Unidade V - Segurança em ambientes de redes

Prévia do material em texto

Segurança em 
Ambientes de Redes
Segurança em ambientes de redes
Material Teórico
Responsável pelo Conteúdo:
Prof. Ms. Vagner da Silva
Revisão Textual:
Profa. Ms. Fatima Furlan
5
•	Segurança usando biometria
Você irá conhecer algumas tecnologias usadas em biometria e estudar as formas de ataques 
usando engenharia social. Você poderá notar que ter tecnologias avançadas não resolverá 
totalmente o problema se o elo mais fraco dos componentes de segurança continua sendo o 
ser humano. Para que consiga maior aproveitamento dos estudos, siga as orientações abaixo.
O primeiro material a ser acessado é a contextualização, nele, você irá verificar que suas 
informações podem ser usadas em um ataque de engenharia social. Depois, acesse o 
conteúdo teórico, nele, você encontrará as principais tecnologias usadas em biometria e 
as técnicas mais usadas em ataques envolvendo engenharia social. Além de conhecer as 
técnicas, você terá oportunidade de conhecer também algumas formas de evitar ataques, 
pois os conhecendo temos como evitá-los.
Após estudar o texto, você deverá ver o vídeo e a apresentação narrada, neles você poderá 
estudar os pontos relevantes sobre o assunto tratado nesta unidade.
Com esses conceitos já desenvolvidos, você estará pronto para participar do fórum e da 
avaliação que é constituída pela atividade de reflexão e de sistematização. Recomendo que 
faça primeiramente a atividade de reflexão, depois a de sistematização.
Participe do fórum de discussão regularmente, vamos usar esse ambiente para construirmos 
juntos os nossos conhecimentos!
Nesta unidade, você irá estudar sobre um dos elos mais fraco dos 
componentes de redes em se tratando em segurança de redes e 
as principais técnicas usadas para obter informações. Além disso, 
você irá conhecer várias tecnologias desenvolvidas para evitar o 
acesso físico a determinadas áreas, utilizando a biometria.
Segurança em ambientes de redes
•	Engenharia social
6
Unidade: Segurança em ambientes de redes
Contextualização
 
 Explore
A engenharia social pode ser aplicada de várias formas utilizando diversos meios para se atingir 
o alvo. Frequentemente, várias pessoas sofrem alguns tipos de ataques, veja no link abaixo mais 
algumas formas de ataques e aproveite para verificar se você não está disponibilizando mais 
informações que deveria.
•	 http://pcworld.com.br/dicas/2009/03/23/engenharia-social-eles-sabem-seus-segredos-e-
contam-para-todo-mundo/
http://pcworld.com.br/dicas/2009/03/23/engenharia-social-eles-sabem-seus-segredos-e-contam-para-todo-mundo/
http://pcworld.com.br/dicas/2009/03/23/engenharia-social-eles-sabem-seus-segredos-e-contam-para-todo-mundo/
7
Segurança usando biometria
A biometria tem como objetivo o estudo das características físicas ou comportamentais, 
portanto toda característica comportamental ou fisiológica relacionada ao ser humano é 
considerada uma biometria.
Em segurança da informação, a biometria é usada para restringir acesso físico a determinados 
locais através de identificação ou autenticação. Portanto, as salas, laboratórios, cofres e 
determinados locais da empresa que exijam controle de acesso físico podem usar a biometria 
para permitir somente acesso às pessoas que tem direito. Conforme artigo “Como funcionam os 
sistemas de Biometria: um estudo geral”, o processo de garantir o acesso apenas à pessoa que 
o possui pod e ser feito de várias formas:
•	 Por aquilo que se possui, tais como: crachá, cartão magnético ou matricula;
•	 Por aquilo que o indivíduo sabe, por exemplo: senha ou frase secreta;
•	 Por aquilo que se é ou que se faz, neste caso as características biométricas como, impressão 
digital ou dinâmica da assinatura.
Algumas técnicas de biometria são bem antigas e foram sendo aperfeiçoadas conforme a 
evolução tecnológica. Abaixo serão apresentadas algumas destas tecnologias.
