dos funcionrios, pelo qual devero ainda
passar por treinamentos como a questo da segurana da informao. Por isso
vital que haja artifcios para prender suas atenes e inclusive entusiasm-los.
(FONSECA, 2009).
Concordando com o que diz Fonseca (2009), um programa de
conscientizao sobre segurana da informao em uma empresa, tem como
objetivo principal, influenciar os funcionrios a mudarem seus hbitos e motiv-los a
participarem do treinamento, para assim conscientiz-los que eles so parte da
segurana da informao na empresa e que ela poder sofrer um ataque a qualquer
momento. Com essa conscincia e bem motivados, eles buscaro cumprir sua parte



35
para proteger o ativo mais importante da empresa que so suas informaes. Esses
funcionrios ainda precisam ser treinamos e educados de maneira que possam ter
conscincia das informaes que precisam ser protegidas e como proteg-las para
que assim possam identificar facilmente um ataque de engenharia social. Esses
programas de treinamento e conscientizao devem ser realizados constantemente,
pois com o passar do tempo o preparo das pessoas diminui alm de novas ameaas
e tcnicas usadas pelos engenheiros sociais surgirem constantemente, o que faz
com que seja necessrio reforar e atualizar os princpios da segurana da
informao na mente dos colaboradores.
Uma empresa que realmente leva a questo da segurana da informao
a srio e como uma prioridade em sua cultura corporativa, passa a treinar seus
funcionrios assim que so admitidos, de maneira que nenhum funcionrio possa
receber acesso a um microcomputador antes de participar de pelo menos uma aula
bsica sobre conscientizao em segurana da informao.
Um timo aspecto a ser abordado que pode funcionar como um grande
agente motivador para os funcionrios esclarec-los de que a segurana da
informao no um assunto de interesse somente da empresa, mas tambm dos
prprios funcionrios, pois a prpria empresa possui informaes particulares a
respeito dos seus funcionrios. Inclusive algumas analogias podem ser feitas para
criar entusiasmo nos empregados, como por exemplo, inform-los de que no cuidar
da segurana das informaes no ambiente de trabalho o mesmo que no cuidar
do carto do banco ou do nmero do carto de crdito de algum. Ou seja, os
funcionrios percebero que ao colaborarem estaro protegendo no somente
informaes da empresa, mas tambm suas informaes pessoais. Outro bom
artifcio seria a demonstrao das tcnicas de engenharia social atravs da
dramatizao, reportagens ou atravs de vdeos educativos sobre o assunto, que
exibam casos reais de maneira que seja ao mesmo tempo algo educativo e
divertido. (FONSECA, 2009).
Concordando com o que diz Fonseca (2009), interessante deixar bem
claro que nem sempre um programa desse tipo deve ser encarado como algo



36
genrico para todas as reas da empresa. Muito pelo contrrio, muitas vezes o
treinamento deve ser adaptado de acordo com os requisitos especficos de cada
grupo dentro da organizao, pois apesar de muitas vezes as polticas serem
aplicadas a todos os funcionrios, h situaes em que ser necessria a existncia
de polticas especficas para determinados cargos ou grupos distintos dentro das
organizaes, como por exemplo, os gestores, o pessoal da tecnologia, os usurios
de microcomputadores, o pessoal das reas no tcnicas, os assistentes
administrativos, recepcionistas e o pessoal da segurana fsica da empresa. Uma
observao interessante a ser feita com relao aos funcionrios da segurana
fsica que normalmente esse tipo de funcionrio no tem acesso aos
microcomputadores e s vezes nem mesmo possuem proficincia para oper-los,
mas nem por isso devem ser excludos do treinamento, pois os engenheiros sociais
costumam utiliz-los como peas importantes para conseguirem acesso privilegiado
a locais restritos como, por exemplo, algumas salas ou escritrios que venham
posteriormente permitir a invaso de algum computador. Por isso em alguns casos,
o treinamento precisa sofrer adaptaes. Como no exemplo supracitado, os guardas
da segurana no precisariam passar pelo treinamento completo que os usurios de
microcomputadores deveriam passar. J aqueles funcionrios que no puderem
participar dos treinamentos em classe, devero ser includos no treinamento atravs
de outras formas de instruo como, por exemplo, vdeos, treinamentos baseado em
computadores, cursos on-line ou por material escrito. Tambm muito importante
ressaltar a questo dos empregados que mudarem de cargo, funo e etc. Esses
funcionrios devero passar por um novo processo de treinamento ajustado s suas
novas atribuies.
fundamental em um programa de conscientizao deixar bem claro a
importncia de seguir as polticas de segurana corretamente e os danos que a
empresa poder vir a sofrer se estas no forem seguidas perfeitamente. Os
funcionrios tambm devem ser advertidos a respeito das consequncia que
sofrero se no cumprirem as normas e procedimentos estabelecidos, pois muitas
vezes, os prprios funcionrios ignoram ou at mesmo negligenciam os
procedimentos que acham desnecessrios, ou aqueles considerados tediosos



37
segundo entendimento prprio. Elaborar um resumo dessas consequncias e
divulg-los amplamente um timo procedimento a ser realizado. Algo muito
interessante que tambm pode ser colocado em prtica a recompensa para os
funcionrios que seguem as boas prticas de segurana da empresa de maneira
correta. Pois sabemos que o incentivo sempre algo muito motivador. Tambm
interessante divulgar amplamente por toda empresa atravs de circulares internas,
boletins peridicos on-line ou pela prpria Intranet, os casos frustrados de quebra de
segurana onde um funcionrio atuou de maneira correta evitando algum sinistro.
(MITNICK; SIMON, 2003).
Como o prprio ditado diz: A melhor maneira de resolver um problema
evit-lo. No entanto a questo da preveno nas empresas uma tarefa nada fcil,
pois a maioria das empresas no d a devida ateno para essa questo. Elas
concentram seus recursos financeiros somente na manuteno de sistemas e em
novas tecnologias, ao invs de destinar parte desses recursos para treinamento e
conscientizao dos funcionrios para combater a engenharia social. Recursos
como Intranet ou correio eletrnico podem ser to teis para a divulgao, por
exemplo, de lembretes de segurana como mudana de senhas, pois o grande risco
quando os funcionrios relaxam na questo da segurana. Por isso de extrema
importncia insistir, j que esse tipo de ameaa to real nos dias de hoje, quanto
s falhas tcnicas de segurana.
Concordando com o que diz Fonseca (2009), um bom e objetivo processo
de conscientizao sobre segurana da informao no pode deixar de lado os
seguintes tpicos:
Descrever a forma com que engenheiros sociais utilizam suas
aptides para manipular e ludibriar.
Tticas empregadas pelos engenheiros sociais para cumprirem
suas metas.
Como identificar a ao de um engenheiro social.



