Tecnologia

Engenharia Social – Porque não há patch para a estupidez humana

Escrevi na faculdade há muito tempo atrás sobre engenharia social, e revirando meus guardados acabei encontrando uma série de estudos na época sobre engenharia social, bom depois de ler achei interessante e gostaria de repassar esta informação para vocês, pois ela por incrível que pareça ainda continua atual.

Para entender a engenharia social e como ela funciona precisamos conhecer os conceitos de Segurança da Informação.

O que é Informação ?

Existem diversas definições para informação, a que melhor se adapta à nossa área é a definição do British Standards Institute, descrita abaixo:

Informação é um recurso que, como outros importantes recursos de negócios, tem valor a uma organização e, por conseguinte precisa ser protegido adequadamente [BS 7799 -1: 1999, British Standards Institute].

O que é Segurança?

A melhor definição para segurança pode ser obtida através do Dicionário Aurélio, conforme descrito abaixo:

Segurança1. S.f. 2. Estado, qualidade ou condição de seguro. 3. Condição daquele ou daquilo em que se pode confiar. 4. Certeza, firmeza, convicção.  Seguro. [Do lat. securu.] Adj. 1. Livre de perigo. 2. Livre de risco; protegido, acautelado, garantido. 8. Em quem se pode confiar. 9. Certo, indubitável, incontestável. 10. Eficaz, eficiente.

O que é Segurança da Informação?

A Segurança da Informação protege a informação de uma gama extensiva de ameaças para assegurar a continuidade dos negócios, minimizar os danos empresariais e maximizar o retorno em investimentos e oportunidades.

A Segurança da Informação é caracterizada pela preservação da confidencialidade, integridade e disponibilidade2.

Princípios da Segurança da Informação

Para garantir a Segurança da Informação, é necessário que os seguintes princípios básicos sejam respeitados:

  • Confidencialidade: assegurar que a informação será acessível somente por quem tem autorização de acesso;
  • Integridade: assegurar que a informação não foi alterada durante o processo de transporte da informação;
  • Disponibilidade: assegurar que usuários autorizados tenham acesso a informações e a recursos associados quando requeridos.

Vamos entender um pouco como funciona a engenharia social

Engenharia social, dentro da área de segurança de sistemas computacionais, é um termo utilizado para qualificar os tipos de intrusão não técnica, que coloca ênfase na interação humana e, frequentemente, envolve a habilidade de enganar pessoas objetivando violar procedimentos de segurança. Um aspecto relevante da engenharia social compreende a inaptidão dos indivíduos manterem-se atualizados com diversas questões pertinentes a tecnologia da informação, além de não estarem conscientes do valor da informação que eles possuem e, portanto, não terem preocupação em proteger essa informação.

É importante salientar que, independente do hardware, software e plataforma utilizada, o elemento mais vulnerável de qualquer sistema é o ser humano, o qual possui traços comportamentais e psicológicos que o torna suscetível à ataques de engenharia social. Dentre essas características, pode-se destacar:

  1. Vontade de ser útil – O ser humano, comumente, procura agir com cortesia, bem como ajudar outros quando necessário.
  2. Busca por novas amizades – O ser humano costuma se agradar e sentir-se bem quando elogiado, ficando mais vulnerável e aberto a dar informações.
  3. Propagação de responsabilidade – Trata-se da situação na qual o ser humano considera que ele não é o único responsável por um conjunto de atividades.
  4. Persuasão – Compreende quase uma arte a capacidade de persuadir pessoas, onde se busca obter respostas específicas. Isto é possível porque as pessoas têm características comportamentais que as tornam vulneráveis a manipulação.

Importante observar que o sucesso da engenharia social depende da compreensão do comportamento do ser humano, além da habilidade de persuadir outros a disponibilizarem informações ou realizarem ações desejadas pelo engenheiro social. Perceba ainda que o medo de perder seu emprego ou vontade de ascender pode resultar na entrega de informação de natureza proprietária. Nesse sentido, observa-se que a engenharia social possui uma sequência de passos na qual um ataque pode ocorrer:

  1. Coleta de informações – O hacker ou engenheiro social busca as mais diversas informações dos usuários como número de CPF, data de nascimento, nomes dos pais, manuais da empresa, etc. Essas informações ajudarão no estabelecimento de uma relação com alguém da empresa visada.
  2. Desenvolvimento de relacionamento – O engenheiro social explora a natureza humana de ser confiante nas pessoas até que se prove o contrário.
  3. Exploração de um relacionamento – O engenheiro social procura obter informações da vítima ou empresa como, por exemplo, senha, agenda de compromissos, dados de conta bancária ou cartão de crédito a serem usados no ataque.
  4. Execução do ataque – O hacker ou engenheiro social realiza o ataque à empresa ou vítima, fazendo uso de todas informações e recursos obtidos.