Impressão Digital
É uma das mais antigas formas biométricas disponível, esta técnica é a mais usada devido 
ao custo considerado baixo das ferramentas e tecnologias usadas para identificar impressões 
digitais. Embora tenha uma aceitação muito boa alguns cuidados devem ser tomados, pois 
materiais sintéticos ou até dedos decapitados podem ser usados para tentar burlar o sistema de 
segurança. Atualmente já existe scanner que consegue identificar o fluxo sanguíneo, desta forma 
uma digital sintética e um dedo decapitado não teriam efeito sobre este scanner.
A impressão digital tem como objetivo identificar um determinado indivíduo pela formação dos 
sulcos formados nas pontas dos dedos, esta formação ocorre nos primeiros sete meses da gestação e 
cada indivíduo tem características diferentes um dos outros inclusive nos caso de gêmeos univitelinos.
Atualmente, usa-se sistema biométrico composto 
de um scanner digital capaz de capturar, com bom 
grau de precisão, as características que definem 
a impressão digital. Esse dispositivo pode ser 
encontrado em notebooks, mouse e teclado, com 
tamanho reduzido e boa precisão. Veja, a seguir, os 
diversos tipos leitores:
Figura 1: Exemplo de impressão digital.
8
Unidade: Segurança em ambientes de redes
•	 Térmico: utiliza a temperatura emitida pelo dedo para conseguir extrair 
a impressão digital;
•	 Ultrassônico: mapeia a digital através de sinais sonoros emitidos;
•	 Piezelétrico: utiliza fibra óptica e cria um campo elétrico para extração da 
impressão digital;
Uma vez feito o tratamento da imagem da digital, ela é armazenada em um banco de dados 
contendo pontos relevantes que possam identificar um indivíduo. Os programas desenvolvidos 
para filtrar e armazenar essas informações são de grande precisão e armazenam informações 
em forma de pontos conforme apresentado na figura abaixo.
Figura 3: Fluxo completo da criação do template.
Quando uma autenticação é solicitada através deste meio biométrico, a imagem capturada 
pelo scanner é trabalhada até chegar aos pontos formando grafos que por sua vez serão 
confrontados com os grafos que estão armazenados nos banco de dados.
Geometria da mão
Neste tipo de biometria as características como tamanho da mão, 
tamanho dos dedos, distância entre eles e o fluxo do sangue, são 
considerados. A coleta de informações nesse tipo de biometria usa 
um scanner diferente ao utilizado na impressão digital.
Esse dispositivo tem uns pinos que são usados como guia para os 
dedos a fim de fazer a leitura de forma correta. Esse método não é 
considerado tão preciso, no entanto é bem aceito em situações com 
grande fluxo de pessoas.
O uso de bijuterias como anéis influencia na leitura correta da 
mão, não permitindo acesso ao local preterido.
Figura 2: Leitor 
digital da Microsoft.
Figura 4: Dispositivo biométrico 
para leitura da mão.
9
Leitor das veias das mãos
Esse tipo de scanner não é muito usado, ele tem como técnica 
a emissão de um infravermelho em direção a palma da mão 
para capturar, através de um sensor, o mapeamento das veias. 
As informações colhidas são confrontadas com informações 
armazenadas em banco de dados, caso as informações estejam 
semelhantes, o acesso é permitido.
Por ser um sistema que se baseia no fluxo sanguíneo ele só pode 
ser usado em situações em que o indivíduo esteja presente e vivo.
Iris
A Iris, conforme apresentado na figura abaixo, é a parte colorida dos olhos. A complexidade 
em sua formação a tornou uma candidata a ser usada como biometria. O scanner e leitor de 
retina são caros, por este motivo são usados em locais específicos.
Figura 6: Iris dos olhos.
 
Para que se tenha uma leitura correta 
o indivíduo deve fixar os olhos em 
um determinado ponto do dispositivo, 
ele irá mapear e verificar se o formato 
esta conforme a um dos que estão 
armazenados no banco de dados.
Figura 7: Modelo biométrico para possível cadastro, identificação ou verificação.
Pelos estudos feitos, as únicas formas de alterar o padrão da Iris é em caso de acidente ou 
então cirurgias.