38
Como agir ao desconfiar de alguma solicitao suspeita.
A quem reportar as tentativas de ataque fracassadas ou que
tiveram xito.
Questionar solicitaes, independentemente do cargo ou
importncia que o solicitante julga ter.
No confiar em pessoas que fazem solicitaes de informaes,
sem antes examinar perfeitamente sua real identidade.
Como proceder para proteger informaes sigilosas.
Como encontrar as polticas e procedimentos de segurana da
informao e sua importncia na proteo das informaes.
Sintetizar e explicar o sentido de cada poltica de segurana como,
por exemplo, a questo da criao de senhas difceis de serem
descobertas.
A obrigao do cumprimento das polticas de segurana e as
consequncias para o empregado e para a organizao caso haja
algum descumprimento.
Como divulgar material ou informao restrita.
Melhores prticas de uso do correio eletrnico de maneira a no se
tornar vtima da engenharia social, vrus e armadilhas em geral.
Questes fsicas da segurana como, por exemplo, a utilizao de
crachs e o questionamento para com aqueles que esto nas
dependncias da organizao sem utiliz-lo.
Eliminao de documentos que contenham informaes
confidenciais independentemente se sua natureza fsica ou
eletrnica.



39
Deixar bem claro que testes sero feitos periodicamente dentro da
organizao para verificar quais funcionrios esto procedendo
corretamente e quais no esto.
Fornecer material informativo como, por exemplo, lembretes
atravs do meio de comunicao que julgar conveniente.
Parabenizar publicamente o(s) funcionrio(s) destaque(s) na
segurana da informao.
Testes de intruso e vulnerabilidades usando a engenharia social podem
ser feitos periodicamente com o objetivo de encontrar falhas ou descobrir o
descumprimento das polticas de segurana e at mesmo pontos fracos no prprio
treinamento dos funcionrios. interessante avisar os funcionrios que testes desse
tipo sero realizados periodicamente. (MITNICK; SIMON, 2003).
Tudo isso se resume em uma reeducao na organizao de maneira a
inserir uma nova cultura que abrange cem por cento da empresa, pois qualquer falha
poder ser fatal.
Pode-se considerar que o programa de treinamento teve um bom
aproveitamento se todos que participaram do programa estiverem convencidos e
motivados com a conscincia de que a segurana da informao faz parte do seu
trabalho dirio. (FONSECA, 2009).

3.2.2. Plano de resposta a incidentes

No existe infraestrutura de segurana da informao que venha garantir
cem por cento de proteo, pois as falhas sempre existiro, por mais remotas que
sejam. Portanto as empresas devem estar preparadas para reconhecer, analisar e
responder aos incidentes de segurana o mais rpido possvel, pois isso fator
fundamental para amenizar os estragos ou diminuir custos com reparos.



40
importante que as experincias anteriores com outros incidentes sejam usadas para
prevenir ocorrncias semelhantes no futuro ou at mesmo para aprimorar a
segurana atual. O documento que define as diretrizes para tratar incidentes de
segurana chama-se Plano de Resposta a Incidentes. Ele possui os procedimentos
e medidas a serem tomadas para remediar, corrigir ou contornar os incidentes. O
tratamento de cada incidente depender de alguns fatores como, por exemplo, a sua
magnitude e o risco que trar para a empresa. (POPPER; BRIGNOLI, 2003).
Como j foi abordado anteriormente, cada empresa possui suas
particularidades e culturas organizacionais, portanto, os procedimentos de respostas
para os incidentes so tambm muito particulares, pois variam de organizao para
organizao. O mais importante que independente do porte da empresa ou do seu
ramo de atividades, ela dever possuir o seu prprio Plano de Respostas a
Incidentes.
As seguintes medidas no podem ser deixadas de lado em um Plano de
Resposta a Incidentes: (POPPER; BRIGNOLI, 2003).
Identificar a autoria dos ataques, assim como sua seriedade,
estragos causados e responsveis pelo incidente.
Divulgar o mais rpido possvel o acontecimento ocorrido para que
o mesmo incidente no ocorra em outras reas da empresa.
Tomar as medidas necessrias para restaurar aquilo que foi
afetado como, por exemplo, mudar senhas, trocar funcionrios,
aumentar o nvel de controle.
Contatar os rgos de segurana para que o fato seja registrado,
assim como tentar entrar em contado com os responsveis pelos
ataques.
Esse captulo apresentou alguns dos procedimentos que creio ser
fundamentais na criao de uma poltica de segurana da informao que procura



41
se proteger de ataques de engenharia social, no devendo ser considerada como
uma lista completa de procedimentos, at mesmo porque isso varia de acordo com o
planejamento de cada empresa, ou seja, esses procedimentos so uma base para a
criao de uma poltica de segurana que se ajuste as necessidades peculiares de
cada empresa.




42
4. TIPOS DE FRAUDES USANDO A ENGENHARIA SOCIAL, SUAS TCNICAS E
MEIOS UTILIZADOS

Nesse captulo, sero abordadas as vrias tcnicas usadas pelos
engenheiros sociais, assim como os meios utilizados para alcanarem o objetivo de
enganar suas vtimas.

