Engenharia Social: Explorando a vulnerabilidade humana

Rafael Magri Gedra

Resumo
Com o passar dos dias e com o crescente avanço da tecnologia, a informação
passou a ser um dos ativos mais valiosos das organizações, transformando em
um alvo para pessoas más intencionadas. Assim como existe esse tipo de
pessoa, também existem aquelas que são bem-intencionadas, ou até mesmo
por uma falta de atenção ou inocência, deixam que essas informações caiam em
mãos erradas. Devido às essas falhas humanas, os ataques de Engenharia
Social têm crescido exponencialmente, e por este motivo, é o tema desse
trabalho, cujos objetivos são: levar ao conhecimento das pessoas e
organizações este tipo de ameaça, bem como seus modus operandi para que,
quando vítimas, possam reconhecer e prevenir que o atacante obtenha sucesso;
e, apresentar a necessidade de campanhas internas de conscientização e
treinamentos.

Palavras-chave: Engenharia Social; Segurança da Informação; vulnerabilidades;

1. Introdução

Segundo Mitnick e Simon (2003), por mais que uma empresa possa ter
adquirido as melhores ferramentas de cibersegurança, estruturado uma
segurança física e seguirem as melhores práticas em segurança, ainda assim
essa corporação está completamente vulnerável devido ao fator humano.
Sendo assim, ataques de engenharia social podem lograr sucesso
facilmente através de pessoas que não foram devidamente instruídas para lidar
com essa situação, ou até mesmo por negligência por parte das mesmas.
Generalizando, Engenharia Social é uma técnica em que o atacante utiliza
a persuasão para conquista de seus alvos. Neste caso, utilizam uma prática de
má fé, explorando a ganância, ingenuidade ou até mesmo a boa-fé da vítima em
querer sentir-se útil. (CERT, 2012)
Estudos empenhados na análise de estratégias de ataques apontam que a
primeira fase do ataque, quase sempre, envolve a manipulação de
comportamento de algum funcionário, utilizando técnicas de Engenharia Social.
Após sucesso na primeira fase, os atacantes utilizam de uma posição dentro das

Pós-Graduação em Segurança da Informação da Universidade Estácio de Sá, Ribeirão Preto,

2018
redes corporativas para que, por meio de movimentação lateral, possam explorar
vulnerabilidades internas. (PURICELLI, 2015)
Sendo assim, este artigo tem como objetivo levar ao conhecimento de
pessoas e empresas as técnicas utilizadas pelos Engenheiros Sociais, para que,
quando alvos, possam identificar o ataque e rapidamente, tomarem uma posição
correta para evitar o sucesso do atacante.

