Engenharia social

Prévia do material em texto

ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 1 
 
Engenharia Social e 
Conscientização em Segurança 
da Informação 
 
 
 ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 2 
Engenharia Social e Conscientização em Segurança da Informação 
 
 
Apresentação 
 
A prevenção de incidentes de segurança da informação, comumente, passa por 
um verdadeiro processo de capacitação e qualificação dos usuários, que envolve 
várias atividades, desde a publicação de padrões e normas de âmbito empresarial 
até campanhas de conscientização em segurança de informações para garantir a 
construção, conhecimento, entendimento e uso das normas e boas práticas 
estabelecidas. 
 
Um grande desafio é compreender aspectos ligados às relações humanas e às 
potenciais vulnerabilidades desta interação, uma vez que o fator humano é o 
mais impactante em segurança da informação. E é a partir das premissas de 
conhecimento da empresa alvo e do comportamento humano, que um 
engenheiro social utiliza ferramentas e técnicas para obter as informações não 
autorizadas. 
 
O papel desta disciplina de Engenharia Social e Conscientização em Segurança da 
Informação é desenvolver no aluno as competências relacionadas uma visão 
crítica das falhas de segurança na empresa e possíveis contramedidas de 
segurança. 
 
Unidade 1: As relações humanas no trabalho 
 
1.1 Objetivo 
Nesta aula trataremos de conceitos e aspectos relacionados às relações humanas 
que permeiam as relações de trabalho, compreendendo as formas de 
comunicação, os tipos psicológicos e as relações de trabalho. Além disso, vamos 
conceituar informação e determinar seu ciclo de vida. A partir destes conceitos, 
 
 
 ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 3 
construiremos o entendimento dos processos utilizados em ataques de segurança 
de informação e as medidas de proteção contra esses ataques. 
 
1.2 Como podemos entender as relações humanas no trabalho? 
O ser-humano é um ser social, racional, portador da fala e do discernimento, 
segundo o filósofo Aristóteles (384-322 a. C.). Com isso, necessita do contato, 
interação e convívio com indivíduos da espécie a que pertence. Nas relações 
humanas, o ser humano procura pertencimento, e mecanismos de troca como 
esforço e recompensa são, muitas vezes, utilizados. 
 
A aprendizagem da cultura, dos valores, dos objetivos, das estratégias de contato 
interpessoal para a aceitação em um grupo é fator importante na constituição do 
ser e um aspecto relevante na observação do comportamento do homem, em 
cada grupo ao qual se vincula, o que é aplicável para o ambiente organizacional 
(ZANELLI, ANDRADE, BASTOS, 2014). 
 
Para Chiavenato (2004), “a organização espera que as pessoas trabalhem e 
desempenhem suas tarefas. Assim, surge uma interação entre pessoas e 
organização, à qual se dá o nome de processo de reciprocidade: a organização 
espera que as pessoas realizem suas tarefas e oferece-lhes incentivos e 
recompensas, enquanto as pessoas oferecem suas atividades e trabalho 
esperando obter certas satisfações pessoais”. 
 
A sociedade capitalista ocidental é constituída de relações de trabalho 
hierárquicas nas quais a relação interpessoal é composta de diferentes papéis e 
relações de hierarquia, a saber: colegas, prepostos, coordenador, gerente 
imediato, outros gerentes, entre outros. Nem todos que nos abordam na 
empresa são claramente identificados, a princípio, e, muitas vezes, iniciamos 
diálogos na empresa com estranhos não identificados. 
 
 
 
 
 
 ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 4 
1.3 Formas de comunicação 
Comunicação é: “Ato ou efeito de emitir, transmitir e receber mensagens por 
meio de métodos e/ou processos convencionados, quer através da linguagem 
falada ou escrita, quer de outros sinais, signos ou símbolos, quer de 
aparelhamento técnico especializado, sonoro e/ou visual”, ou ainda, “A 
capacidade de trocar ou discutir ideias, de dialogar, de conversar, com vista ao 
bom entendimento entre pessoas”, segundo o dicionário Babylon v. 10.3.0.14. 
 
Como podemos observar na Figura 1, há diversos meios de transmissão da 
informação. 
 