4.1. MEIOS MAIS COMUNS PARA ATACAR

Os engenheiros sociais utilizam-se normalmente dos seguintes meios
para atacar suas vtimas: (POPPER; BRIGNOLI, 2003).
Telefone convencional ou VolP (voz sobre IP): O engenheiro social
usa suas tcnica e habilidades passando-se por algum para
ludibriar a vtima.
Internet: Coletar informaes sensveis dos usurios como, por
exemplo, login e senha ao serem digitados.
Intranet: Tem por objetivo acessar remotamente algum
microcomputador da rede com o objetivo de se passar por algum.
E-mail: Enviar e-mails falsos para induzir a vtima a clicar em links
que instalaro vrus, Cavalos de Troia ou redirecionaro para
pginas falsas que capturam dados digitados.
Pessoalmente: Tentar persuadir a vtima.
Chats: Tentar se passar por outra pessoa nas salas de bate-papo.
Fax: Obter informaes primrias para posteriormente fazer um
ataque melhor elaborado.



43
Correio convencional: Envia correspondncias ou cartas falsas
para as vtimas. um mtodo considerado nada atual, mas muito
utilizado para enganar pessoas mais antigas ou idosas.
Spyware: um software espio que monitora o microcomputador
sem que a vtima perceba.
Redes P2P (Peer-to-Peer): Essa uma tecnologia que permite o
compartilhamento de arquivos entre diversos computadores. O
atacante usa essa tecnologia para espalhar vrus, Cavalos de Troia
e muitas outras pragas, alm de claro oferecer ajuda para suas
vtimas a fim de trapace-las.
Redes Sociais: Os sites de relacionamento so cada vez mais
utilizados pelos usurios. O que muitos deles talvez no saibam e
que esses sites deixam um rastro das informaes de maneira que
pessoas mal intencionadas podem se passar por outras pessoas,
camuflando assim sua real identidade. Isso contribui bastante para
o sucesso de um ataque de engenharia social.

4.2. TCNICAS DE ATAQUE MAIS COMUNS

Abaixo, encontram-se as tcnicas e mtodos de ataque mais comuns
usados pelos engenheiros sociais: (POPPER; BRIGNOLI, 2003).
Pesquisa: Essa ttica concerne no colhimento de materiais com a
finalidade de descobrir quem so as pessoas que guardam as
informaes desejadas. O prximo passo ser procurar meios para
absorver as informaes desejadas dessas pessoas.
Personificao e impostura: A personificao se baseia na criao
de um personagem. Um exemplo clssico aquele em que o



44
engenheiro social faz uma ligao passando-se por algum da
rea de informtica da empresa e diz precisar da senha da pessoa
ou se passar por um assistente da presidncia ou gerencia e pedir
informaes em nome do seu chefe. Muitos engenheiros sociais
chegam a estudar padres de fala e o tipo de linguagem utilizada
por suas vtimas, pois cada organizao possui suas prprias
linguagem e expresses. Isso acontece porque ao conversar com
algum utilizando a mesma linguagem, se torna mais fcil
persuadi-lo, pois a vtima se sente mais segura. Em grandes
empresas difcil conhecer todos os funcionrios e devido a isso,
normalmente a vtima acaba cedendo.
Diviso de responsabilidades: A tcnica da diviso de
responsabilidades tambm bem comum e se resume em
convencer os funcionrios a compartilharem as senhas com o
objetivo de dividirem determinadas tarefas ou responsabilidades.
Spoofing: Uma nova tcnica utilizada o chamado Spoofing do
nmero telefnico, que tem por objetivo defraudar o sistema de
identificao de chamadas, fazendo com que o nmero exibido
pelo identificador de chamadas seja aquele desejado pelo
fraudador.
E-mails falsos: Essa tcnica uma das mais comuns aplicadas
pelos engenheiros sociais para conseguirem dados alheios como,
por exemplo, senhas, contas bancrias, cartes de crdito e etc.
Normalmente esses e-mails falsos abordam assuntos que esto
em alta na mdia, atualizaes de segurana, recuperao de
dados bancrios, promoes, premiaes ou qualquer outro
assunto que venha despertar a curiosidade da vtima para que ela
seja persuadida a clicar em links que instalaro vrus, cavalos de
troia ou direcionaro para pginas falsas, que capturaro os dados
da vtima ao serem digitados.



45
Phishing: Criao de sites falsos que possuem o endereo muito
parecido com o site original, tirando assim proveito de erros de
digitao comuns. Ao digitar informaes nesse site,
automaticamente os dados so enviados para os criminosos. Por
isso a importncia de ter certeza se o site verdadeiro antes de
enviar qualquer informao.
Engenharia Social Inversa: A engenharia social inversa uma
tcnica mais avanada e que exige muito mais preparao e
pesquisa. Nessa tcnica os papeis se invertem. O atacante finge
ser uma autoridade, de maneira que os funcionrios passaro a
pedir informao para ele, at chegar um ponto que o criminoso
extrara informaes valiosas sem que ningum desconfie.
Footprint: Essa tcnica tem por objetivo maior descobrir
informaes a respeito de algumas tecnologias usadas pela
empresa, referentes principalmente ao acesso remoto, Internet e
extranet. Essa tcnica utiliza-se de softwares especiais para coletar
as informaes desejadas e normalmente utilizada quando o
invasor no consegue absorver as informaes desejadas atravs
de outras tcnicas de persuaso devido falta de conhecimento
por parte das vtimas a respeito do assunto desejado pelo invasor.
Vasculhamento do lixo: Por incrvel que parea, o vasculhamento
do lixo da empresa um dos grandes mtodos usados por esses
criminosos para conseguirem acessar informaes sensveis, pois
muitas empresas no se preocupam com o destino do seu lixo ou
sequer utilizam mquinas fragmentadoras ou trituradoras de papel
para que os diversos documentos sigilosos no sejam recuperados
por pessoas mal intencionadas.
Olhar pessoas digitando: Essa tcnica tem por objetivo descobrir
as senhas das pessoas enquanto elas digitam no teclado.



