No contexto de segurança de sistemas, o termo engenharia social faz referência às práticas não-técnicas, fundamentadas no contato pessoal, e que visam o acesso a dados e informações confidenciais através da enganação, exploração, manipulação e intimidação de indivíduos. Na prática, um golpista tentará persuadir um indivíduo e extrair do mesmo informações sigilosas da organização, ou seja, a falha de segurança acontecerá não por problemas técnicos ou tentativas de invasão no sistema, mas pela manipulação das pessoas que possuem acesso a essas informações.
Alguns dos aspectos mais comuns desse tipo de prática são:
- Busca por novas amizades e desenvolvimento de relacionamento: O homem em geral tem a tendência de sentir-se bem quando é elogiado, sendo facilmente manipulado;
- Vontade de sentir-se útil: Aproveitando-se da vontade do empregado de sentir-se útil e mostrar que entende do seu ambiente empresarial, o golpista poderá extrair informações importantes sobre a organização;
- Coleta de informações: O golpista buscará o máximo de informações possíveis sobre o ambiente em que deseja se infiltrar, de modo que essas informações possam ajudá-lo a estabelecer uma relação com alguém da empresa;
- Persuasão: O golpista é um indivíduo com características específicas: grande carisma e poder de persuasão. Entende e explora as vulnerabilidades das pessoas de forma a obter informações específicas.
Combinando as ações acima, o indivíduo finalmente poderá realizar seu ataque, fazendo uso de todas as informações que conseguiu obter.
Os ataques podem ser de dois tipos:
- Indiretos: Consiste na utilização de ferramentas – que são usualmente espalhadas através de anexos em e-mails e pendrives e que coletarão dados ou deixarão as máquinas dos usuários vulneráveis.
- Diretos: Envolve o contato pessoal direto, aliado aos passos descritos anteriormente. Requer planejamento e estudo do ambiente e suas vulnerabilidades.
Formas de reduzir a possibilidade de ataques:
Sendo o componente humano o “ponto” mais vulnerável de um sistema, para evitar ataques provocados por engenharias sociais é necessário que todos os envolvidos na rotina da empresa recebam treinamentos e sejam conscientizados sobre a importância que possuem dentro da organização, além, claro, de saberem do valor da informação ao qual estão trabalhando.
Empresas devem implantar políticas de segurança a fim de minimizar ataques, mas é importante que os usuários recebam treinamentos periodicos que enfatizem a importância de trocas de senhas, atenção com anexos de e-mails, e outras situações passíveis de vazamento de informações.
Ambientes que recebem concentração de dados, como os data warehouse e servidores, devem estar em ambientes seguros e ter acesso restrito a pessoas autorizadas.
Ao se trabalhar com pessoas, todo cuidado é pouco. Por isso a monitoração e conscientização constantes são as melhores maneiras de se prevenir e evitar ataques provocados por engenharias sociais.
Exemplo de golpe
Em uma determinada situação, um golpista, após escolher suas vítimas, faz um estudo detalhado sobre a empresa. Busca dados de seus funcionários através de contato por e-mails e telefonemas, perfis em redes sociais, entre outros. Após reunir o maior número de informações possível, realiza uma visita à empresa, passando-se por um profissional oferecendo serviços ou parcerias. Nesse contato, como já está previamente informado da estrutura organizacional da empresa, o indivíduo faz contato direto com um funcionário e continua trocando informações com o mesmo. Mantém com o mesmo uma relação de confiança e passa a extrair informações dele. Com o tempo, o próprio funcionário passa a confiar no golpista e a revelar informações importantes sobre a organização, deixando-o a par do que acontece na empresa e pronto para “dar passos maiores”, como a venda de dados ou intimidação em troca de dinheiro.
Postado originalmente em ‘Eu Faço Programas‘
1 Comentários
Obrigado por compartilhar esta informação Gabi, gostaria que soubesse o quanto está nos ajudando.=))