Figura 1: Meios de transmissão da informação 
 
O trabalho eficaz em equipe pressupõe que cada membro da equipe possua 
determinadas competências pessoais e a habilidade em comunicação é uma 
delas. 
 
A transmissão da informação, ou seja, a comunicação depende de emissor, meio 
de transmissão e receptor, conforme pode ser observado na Figura 2. 
 
 
 
 ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 5 
 
Figura 2: Transmissão da informação 
 
1.4 Perfil 
O tratamento e a forma de abordagem mais efetiva devem ser diferenciados, 
considerando o perfil do destinatário (receptor da informação). 
 
Segundo MACHADO (2003), existem três diferentes perfis de apreensão. São 
eles: 
 Auditivo; 
 Visual; e 
 Sinestésico. 
 
Além disso, existem estudos para auxiliar a traçar o perfil tipológico de um 
indivíduo; eles indicam que cada tipo psicológico tem uma forma predominante 
de comunicar e capturar informações. 
 
Segundo o estudo de tipos psicológicos com indicador de tipos Myers-Briggs 
(MBTI), o armazenamento e recuperação de informações nas organizações 
corporativas (HIRSH, KUMMEROW, 1993) inclui maior ou menor preferência ou 
dicotomia nas atividades de: 
• Foco da motivação (Extroversão ou Introversão); 
• Percepção (Sensação ou Intuição); 
• Tomada de decisão (Pensamento e Sentimento; 
 
 
 ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 6 
• Estilo de vida (Julgamento ou Percepção). 
 
1.5 Relações de Trabalho 
As equipes são compostas de profissionais de diferentes perfis e a 
comunicação do projeto deve levar os diferentes tipos de comunicação 
(GODFREY, 2011). 
 
“A divisão social do trabalho acontece no processo de desenvolvimento da 
sociedade. Para satisfazer nossas necessidades estabelecemos relações de 
trabalho e a divisão das atividades” (MARX, 2013). 
 
Neste contexto, cada projeto se desenvolve através de um ciclo de vida que se 
constitui numa sequência de fases que vão desde a ideia inicial até o seu 
encerramento (NOGUEIRA, 2015). 
 
 
Figura 3: NOGUEIRA, 2015 
 
Em outra classificação relacionada às pessoas, é possível considerar os grupos 
segundo: 
- Cargo no Organograma Empresarial; e 
- Perfil Profissional. 
 
A quantidade e o nível de informação acessível e as interações funcionais variam 
de acordo com o perfil profissional (por exemplo, supervisor, pesquisador, 
coordenador, gerente, entre outros) e pela alocação do profissional em uma 
determinada área da estrutura organizacional. Empregados da área fim da 
 
 
 ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 7 
empresa podem, por vezes, acessar dados sensíveis da produção. Outras 
informações confidenciais são tratadas em diversas áreas da empresa, por 
exemplo, na área de gestão de contratos ou na área de recursos humanos. Na 
Figura 4 temos um exemplo de organograma empresarial simplificado. 
 
 
Figura 4: Organograma 
 
Em mais uma classificação, é possível considerar os grupos: 
1º: Novo colaborador (que possivelmente conhece pouco ou nada sobre a 
empresa e seus processos); 
 2º: Colaborador antigo; 
 3º: Ambos. 
 
Ou ainda: 
1º: Empregado sem função gerencial; 
2º: Empregado com função gerencial; 
3º: Ambos. 
 
Todas estas visões apresentadas deperfil (pessoal e profissional) são de 
interesse para: avaliação de ameaças, tratamento de vulnerabilidades em 
segurança de informação com focos específicos e posicionamento de campanhas 
de segurança da informação. 
 
1.6 Informação 
A informação é um elemento essencial para todos os processos de negócio em 
qualquer tipo e tamanho de organização, sendo, portanto, um ativo de grande 
 
 
 ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 8 
valor. Com o advento da “era da informação”, “era tecnológica” ou ainda “era 
digital”, isso ficou ainda mais claro. 
 