46
Programao neurolingustica: Essa tcnica se baseia em imitar o
jeito de ser da vtima como, por exemplo, sua maneira de falar, se
expressar, gestos e entre outros, por um determinado tempo para
assim confundi-la, de maneira a formar certa intimidade, deixando
a vtima pensar que est no comando da situao. At que a partir
de certo momento, o engenheiro social passa a comandar o
dialogo sem que a vtima sequer perceba, capturando assim as
informaes desejadas. (JUNIOR, 2006).

Kevin Mitnick tambm ressalta que:
prtica comum pedir que um colega ou subordinado faa um favor. Os
engenheiros sociais sabem como explorar o desejo natural das pessoas de
ajudar e fazer parte de uma equipe. Um atacante explora esse trao
humano positivo para enganar empregado desavisado para que executem
aes que o coloquem mais perto de seu objetivo. importante entender
esse conceito simples para que voc reconhea quando outra pessoa est
tentando manipul-lo. (MITNICK; SIMON, 2003, p. 163).



47
5. DICAS PARA NO SER MAIS UMA VTIMA DA ENGENHARIA SOCIAL

De acordo com (PEIXOTO, 2006, p. 20).
Se todo funcionrio fosse to questionador como uma criana,
demonstrando interesse nos mnimos detalhes, ouvindo mais, estando
fortemente atento a tudo sua volta, e principalmente fazendo o uso dos
poderosos por qus, com certeza as empresas transformariam os frgeis
cadeados em legtimos dispositivos dificultantes de segurana da
informao.

5.1. COMO SE PROTEGER

O bom senso fundamental nesses casos. Fique bastante atento com
relao a qualquer tipo de abordagem, independente do meio utilizado, como por
exemplo, e-mails, telefone e etc. No fornea informaes confidenciais como, por
exemplo, senhas. J nos casos de mensagens que tentam induzir a clicar em links
contidos no e-mail ou em alguma pgina da Internet, a melhor coisa a fazer entrar
em contato com o remetente do e-mail ou com a instituio se for o caso, para
certificar-se a respeito do assunto. (COMIT GESTOR DA INTERNET NO BRASIL,
2006).
Esses so alguns dos maiores erros cometidos dentro do ambiente
corporativo que aumentam potencialmente o risco de se tornar uma vtima da
engenharia social: (PEIXOTO, 2006)
Mencionar senha por telefone um erro gravssimo, pois antes de
disponibilizar qualquer tipo de informao, deve-se saber com
quem se fala e de onde fala, alm de conferir atravs de aparelhos
identificadores de chamada se o telefone de origem da ligao est
realmente batendo com o mencionado. Tambm importante
conferir o motivo pelo qual solicitaram determinada informao.
Lembrando que existe uma tcnica j abordada no captulo anterior



48
chamada Spoofing, que faz com que o nmero exibido pelo
identificador de chamadas seja aquele desejado pelo fraudador.
Portanto, no seguro confiar somente nessa informao para ter
certeza que o solicitante realmente quem diz ser;
Visitantes terem acesso rea interna na empresa, obtendo
contato com as informaes confidenciais;
Entrega de informaes sem o devido conhecimento real de quem
as est levando;
Entrada de pessoas no autorizadas ou principalmente sem
identificao, com portas abertas e expostas entrada de qualquer
um;
Recebimento de informaes digitais (disquete, CD etc.) sem o
prvio conhecimento da procedncia (de onde realmente vem e de
quem vem e do que se trata), sem fazer primeiramente uma
inspeo do material recebido em algum lugar ou equipamento que
no comprometa a empresa ou organizao;
Descarte incorreto de material que se acha intil, como por
exemplo, no triturar documentos antes de jog-los fora e de
preferncia em diversas lixeiras ou o descarte de disquetes, CDs e
outros, sem eliminar definitivamente as informaes contidas neles;
Gavetas abertas, de fcil acesso a documentos.
Jogo via internet ou mesmo por disquetes, Pen-drives ou CD-ROM
so passveis de conter armadilhas, como ativao de worms,
cavalos de troia, vrus e dentre outros perigos que se escondem
por trs dos envolventes jogos, ou diverses oferecidas;



49
Deixar expostos arquivos de backup, no guardando em lugar
seguro e confivel, alm de demonstrar explicitamente que um
backup.
Nome de usurio e senhas expostas para qualquer um que passar
ver e ter acesso.
Disquetes, Pen-drives, CDs, documentos, material particular como
bolsas, carteiras em cima da mesa ou expostos, com grande
facilidade de algum se apoderar ou ter acesso, principalmente se
as portas ou janelas ficam sempre abetas.
Programas, documentos digitais gravados em disquete ou CDs,
no sendo devidamente guardados em lugares seguros onde
somente aqueles que podem ter realmente acesso seriam
portadores da informao;
Computador ligado exibindo informaes confidenciais como
senha, login de usurio, cdigos fontes;
Acessos a sites indevidos, no confiveis, ou fora das polticas de
trabalho da empresa;
Computador ligado e, sobretudo, logado com a senha e nome de
algum usurio esquecidinho, deixando o uso da mquina
disponvel para algum no autorizado.
Sistema de alarme desativado, desligado ou inoperante, em caso
de alguma urgncia ou emergncia;
Softwares em lugar no seguro; bem como livros, apostilas etc.,
que contenham informaes que sirvam como um facilitador em
trazer palavras de cunho tcnico de modo a disponibilizar id,
senhas, sejam elas default ou no;



