anterior
Tweet about this on TwitterPin on PinterestShare on LinkedInShare on Google+Email this to someoneShare on Facebook
QR CODE

Se sente seguro na Web? Conheça a Engenharia Social

Engenharia Social

O que é a Engenharia Social?
Um tipo de  ataque à Segurança da Informação, cada  dia  mais  comum. Uma ótima definição:

Engenharia – Estudo da habilidade de criar, inventar e manipular algo a partir da técnica. Social – Tudo aquilo que é relativo à forças externas ao indivíduo, provenientes do meio que este vive, que determinam grande parte do seu comportamento.

Engenharia Social não é válido apenas  para  o mundo web, muitos são capazes de  aplicar essa  técnica sem nenhuma  tecnologia, apenas com poder da  persuasão, porém este  tipo de ataque não é o foco deste Post.

Engraçado sempre  que  refletimos acerca de Segurança da  Informação Pensamos diretamente em Softwares e Hardwares adequados, Tecnologia, correções de  falhas computacionais. Daí inúmeros  investimentos são feitos para  garantir um ar de  segurança, se  sentir  numa  fortaleza  digital.  Por mais criteriosas que sejam as políticas de segurança de um sistema, ele ainda pode ser comprometido por fruto de um deslize HUMANO.
O erro humano pode  ser  definido como comportamento inseguro, seja ele um ato contínuo ou fruto de um momento de distração, que pode ser usado por um atacante para que este consiga comprometer um sistema. O grande problema com o erro humano é que ele não pode ser completamente corrigido, afinal nenhuma pessoa é perfeita e nenhum treinamento pode mudar isso. Podemos concluir que o fator humano é o elo mais fraco da Segurança da Informação.   Abaixo mostra as  seguintes  técnicas dos atacantes, retirado de  um artigo da URFG:

• Disfarces: Parte fundamental de qualquer ataque de Engenharia Social é a capacidade da atacante de esconder a sua identidade e de assumir a identidade de alguém que possui acessoa informação que o ataque tem como alvo.
• Informações descartadas incorretamente: O descarte de informação na forma impressa ou o ato de esvaziar a lixeira de um desktop não são seguros o suficiente quando tratamos com dados sigilosos, já que basta uma inspeção mais cautelosa para que um atacante chegue até eles.

•Devemos sempre garantir o descarte seguro da informação, usando meio adequados para isso (a queima no caso da informação em papel ou o uso de softwares seguros para apagar dados sigilosos do computador).
• Redes de contato: Amigos e conhecidos são uma fonte de informação valiosa, se bem explorada. Por isso, um engenheiro social experiente se aproximará destas pessoas a fim de extrair informações e conseguir favores.
• Apelo sentimental: Emoções são a maneira mais fácil de se manipular alguém. Uma história convincente que leve a vítima a achar que está fazendo o bem, ou que ganhará algo no final pode ser determinante para o sucesso de um ataque de Engenharia Social.
• Programação Neurolinguística: Consiste no uso de jargões e maneirismos artificiais por parte do engenheiro social para que a vítima acredite na sua história e no seu disfarce. Além disso também cria um elo de confiança entre a vítima e o atacante, sendo assim uma peça central de um ataque de Engenharia Social.
• Pesquisas na Internet: Qualquer concurso público feito por uma pessoa, seu CPF, a faculdade que cursou, a escola na qual se formou, entre outros dados, podem ser facilmente encontrados com uma busca na Internet. Além disso, redes sociais permitem que um indivíduo mal-intencionado descubra diversas informações pessoais sobre seus usuários.
Pode-se se afirmar que as informações na Internet são uma das maiores armas do engenheiro social.

Evitando ataques de Engenharia Social
3.1 Segurança da conexão e criptografia: Um comportamento simples, mas eficiente no combate à Engenharia Social é a atenção a segurança da conexão e o não envio de dados sigilosos em uma conexão insegura. Uma conexão criptografada impede que um terceiro obtenha dados de uma vítima e use-os contra ela em um posterior ataque de Engenharia Social. Para auxiliar o usuário a maioria dos navegadores atuais mostra se a conexão é criptografada e, caso positivo, o tipo da criptografia empregado. Também é recomendado o uso de protocolos seguros no referente ao acesso remoto, como por exemplo o uso do SSH em detrimento do TELNET, uma vez que esse último não garante por padrão a segurança
da conexão.
3.2 Sites e certificados digitais:
Entidades certificadoras são instituições responsáveis pela emissão de certificados digitais que identificam sites na Internet e seus respectivos proprietários. Ao assinar digitalmente os certificados que emite, a entidade certificadora relaciona a identidade do portador do certificado, e portanto da chave privada, à chave pública existente no certificado. A maioria dos navegadores exibem se a página visitada possui um certificado digital válido, caso não possua, o site
provavelmente é uma fraude.

3.3 Bom senso e atenção aos detalhes: Em grande parte dos ataques de Engenharia Social ocorrem erros de escrita. Isto é devido ao emprego de tradutores para passar a mensagem de sua língua original para outras. Além disso outros
detalhes podem expor um ataque: o domínio de um site, dados conflitantes na mensagem, entre outros. Conferindo as informações recebidas e não acreditando em tudo a primeira vista, o usuário consegue escapar de diversos ataques de Engenharia Social.

3.4 Uso de senhas fortes:
Jamais use senhas constituídas de informações pessoais que possam ser descobertas por um engenheiro social. Números de CPF ou RG, datas de aniversário, nomes de amigos ou familiares, endereços, o nome de um time de futebol e o próprio login são exemplos de senhas que um atacante descobrirá rapidamente. Prefira senhas extensas, com letras em caixa-alta e baixa, números e  caracteres especiais.
Talvez o maior problema que surge ao combater a Engenharia Social é o fato de não existir solução imediata, algo que para a sociedade atual parece impensável. Apenas com a a conscientização e o treinamento dos operadores e usuários dos sistemas de informação que obtémse resultados, processo este que é lento e custoso, porém indispensável. Apesar de parecer algo tolo e que apenas afeta o usuário leigo, a Engenharia Social é uma das maiores ameaças à segurança da informação e a sua aparente simplicidade esconde uma perigosa forma de invadir até os sistemas mais bem protegidos. Como é possível que o elemento chave da Engenharia Social, o fator humano, jamais seja removido dos sistemas computacionais, talvez sempre exista a ameaça de um ataque deste tipo. Este fato jamais deve ser ignorado por todos que prezam pela segurança da informação, uma vez que a Engenharia Social se torna ainda mais perigosa quando a vítima a descarta como uma ameaça séria.

Assista ao vídeo:

http://tinyurl.com/9rnsmsc >

Próximo

Postado por