1.6.1 Dado, Informação e Conhecimento 
 
Por longo tempo, as pessoas se referiam a dado como sinônimo de informação; 
atualmente, por vezes, lançamos mão do significado de conhecimento para falar 
sobre informação. Desta forma, é necessário conceituar e distinguir esses termos 
(EDSON, E., 2005. A vulnerabilidade humana na segurança da informação): 
 
DADO: Simples observações sobre o estado do mundo. É facilmente estruturado, 
facilmente obtido por máquinas, frequentemente quantificado e facilmente 
transferível. 
 
INFORMAÇÃO: Informação vem da palavra latina informare, que significa ‘dar 
forma’. São dados dotados de relevância. Requer unidade de análise, exige 
consenso em relação ao significado e há necessariamente a mediação 
humana. 
 
CONHECIMENTO: Informação valiosa da mente humana. Inclui reflexão, 
síntese e contexto. De difícil estruturação, difícil captura em máquinas, 
frequentemente tácito e de difícil transferência. 
 
*** Convém definir informação como “o conjunto de dados aos quais seres 
humanos deram forma para torná-los significativos e úteis”; e conhecimento 
como “o conjunto de ferramentas conceituais e categorias usadas pelos seres 
humanos para criar, colecionar, armazenar e compartilhar a informação”. 
ARAÚJO (2005). 
 
Informações INOFENSIVAS ou VALIOSAS: Como medir? 
Tendo funcionários não preparados é difícil responder. 
 
 
 
 ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 9 
REGRA: 
Qualquer informação (pessoal ou interna da empresa ou identificadores) só deve 
ser dada para solicitante identificado, que tenha NECESSIDADE REAL. 
 
1.7 Ciclo de Vida da Informação 
Segundo LYRA (2009), a informação deve ser tratada durante todo o seu ciclo de 
vida, que vai desde a identificação da necessidade e requisitos até a fase de 
descarte da mesma. Com isso, a segurança da informação deve permear todo o 
ciclo de vida da informação; portanto, a política de segurança nunca está 
finalizada e deve ser desenvolvida e atualizada periodicamente durante toda a 
vida da empresa. 
 
Unidade 2: O comportamento humano e suas potenciais 
vulnerabilidades 
 
2.1 Objetivo 
Nesta aula ressaltaremos o valor da informação e entenderemos de que forma as 
vulnerabilidades humanas podem ser usadas por potenciais agentes agressores 
no intuito de obter informações às quais normalmente não teriam acesso. 
 
Vamos aprofundar as questões sobre segurança da informação na empresa e 
conhecer quais são as formas de envolvimento mais utilizadas pelo engenheiro 
social, que são apresentadas do ponto de vista da técnica utilizada para 
aproximação do alvo e obtenção de informações. 
 
 
2.2. Por que falar em Segurança da Informação? 
A informação é um ativo intangível importante para os negócios e por isso deve 
ser tratada com segurança. 
 
Ativo é tudo aquilo que possui valor para uma organização. Pode ser: 
– Tangível ou Intangível 
 
 
 ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 10 
– Lógico, Físico ou Humano 
 
Segurança é estar livre de perigos e incertezas. Condição daquele ou daquilo 
em que se pode confiar. 
 
Segundo o código de prática para a gestão da segurança da informação: 
“A informação é um ativo que, como qualquer outro, 
importante para os negócios, tem um valor para a 
organização. A segurança da informação protege a 
informação de diversos tipos de ameaças para garantir a 
continuidade dos negócios, minimizar os danos ao negócio 
e maximizar o retorno dos investimentos e as 
oportunidades de negócios”. (NBR ISSO/IEC 17799:2001, 
pp.2). 
 
Porque devemos nos proteger? Para evitar perdas financeiras através de 
impactos indesejados a ativos. 
 As informações devem estar sempre disponíveis e íntegras. 
 Deve-se assegurar o nível de proteção adequado para cada tipo de 
informação. 
 Garantir a segurança da informação é essencial para o alcance do sucesso 
da empresa. 
 
2.3 Vulnerabilidades Humanas 
 
Vulnerável: Diz-se do lado fraco de um assunto ou de uma questão, ou do 
ponto pelo qual alguém pode ser atacado ou ferido. 
 
Uma vulnerabilidade de um sistema é um ponto com maior possibilidade de 
falha, ponto fraco, que expõe o sistema sob algum dos aspectos da segurança e 
pode ser classificada em vários tipos, segundo sua origem, conforme ilustrado na 
Figura 5. 
 