2. Conceitos de Segurança da Informação e Engenharia Social

2.1 Segurança da Informação

Com o efeito da globalização e computadores e usuários fortemente

conectados pelas redes, a informação passou a ser um dos maiores patrimônios
das organizações. É através dessas informações que a organização permanece
competitiva no mercado, por isso, ela deve ser protegida e gerenciada de forma
adequada. (MOREIRA, 2013).
Segundo a ABNT NBR ISSO/IEC 17799:2005 (2005, p.ix), a informação
pode ser apresentada no formato impresso, armazenada de forma eletrônica,
filmes, entre outras formas. De qualquer forma, elas devem ser protegidas e
armazenadas de forma adequada.
Para Peixoto (2006), as informações podem ser categorizadas em pública,
interna, particular e confidencial.
i. Pública: nesta categoria, as informações são abertas ao público,
sem nenhuma restrição. Pode ser utilizada como forma de divulgação nos mais
diversos veículos de mídia.;
ii. Interna: as informações pertencentes à esta categoria são voltadas
aos funcionários e demais integrantes da organização. Este tipo de informação
pode ser útil ao Engenheiro Social, pois pode usá-las para se passar por
empregado ou fornecedor, e, também conhecer os horários e regras para se
infiltrar na organização;
iii. Particular: estas informações pertencem ao funcionário ou outro
membro da organização. Estas informações podem ser contas bancárias,
salários, benefícios e demais informações de uso pessoal que não devem ser
expostas ao público.
 iv. Confidencial: por fim, nesta categoria estão as informações que
pertencem à um grupo restrito de pessoas. São as informações mais valorizadas
dentro da organização, consequentemente as mais bem protegidas. Essas
informações são os principais alvos de um atacante, pois tratam-se de
estratégias de negócios, especificações de produtos, informações de marketing,
e, quando vazadas, podem comprometer, algumas vezes de forma irreversível,
a estrutura dos negócios.
A segurança da informação consiste nos processos e técnicas empregadas
que têm como objetivo, proteger essas informações de diversos tipos de
ameaças, e pode ser obtida através da implementação de políticas, processos e
procedimentos, que devem ser monitorados, analisados e melhorados com o
passar do tempo.
Quando implementadas, as políticas de segurança da informação visam a
preservação de três princípios básicos, considerados como pilares da segurança
da informação, que são:
i. Confidencialidade: este conceito é empregado para manter as
informações confidenciais longe do acesso de pessoas não autorizadas. São
empregadas técnicas de criptografia, acesso limitado por senhas e certificados.
Devido à curiosidade humana quando algum segredo é envolvido, esse pilar
deve ser bem estruturado para não deixar brechas ao atacante.
ii. Integridade: busca garantir que a informação não tenha sido
alterada indevidamente por algum indivíduo não autorizado. Quando uma
informação sofre alterações em sua versão original, ela perde seu valor, podendo
ocasionar erros e fraudes. É importante que as informações sejam armazenadas
de forma que não haja alterações inapropriadas.
iii. Disponibilidade: este princípio busca garantir que a informação
esteja disponível para serem utilizadas quando necessário. Aplica-se também à
infraestrutura física e tecnológica, o tráfego e armazenamento da informação
para que estejam sempre disponíveis de forma segura.
Além dos princípios básicos que, quando empregados eram muito
abrangentes, hoje em dia, mais dois pilares foram adotados, e também são tão
importantes quanto os outros. Estes novos pilares são: autenticidade e
irretratabilidade ou não-repúdio, conforme definidos abaixo:
 iv. Autenticidade: este conceito busca garantir a informação partiu da
fonte anunciada.
v. Irretratabilidade: também conhecida como “não-repúdio”, este
novo pilar busca garantir que um emissor não negue o envio de uma mensagem
ou transação, quando sua autenticidade já foi reconhecida.
Para Moreira (2013), no passado, zelar pela segurança da informação era
mais simples, pois os arquivos que continham diversos papéis, podiam ser
trancados fisicamente, porém, com a chegada das tecnologias da informação e
comunicação, essa tarefa passou a ser bem mais complexa.
É essencial que uma organização identifique seus requisitos de segurança
por meio de uma análise. Os resultados destas análises servirão para direcionar
e determinar as ações apropriadas e quais as prioridades.

2.2 Engenharia Social

Para a Microsoft (2014), a Engenharia Social vem através de uma pessoa

que acha mais fácil explorar a natureza humana ao explorar falhas de software,
sem a necessidade de empregar tecnologia sofisticada, mas sim, técnicas.
Nesta mesma linha de pensamento, Mitnick e Simon (2003) afirma que o
Engenheiro Social usa o poder da persuasão, influência ou manipulação para
convencer outras pessoas que ele é alguém que na realidade não é, e desta
forma, receber informações usando ou não recursos tecnológicos.
A Engenharia Social pode ser utilizada por pessoas bem-intencionadas
que, conhecendo as técnicas e ferramentas, pode emprega-las para se
protegerem dessas ameaças, mas também pode ser usada por atacantes para
burlar os sistemas de segurança, colher as informações e obter algum lucro
ilícito.
Na maioria das vezes, quando surge a necessidade de proteger as
informações, muitos pensam em corrigir falhas computacionais, implementação
de firewall, sistemas antivírus e atualizações de sistemas para correção de
vulnerabilidades, porém deixam de lado o fator humano, que sempre existirá
dentro das organizações.
De acordo com o entendimento de Alves (2010), o fator humano está
diretamente ligado as maiores causas de ataques a sistemas computacionais,
fazendo necessário a inclusão desse fator como sendo um elemento base da
segurança da informação.
O ser humano possui algumas características comportamentais e
psicológicas que o torna passível de ataques de engenharia social. Dentre estas
características, estão: vontade de ser útil, difusão de responsabilidades, procura
por novas amizades e relacionamentos. (Inácio, 2008)