Por mais extraordinário que possa parecer o método mais simples e mais usado e infelizmente, mais eficiente de se descobrir uma senha é, adivinhe como? Perguntando! Basta alguém de boa lábia perguntar a um funcionário despreparado e ele solta a língua. Pode não ser a senha, mas ele vai contar o tipo de sistema, o tipo de computador que utiliza e o que mais ele ver pela frente. Tudo vai depender de quão bom é o Engenheiro Social e quantos conhecimentos sobre a empresa ele possui até o momento.

Se você já ligou para uma central de atendimento de cartão de crédito, já deve ter percebido que o atendente está completamente despreparado e o método que ele usa para se certificar de que você é realmente o titular do cartão e não outra pessoa que está ao telefone é extremamente falha.

Evitando a Engenharia Social

Especialistas afirmam que à medida que nossa sociedade torna-se cada vez mais dependente da informação, a engenharia social tende a crescer e constituir-se numa das principais ameaças aos sistemas de segurança das (grandes) organizações. Entretanto, embora as situações apresentadas acima sejam um tanto indesejáveis e até certo ponto assustadoras, há mecanismos através dos quais uma organização pode implementar a fim de detectar e prevenir ataques de engenharia social. Tais medidas visam, principalmente, atenuar a participação do componente humano. Essas medidas compreendem:

  • Educação e Treinamento – Importante conscientizar as pessoas sobre o valor da informação que elas dispõem e manipulam, seja ela de uso pessoal ou institucional. Informar os usuários sobre como age um engenheiro social.
  • Segurança Física – Permitir o acesso a dependências de uma organização apenas às pessoas devidamente autorizadas, bem como dispor de funcionários de segurança a fim de monitorar entrada e saída da organização.
  • Política de Segurança – Estabelecer procedimentos que eliminem quaisquer trocas de senhas. Por exemplo, um administrador jamais deve solicitar a senha e/ou ser capaz de ter acesso à senha de usuários de um sistema. Estimular o uso de senhas de difícil descoberta, além de remover contas de usuários que deixaram a instituição.
  • Controle de Acesso – Os mecanismos de controle de acesso tem o objetivo de implementar privilégios mínimos a usuários a fim de que estes possam realizar suas atividades. O controle de acesso pode também evitar que usuários sem permissão possam criar/remover/alterar contas e instalar software danosos à organização.

Tenho observado que gasto milhares de reais na aquisição de ferramentas de segurança (detecção de intrusão, firewalls, etc) a fim de dotarem seus sistemas de maior segurança. Todavia, a maioria das empresas acredita que a solução, unicamente, técnica garante a segurança dos sistemas. Embora eu concorde que a solução técnica seja necessária, ela por si só não é suficiente. É preciso também considerar o componente humano de um sistema de segurança da informação a fim de minimizar ou quiçá minimizar a vulnerabilidade de sistemas.

Amanhã continuaremos com as formas de ataque e alguns exemplos de casos de uso da engenharia social. Deixo aqui uma frase de um grande engenheiro Social.

“O Engenheiro Social prevê a suspeita e a resistência, e ele está sempre preparado para transformar a desconfiança em confiança.
Um bom Eng.º planeja o seu ataque como um jogo de xadrez (…)”

– Kevin Mitnick aka CONDOR

  1. Dicionário Aurélio  
  2. BS 7799 -1: 1999, British Standards Institute  
Coimbra, PMP on FacebookCoimbra, PMP on LinkedinCoimbra, PMP on TwitterCoimbra, PMP on Youtube
Coimbra, PMP
CEO do portal, apaixonado por gestão de projetos, metodologias, minha família, professor, consultor, certificado PMP, Six Sigma White Belt.

Deixe uma resposta