 
 ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 11 
 
Uma vulnerabilidade pode comprometer um sistema como um todo ou parte 
dele e torna-se um risco em potencial. 
 
Figura 5: Tipos de vulnerabilidade 
 
No nosso estudo, o foco será nas vulnerabilidades humanas. São exemplos 
de vulnerabilidades Humanas: 
 Compartilhamento de informações confidenciais; 
 Desobediência ou não execução de rotinas de segurança; 
 Falta de comprometimento dos funcionários; 
 Falta de treinamento. 
 
Ameaça: Uma ameaça é qualquer indicação, circunstância ou evento com 
potencial para causar danos ou perdas a um ativo ou conjunto de ativos. Uma 
ameaça pode ser: natural, acidental ou intencional, sendo esta última ligada, por 
vezes, à engenharia social. 
 
É muitas vezes consequência de vulnerabilidades existentes, podendo provocar 
perdas de confidencialidade, integridade e disponibilidade. 
 
 
 
 ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 12 
São exemplos de ameaças intencionais: Alteração de Dados, Fraude, Sabotagem, 
Roubo de Hardware (HW), Software (SW), Mídias, peças de computador ou 
Informações em geral. 
 
Agente de Ameaça 
Pode ser: 
• Interno: empregado, contratado, estagiário; 
• Externo: parceiro, concorrente, fornecedor, cliente, visitante, criminoso, 
espião, hacker, terrorista; 
• Externo com auxílio de agente interno (intencional ou através de 
persuasão). 
 
2.4 Engenharia Social 
A seguir, estão expostos alguns conceitos preliminares relacionados à engenharia 
social: 
 
Engenharia: Arte de aplicar conhecimentos científicos e empíricos e certas 
habilitações específicas à criação de estruturas, dispositivos e processos que se 
utilizam para converter recursos naturais em formas adequadas ao atendimento 
das necessidades humanas. 
 
Social: Civil, relativo ao cidadão. 
 
Engenharia Social: 
“Engenharia Social é a ciência que estuda como o 
conhecimento do comportamento humano pode ser 
utilizado para induzir uma pessoa a atuar segundo seu 
desejo. Não se trata de hipnose ou controle da mente; as 
técnicas de Engenharia Social são amplamente utilizadas 
por detetives (para obter informação) e magistrados (para 
comprovar se um declarante fala a verdade). Também é 
utilizada para lograr todo tipo de fraudes, inclusive invasão 
de sistemas eletrônicos” (SILVA, 2011). 
 
 
 ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 13 
Existem diversas referências sobre a arte de persuadir, entre elas: 
 
“A Engenharia social atua sobre a inclinaçãonatural das pessoas de confiar umas 
nas outras e de querer ajudar. Nem sempre a intenção precisa ser de ajuda ou 
de confiança. Pelo contrário, pode ser por senso de curiosidade, desafio, 
vingança, insatisfação, diversão, descuido, destruição, entre outros. 
 
A Engenharia social também deve agir sobre as pessoas que não utilizam 
diretamente os recursos computa cionais de uma corporação. São indivíduos que 
têm acesso físico a alguns departamentos da empresa por prestarem serviços 
temporários, por fazerem suporte e manutenção ou, simplesmente, por serem 
visitantes. Há ainda um grupo de pessoas o qual é necessário dispensar uma 
atenção especial porque não entra em contato físico com a empresa, mas por 
meio de telefone, fax ou correio eletrônico”. (KLEIN, 2004, pp. 9). 
 
Ainda, segundo MITNICK (2006), “É um termo diferente para definir o uso de 
persuasão para influenciar as pessoas a concordar com um pedido”. 
 
O comportamento social propicia vulnerabilidades que são exploradas pelo 
engenheiro social. 
 
Segundo CIALDINI (2012), o comportamento do ser humano ao tomar uma 
decisão é governado por seis princípios psicológicos. São eles: 
1. Reciprocidade; 
2. Compromisso e coerência; 
3. Aprovação social; 
4. Afeição; 
5. Autoridade; 
6. Escassez. 
 