3. Ataques de Engenharia Social

Ataques de engenharia social podem ser divididos em, basicamente, dois

tipos: diretos e indiretos.
Nos ataques diretos, o atacante tem um contato pessoal com a vítima,
exigindo assim, um planejamento antecipado, devendo ser bem articulado para
que não seja descoberto. (Inácio, 2008)
Já nos ataques indiretos, o atacante utiliza ferramentas de invasão, como
envio de códigos maliciosos, exploração de alguma porta aberta para a Internet
e falhas de segurança. (Inácio, 2008)
Estes ataques podem ser empregados por meio de diversas técnicas e
ferramentas. Dentre elas, algumas podem ser destacadas:
i. Contato telefônico: O atacante ter em seu poder as informações
que precisa, o mesmo pode utilizar de um contato telefônico para obter algum
acesso não autorizado, passando-se por funcionário, fornecedor ou terceiros.
Quando o Engenheiro Social utiliza esta técnica, ele já possui informações como:
nome de secretária, dados de algum gestor ou até de funcionários responsáveis
pela segurança da informação. (Rafael, 2013)
ii. E-mail Spoofing: Nesta técnica, o atacante altera o campo de
cabeçalho de um e-mail, aparentando assim que ele foi enviado por um
determinado remetente, quando na verdade, não foi. Normalmente, por meio de
divulgação falsa de promoções, assuntos financeiros ou qualquer outro assunto
que chame a atenção da vítima e levem-na a clicar sobre algum link com
redirecionamento à uma página falsa para instalação de algum software
malicioso ou redirecionamento para página falsas, onde a vítima poderá inserir
seus dados bancários, números de cartões de crédito, entre outras informações
que podem ser solicitadas pelo atacante.
 iii. Análise do lixo ou Dumpster diving: Por muitas empresas não
tomarem os devidos cuidados com o que é descartado, muitos Engenheiros
Sociais vasculham o lixo da empresa em busca de informações como: nome de
funcionários, telefone de clientes e fornecedores, comprovantes de transações
efetuadas. Após coletadas essas informações, o Engenheiro Social fica munido
de material que pode ser usado em outras técnicas, como ligações e e-mails.
iv. Pesquisas na Internet: O Engenheiro Social utiliza as informações
publicadas na Internet e redes sociais para também colher informações sobre
seus alvos. Na Internet o atacante encontra informações sobre as atividades da
empresa, processos judiciais abertos ao público, e, consultando as redes sociais,
consegue informações sobre funcionários, como: cargos, amizades, perfil
pessoal, entre outras.
v. Programação neurolinguística: São técnicas utilizadas durante a
comunicação com outra pessoa, que serve para confundi-la e fazê-la concordar
com o atacante. Uma das técnicas mais utilizadas é fazer com que a vítima
acredite que uma ideia foi dela, e não do atacante.
vi. Phishing: Por se tratar de uma das técnicas amplamente utilizadas
por Engenheiros sociais, esta técnica merece um estudo mais abrangente, que
será apresentado mais adiante.
vii. Varredura em redes (Scan): Consiste em buscas na rede, com o
objetivo de identificar computadores ativos e coletar informações sobre eles.
Com base nas informações coletadas, o atacante pode utilizar diversas
vulnerabilidades já identificadas aos serviços disponibilizados e programas
instalados nestes computadores. (CERT, 2012)
viii. Footprint: Consiste na técnica de reconhecimento iniciada pelo
atacante, utilizada para coleta de informações da rede, arquitetura de rede, IDS,
IPS, firewall utilizado e serviços de rede disponíveis. (Macêdo, 2017)
ix. Engenharia social inversa: Tipo de ataque poderoso, onde o
atacante consegue criar um problema para a vítima, porém demonstrando a ela
que somente ele consegue resolver. Quando o engenheiro utiliza esta técnica, o
problema ainda não existe ou não aconteceu, porém ele sabe que acontecerá,
pois será ele o causador. (Baldim, 2007)
x. BEC (Business Email Compromise): É um tipo de ataque de
phishing, que é aplicado somente via e-mail e direcionado à algum alvo. Neste
ataque, o Engenheiro Social utiliza técnicas avançadas de phishing, e são
direcionadas ao alvo. Segundo monitoramento realizado pela Trend Micro, os
CFO’s (Chief Financial Officer) são os alvos mais visados para este tipo de
ataque. (Soares, 2017)