Figura 5: Leitura das veias.
10
Unidade: Segurança em ambientesde redes
Retina
A retina é uma membrana localizada na parte posterior dos olhos, 
a figura abaixo ilustra a retina.
Segundo Mandl e Vicentin, os padrões dos vasos sanguíneos 
presentes na retina são “lidos” por uma luz infravermelha que é 
auxiliada por um leitor óptico. É possível efetuar a leitura porque os 
vasos absorvem mais rápido a luz que o tecido ao redor, portanto, 
consegue-se formar uma imagem única que será analisada seguindo 
alguns pontos característicos.
Essa técnica, como na leitura das veias das mãos exige que o indivíduo esteja vivo para que 
funcione adequadamente. Além disso, é uma técnica muito desconfortável, pois uma luz deve 
ser aplicada aos olhos para que o processo seja executado corretamente.
O uso de óculos e lentes de contato influencia na leitura das 
informações. Outro fator que dificulta a implantação deste 
sistema é o custo.
Figura 9: Leitor biométrico da retina.
Face
Os softwares desenvolvidos para serem usados com os 
dispositivos biométricos para mapeamento da face, basicamente 
estabelecem pontos que definem a simetria além de guardar 
tamanhos, distâncias e formas de cada elemento do rosto 
como olhos, nariz, boca, orelhas, queixo etc. A composição 
geral dessas características definem um indivíduo unicamente, 
inclusive pode identificar sósias como pessoas diferentes.
Os softwares conseguem identificar uma pessoa mesmo que 
esteja usando barbas, bigodes e óculos, mudança de cor e corte 
diferenciado de cabelos. Uma vantagem desse sistema está no 
custo, pois basta ter uma boa webcam e um aplicativo instalado 
em um computador para que o reconhecimento seja feito.
Figura 8: Localização da retina.
Figura 10: Identificação da face.
11
Voz
A voz é um dos componentes mais estudados e desenvolver sistemas que possam reconhecer 
a voz tem grandes aplicações como celulares, programas de computadores e outros dispositivos 
que sejam atrativos a sua implantação. O reconhecimento se dá pela vibração do ar ao falar, a 
captura do som é feita por microfones estrategicamente instalados nos dispositivos. Os ruídos 
externos podem influenciar nesse tipo de sistema biométrico e, portanto deve ser usado em 
locais com pouquíssimo ruído.
Assinatura
Nesse tipo de biometria, além da comparação da imagem, a 
dinâmica da assinatura também é avaliada, sendo assim, itens 
como direção do traçado, pressão exercida e a forma da assinatura 
são levadas em consideração no momento da comparação. As 
canetas ópticas e superfícies sensíveis são os dispositivos usados 
nesse tipo de biometria.
Outros tipos de biometria estão sendo pesquisados e evoluindo 
de acordo com a tecnologia, um deles que já estava em fase 
de teste é a biometria considerando o odor, outras como a 
arquitetura da orelha, DNA, reconhecimento através das ondas 
cerebrais, já foram implantadas ou estão em fase de pesquisa 
para implementação.
Engenharia social
A engenharia social é um conjunto de técnicas utilizadas pela maioria dos estelionatários ou 
mesmo pessoas que realizam phishing na Internet ou em qualquer outro tipo de ataque com 
o objetivo de enganar, obter informações das pessoas manipulando os seus sentimentos e as 
aspirações contidas nos seres humanos. Não é uma técnica utilizada apenas por pessoas com más 
intenções, mas também muito utilizada por policiais para desvendar algum tipo de comportamento 
ilícito usado em sites na Internet. O facebook ou qualquer outro site de relacionamento são 
pesquisados frequentemente por policiais em busca de algum comportamento considerado 
estranho para então tomar providências usando , quando necessário, alguma técnica de 
engenharia social. Uma das técnicas, que veremos no decorrer deste texto refere-se a confiança, 
as autoridades tentam se aproximar de uma determinada pessoa para obter informações se 
passando por outra pessoa para criar certa afinidade. Existem várias técnicas utilizadas pelos 
estelionatários com o objetivo de manipular os sentimentos e podem ser praticadas tanto na 
Internet como fora dela.