Para YAMAGISHI (1998), “a confiança generalizada é a expectativa básica de um 
comportamento não-explorador da contraparte, até prova em contrário”. 
 
 
 ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 14 
2.4.1 Perfil do Engenheiro Social 
 
O engenheiro social se apresenta de forma a não levantar suspeitas (da intenção 
real escondida) de seus propósitos. Pode este ser, portanto: 
- um tipo de pessoa agradável, procurando ser educado, simpático, carismático, 
entre outros; 
- criativo, flexível e dinâmico, com uma conversa bastante envolvente. 
 
Unidade 3: Engenharia social, tipos, ferramentas e artimanhas 
 
3.1 Objetivo 
Nesta aula objetivamos compreender o que significa "Engenharia social" e como 
este termo está ligado à Segurança da Informação; conhecer os tipos de 
Engenharia Social; e reconhecer determinadas artimanhas próprias e ferramentas 
do engenheiro social. 
 
3.2. Por que falar em Segurança da Informação? 
A Engenharia social é comumente praticada em ambientes corporativos para 
obtenção de informações sigilosas. A prevenção pode ser realizada para proteção 
deste importante ativo organizacional que é a informação estratégica. 
 
O conhecimento de alguns tipos de abordagem e ferramentas pode auxiliar no 
processo de identificação de um possível ataque de um engenheiro social. 
 
Devemos cuidar para que não haja entrega de informação indevida, por 
desconhecimento do assunto ou mesmo pela não análise de cada caso real, em 
específico. 
 
A Segurança da Informação (SI) atua sobre Pilares Básicos e conjuga Estratégias 
e Ferramentas específicas para atender a uma determinada vulnerabilidade ou 
 
 
 ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 15 
ameaça, se ocupando com a preservação da informação (ativo de grande valor) 
durante todo o seu ciclo de vida. 
 
3.2.1 Pilares básicos da Segurança da Informação (SI) 
 
Os Processos, a Tecnologia e as Pessoas são os três pilares básicos da segurança 
da informação, que visam garantir a integridade, a confidencialidade e a 
disponibilidade da informação, conforme pode ser visto na Figura 6. Destes três 
pilares, destacamos o elo mais fraco, que são as pessoas, objeto de estudo da 
Engenharia social. 
 
Para tratar deste conjunto, uma Política de Segurança da Informação (PSI) é 
adotada. PSI é o conjunto de diretrizes, normas e procedimentos que devem ser 
seguidos, visando conscientizar e orientar os funcionários, clientes, parceiros e 
fornecedores para o uso seguro do ambiente informatizado, com informações 
sobre como gerenciar, distribuir e proteger seus principais ativos. 
 
 
Figura 6: Pilares Básicos da SI 
 
Uma PSI tem os seguintes elementos: 
• Diretrizes da Política 
• Declaração de Comprometimento da Alta Direção 
 
 
 ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 16 
• Normas de SI 
• Procedimentos de SI 
• Termos de Sigilo, Confidencialidade e Responsabilidade 
 
3.2.2 Análise de Riscos 
Para construção de um plano de atuação para o combate a ataques de 
Engenharia social, é necessário contemplar eventos deste tipo em uma análise de 
riscos, avaliando, também neste caso, a correlação ameaça-incidente-impacto. 
 
Ameaça-incidente-impacto – De forma geral, na análise de riscos, deve-se 
considerar a relação Custo versus Benefício. Neste caso, deve-se distinguir 
aqueles ativos de maior valor de negócio para a empresa, com o objetivo de 
dirigir as ações de segurança à proteção dos mesmos e assim poder 
priorizar as ações de segurança, ou seja, iniciar o trabalho de 
implementação de segurança nas áreas mais estratégicas que possam 
trazer um impacto maior para a organização quando se pressentir algum 
incidente. 
 
Considerando a ameaça de um fenômeno meteorológico como um 
furacão, por exemplo, o incidente pode ser muito grande, mas se a empresa 
possui a proteção adequada na sua infraestrutura, o impacto pode ser 
pequeno. 
 
3.2.3 Objetivos do engenheiro social 
 
As motivações de um engenheiro social para um ataque variam. Podem ser, por 
exemplo: 
 Fugir de problemas; 
 Ganhar dinheiro roubando ou vendendo dados da vítima; 
 Espionagem industrial; 
 Satisfação pessoal; 
 Pura “diversão”. 
 