3.1 Phishing

O phishing é um dos ataques mais antigos e ainda um dos mais utilizados

na Internet. Segundo Payão (2018), o Brasil ocupa a primeira posição no ranking
dos países que mais sofrem ataques de phishing no mundo.
Para Payão (2018), os ataques de phishing o sucesso da utilização desta
técnica é devido à sua facilidade e rapidez, devendo apenas cadastrar um
domínio e montar uma página web falsa, e, em seguida disparar os e-mails em
massa.
No ano de 2017, segundo a CERT, em 85,32% dos ataques relacionados
à fraude, foram utilizadas páginas falsas, conforme gráfico abaixo:

Figura 1. Gráfico tentativas de fraude

Fonte: CERT.br, 2018

Os ataques de phishing têm como objetivo o furto de dados pessoais, e

podem ser apresentados de várias maneiras, conforme listados abaixo:
i. E-mail ou mensagem falsa: Este é um tipo clássico, que, por meio
de e-mail falso, porém que se parecem com empresas reais, como bancos.
Neste modelo, o atacante envia uma solicitação à vítima, como por exemplo a
atualização cadastral, e, ao clicar sobre algum link, à vítima é redirecionada para
uma página falsa, onde insere seus dados, como número de conta, número de
cartão de crédito, etc. (Gedra, 2016)
ii. Phishing usando ransomware: Neste ataque, o usuário também
recebe um link, e ao clicar, é redirecionado para uma página falsa, que, de forma
automática, executa um código malicioso no computador. Após a execução, os
arquivos são criptografados, deixando-os inacessíveis. Para ter acesso
novamente aos arquivos, o atacante solicita um pagamento. (Silvani, 2018)
iii. Pharming: Nesta técnica, o ataque acontece em um servidor DNS,
e, a partir daí qualquer acesso a páginas da web podem ser redirecionadas para
páginas fraudulentas sem que o usuário desconfie. Após o acesso em página
falsa, o atacante pode coletar informações de várias pessoas ao mesmo tempo.
(Silvani, 2018)
iv. Smishing SMS: O alvo nesta técnica são os aparelhos celulares.
O Smishing chega por meio de mensagem de texto, de remetentes
desconhecidos, normalmente oferecendo algum tipo de prêmio ou oferta, e
quando a vítima clica em algum link, é induzida a inserir seus dados pessoais,
bem como bancários. (Silvani, 2018)
v. Vishing: Nesta fraude, a vítima recebe uma ligação telefônica e é
induzida pelo atacante a fornecer dados pessoais, bancários e até transferência
de dinheiro. O Engenheiro Social pode empregar diversas técnicas para
conseguir o que precisa, como segurar a vítima em linha telefônica;
mascaramento do número telefônico por um já conhecido pela vítima; o atacante
já possui diversas informações sobre a vítima, que pode fazer com que a vítima
acredite ser uma ligação genuína, entre outras.

3.2 Vulnerabilidades humanas exploradas por Engenheiros Sociais

Segundo o Gartner (2002) apud Baldim (2007), o Engenheiro Social age

sobre o comportamento humano, utilizando habilidades de persuasão e também
fingindo ser uma pessoa que não é. Persuasão pode ser definida como uma arte
e uma ciência, que durante alguns estudos, mostraram que humanos possuem
alguns tipos de comportamentos que são explorados mediante uma cuidadosa
manipulação.
Sendo assim, para Maulais (2016) apud Rosa at al (2012), um Engenheiro
Social utiliza conhecidas tendências, falhas psicológicas, sociais e
comportamentais do ser humano, como:
i. Vaidade (pessoal ou profissional): Quando os argumentos
utilizados pelo Engenheiro Social vão de encontro com interesses pessoais ou
profissionais da vítima, gera uma maior aceitação por parte da mesma, que
fornece as informações ao atacante com maior facilidade.
ii. Autoconfiança: É natural do ser humano a vontade de mostrar-se
bom em determinado assunto, área ou habilidade, sendo assim, ele procura
transmitir segurança, conhecimento e eficiência quando requisitado, criando
assim, uma base bem estruturada para início de uma comunicação favorável.
iii. Vontade de ser útil: A maioria dos seres humanos gostam de
ajudar aos outros, mostrando ser úteis e agindo com cortesia.
iv. Propagação de responsabilidade: Explorando esta
característica, o Engenheiro Social utiliza para “ajudar” a vítima durante a busca
de alguma solução do que foi proposto, trazendo uma sensação de conforto à
mesma.
v. Busca por novas amizades: Quando elogiado, o ser humano
passa a criar um laço de afetuoso e sensação de intimidade, tornando-se um
alvo mais vulnerável e aberto para ceder informações.