 Se analisarmos os últimos cinco anos até os dias atuais, veremos que a tecnologia de segurança 
que tínhamos para manter os computadores longe de ataques não eram as mesmas utilizadas 
atualmente, pois os programas estão em constante aperfeiçoamento e desenvolvimento.
Figura 11: Biometria usando assinatura.
12
Unidade: Segurança em ambientes de redes
Pense
Por que os ataques estão cada vez mais frequentes se as ferramentas estão cada vez mais avançadas 
e mais eficientes?
Por exemplo, se formos comparar o Windows XP com o Windows 7 iremos perceber que 
novos recursos de segurança foram implementados.
Portanto, voltando à questão, se a tecnologia está cada vez mais eficiente, se os investimentos 
em segurança são feitos pelas empresas, se temos softwares cada vez mais seguros e, 
consequentemente, redes de computadores protegidas, por que os ataques estão aumentando? 
Pode-se perceber que há uma contradição em relação ao exposto acima. A resposta é a seguinte: 
os atacantes perceberam que não adianta atacar a tecnologia, ou seja, o elo mais fraco de toda 
a segurança ainda é o ser humano, o usuário que está por trás dessas tecnologias. O fator 
humano é um problema gravíssimo, pois por mais que você tenha um sistema seguro, usando 
tecnologias de ponta, a maioria dos usuários não sabe lidar com o sistema de forma correta ou 
não recebe o treinamento ou uma instrução adequada ou subestima a possibilidade de sofrer 
um ataque, sendo assim o ser humano é facilmente enganado por um engenheiro social.
O tema engenharia social não é considerado novo, pois convivemos com ele o tempo todo, 
isso pode ser visto normalmente no comportamento das pessoas sempre que alguém se utilizar 
de algum tipo de sentimento para obter algo em prol, isso é considerado engenharia social. É 
lógico que esse tipo de comportamento é totalmente diferente daqueles que você ira estudar 
neste texto. Existem os engenheiros sociais normais que agem intuitivamente e os engenheiros 
sociais que têm como objetivo cometer crimes.
Portanto, a engenharia social consiste em atacar o elo mais fraco do sistema: o ser 
humano. Ela é conhecida como a arte de enganar, você consegue manipular as pessoas 
obtendo informações sigilosas manipulando-as. Várias técnicas de engenharia social foram 
demonstradas no filme chamado Explore: Hacker 2 Operação Takedown, esse filme se 
baseia na história do hacker Kevin Mitnik, ele foi cassado pelo FBI depois de aplicar vários 
ataques e conseguir informações sigilosas. Por este motivo, ele ficou preso durante cinco 
anos e proibido de usar computadores.
Considerando as pessoas físicas, a engenharia social pode ser aplicada de várias formas, 
pode-se, por exemplo, conseguir os dados da conta corrente incluindo a senha. É comum você 
ver pessoas desatentas em caixa de banco solicitando informações a pessoas desconhecidas 
ou pessoas se aproximando de outras para poder oferecer ajuda tendo como objetivo obter a 
senha e outras informações.
13
Temos também os casos de sequestro e ataques de vigaristas. O site de relacionamento 
facebook é uma fonte rica de informações que pode ser utilizado com o objetivo de sequestrar 
alguém, pois muitas pessoas deixam os dados considerados confidenciais abertos para que 
qualquer outro possa acessar. Com isso fica fácil levantar características e informações para fazer 
um ataque de engenharia social, pois não é difícil arquitetar um ataque usando informações 
como, nome do namorado, ano de nascimento, álbum de fotos, recados, comunidades e outras 
que geralmente ficam expostas. Por incrível que pareça, ainda há muitos usuários desatentos 
ou com pouco conhecimento e acabam propiciando aos engenheiros sociais informações 
preciosas. Com essas informações alguém pode iniciar contatos, seja por telefone, e-mail ou até 
fisicamente e ganhar a confiança para posteriormente aplicar algum tipo golpe.
No meio jurídico, as empresas devem se preocupar também com a engenharia social, inclusive 
colocando-acomo um dos itens de risco a segurança de rede, isso, infelizmente, nem sempre 
acontece nas empresas. Embora, muitas vezes não perceba, elas sofrem algum tipo de ataque 
usando a engenharia social.