 
 ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 17 
 
AS SETE FRAQUEZAS MORTAIS (Cisco Explains the 7 Deadly Weaknesses of 
Social Network Users and More in Security Report. 2010): 
1.Sex Appeal; 
2. Ganância; 
3. Vaidade; 
4. Confiança; 
5. Preguiça; 
6. Compaixão; 
7. Urgência. 
 
3.3 Artimanhas da Engenharia Social 
Algumas ferramentas são comumente utilizadas e casos associados ao uso destes 
recursos serão apresentados, a seguir: 
 
Formas de envolvimento - Premissas básicas: 
 Qualquer pessoa é sujeita a ser manipulada em algum momento, em algum 
lugar, em relação a algum assunto! 
 Um engenheiro social tece situações, prevendo possíveis questionamentos e 
se preparando para responder no ato, com segurança. Não demonstra 
insegurança, não gagueja, não parece estar mentindo, para que a vítima não 
desconfie. 
 
Para isso, o engenheiro social analisa o ambiente, para aprender: 
- Jargões; 
- Observa linguagem própria 
- Estrutura corporativa 
- Funções de cada envolvido 
 
PREPARAR 
RESPOSTAS 
CRIAR 
CONFIANÇA 
 TENTAR AJUDAR 
OU 
 PEDIR INFORMAÇÃO 
OU 
 PEDIR AJUDA 
 
 
 ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 18 
 
 
Figura 7: Esquema básico de um ataque de Engenharia social 
 
O engenheiro social, comumente, segue alguns passos básicos, conforme 
ilustrado na Figura 7. São eles: 
 
- 1º passo: Criar confiança 
Quanto mais ingênuos e/ou despreparados formos, maior a probabilidade de 
ocorrência deste risco. 
 
Para crianças, orienta-se não confiar em estranhos (interagir fortemente, dar 
informações de qualquer tipo, aceitar nada, entre outros). Isso também pode ser 
útil na vida adulta, especialmente quando manipulamos informações de terceiros 
(o que ocorre, por exemplo, no ambiente de trabalho). 
 
Simples assim: Um engenheiro social adquire confiança primeiro para, depois, 
aproveitar esse falso vínculo de “amizade” criado para atacar e conseguir asinformações que deseja da vítima. 
 
- Segredo: Confiança não é transferível. 
 
* A grande responsabilidade pelo vazamento de informações é do primeiro que 
contou o que não deveria. Ter em mente que só o custodiante da informação 
pode autorizar o acesso e utilização da mesma. 
 
Caso: Melhor amigo: Todo mundo tem um melhor amigo. Quem é o melhor 
amigo do seu melhor amigo? 
 
DISPOSIÇÃO DE 
AJUDAR 
Coletar informações Finalizar ataque 
 
 
 ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 19 
2º Passo: Agir, de uma das formas abaixo: 
 
- Simulando tentar ajudar 
O engenheiro social se aproxima, colocando-se como parte da solução de um 
problema que, eventualmente, ele mesmo ajudou a criar. Com isso, a gratidão 
imposta pelo favor não requisitado facilita a extração de informação. 
 
- Pedindo a informação, tão somente. 
Pede diretamente, sem rodeios. Acredite que funciona! Pessoas disponibilizam 
informações por diferentes motivos. Segundo Kevin Mitnick, em entrevista para 
revista Information Week Brasil (MITNICK, 2003), existem seis características do 
comportamento humano que podem ser exploradas pelo 
engenheiro social, das quais a autoridade e o medo são destaque nesta técnica, 
e podem induzir a vítima a responder, precocemente, sem fazer uma análise 
mais aprofundada. 
 
- Pedindo ajuda 
Assim como a anterior, o engenheiro social também pede ajuda, mas, desta vez, 
a partir de um drama bem construído. “Humilde”, ele finge estar precisando 
muito de ajuda. 
 
*** IMPORTANTE: “Um engenheiro social pode utilizar artimanhas já conhecidas 
ou buscar um caminho inovador, para atingir os objetivos a que se propôs. Neste 
sentido, há necessidade de tentarmos imaginar que artifícios diferentes do 
tradicional podem estar sendo aplicados, para que não sejamos alvos fáceis de 
armadilhas” (MITNICK, 2003). 
 