4. Defesas contra os ataques que utilizam a Engenharia Social

Para Mitnick e Simon (2003, p. 3),

Uma empresa pode ter adquirido as melhores tecnologias de
segurança que o dinheiro pode comprar. Pode ter treinado seu
pessoal tão bem que eles trancam todos os segredos antes de
ir embora e pode ter contratado guardas para o prédio na melhor
empresa de segurança que existe.
Mesmo assim essa empresa ainda está vulnerável.
Os indivíduos podem seguir cada uma das melhores práticas de
segurança recomendadas pelos especialistas, podem instalar
cada produto de segurança recomendado e vigiar muito bem a
configuração adequada do sistema e a aplicação das correções
de segurança.
Esses indivíduos ainda estarão completamente vulneráveis.
 Mesmo assim, existem algumas técnicas de defesa para estes ataques de
Engenharia Social, que devem ser conhecidas e empregadas por todas as
pessoas que possuem vínculos diretos com a empresa, inclusive fornecedores
e terceiros que possuem acesso em qualquer tipo de informação. Para um
Engenheiro Social, uma informação que o funcionário julgue como irrelevante,
pode valer muito quando bem aproveitada.
É importante ressaltar que por mais treinada que a equipe seja, isso não
dispensa o investimento em tecnologias de defesa. O uso de caixas de firewall
e boas soluções de AntiSpam, antivírus, IPS (Intrusion Prevention System) e IDS
(Intrusion Detection System) são importantes, pois uma solução complementa a
outra. Essas ferramentas devem estar devidamente configuradas e instaladas
no ambiente.
A segurança física do perímetro também deve ser empregada, utilizando
controles de acesso ao ambiente, sistemas de monitoramento por imagem e
alarmes, pois um Engenheiro Social pode adentrar ao ambiente passando-se por
funcionário, fornecedor ou terceiro. O uso de leitores biométricos é indicado para
abertura portas e portões.
No item 3, Ataques de Engenharia Social, foram listadas algumas das
técnicas de ataques mais utilizadas, e, agora serão apresentadas técnicas de
defesa para as ameaças já vistas.
i. Contato telefônico: O usuário precisa estar preparado e treinado
para que não passe determinados tipos de informações por telefone. A empresa
deve implementar uma política para que solicitações aconteçam de modo
escrito, dentro de algum comunicador interno, por exemplo um sistema em
intranet. As gravações devem ser gravadas para serem usadas, caso alguma
ameaça seja identificada.
ii. E-mail Spoofing: A ativação de filtro de spam é recomendada para
que os e-mails que ofereçam alguma ameaça sejam direcionados para uma
pasta de lixo eletrônico. Outra recomendação bastante eficiente é que o usuário
aprenda a identificar a origem do e-mail através da leitura do cabeçalho da
mensagem recebida. Por fim, nunca clicar sobre links ou anexos de mensagens
que podem conter ameaças. (Tonello, 2015)
 iii. Análise do lixo ou dumpster diving: Todo o lixo da empresa deve
contenha algum tipo de informação deve ser armazenado em um local seguro,
até que sejam completamente destruídos. Papéis devem ser triturados e mídias
magnéticas completamente destruídas. (Assis, 2014)
iv. Pesquisas na Internet: Evitar o compartilhamento de informações
pessoais, financeiras, viagens, locais frequentados e demais atividades ajudam
na prevenção durante pesquisas realizadas pelo Engenheiros Sociais. É ideal
que as configurações de privacidade estejam habilitadas para evitar a exposição
de informações para pessoas mal-intencionadas. (Bannwart, 2013)
v. Programação neolinguística: Esta é uma das ameaças mais
difíceis de identificar, pois a vítima deverá estar muito bem preparada, conhecer
as técnicas empregadas na neolinguística é essencial para reconhecer quando
for vítima. Treinamentos são indicados para isso.
vi. Phishing: Para evitar que o atacante tenha sucesso com o
phishing, o usuário precisa tomar alguns cuidados como: ler a URL do site com
atenção, com o objetivo de identificar se aquele site é verdadeiro, ou se o
endereço pode ter sido alterado de maneira discreta; não fornecer senhas nem
dados pessoais em ligações recebidas, pois o atacante pode passar por um
atendente de banco ou agências de cobrança para conseguir informações como
CPF, endereço, número de cartão de crédito, etc. Caso tenha alguma dúvida,
interrompa a ligação e procure o banco ou agência mencionada para maiores
informações; a utilização de sistemas de segurança que consigam identificar se
um site pode ser malicioso por meio de sua reputação na web. Caso tenha
alguma dúvida em relação a algum e-mail recebido, encaminhe para a equipe de
Segurança da Informação analisar.
vii. Varredura em redes (scan): Esta ameaça pode ser identificada
por meio do uso de IPS/IDS. Para prevenir, é importante manter sistemas
operacionais e demais softwares atualizados, pois as atualizações corrigem
falhas que podem ser exploradas por um atacante. As portas de serviço não
devem ficar abertas no firewall para serem acessadas sem uma origem
conhecida. A utilização de VPN (Virtual Private Netowork) é recomendada para
que a conexão externa aos serviços da empresa utilizando a Internet seja
criptografado.
 viii. Footprint: As mesmas recomendações para evitar varredura de
redes são utilizadas para evitar footprint.
ix. Engenharia social inversa: Nesta ameaça, a pessoa deverá
conhecer técnicas de engenharia social para que possa identificar quando for
vítima desta técnica. Treinamentos e conscientização são indicados para
prevenção desse tipo de ataque.
x. BEC (Business Email Compromise): Por se tratar de um ataque
que utiliza as mesmas técnicas do phishing, porém utilizando recursos mais
avançados e de forma direcionada, as mesmas recomendações para evitar o
phishing devem ser empregadas para prevenir o BEC.