O vazamento de informações é outro problema encontrado pelas empresas, pois em uma 
conversa informal, um funcionário pode passar informações importantes e confidenciais que 
poderão ser utilizadas por empresas concorrentes. É costume, os funcionários se encontrarem 
após o expediente para um happy hour e trocar informações sobre o trabalho do dia a dia. Um 
indivíduo pode se aproveitar dessas informações e até tentar uma aproximação para obter mais 
informações. Neste caso, percebe-se que o funcionário não tem a maldade em prejudicar a 
própria empresa, no entanto ele acaba fazendo. Para que isso não aconteça, o funcionário deve 
ser instruído dos riscos que determinadas informações possam causar a empresa e a si mesmo 
caso sejam obtidas por outras pessoas. Com certeza, a perda financeira será a consequência 
desse vazamento de informação, portanto, conhecer os ataques e algumas técnicas usadas em 
engenharia social é de suma importância para todos aqueles que trabalham com informação. 
Como você poderá ver ao longo deste texto, alguns casos são bem conhecidos e outros ainda 
poderão surgir, o importante a ser notado é que, se mudam a forma de ataque, porém com 
objetivos semelhantes: a manipulação do ser humano.
A engenharia social pode ser feita utilizando-se de alguns meios de ataque. Através da Internet 
ou telefone os seguintes ataques são possíveis.
Em Síntese
Os phishing consistem em um ataque onde são enviados e-mails para vários usuários. 
Este e-mail tem um conteúdo que irá chamar a atenção, fazendo com que você abra a 
mensagem e execute o que veio junto no anexo ou clique no Link que está no corpo do 
e-mail, com isso um programa será executado e, provavelmente, seu computador será 
infectado por um programa que irá roubar suas informações. Esse tipo de ataque é um 
dos mais utilizados pelos Hackers atualmente.
O Pharming é outro tipo de ataque, ele consiste em manter vários phishing sobre sua custódia, 
Pharm significa fazenda, de criar, de manter os computadores infectados com phishing.
14
Unidade: Segurança em ambientes de redes
O roubo de identidade é outro tipo de ataque utilizado, geralmente são usados com o envio 
de e-mail de pessoas conhecidas para prover confiança. O e-mail pode conter arquivos para 
execução ou então solicitar para você abrir uma apresentação ou ver uma imagem. O único 
problema é que embora o e-mail tenha o endereço da pessoa conhecida ele não foi enviado 
por ela e o conteúdo é malicioso. Por acreditar que é um e-mail de uma pessoa conhecida 
ele cria uma das principais características da engenharia social: a confiança. Dificilmente você 
deixará de ver o conteúdo enviado e irá contaminar sua máquina com programas que irão lhe 
monitorar e até roubar suas informações.
A Engenharia social não usa apenas da tecnologia para atingir seus objetivos, ela pode ser 
feita pessoalmente, ou seja, presencialmente utilizando as seguintes técnicas:
O Shoulder Surfing é a técnica em que uma pessoa fica observando a outra para obter 
dados como o login e a senha. Em bancos, eles ficam atrás das pessoas observando o 
que está sendo digitado, ou então, em laboratórios onde você está digitando uma senha 
e uma pessoa passa observando o que foi digitado. Muitos não dão tanta importância 
para esse tipo de técnica, no entanto já houve casos em que um banco foi roubado 
com a utilização dela.
O Rush Authentication se utiliza da boa vontade de outra pessoa para ter acesso ao local 
ou então a informações. Exemplo. Um determinado local só pode ser acessado por quem tem 
acesso biométrico, para conseguir entrar neste local o engenheiro social pode simular que está 
carregando uma caixa pesada, espera que uma pessoa abra a porta e solicita a ela para segurar 
a porta para que você passe, pois está com as duas mãos ocupadas carregando a tal caixa. 
Muitas vezes esse tipo de técnica dá certo, pois há muitas pessoas que procuram ajudar outras 
em situações difíceis, possibilitando assim o acesso do engenheiro social ao local desejado sem 
a utilização da biometria.
