Engenharia Social
Engenharia Social são técnicas utilizadas para obter informações importantes e sensíveis de uma corporação ou de um indivíduo por meio da enganação, realizada de forma pessoal (face-to-face) ou por meio de recursos de tecnológicos.O elemento mais vulnerável de qualquer sistema de segurança é o próprio indivíduo, ao qual possui traços comportamentais e psicológicos que o torna suscetível aos ataques de engenharia social.
As técnicas utilizadas pelos Engenheiros Sociais são diversificadas, entre elas estão: a exploração de confiança das pessoas utilizando da vaidade pessoal, da autoconfiança, da formação profissional, da busca de amizades e persuasão ou utilizando a engenharia social inversa, quando um cracker cria uma personalidade e aparece numa posição de autoridade, de modo que os usuários lhe pedirão informação que permite ao cracker extrair dos funcionários informações muito valiosas, como a seguinte situação: O cracker causa problemas na rede, então divulga que possui a solução e se propõe a solucioná-lo. Na expectativa de ver a falha corrigida, os funcionários passam para o cracker todas as informações por ele solicitadas. Após atingir o seu objetivo, o cracker elimina a falha e a rede volta funcionar normalmente. Resolvido o problema os funcionários sentem-se satisfeitos e jamais desconfiarão que foram alvos de um cracker.
A utilização de meios como pharming, phisching e footprint também são comuns na engenharia social, o envio de emails maliciosos contendo vírus ou softwares como keyloggers (software que coletam senhas) ou de emails em nome de uma instituição bancária solicitando uma atualização cadastral fazem parte do rool de ações dos Engenheiros Sociais. O phisching por exemplo é uma fraude eletrônica caracterizada por tentativas de adquirir informações confidenciais das vitimas por meio da enganação. Veja abaixo um exemplo de phisching, onde um suposto banco (ocultado na imagem), envia um email solicitando uma confirmação de dados. Observe que o link citado no email não parece pertencer a um domínio confiável: "golferonline.co.th", o que pode ser observado quando passamos mouse por cima do link de confirmação de dados.
Outros meios utilizados pelo Engenheiros Sociais para coletar informações é vasculhar o lixo das vitimas na procura de dados pessoais. Os locais ou meios em que estas ações podem ocorrer são diversificados: redes sociais, SMS, chat, telefone, reuniões, email e o no próprio local de trabalho. Os autores desta exploração social não são somente crackers, mas podem ser ex-funcionários de uma empresa ou um suposto amigo!
Os problemas trazidos por uma Engenharia Social são o mais variados, com maior ou menor impacto, que vão dês da destruição ou alterações de informações importantes, perdas de dados bancários e de cartões de créditos e até mesmo a perde de vantagens competitivas por uma empresa.
Para previnir da engenharia social é importante que a empresa invista em políticas de segurança que envolvam a infra-estrutura da rede de dados, telecomunicações e principalmente os funcionários e diretores de uma empresa, sem exceção!
Entre as ações para combater a engenharia social a empresa pode fazer uso de boletins periódicos de segurança, investir em treinamento, fazer um gerenciamento de senhas de forma eficaz, criando uma conscientização de uso de senhas fortes, reforçar os meios de autenticações no ambiente de TI e operacional da empresa, além de investir em equipamentos de Antivírus e Anti-phishing.
Entre os meios preventivos ainda podemos citar as questões documentais, como implementação de documentações de gerenciamento e segurança, utilização de políticas de classificação das informações, utilização de planos de respostas de incidentes, bem como relacionar as áreas de risco e prover estratégias de combate.
Mecanismos de segurança física como: catracas, identificação biométrica, bloqueios a acesso em locais não permitidos, trancas de bastidores e salas de telecomunicações, utilização de crachás e o questionamento para com aqueles que estão nas dependências da organização entre outros, podem ajudar na prevenção de acesso as informações sigilosas.
Como forma de resumir significado da Engenharia Social montei um mapa mental sobre o assunto: Download do Mapa Mental.
*Necessário o FreMind.
Sobre o Autor:
Rodrigo Salvo
Instrutor e Consultor de Network
Possui certificações: CCNP, CS-CIPCESS
rsalvo@prof.sc.senac.br
msn: rodrigo-salvo@hotmail.com
Fontes: www.cisco.com, pt.wikipedia.org, social-engineer.org, www.symantec.com,monografias.brasilescola.com, ENGENHARIA SOCIAL, Um Perigo Eminente