Engenharia Social em Segurança de Sistemas

No contexto de segurança de sistemas, o termo engenharia social faz referência às práticas não-técnicas, fundamentadas no contato pessoal, e que visam o acesso a dados e informações confidenciais através da enganação, exploração, manipulação e intimidação de indivíduos. Na prática, um golpista tentará persuadir um indivíduo e extrair do mesmo informações sigilosas da organização, ou seja, a falha de segurança acontecerá não por problemas técnicos ou tentativas de invasão no sistema, mas pela manipulação das pessoas que possuem acesso a essas informações.

Alguns dos aspectos mais comuns desse tipo de prática são:

  • Busca por novas amizades e desenvolvimento de relacionamento: O homem em geral tem a tendência de sentir-se bem quando é elogiado, sendo facilmente manipulado;
  • Vontade de sentir-se útil: Aproveitando-se da vontade do empregado de sentir-se útil e mostrar que entende do seu ambiente empresarial, o golpista poderá extrair informações importantes sobre a organização;
  • Coleta de informações: O golpista buscará o máximo de informações possíveis sobre o ambiente em que deseja se infiltrar, de modo que essas informações possam ajudá-lo a estabelecer uma relação com alguém da empresa;
  • Persuasão: O golpista é um indivíduo com características específicas: grande carisma e poder de persuasão. Entende e explora as vulnerabilidades das pessoas de forma a obter informações específicas.

Combinando as ações acima, o indivíduo finalmente poderá realizar seu ataque, fazendo uso de todas as informações que conseguiu obter.

Os ataques podem ser de dois tipos:

  • Indiretos: Consiste na utilização de ferramentas – que são usualmente espalhadas através de anexos em e-mails e pendrives e que coletarão dados ou deixarão as máquinas dos usuários vulneráveis.
  • Diretos: Envolve o contato pessoal direto, aliado aos passos descritos anteriormente. Requer planejamento e estudo do ambiente e suas vulnerabilidades.

Formas de reduzir a possibilidade de ataques:

Sendo o componente humano o “ponto” mais vulnerável de um sistema, para evitar ataques provocados por engenharias sociais é necessário que todos os envolvidos na rotina da empresa recebam treinamentos e sejam conscientizados sobre a importância que possuem dentro da organização, além, claro, de saberem do valor da informação ao qual estão trabalhando.

Empresas devem implantar políticas de segurança a fim de minimizar ataques, mas é importante que os usuários recebam treinamentos periodicos que enfatizem a importância de trocas de senhas, atenção com anexos de e-mails, e outras situações passíveis de vazamento de informações.

Ambientes que recebem concentração de dados, como os data warehouse e servidores, devem estar em ambientes seguros e ter acesso restrito a pessoas autorizadas.

Ao se trabalhar com pessoas, todo cuidado é pouco. Por isso a monitoração e conscientização constantes são as melhores maneiras de se prevenir e evitar ataques provocados por engenharias sociais.

Exemplo de golpe

Em uma determinada situação, um golpista, após escolher suas vítimas, faz um estudo detalhado sobre a empresa. Busca dados de seus funcionários através de contato por e-mails e telefonemas, perfis em redes sociais, entre outros. Após reunir o maior número de informações possível, realiza uma visita à empresa, passando-se por um profissional oferecendo serviços ou parcerias. Nesse contato, como já está previamente informado da estrutura organizacional da empresa, o indivíduo faz contato direto com um funcionário e continua trocando informações com o mesmo. Mantém com o mesmo uma relação de confiança e passa a extrair informações dele. Com o tempo, o próprio funcionário passa a confiar no golpista e a revelar informações importantes sobre a organização, deixando-o a par do que acontece na empresa e pronto para “dar passos maiores”, como a venda de dados ou intimidação em troca de dinheiro.

Postado originalmente em ‘Eu Faço Programas

Gabii Fonseca

Mais artigos deste autor »

Gabriella Fonseca Ribeiro tem 21 anos e cursa Sistemas de Informação. Trabalha com desenvolvimento, pesquisa e otimização de websites - SEO, marketing digital, redes sociais e comunicação interativa. || www.eufacoprogramas.com


1 Comentários

Vitor Ponce
1

Obrigado por compartilhar esta informação Gabi, gostaria que soubesse o quanto está nos ajudando.=))

Deixe seu comentário

Seu endereço de e-mail não será publicado. Campos com * são obrigatórios!