50
Enfeites, como vasos, quadros, dentre outros, servindo como mera
distrao, fugindo do habitual e tradicional layout de arranjo do
ambiente de trabalho, podendo ser alvo de suspeita, pois atrs
desses enfeites podem estar guardados, escondidos ou
implantados sistemas de escuta, gravadores, dentre outros
pequenos sistemas que podem colher informaes ditas ou
vivenciadas naquele ambiente. Paranoias e neuroses parte, todo
cuidado pouco;
Quanto aos riscos inerentes aos fatores humanos, podem-se destacar
como exemplo os seguintes controles: (SMOLA, 2003 citado por PEIXOTO, 2006,
p. 53).
Seminrios de sensibilizao;
Cursos de capacitao;
Campanhas de divulgao da poltica de segurana;
Crachs de identificao;
Procedimentos especficos para demisso e admisso de
funcionrios;
Termo de responsabilidade;
Termo de confidencialidade;
Softwares de auditoria de acessos;
Softwares de monitoramento e filtragem de contedo;
As prticas acima citadas ajudaro a minimizar a possibilidade da
empresa se tornar mais uma vitima da engenharia social.
Podemos constatar na viso de (PEIXOTO, 2006, p. 54)



51
A maior prova para se ter certeza de que voc ser a prxima vtima da
engenharia social simplesmente subestimar o praticante desta arte. Mas
como ao certo saber quem afinal o engenheiro social naquele dado
momento, lugar ou situao? No saber, na primeira instncia. Apenas
desconfiar de algum suspeito medida que voc v adquirindo
conhecimento das tcnicas padres e revolucionrias da engenharia social.
E assim percebendo algumas gafes do engenheiro social, deixar a
incerteza para ento capturar o alvo certo.
Abaixo, mais algumas dicas para manter seu computador seguro ao
acessar a Internet. (SISTEMA DE COOPERATIVAS DE CRDITO DO BRASIL,
[200-?]).
Instale um bom programa de antivrus e, pelo menos uma vez por
semana, faa uma verificao completa do computador;
Use sempre cpia original do programa de antivrus, pois as cpias
piratas geralmente j esto infectadas e no funcionam
corretamente;
Configure seu antivrus para procurar por atualizaes diariamente;
Use seu antivrus para verificar todo arquivo baixado antes de abri-
lo ou execut-lo pela primeira vez;
Cpias originais do Windows so mais seguras e so atualizadas
periodicamente pela Microsoft;
Mantenha o sistema operacional do seu computador e seus
programas sempre atualizados para proteg-los contra as falhas de
segurana, que so descobertas todos os dias;
Somente instale programas de fontes confiveis. Evite os servios
de compartilhamento (por exemplo: Kazaa, Bittorrent, Limeware,
Emule, etc.). Eles so uma das principais fontes de disseminao
de programas nocivos;
No abra e-mails e arquivos enviados por desconhecidos;



52
No abra programas ou fotos que dizem oferecer prmios;
Cuidado com os e-mails falsos de bancos, lojas e cartes de
crdito;
Jamais abra arquivos que terminem com PIF, SCR, BAT, VBS e,
principalmente, os terminados com EXE e COM;
Se voc desconfiar de um e-mail recebido, mesmo quando enviado
por pessoa conhecida, cuidado, pois pode ser um e-mail falso;
Verifique se o endereo que est aparecendo em seu navegador
realmente o que voc queria acessar;
No confie em tudo o que v ou l;
No autorize instalao de software de desconhecidos ou de sites
estranhos;
Antes de clicar em um link, veja na barra de status do navegador
se o endereo de destino do link est de acordo com a descrio
do mesmo;
Sempre desconfie de ofertas e sorteios dos quais no tenha prvio
conhecimento.
Ao realizar compras pela Internet procure por sites
reconhecidamente seguros;
Se for utilizar o seu carto de crdito ou tiver que fornecer dados
bancrios, verifique se a pgina acessada utiliza tecnologia de
criptografia, ou seja, o endereo da pgina acessada deve
comear com https e deve aparecer o cone de um cadeado na
barra de status (parte inferior) ou direita da caixa do endereo,
dependendo do navegador. Uma observao importante a ser feita,



53
que Crackers colocam imagens de cadeados para fazer com que
os usurios pensem que o site seguro, mas na realidade no .
Se voc desconfiar de um site de compra, deixe-o de lado e
compre em outro lugar.
Ao preencher qualquer cadastro seja ele virtual ou no, s fornea
informaes de extrema necessidade.
No acredite em todos os e-mails sobre vrus, principalmente
aqueles de origem duvidosa que trazem anexo arquivo para ser
executado, prometendo solucionar o problema;
Jamais acredite em pedidos de pagamento, correo de senhas ou
solicitao de qualquer dado pessoal por e-mail. Comunique-se por
telefone com a instituio que supostamente enviou o e-mail e
confira o assunto.
Nunca realize operaes bancrias ou transaes pela internet que
possuam informaes pessoais de lugares pblicos como, por
exemplo, LAN-Houses, pois computadores pblicos muitas vezes
contm cdigos maliciosos, instalados por pessoas mal-
intencionadas, capazes, por exemplo, de registrar tudo o que voc
digitar no teclado, facilitando a quebra de sigilo dos seus dados
confidenciais.
Os mecanismos de busca da Internet indexam um nmero enorme de
pginas Web e outros recursos. Crackers podem usar esses mecanismos para fazer
ataques annimos, procurar por vitimas e adquirir o conhecimento necessrio para
montar um poderoso ataque contra a rede. Os mecanismos de busca so perigosos
em grande parte porque usurios so descuidados. Alm disso, os mecanismos de
busca podem ajudar a evitar a identificao dos Crackers. Mecanismos de busca
tornam a descoberta de maquinas expostas quase sem esforo. Nos ltimos anos,
os mecanismos de busca tm recebido uma grande quantidade de ateno negativa



54
por expor informaes confidenciais. Como resultado, o mais interessante que so
as consultas, no retorna mais resultados teis. (MCCLURE; SCAMBRAY; KURTZ,
2009, p. 553, traduo nossa).
A tabela abaixo exibe as reas de risco da empresa, a ttica do invasor e
a respectiva estratgia de combate, para assim evitar ser mais uma vtima.
(POPPER; BRIGNOLI, 2003).

