No contexto de segurança de sistemas, o termo engenharia social faz referência a práticas não-técnicas, fundamentadas no contato pessoal, e que visam o acesso a dados e informações confidenciais através da enganação, exploração, manipulação e intimidação de indivíduos. Na prática um golpista irá persuadir um indivíduo e extrair do mesmo informações sigilosas da organização, ou seja, a falha de segurança acontecerá não por problemas técnicos ou tentativas de invasão no sistema, mas pela manipulação das pessoas que possuem acesso a essas informações.
Algumas dos aspectos mais comuns desse tipo de prática são:
- Busca por novas amizades e desenvolvimento de relacionamento: O homem em geral tem a tendência a sentir-se bem quando é elogiado, sendo facilmente manipulado;
- Vontade de sentir-se útil: Aproveitando-se da vontade do empregado de sentir-se útil e mostrar que entende do seu ambiente empresarial, o golpista poderá extrair informações importantes sobre a organização;
- Coleta de informações: O golpista buscará o máximo de informações possíveis sobre o ambiente em se infiltrará, de modo que essas informações possa ajuda-lo a estabelecer uma relação com alguém da empresa;
- Persuasão: O golpista é um indivíduo com características específicas: grande carisma e poder de persuasão. Entende e explora as vulnerabilidades das pessoas de forma a obter informações específicas.
Combinando as ações acima o indivíduo finalmente poderá realizar seu ataque, fazendo uso de todas as informações que conseguiu obter.
Os ataques podem ser de dois tipos:
- Indiretos: Consiste na utilização de ferramentas – que são usualmente espalhadas através de anexos em e-mails e pendrives e que coletarão dados ou deixarão as máquinas dos usuários vulneráveis.
- Diretos: Envolve o contato pessoal direto, aliado aos passos descritos anteriormente. Requer planejamento e estudo do ambiente e suas vulnerabilidades.
Sendo o componente humano o mais vulnerável de um sistema, para evitar ataques provocados por engenharias sociais é necessário que todos os envolvidos na rotina da empresa recebam treinamentos e sejam conscientizados sobre a importância que possuem dentro da organização e sobre o valor da informação ao qual estão trabalhando.
A empresa deve implantar políticas de segurança a fim de minimizar os ataques, mas é importante que os usuários recebam treinamentos periodicamente enfatizando-se a importância de trocas de senhas e atenção com anexos de e-mails, por exemplo.
Ambientes que recebem concentração de dados, como os data warehouse e servidores devem estar em ambientes seguros e ter acesso restrito a pessoas autorizadas.
Ao se trabalhar com pessoas, todo cuidado é pouco. Por isso a monitoração e conscientização constantes são as melhores maneiras de se prevenir e evitar ataques provocados por engenharias sociais.
Exemplo de um Golpe
Em uma determinada situação, um golpista, após escolher suas vítimas, faz um estudo detalhado sobre a empresa. Busca dados de seus funcionários através de contato por e-mails e telefonemas, perfis em redes sociais, entre outros. Após reunir o maior número de informações possível, realiza uma visita à empresa, passando-se por um profissional oferecendo serviços ou parcerias. Nesse contato, como já está previamente informado da estrutura organizacional da empresa, o indivíduo faz contato direto com um funcionário e continua trocando informações com o mesmo. Mantém com o mesmo uma relação de confiança e passa a extrair informações dele. Com o tempo, o próprio funcionário passa a confiar no golpista e a revelar informações importantes sobre a organização, deixando o golpista a par do que acontece na empresa e pronto para ‘dar passos maiores’, como a venda de dados da organização ou intimidação em troca de dinheiro.
// Comente!
comentários