4.1 Conscientização e Treinamento em Segurança da Informação

Segundo Baldim (2007) apud Peixoto (2006), a conscientização é

importante por parte de todos os empregados, amenizando assim os ataques de
Engenharia Social. As campanhas de conscientizações devem ser dinâmicas e
convincentes, para que junto com as condutas segmentadas às regras definidas
surtam efeito.
Para Mitnick e Simon (2003), uma campanha de conscientização sobre a
segurança da informação deve abordar os aspectos do comportamento humano
e da Engenharia Social, incluindo:
i. Descrição das formas pelas quais um atacante utiliza a Engenharia
Social para enganar as pessoas;
ii. Métodos que são utilizados pelo Engenheiros Sociais para
alcançarem seus objetivos;
iii. Técnicas de como reconhecer um provável ataque de Engenharia
Social;
iv. Os procedimentos que devem ser adotados mediante uma
solicitação suspeita;
v. A quem informar sobre tentativas de ataques de Engenharia Social
ou os ataques que foram bem-sucedidos;
 vi. A importância do questionamento às pessoas que fizeram qualquer
tipo de solicitação suspeita, independente do cargo ou importância da pessoa na
empresa;
vii. A obrigação de cada empregado em atender às políticas e as
consequências quando as mesmas não forem empregadas.
Como a Engenharia Social, necessariamente, envolve algum tipo de
interação humana, um atacante utiliza métodos e tecnologias para alcançar seu
objetivo, por isso, no programa de conscientização, alguns itens merecem
atenção, como: (Mitnick e Simon, 2003)
i. Políticas de segurança relacionadas com senhas de computador;
ii. Procedimentos para divulgação de informações ou materiais
classificados como confidenciais;
iii. Políticas de utilização de serviços de e-mail, incluindo regras para
evitar ataques maliciosos;
iv. Requisitos de segurança física, como uso de crachás e uniformes;
v. Descarte adequado de lixos que contenham informações
relevantes à empresa;
vi. Responsabilidade das pessoas em questionar aquelas que não
estão devidamente identificadas por crachás ou outro dispositivo de identificação
utilizada nas instalações da empresa.
Para Baldim (2007) apud Sêmola (2003), existem algumas maneiras para
implantação da cultura de segurança da informação nas empresas, como:
i. Seminários: Os seminários são utilizados no início dos trabalhos,
como o objetivo de compartilhar as percepções dos riscos associados às
atividades da empresa, seus impactos e comprometimento dos processos
críticos caso alguma ameaça concretizar.
ii. Campanha e divulgação: As diretrizes e políticas de segurança
devem ser conhecidas por todos e instruções apresentadas à grupos de perfis
semelhantes das atividades. Com isso, cada membro compreende suas
responsabilidades dentro de cada modelo de segurança, motivando-o a
colaborar.
iii. Carta do presidente: A manifestação por parte do alto escalão da
empresa, de certa forma, oficializa os interesses da empresa em adequar seus
níveis de segurança a partir do envolvimento de todos. Essa carta pode ser
disponibilizada ou então encaminhada individualmente a cada funcionário,
formalizando o movimento.
iv. Termo de Responsabilidade e Confidencialidade: Este termo
tem o objetivo de firmar um entendimento entre funcionário e empresa em
relação à proteção das informações que o mesmo manipula. É neste termo que
também contém informações sobre as punições cabíveis pelos desvios de
conduta e esclarecer que a empresa é a legítima detentora daquelas
informações.
v. Cursos de capacitação e Certificação: São voltados para
funcionários que necessitam de um maior domínio dos conceitos, métodos e
técnicas de segurança da informação. Exemplo disso é a capacitação do
responsável pelo departamento de segurança da informação da empresa, que
deve ter condições de definir, medir e avaliar índices e indicadores de segurança
para então planejar a gestão da segurança da informação. Nestes casos, apenas
campanhas de conscientização não são suficientes.
O processo de monitoramento e análise dos riscos devem ser contínuos e
aprimorados, acompanhando a evolução dos recursos, ferramentas e técnicas
utilizadas pelos atacantes.
Manter os funcionários motivados a aplicar as medidas de segurança com
reconhecimentos, cursos de qualificação, brindes ou prêmios pode colaborar de
forma significativa para a diminuição de ataques sofridos. (Baldim, 2007 apud
Peixoto, 2006)