Tabela 2 reas de Risco, Tticas e Estratgias
rea de Risco Ttica do invasor Estratgia de Combate
Suporte de
Informtica
Representao e
persuaso
Desenvolver na empresa uma poltica de
mudana frequente de senhas e treinar os
demais funcionrios para nunca passarem
senhas ou outras informaes confidenciais
por telefone;
Entrada de edifcios
Acesso fsico no
autorizado;
Treinar os funcionrios da segurana para no
permitirem o acesso de pessoas sem o devido
crach de identificao e mesmo assim fazer
uma verificao visual;
Escritrios Caminhar pelo ambiente;
No digitar senhas na presena de pessoas
estranhas, a no ser que voc consiga fazer
isso rapidamente;
Suporte telefnico
Usar de disfarces na hora
de solicitar ajuda aos
atendentes, geralmente se
passando por outra
pessoa;
Os atendentes devem solicitar sempre um
cdigo de acesso, para s ento prestarem o
suporte solicitado;
Escritrios
Caminhar pelos corredores
procura de salas
desprotegidas;
Todos os visitantes devem ser acompanhados
por um funcionrio da empresa;
Sala de
correspondncia
Insero de mensagens
falsas;
Fechar e monitorar a sala de correspondncia;
Sala dos servidores
Instalam programas
analisadores de protocolo
para conseguirem
informaes confidenciais,
alm da remoo de
equipamentos;
Manter sala dos servidores sempre trancada,
e o inventrio de equipamentos atualizado;
Central telefnica
Roubar acesso a linhas
telefnicas
Controlar chamadas para o exterior e para
longas distncias, e recusar pedidos de
transferncias suspeitas;
Internet e intranet
Criar e/ou inserir
programas na Internet ou
intranet para capturar
senhas;
Criar senhas fortes e fazer uso consciente da
mesma, alterando-a periodicamente.
Depsito de lixo Vasculhar o lixo;
Guardar o lixo da empresa em lugar seguro,
triturar todo tipo de documento, e destruir todo
o tipo de mdia magntica fora de uso;



55
Tabela 2 reas de Risco, Tticas e Estratgias
rea de Risco Ttica do invasor Estratgia de Combate
Escritrio
Roubar documentos
importantes;
Manter os documentos confidenciais fora do
alcance de pessoas no autorizadas, de
preferncia em envelopes fechados.
Fonte: (POPPER; BRIGNOLI, 2003).
Quase todos esses ataques poderiam ser evitados se o empregado alvo
seguisse estas etapas:
Verificar a identidade da pessoa para ter certeza se ela
realmente quem diz ser.
Certificar se a pessoa realmente possui autorizao.
Ficar sempre atento ao ser abordado por algum, principalmente
se voc no conhece a pessoa. Independente se a abordagem foi
feita atravs do telefone, carta ou e-mail, no fornea informaes
sensveis, pessoais ou at mesmo da organizao onde trabalha.
No clicar em links antes de verificar a autenticidade da solicitao.
Vrias so as vtimas de e-mails falsos. Para no ser mais uma
vtima dessa armadilha, entre em contato com a fonte da
solicitao seja ela uma pessoa, empresa, rgo pblico e etc.
A melhor coisa a fazer enquanto estiver navegando na Web ser
cauteloso e manter o antivrus e detectores de pragas virtuais em
geral sempre atualizados.
Escolher senhas fortes e no compartilhar com outras pessoas.

5.1.1. Elaborando senhas fortes

Com relao elaborao de senhas:



56
A displicncia dos usurios que criam senhas fceis de serem descobertas,
que ficam longos perodos sem alter-las, e ainda utilizam a mesma senha
para acesso a vrias contas, torna o ataque mais simples. Basta enviar um
cadastro oferecendo um brinde ou a participao em um sorteio que solicite
o nome e senha do usurio e pronto. O hacker ter a sua disposio tudo o
que necessrio para um ataque, sem grande esforo (GRANGER, 2001
apud POPPER; BRIGNOLI, 2003, p. 4-5).
Isso pode ser reforado pela seguinte opinio:
Muitos usam como senha, palavras que existem em todos os dicionrios,
seus apelidos, ou at mesmo o prprio nome que, com um software
gerenciador de senhas, possvel decifr-las em segundos. (VIRINFO,
2002 apud POPPER; BRIGNOLI, 2003, p. 4).
Para um engenheiro social, uma senha forte ser aquela composta por
uma sequncia aleatria de caracteres. Os seguintes critrios podem ajudar sua
senha a se tornar forte: (MICROSOFT CORPORATION, 2006).
Escolha senhas longas, pois para cada caractere adicionado, maior
ser a proteo. A quantidade mnima de caracteres recomendvel oito para uma
senha segura. O ideal seria no mnimo quatorze caracteres.
Uma frase secreta fcil de lembrar e por ser mais longa, ser
mais seguro ainda.
A combinao de letras, nmeros e smbolos ajudam bastante a
aumentar a fora da senha. Quanto maior a variedade de caracteres, mais poderosa
ser a senha.
Quanto menor a variedade de caracteres maior dever ser a
senha. Uma senha que possui quinze caracteres composta somente por letras e
nmeros aleatrios cerca de 33.000 vezes mais forte do que uma senha de oito
caracteres que composta por elementos de todo o teclado. lgico que uma
senha ideal possui vrios tipos de caracteres diferentes e ao mesmo tempo longa.
Use a tecla "Shift", pois sua senha ser muito mais forte se voc
combinar os smbolos gerados atravs dessa tecla.
Use frases ou palavras que voc lembre com facilidade, mas que
ao mesmo tempo seja difcil de algum adivinhar.