A confiança é muito explorada em engenharia social, o golpe da música do telefone procura 
adquirir confiança de uma determinada pessoa a qual se deseja atacar. Esse tipo de ataque 
consiste em gravar a música em espera que a empresa costuma usar. Ao fazer uma chamada 
telefônica para um determinado funcionário dessa empresa se passando por outro funcionário, 
o engenheiro social pode comentar que está recebendo outra chamada e pede para aguardar 
um pouco e nesse momento ele coloca o telefone em espera com a música em espera que a 
empresa costuma usar. O outro lado ouvindo a música irá pensar que tudo está ocorrendo 
dentro da empresa e irá ficar mais pró-ativo em ajudar em algo.
Os boatos podem também trazer benefícios ao atacante. A bolsa de valores sofre frequentemente 
com os rumores de determinadas notícias e isso faz com que ela oscile para cima ou para baixo. 
Há algum tempo, bem antes de morrer, surgiu um boato sobre a saúde de Steve Jobs, e a Apple 
foi colocada em questão. Em consequência disso, as ações da empresa caíram. Caso esta notícia 
tivesse sido veiculada com esse propósito, então o atacante poderia aproveitar o momento de 
baixa das ações e comprar a quantidade que pudesse. Assim, quando o boato fosse esclarecido, 
as ações da empresa poderiam voltar ao patamar que estava ou até um pouco mais e com isso 
o atacante ganharia, pois havia comprou na baixa e venderia na alta.
15
O phishing, conforme já comentado, é um ataque em que é enviado e-mail para chamar 
a atenção do usuário através de conteúdo que o deixe curioso. Geralmente, o conteúdo é 
composto por mensagens relacionadas à promoção ou mensagens convidando você a visitar 
uma determinada página de relacionamento ou mensagens descrevendo que você ganhou 
algum prêmio. Embora existam várias mensagens com conteúdos diferentes, o objetivo é um 
só, ou seja, a descrição procura aguçar a curiosidade e fazer com que o usuário clique em um 
botão ou link para executar ou instalar e executar um programa na máquina. Quem pratica o 
phishing é chamado de phishing scammer.
Um exemplo típico de phishing está representado na figura abaixo.
Figura 12: Phishing do boticário.
Fonte: http://www.quatrocantos.com/lendas/250_trojan_spy_boticario.html
É um phishing muito bem feito, salvo que nenhuma empresa deve solicitar que o usuário faça 
download de qualquer tipo de página, programa ou imagem, isto é inadmissível, no entanto, as 
pessoas menos atentas, com menos conhecimento sobre esse tipo de ataque, que na verdade é 
a maioria, acabam caindo nesse tipo de golpe.
http://www.quatrocantos.com/lendas/250_trojan_spy_boticario.html
16
Unidade: Segurança em ambientes de redes
Outro phishing conhecido é o da Chevrolet, conforme pode ser visto na figura abaixo, a 
propaganda incentiva a pessoa a baixar um formulário para ser preenchido.
Não se baixa formulário para preencher, os formulários são preenchidos em páginas da 
Internet da própria empresa. Uma vez baixado esse arquivo e executado, o seu computador 
será contaminado.
Na maioria das vezes, esse tipo de ataque solicita que o usuário faça o download ou então 
clique em algum link para ser aceito na promoção, infelizmente a maioria das pessoas não têm 
o hábito de colocar o mouse sobre o link ou o botão de download para verificar o endereço 
completo. Se fizesse isso iria verificar que está executando um programa e os engenheiros sociais 
se aproveitam desta falha para instalar programas com códigos maliciosos, pois a maioria dos 
usuários não sabe diferenciar entre um programa e uma página de Internet.
Figura 13: Phishing Chevrolet.
Fonte: http://www.quatrocantos.com/lendas/301_chevrolet.htm
http://www.quatrocantos.com/lendas/301_chevrolet.htm
17
O phishing é usado para atingirum determinado perfil de usuários e por este motivo, ele 
é transmitido para o maior número de pessoas possíveis. Algumas irão apagar, pois não têm 
interesse, outras irão acessar e possivelmente irão clicar e instalar o programa. Sendo assim, 
vários tipos de propagandas e anúncios surgem a todo o momento com o objetivo de contaminar 
grupo de pessoas que tenham interesse em determinadas promoções.