5. Conclusão

Pode-se concluir que mesmo com a crescente descoberta de novas

tecnologias e a evolução das já existentes, o ser humano ainda é o elo mais frágil
da segurança da informação, pois os Engenheiros Sociais são conhecedores
das técnicas que, de certa forma, mexem com os sentimentos humanos.
Sendo assim, a maneira mais eficiente em prevenir que as ameaças sejam
concretizadas, é implementando recursos tecnológicos de proteção aliados às
campanhas de conscientização das pessoas, pois um depende do outro para
obterem sucesso.
 Políticas de segurança da informação devem ser adotadas, monitoradas e
aprimorados com o passar do tempo. Com essa técnica é possível identificar
vulnerabilidades e trata-las antes que possa ser explorada por um atacante.
Mitnick e Simon (2003) finalizam seu livro a “Arte de Enganar” com uma
frase que todos devem ter em mente, a qual resume o objetivo deste trabalho:
“Todas as ações que você realiza a pedido de outras pessoas podem resultar
em comprometimento dos bens da sua empresa. Verifique. Verifique. Verifique”.
Referências

ABNT – Associação Brasileira de Normas Técnicas. NBR ISSO/IEC 17799.

Tecnologia da Informação – Técnicas de segurança – Código de prática
para a gestão da segurança da informação. Rio de Janeiro, ABNT, 2005.

ASSIS, Francisco. As Vulnerabilidades em Ambientes Corporativos

Mediante os Ataques de Engenharia Social, 2014. Disponível em:
http://clubedosgeeks.com.br/artigos/as-vulnerabilidades-em-ambientes-
corporativos-mediante-os-ataques-da-engenharia-social. Acesso em: 20 ago.
2018

BALDIM, Natália Pimenta. Engenharia Social e Segurança da Informação no

ambiente corporativo: uma análise focada nos profissionais do
Secretariado Executivo. 2007. 127 f. Monografia – Universidade Federal de
Viçosa, Viçosa, 2007.

BALDIM, Natália Pimenta. Engenharia Social e Segurança da Informação no

ambiente corporativo: uma análise focada nos profissionais do
Secretariado Executivo. 2007. 127 f. Monografia – Universidade Federal de
Viçosa, Viçosa, 2007 apud PEIXOTO, Mário César Pintaudi. Engenharia Social
& Segurança da Informação na Gestão Corporativa. 1ª ed. Rio de Janeiro:
Brasport, 2006.

BALDIM, Natália Pimenta. Engenharia Social e Segurança da Informação no

ambiente corporativo: uma análise focada nos profissionais do
Secretariado Executivo. 2007. 127 f. Monografia – Universidade Federal de
Viçosa, Viçosa, 2007 apud SÊMOLA, Marcos. Gestão da Segurança da
Informação: uma visão executiva da segurança da informação. 9ª
reimpressão. Rio de Janeiro: Elsevier, 2003.