57
Vejamos alguns passos para criar sua senha forte:
1) Escolha uma frase fcil de lembrar como por exemplo. "Meu filho
Carlos tem trs anos ou ento utilize a primeira letra de cada
palavra que ficaria assim mfctta.
2) Uma tima opo se o sistema aceitar a utilizao de espaos
entre as palavras ou caracteres.
3) Lembre-se de que quanto maior e mais complexas as combinaes
forem, mais forte ser a senha, ento ao invs de usar mfctta
como no primeiro exemplo, pode-se usar MfcTtA, Meu FilhO
CarLos tem 3 aNos ou MeuFilhO KrlOs t&m 3 @no$.. Essa a
oportunidade de usar a imaginao.
Teste sua senha em um verificador de senhas. Este um recurso que
ajuda a medir a fora da sua senha. (MICROSOFT CORPORATION, [200-?]).
Estratgias para evitar senhas fracas
Evite escolher sequencias repetidas como, por exemplo: 123456,
3333333, abcdefg ou letras prximas no teclado.
Evite tambm substituies semelhantes como, '1' no lugar de 'i' ou
'@' no lugar de 'a', como em "M1cr0$0ft" ou "Senh@", lembrando
que essas substituies podem sim se tornar fortes mais somente
quando combinadas com vrios outros caracteres.
No use nome de login, data de aniversrio, parte do nome,
nmero de documentos, informaes de familiares, pois
informaes pessoais e de familiares so as primeiras a serem
testadas pelos invasores.
Tambm no use palavras encontradas em dicionrios, pois
existem softwares sofisticadssimos que utilizam essa tcnica, e



58
inclusive palavras de trs para frente, erros comuns de digitao,
substituies e at mesmo aquelas palavras que um adulto
consciente jamais falaria perto das crianas.
Use uma senha diferente para cada site ou sistema. Pois se voc
utiliza a mesma senha para tudo e algum descobrir, todas as
outras tambm sero descobertas e a catstrofe ser bem maior.
O objetivo maior dessas dicas minimizar ou dificultar ao mximo a
possibilidade de um ataque de engenharia social. Pois segundo o prprio Kevin
Mitnick, considerado o maior entendido do assunto:
A verdade que no existe uma tecnologia no mundo que evite o
ataque de um engenheiro social (MITNICK; SIMON, 2003, p. 195).
O prprio Mitnick considerado o maior especialista em engenharia social
do qual se tem notcias, em uma das suas raras vindas ao Brasil no final do ano de
2003, concedeu uma entrevista para a Information Week Brasil, onde declarou que
foi vtima de engenharia social ao receber uma ligao de um jornalista dizendo que
havia conversado com seu editor. Desatento, Mitnick confiou na palavra do jornalista
e deu uma entrevista sobre o livro. Depois, quando a reportagem foi publicada o
editor de Mitnick ligou para ele furioso, pois toda a estratgia para o lanamento do
livro The Art of Deception (A arte de enganar) havia sido prejudicada por causa da
entrevista, que o editor no havia autorizado. (PEIXOTO, 2006).




59
CONCLUSO
O presente artigo procurou abordar a engenharia social de maneira a
esclarecer o que realmente essa prtica to utilizada nos dias atuais para alcanar
algum objetivo atravs da trapaa. Assim como a importncia que a informao tem
para as organizaes e a necessidade de proteg-la.
A maioria dos incidentes envolvendo a segurana da informao est
diretamente ligada ao fator humano, pois este est totalmente relacionado com a
segurana da informao. A segurana da informao tem um inicio e termina nas
pessoas. Segurana da informao est mais relacionada com processos do que
com a prpria tecnologia. Por isso no adiantar nada investir pesado em tecnologia
e deixar de lado o fator humano. A conscientizao fundamental, sem ela a
empresa corre um risco enorme, pois as vulnerabilidades humanas so evidentes e
bem exploradas pelos engenheiros sociais.
O artigo atingiu os objetivos estabelecidos, que eram colaborar como um
instrumento de conscientizao a respeito do tema proposto, mostrando ao leitor o
quanto as pessoas so manipuladas e ludibriadas nos dias de hoje atravs da
engenharia social. Fazer tambm com que o leitor possa identificar um suposto
ataque de engenharia social e, sobretudo reconhea o prprio engenheiro social
atravs de suas caractersticas marcantes. Expor tambm procedimentos bsicos
que no podem de maneira alguma ficar de fora de uma poltica de segurana para
treinamento e conscientizao dos funcionrios. E finalmente dar dicas ao leitor que
podem ajud-lo a no cair nas armadilhas do engenheiro social e assim no vir a se
tornar mais uma vtima dessa prtica.
Conforme proposto no inicio, o artigo procurou no abordar a parte
tcnica da segurana da informao que envolve abordagens a respeito de cdigos,
protocolos e etc. Buscou sim abordar bem os mtodos e tcnicas utilizadas pelos
intrusos para roubarem informaes e comprometerem a segurana da informao.



60
Espero ter alcanado as expectativas do leitor e ter tambm contribudo
de alguma maneira para a difuso do conhecimento adquirido atravs dessa
pesquisa que resultou na criao do artigo proposto.



61
REFERNCIAS
ALLEN, Malcolm. Social Engineering: A Means to Violate a Computer System. SANS
Institute InfoSec Reading Room. [S.l.], 13 f., june./dec. 2006. Disponvel em:
<http://www.sans.org/reading_room/whitepapers/engineering/social-engineering
means-violate-computer-system_529>. Acesso em: 20 ago. 2010.
ARAUJO, Eduardo E. de. A VULNERABILIDADE HUMANA NA SEGURANA DA
INFORMAO. 2005. 85 f. Monografia (Graduao) Faculdade de Cincias
Aplicadas de Minas, Unio Educacional Minas Gerais S/C LTDA, Uberlndia, 2005.
Disponvel em:
<http://si.uniminas.br/TFC/monografias/Monografia%20Final%20Eduardo%20Edson.
pdf>. Acesso em: 14 out. 2010.
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. NBR ISO/IEC 17799:
tecnologia da informao: tcnicas de segurana - cdigo de prtica para a gesto
da segurana da informao. Rio de Janeiro, 2005. 120 p. Disponvel em: <
http://xa.yimg.com/kq/groups/21758149/952693400/name/ABNT+NBR+ISO+IEC+17
799+-+27001-2005+-+Tecnologia+da+Informa%C3%A7%C3%A3o+-
+T%C3%A9cnicas+de+Seguran%C3%A7a+-
+C%C3%B3digo+de+Pr%C3%A1tica+para+a+Gest%C3%A3o>. Acesso em: 24 set.
2010.
COMIT GESTOR DA INTERNET NO BRASIL. Centro de Estudos, Resposta e
Tratamento de Incidentes de Segurana. Cartilha de Segurana para Internet. So
Paulo, 2006. 95 p. Disponvel em: <http://cartilha.cert.br/download/cartilha-
seguranca-internet.pdf >. Acesso em: 23 ago. 2010.
ERICKSON, Jon. Hacking: the art of exploitation. San Francisco: No Starch Press,
2003.
FONSECA, Paula F. Gesto de Segurana da Informao: O Fator Humano. 2009.
16 f. Monografia (Especializao) Redes e Segurana de Computadores, Pontifcia
Universidade Catlica do Paran, Curitiba, 2009. Disponvel em:
<http://www.ppgia.pucpr.br/~jamhour/RSS/TCCRSS08A/Paula%20Fernanda%20Fon
seca%20-%20Artigo.pdf>. Acesso em: 24 ago. 2010.
JUNIOR, Guilherme. Entendendo o que Engenharia Social. [S.l.: s.n.], 2006.
Disponvel em: <http://www.vivaolinux.com.br/artigo/Entendendo-o-que-e-
Engenharia-Social>. Acesso em: 5 set. 2010.