Outro golpe vindo por e-mail é o Nigerian Scam ou fraude da Nigéria, que consiste em 
enviar um e-mail descrevendo histórias variadas, uma delas descreve que um parente distante 
morreu e deixou uma fortuna em dinheiro e que você precisa pagar um determinado valor, 
relacionado a custos com documentação, para que esta fortuna seja depositada em sua conta 
corrente. Muitas outras variações de histórias são inventadas, mas sempre com o mesmo 
objetivo, você deposita e tem a promessa que receberá o valor indicado. Esse tipo de golpe 
começou sendo praticado através do envio de carta e hoje o e-mail é utilizado para atingir 
maior quantidade de pessoas.
Há casos mais avançados de engenharia social, cada exemplo visto anteriormente, 
utilizando o phishing, tinha como objetivo atingir um grupo específico de usuários tratando 
de aguçar a curiosidade.
O objetivo do engenheiro social é conquistar e manipular o sentimento das pessoas e para 
chegar a esse objetivo ele pode usar o telefone, a Internet ou, até mesmo, o meio físico. Os 
pontos principais manipulados são a curiosidade, a confiança, a simpatia, a culpa, a intimidação 
e o orgulho, cada um tem técnicas totalmente diferentes que podem ser utilizadas com certa 
variação. Veja abaixo exemplos de cada uma delas.
Pense
A curiosidade é a forma mais fácil de obter sucesso na engenharia social, pois a curiosidade não 
é de um grupo específico, esta característica é específica de todo ser humano, somos movidos 
pela curiosidade. Portanto, se você fizer engenharia social através de um phishing, que tem a 
característica de utilizar o princípio da curiosidade, você vai, com certeza, fazer com que algumas 
pessoas executem o programa. Exemplo: se você visitar uma empresa e deixar um CD em um local 
de bastante trânsito de pessoas com a descrição “salário dos funcionários”, ou então “fotos da 
família do diretor X”, com certeza isso irá criar curiosidade por aqueles que tiverem acesso a esse 
CD e uma vez executado, o próprio auto run poderá infectar o computador dessa pessoa.
A confiança é outro atributo que o engenheiro social pode utilizar. Quando há confiança, o 
engenheiro social age com mais facilidade. É o caso já citado sobre o e-mail enviado por um 
terceiro se colocando como se fosse uma pessoa conhecida. Muitas vezes, você irá clicar no link 
e até executar algum arquivo enviado, pois irá considerar que a mensagem está vindo de uma 
pessoa conhecida. A confiança é considerada primordial para os engenheiros sociais, portanto 
para que isto seja possível deve-se ter uma aproximação das pessoas para se estabelecer um 
contato mais próximo.
18
Unidade: Segurança em ambientes de redes
A simpatia acaba atraindo muitas pessoas, adoramos pessoas simpáticas, por exemplo, 
quando você entra numa loja e um vendedor fica pressionando ou não te dá muita atenção ou 
ainda, lhe trata com certo mau humor, há grandes possibilidades de você não comprar nessa 
loja. Por outro lado, se um vendedor vem lhe atender usando da simpatia, sendo prestativo 
dificilmente você deixará de comprar o produto que necessita. É lógico que não estou colocando 
a questão de preço e qualidade do produto, só para exemplo didático estou considerando que 
as lojas têm os mesmos critérios de preço e qualidade. Para as pessoas simpáticas é mais difícil 
dizer não quando ela lhe pede um favor. A simpatia está diretamente ligada ao orgulho, pessoas 
que são orgulhosas gostam que outras falem bem de alguma coisa que fez. Os elogios feitos 
às pessoas orgulhosas pode ser a porta para uma aproximação. Portanto, a simpatia é muito 
utilizada em ataques a pessoas orgulhosas.
