ENGENHARIA SOCIAL. Andresa Luchtemberg Pereira 1 Diuli Keiti da Luz Tiscoski 1 Marcos Henrique Henkes 1 Eva Lourdes Pires 2

Transcrição

1 ENGENHARIA SOCIAL Andresa Luchtemberg Pereira 1 Diuli Keiti da Luz Tiscoski 1 Marcos Henrique Henkes 1 Eva Lourdes Pires 2 RESUMO: Engenharia Social é o uso da persuasão humana para obtenção de informações sigilosas com o objetivo de benefício próprio. Pode ser praticada por telefone, personificando outra pessoa a fim de conseguir informações pessoais, pela web, caracterizada principalmente pelo phishing, ou ainda pessoalmente. Palavras-chave: Engenharia Social. Segurança da Informação. Computação. Hacking. 1 INTRODUÇÃO Desde o advento dos computadores pessoais, por volta da década de 70, a informática tem se tornado parte fundamental da vida de grande parte da população mundial, caracterizando o período atual como Era da Informação. A evolução das tecnologias digitais proporciona, diariamente, diversos benefícios às sociedades atuais, como automatização e praticidade de tarefas, comunicação acessível e fácil acesso ao conhecimento, tornando o mundo conectado de maneira eficiente. Entretanto, com o crescimento do número de usuários da rede mundial de computadores, surgem, também, cada vez mais pessoas mal intencionadas dispostas a utilizar seus conhecimentos computacionais em práticas ilegais que atingem milhões de internautas. Assim, este artigo aborda a influência da Engenharia Social para a Segurança da Informação, destacando os perigos, cuidados e precauções que se deve tomar diante do atual cenário da informação digital. 1 Acadêmicos de Sistemas de Informação, terceira fase, ESUCRI. 2 Professora de Comunicação e Expressão, Sistemas de Informação, ESUCRI.

2 2 ENGENHARIA SOCIAL 2.1 Conceito Segundo Elaine Martins (2008), Engenharia social são as práticas utilizadas para se obter informações sigilosas ou importantes de empresas e sistemas, enganando e explorando a confiança das pessoas. Essa técnica data de tempos prévios ao surgimento do computador, já que pode ser traduzida basicamente como a arte de enganar pessoas. A ideia é utilizar técnicas de manipulação para fazer com que determinadas pessoas revelem informações importantes e sigilosas, ou, então, para que elas tornem-se facilitadoras em determinada situação. Kevin Mitnick (2003) conceitua o termo de forma simples, fazer com que as pessoas façam coisas que normalmente não fariam para um estranho. 2.2 Hackers Naquela época usávamos o termo hacker para descrever uma pessoa que passava grande parte do tempo mexendo com hardware e software, seja para o desenvolvimento de programas mais eficientes, seja para eliminar etapas desnecessárias e fazer um trabalho mais rapidamente. O termo agora se tornou pejorativo com o significado de "criminoso malicioso". Uso o termo como sempre o usei no seu sentido mais antigo e benigno. (MITNICK, 2003) O termo Hacker originalmente remete aos estudiosos da informática e de sistemas eletrônicos que têm como objetivo alterá-los em algum aspecto, não necessariamente agindo de maneira criminosa ou visando prejudicar alguém (FONSECA, 2009). É um indivíduo que se interessa por conhecer e modificar os aspectos mais internos de dispositivos, programas e redes de computadores. Utilizando esses conhecimentos, um hacker pode obter um resultado além do funcionamento normal dos sistemas. Portanto, esse termo não identifica necessariamente pessoas mal intencionadas, já que muitas vezes trabalham apontando falhas em sistemas para correção ou, ainda, tornando a informática acessível a todos. Já os crackers são mais caracterizados de forma negativa, já que o próprio termo vem do inglês quebrador e foi criado por hackers em defesa contra o uso jornalístico pejorativo do termo "hacker". São indivíduos que quebram sistemas de segurança de forma ilegal ou sem ética.