62
MARCELO, Antonio; PEREIRA, Marcos. A Arte de Hackear Pessoas. Rio de
Janeiro: Brasport, 2005.
MCCLURE, Stuart; SCAMBRAY, Joel; KURTZ, George. Hacking exposed 6:
network security secrets & solutions. [S.l.]: The McGraw-Hill Companies, 2009.
MICROSOFT CORPORATION. Ajude a proteger suas informaes pessoais
com senhas fortes. [S.l.:s.n.], 2006. Disponvel em:
<http://www.microsoft.com/brasil/athome/security/privacy/password.mspx>. Acesso
em: 20 ago. 2010.
MICROSOFT CORPORATION. Verificador de senha. [S.l.:s.n.], [200-?]. Disponvel
em:
<http://www.microsoft.com/brasil/athome/security/privacy/password_checker.mspx>.
Acesso em: 20 ago. 2010.
MITNICK, Kevin D.; SIMON, William L. A arte de enganar: Ataques de Hackers:
Controlando o Fator Humano na Segurana da Informao. So Paulo: Pearson
Education, 2003.
MITNICK, Kevin D.; SIMON, William L. The art of intrusion: the real stories behind
the exploits of hackers, intruders, and deceivers. Indianapolis: Wiley Publishing,
2005.
PEIXOTO, Mrio C. P. Engenharia Social e Segurana da Informao na Gesto
Corporativa. Rio de Janeiro: Brasport, 2006.
PILARES da segurana da informao. Disponvel em:
<http://www.espacoacademico.com.br/042/42amsf.htm >. Acesso em: 31 out. 2010.
PIPKIN, Donald L. Halting the hacker: a practical guide to computer security. 2nd
ed. Upper Saddle River: Pearson Education, 2003.
POPPER, Marcos Antonio; BRIGNOLI, Juliano Tonizetti. ENGENHARIA SOCIAL:
Um Perigo Eminente. [2003]. 11 f. Monografia (Especializao) Gesto Empresarial
e Estratgias de Informtica, Instituto Catarinense de Ps-Graduao ICPG, [S.l.],
[2003]. Disponvel em: <http://fabricio.unis.edu.br/SI/Eng_Social.pdf>. Acesso em: 19
ago. 2010.



63
PRESCOTT, Roberta. Fator humano: um dos pilares da segurana da informao.
[S.l.:s.n.], 2007. Disponvel em:
<http://www.itweb.com.br/noticias/index.asp?cod=41990>. Acesso em: 03 out. 2010.
RUSSELL, Ryan. Stealing the network: how to own the box. Rockland: Syngress
Publishing, 2003.
SANTOS, Luciano A. L. O impacto da engenharia social na segurana da
informao. 2004. 82 f. Monografia (Especializao) Universidade Tiradentes,
Aracaju, 2004. Disponvel em:
<http://thehell.org/thehell/apostilas/O%20impacto%20da%20engenharia%20social%
20na%20seguran%E7a%20da%20informa%E7ao.pdf>. Acesso em: 14 out. 2010.
SCHWARTAU, Winn. Engenharia social: pessoas ainda so elo mais fraco.
[S.l.:s.n.], 2010. Disponvel em:
<http://www.modulo.com.br/comunidade/noticias/1281-engenharia-social-pessoas-
ainda-sao-elo-mais-fraco-diz-especialista>. Acesso em: 15 out. 2010.
SILVA, Elaine M. da. Cuidado com a engenharia social: Saiba dos cuidados
necessrios para no cair nas armadilhas dos engenheiros sociais. [S.l.:s.n.], 2008.
Disponvel em: <http://www.baixaki.com.br/info/1078-cuidado-com-a-engenharia-
social.htm>. Acesso em: 20 out. 2010
SILVA, Maicon H. L. F. da; COSTA, V. A. de S. F. O fator humano como pilar da
Segurana da Informao: uma proposta alternativa. Serra Talhada (PE), 2009.
Disponvel em: <http://www.eventosufrpe.com.br/jepex2009/cd/resumos/R0052-
3.pdf>. Acesso em: 31 out. 2010.
SISTEMA DE COOPERATIVAS DE CRDITO DO BRASIL; CONFEDERAO
NACIONAL DE COOPERATIVAS DE CRDITO. Cartilha de Segurana da
Informao. [S.l.:s.n.], [200-?]. Disponvel em:
<https://ib.sicoobnet.com.br/inetbank/banner/cartilha_seguranca_web.pdf>. Acesso
em: 24 ago. 2010.
SKYLAN: technology. Disponvel em:
<http://www.skylan.com.br/?pg=pagina&id=23>. Acesso em: 31 out. 2010.