O “Perigo” da Engenharia Social

Mesmo quando o usuário classifica suas informações como restritas nas redes sociais, o mundo pode ver. Um amigo seu pode, sem querer, fornecer informações para um hacker do mau.

— Kevin Mitnick

Engenharia Social é a habilidade de conseguir acesso a informações confidenciais ou a áreas importantes de uma instituição através de habilidades de persuasão. Ao contrário do misticismo atribuído à técnica, não é necessário utilizar nenhum equipamento futurístico para realizar essa atividade, muito menos explosões dignas de filmes como a franquia Missão Impossível.

Essa prática, que muitos acreditam ser até uma arte, se aproveita da falta de treinamento referente à política de segurança de uma empresa, onde seus funcionários não consideram a informação que estão passando como importantes. Em alguns casos a pessoa que utiliza essa técnica não está interessado em roubar senhas ou conseguir acesso a área protegidas da empresa, mas sim em informações privilegiadas em relação a lançamento de produtos, por exemplo.

É importante salientar que, a engenharia social é aplicada em diversos setores da segurança da informação independente de sistemas computacionais, software e ou plataforma utilizada, o elemento mais vulnerável de qualquer sistema de segurança da informação é o ser humano, o qual possui traços comportamentais e psicológicos que o torna suscetível a ataques de engenharia social.

Dentre essas características, pode-se destacar:

  • Vaidade pessoal e/ou profissional: O ser humano costuma ser mais receptivo a avaliação positiva e favorável aos seus objetivos, aceitando basicamente argumentos favoráveis a sua avaliação pessoal ou profissional ligada diretamente ao benefício próprio ou coletivo de forma demonstrativa.
  • Autoconfiança: O ser humano busca transmitir em diálogos individuais ou coletivos o ato de fazer algo bem, coletivamente ou individualmente, buscando transmitir segurança, conhecimento, saber e eficiência, buscando criar uma estrutura base para o início de uma comunicação ou ação favorável a uma organização ou individuo.
  • Formação profissional: O ser humano busca valorizar sua formação e suas habilidades adquiridas nesta faculdade, buscando o controle em uma comunicação, execução ou apresentação seja ela profissional ou pessoal buscando o reconhecimento pessoal inconscientemente em primeiro plano.
  • Vontade de ser útil: O ser humano, comumente, procura agir com cortesia, bem como ajudar outros quando necessário.
  • Busca por novas amizades: O ser humano costuma se agradar e sentir-se bem quando elogiado, ficando mais vulnerável e aberto a dar informações.
  • Propagação de responsabilidade: Trata-se da situação na qual o ser humano considera que ele não é o único responsável por um conjunto de atividades.
  • Persuasão: Compreende quase uma arte a capacidade de persuadir pessoas, onde se busca obter respostas específicas. Isto é possível porque as pessoas possuem características comportamentais que as tornam vulneráveis a manipulação.
  • O Perigo pode ser seu vizinho: um fato muito importante é que o atacante pode ser seu melhor amigo(a), namorado(a), colega de trabalho, enfim, alguém muito próximo a você. Precisa principalmente ter muita paciência e permanecer firme pelo tempo que for necessário para coletar as informações que fora contratado ou de que são de seu interesse. Este fator é um agravante para problemas psicológicos das vítimas que, em muitos casos não conseguem se restabelecer e confiar novamente em outra pessoa.

Para quem pensa que a engenharia social atinge apenas os mais ingênuos, esta definitivamente enganado. A cada dia os ataques com esta ferramenta se mostram mais eficientes e constantes.

Então surge uma grande dúvida: E como se proteger?

Existem varias formas de se proteger contra engenharia social. Treinamentos e conscientização ainda são umas das melhores opções, porem não as únicas;

  • Classificação das informações
  • Modelos de proteção sistêmicos
  • Controle da divulgação das informações
  • Controles de acesso e categorização de funcionários
  • Pessoas como sistemas de detecção de intrusão.

Em treinamentos e conscientização é uma das melhores formas de proteção;

  • Treinamentos presenciais
  • Boletins via e-mail
  • Postagens de intranet
  • Pôsteres
  • Testes e atividades relacionadas.
  • Usar pessoas como sistemas de detecção de intrusos.

Fontes

Andre H O Santos

Pentester, Especialista em Segurança de Redes e Testes de Invasão, Programador, Consultor e Professor de T.I.. Geek Inveterado, Apaixonado por Segurança da Informação e Louco por GNU/Linux. Dedica grande parte do seu tempo para criar soluções que ajudem dezenas de milhares de pessoas com dicas e artigos em Tecnologia e Segurança da Informação. Possui algumas Certificações em Ethical Hacking, Cabling System, Linux e Administração de Redes.

Você pode gostar...

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

15 + treze =