3 Kevin Mitnick é considerado o hacker mais famoso do mundo, sendo que já esteve na lista de mais procurados do FBI (Agencia Federal de Investigação dos Estados Unidos) por ter invadido os sistemas de 40 grandes corporações apenas pelo desafio. Hoje, Mitnick escreve livros e possui uma empresa de consultoria de segurança, a Mitnick Security. Figura 1: Kevin Mitnick Fonte: mitnicksecurity.com 2.3 Credibilidade Obter credibilidade é a primeira etapa da maioria dos ataques de engenharia social, um ponto fundamental para tudo o que vem depois (MITNICK; SIMON, 2005, p. 199). Os autores destacam, ainda, três métodos para estabelecer credibilidade: a) O atacante pode dizer algo que parece ir contra seus interesses, como incentivar a vítima a não dizer sua senha em voz alta enquanto a insere no cadastro falso. b) O atacante avisa a vítima de um evento que ele mesmo provocará (sem que o alvo saiba). Por exemplo, avisá-la sobre a possibilidade de queda na rede, enquanto esta é derrubada logo em seguida. c) Por último, pode-se combinar a técnica anterior com a atual, onde o atacante prova ser confiável ajudando a vítima a resolver o problema, conquistando, assim, a confiança da vítima.

4 2.4 Formas de ataque De acordo com Mitnick e Simon (2005, p. 189), [...] o primeiro passo que devemos tomar para nos defendermos de modo sensato é entender as metodologias usadas; neste caso, pelos adversários internautas. O telefone é uma das principais ferramentas para se praticar a Engenharia Social. O indivíduo adquire informações sobre determinada empresa e, então, personifica algum funcionário, colega de trabalho, ou algum tipo de autoridade externa, como auditor por exemplo. Os primeiros alvos são secretárias, recepcionistas e seguranças, pois esses funcionários estão sempre em contato (direto ou indireto) com as pessoas que detém cargos de poder dentro da empresa. Assim, através de pessoas mais acessíveis e com cargos menores é possível obter informações sobre aquelas mais bem posicionadas na hierarquia. Conforme Elaine Martins (2008), Uma nova técnica está sendo usada pela engenharia social criminosa para burlar o sistema de identificador de chamada das empresas. É o chamado spoofing do número telefônico, que faz com que o identificador de chamadas mostre um número diferente daquele que realmente originou a ligação. Outra técnica muito recorrente é o phishing, que segundo a Microsoft (2012), consiste num roubo de identidade online por meio de s em massa spam e websites fraudulentos, visualmente semelhantes a sites confiáveis de bancos ou administradoras de cartão de crédito, criados com o objetivo de roubar dados ou informações pessoais, como número de cartão de crédito, senhas e outros dados de contas. Após a vítima preencher um cadastro ou realizar log-in, as informações são enviadas aos perpetradores. A ascensão das Redes Sociais também tem facilitado muito o trabalho dos Engenheiros Sociais, já que há uma grande quantidade de informações facilmente disponível. Além disso, os boatos que circulam pela Internet podem refletir diretamente na empresa sobre a qual se fala. Um bom exemplo dessa situação é a Apple, que teve queda em suas ações depois que o boato sobre a suposta morte de Steve Jobs circulou por s, blogs e fóruns. Tal método é conhecido no mercado financeiro como pump-and-dump.

5 3 CONCLUSÃO A presença da Engenharia Social no mundo corporativo da atualidade é inevitável. Entretanto, conforme Mitnick e Simon (2005), pouca atenção é dada ao combate das ameaças impostas pelos engenheiros sociais, o que demonstra a necessidade de treinar e educar funcionários para que possuam a habilidade de se proteger e de evitar serem enganados a ajudar intrusos. Consequentemente, ter conhecimento das técnicas mais utilizadas passa a ser um recurso de prevenção ao usuário. Torna-se importante lembrar que embora algumas regras e burocracias dentro de uma empresa possam parecer desnecessárias, elas existem para evitar que funcionários sejam enganados, prejudicando tanto a si quanto a empresa. Portanto, evidencia-se a influência da comunicação na ciência computacional, possuindo a capacidade de gerar danos irreparáveis a diversas pessoas e organizações por meio da persuasão de usuários leigos. É necessidade, assim, estar sempre atento às notícias da indústria digital, principalmente aqueles que lidam com o computador no seu dia a dia, pois a informática é um campo em constante mudança. REFERÊNCIAS FONSECA, Willian. Quem é Kevin Mitnick? Disponível em: < Acesso em: 24 out MARTINS, Elaine. Cuidado com a engenharia social Disponível em: < >. Acesso em: 24 out MARTINS, Elaine. O que é cracker? Disponível em: < Acesso em: 25 out MICROSOFT. Phishing: perguntas frequentes Disponível em: < Acesso em: 26 out MITNICK, Kevin D.; SIMON, William L. A arte de enganar. São Paulo: Pearson Makron Books, 2003.

6 MITNICK, Kevin D.; SIMON, William L. A arte de invadir. São Paulo: Pearson Prentice Hall, MITNICK SECURITY. The World s Top Security Testing Team Disponível em: < Acesso em: 26 out