BANNWART, Claudio. Engenharia Social nas Redes Sociais: a inteligência

usada para o mal, 2013. Disponível em:
https://canaltech.com.br/seguranca/Engenharia-Social-nas-Redes-Sociais/.
Acesso em: 13 ago. 2018.

CARDOSO, Fabio E.; OLIVEIRA, Paulo C. Política de Segurança da

Informação nas Empresas – Faculdade de Tecnologia de Ourinhos (FATEC),
2013. Disponível em: https://s.profissionaisti.com.br/wp-
content/uploads/2013/06/Politica-de-Seguran%C3%A7a-nas-Empresas.pdf.
Acesso em: 07 ago. 2018.

CERT. Cartilha de Segurança para Internet versão 4.0 – São Paulo: Comitê
Gestor da Internet no Brasil, 2012.

GEDRA, Rafael Magri. Segurança em Redes de Computadores Utilizando

Firewall iptables, 2016. 28 f. Faculdade Anhanguera de Ribeirão Preto, Ribeirão
Preto, 2016.
INÁCIO, Sandra R. L. Entendendo e evitando a engenharia social:
protegendo sistemas e informações. 2008. Disponível em:
https://www.webartigos.com/artigos/entendendo-e-evitando-a-engenharia-
social-protegendo-sistemas-e-informacoes/11227. Acesso em: 14 ago. 2018.

KEYWORTH, Marie. Vishing and smishing: The rise of social engineering

fraud, 2016. Disponível em: https://www.bbc.com/news/business-35201188.
Acesso em: 16 ago. 2018
MACÊDO, Diego. Footprint, 2017. Disponível em:
https://www.diegomacedo.com.br/footprinting/. Acesso em: 25 jul. 2018

MAULAIS, Claudio Nunes do S. Engenharia Social: Técnicas e estratégias de

defesa em ambientes virtuais vulneráveis, 2016. 79f. Universidade Fumec,
Belo Horizonte, 2016. Disponível em:
http://www.fumec.br/revistas/sigc/article/viewFile/3733/2031. Acesso em: 20
ago. 2018

MITNICK, Kevin D.; SIMON, William L., A Arte de Enganar, São Paulo: Pearson,
2003

MOREIRA, Ademilson. A importância da segurança da informação, 2013.

Disponível em:
https://www.oficinadanet.com.br/artigo/1124/a_importancia_da_seguranca_da_i
nformacao. Acesso em: 07 ago. 2018.

PEIXOTO, Mário César Pintaudi. Engenharia Social & Segurança da

Informação na Gestão Corporativa. Rio de Janeiro: Brasport, 2006.

PEREIRA, Leandro; MARTINS, Daves. Engenharia Social: Segurança da

Informação Aplicada à Gestão de Pessoas – Estudo de Caso – Centro de
Ensino Superior de Juíz de Fora, 2014. Disponível em
https://seer.cesjf.br/index.php/cesi/article/view/129. Acesso em: 07 ago. 2018.

PURICELLI, Roberto. Engenharia Social: uma ameaça subestimada na

governança e gestão de segurança de TI. ISACA Journal, v. 3, 2015.
Disponível em: https://www.isaca.org/Journal/archives/2015/Volume-
3/Pages/the-underestimated-social-engineering-threat-portuguese.aspx. Acesso
em: 13 ago. 2018.

RAFAEL, Gustavo de Castro. Engenharia Social: as técnicas de ataques mais

utilizadas, 2013. Disponível em:
https://www.profissionaisti.com.br/2013/10/engenharia-social-as-tecnicas-de-
ataques-mais-utilizadas/. Acesso em: 17 jul. 2018.

SILVANI, Mirella. Os dez tipos de phishing mais comuns, 2018. Disponível

em: https://www.techtudo.com.br/listas/2018/06/os-dez-tipos-de-phishing-mais-
comuns.ghtml. Acesso em: 16 ago. 2018.
TONELLO, Leandro Narezi. Spoofing e E-mail Spoofing: como se prevenir?,
2015. Disponível em: https://imasters.com.br/devsecops/spoofing-e-e-mail-
spoofing-como-se-prevenir. Acesso em: 17 ago. 2018

SOARES, Joelson. 5 dicas para evitar e se prevenir de ataques de phising,

2017. Disponível em: http://blog.trendmicro.com.br/5-dicas-para-evitar-e-se-
prevenir-de-ataques-de-phishing/. Acesso em: 12 ago. 2018.