A culpa também é explorada por engenheiros sociais, ela é um excelente meio a ser explorado 
para obter informações, principalmente de pessoas com baixa estima. Geralmente, essas 
pessoas se sentem culpadas por qualquer motivo e, consequentemente, podem ser manipuladas 
facilmente. Toda pessoa que se acha culpada está, intrinsecamente, interessada em ajudar e, 
intuitivamente a culpa pode se estabelecer por um simples serviço prestado. Por exemplo, caso 
alguém faça um favor para você, algumas vezes a pessoa pode usar a seguinte frase “você está 
me devendo uma”, isso significa que a culpa está sendo manipulada, pois uma hora ou outra 
ela poderá lhe cobrar por isso.
A intimidação é diferente de tudo o que foi descrito até agora. Ela refere-se em você fingir 
que é o chefe ou estar no controle de uma determinada situação para atingir seu objetivo, ou 
seja, intimidar alguém. Geralmente, o tom de voz usado na intimidação é diferente em relação 
a outros tipos de ataques.
Mas, por quais motivos uma pessoa acaba caindo nesses truques? Um deles é que as pessoas 
não desconfiam de muitas coisas que acontecem no dia a dia, como no caso dos e-mails 
enviados como forma de propagandas, os phishing, como vimos acima. Deve-se desconfiar 
de tudo que é enviado pela Internet, não executar nada que não seja de uma pessoa confiável 
e se não estiver esperando um e-mail e mesmo assim se receber seria interessante checar a 
veracidade. Caso acesse o conteúdo do e-mail, verifique com atenção o endereço que está no 
link ou botão, para isto basta posicionar o cursor sem clicar sobre o link ou botão e verificar no 
canto inferior esquerdo o endereço completo.
Todos os documentos da empresa que estiverem em papel devem ser destruídos de tal forma 
que nenhuma informação fique visível. Caso isso não ocorra e o engenheiro social adquira 
esses documentos, ele poderá, com facilidade, saber o nome de determinadas pessoas e se 
aproveitar disso.
Revelar dados sem consultas é outro caso usado pelos engenheiros sociais, por exemplo, 
uma determinada pessoa pode ligar e solicitar os dados do gerente com o argumento que 
precisa enviar uma determinada informação a ele. Um cuidado especial deve ser tomado nesses 
casos, se você não conhece a pessoa que está solicitando a informação, então não passe a ela.
Acessar sistemas duvidosos como sites da Internet, pode trazer programas maliciosos que 
serão executados na sua máquina.
19
A curiosidade em se ter acesso a determinadas informações, como no caso do CD colocado 
propositalmente em um determinado local para que alguém o pegue e insira no computador, 
deve ser evitada, pois o próprio auto run poderá instalar arquivos maliciosos na máquina.
Conversar sobre o dia a dia e dados confidenciais referentes à empresa estando fora dela 
também devem ser evitados, pois caso isso ocorra, tais informações poderão ser adquiridas por 
pessoas alheias que a usarão em benefício próprio.
 A melhor forma de se defender referente dos ataques que utilizam engenharia social é o 
treinamento, a participação em WorkShops e a divulgação dos tipos de ataque. A política é um 
dos recursos também utilizado para evitar a engenharia.
20
Unidade: Segurança em ambientes de redes
Material Complementar
Para aprofundar seus estudos sobre o assunto tratado nesta unidade, siga os links abaixo. 
No primeiro, você poderá ver um vídeo falando sobre biometria e no segundo, há uma 
apresentação sobre algumas manipulações usando Engenharia Social.
http://www.youtube.com/watch?v=I4GzfgvBrPw
http://www.youtube.com/watch?v=My-SizcEJok
http://www.youtube.com/watch?v=I4GzfgvBrPw
http://www.youtube.com/watch?v=My-SizcEJok
21
Referências
MITNICK, K. D. A Arte de Enganar, São Paulo: Pearson Makron Books, 2006.
NAKAMURA, E. T. Segurança de Redes em Ambientes Cooperativos. Sao Paulo: 
Novatec, 2007.
22
Unidade: Segurança em ambientes de redes
Anotações
www.cruzeirodosulvirtual.com.br
Campus Liberdade
Rua Galvão Bueno,868
CEP 01506-000
São Paulo SP Brasil 
Tel: (55 11) 3385-3000