3.4 Ferramentas da Engenharia Social 
O engenheiro social utiliza diversas ferramentas e artimanhas para aproximação 
e ataque, de acordo com o que parece mais efetivo, em cada situação. 
 É importante observar que nem todas são ferramentas tecnológicas; 
 E também que pode haver uso de mais de um recurso para uma invasão. 
 
 
 ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 20 
Principais ferramentas (Em ordem alfabética, como segue): Cartas, Chats, e-
mail, FAX, Internet, Intranet, Pessoalmente, Spyware, Telefone ou VoIP, 
Mergulho no lixo, “Surfar” sobre os ombros e P2P. 
 
– Cartas/correspondência: Recurso poderoso, que alcança fortemente 
pessoas com pouco conhecimento ou com aversão a tecnologia ou com 
mais idade; 
– Chats (bate-papo): Recurso tecnológico de mais fácil utilização. Canais de 
bate-papo por exemplo, Messenger, ICQ, IRC, entre outros, favorecem a 
implantação de mensagens e imagens falsas; 
– e-mail: Uso de fakemail, e-mails falsos, os famosos phishing scam; 
– FAX: Cada vez menos utilizado; 
– Internet: Utilizada para coleta de informações, por exemplo, em sites que 
fornecem id e passwords default, sites clonados ou via FTP, google, orkut, 
registro.br, entre outros; 
– Intranet: Acesso remoto a informações reservadas; 
– Pessoalmente (In Person Social Engineering): Aplica poder de persuasão, 
a partir da habilidade em saber conversar. É o tipo de ataque mais raro. O 
engenheiro social faz-se passar por alguém que na verdade ele não é. 
Premedita uma atuação e faz uma encenação para manipular a vítima de 
forma convincente e costuma utilizar informações restritas ou 
confidenciais obtidas previamente, para envolver o alvo; 
– Spyware: Software “espião” usado para monitorar de modo invasivo e 
oculto as atividades executadas no computador de destino (alvo); 
– Telefone ou VoIP (voz sobre IP): Passar-se por outra pessoa é um dos 
ataques comuns em Engenharia social; 
– Mergulho no lixo (“Dumpster diving”): Muitas vezes há descarte 
inadequado de informações essenciais, o que pode ser objeto de 
investigação de um suposto engenheiro social; 
– Surfar sobre os ombros: É o ato de observar “displicentemente” a 
interação de um terceiro com o computador, celular ou outro recurso 
tecnológico para obter senha ou outras informações de usuário; 
 
 
 ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 21 
** Fique atento ao movimento de pessoas no seu entorno, quando estiver 
digitando senhas ou escrevendo ou falando informações confidenciais; 
– P2P (Peer-to-Peer): Tecnologia empregada para estabelecer comunicação 
em uma rede, com inúmeros computadores, onde cada estação possui 
capacidades e responsabilidades equivalentes. Aplicações conhecidas, 
como, por exemplo, E-Mule e KaZaa, disponibilizam informações na rede, 
como envio de mensagens, informações de IPs ou DSNs (data source 
name’s). 
O estabelecimento deste tipo de comunicação é considerado um fator 
favorável ao engenheiro social. 
 
Os discursos apresentados nos exemplos ilustram bem como são os ataques 
típicos de Engenharia social. Observe que em cada caso a seguir, o engenheiro 
social procura induzir o usuário a realizar alguma tarefa e o sucesso do ataque 
depende única e exclusivamente da decisão do usuário em fornecer informações 
sensíveis ou executar programas. 
 
Exemplo 1: e-mail (fakemail, e-mails falsos, os famosos phishing scam): 
 
Você recebe uma mensagem de e-mail, informando que seu computador 
está infectado por um vírus, sugerindo a instalação de uma determinada 
ferramenta disponível na internet para eliminá-lo, disponível em uma URL 
indicada no corpo do e-mail. Na verdade, a real função desta ferramenta 
não é eliminar um vírus citado, mas permitir que o atacante tenha acesso 
ao computador em uso e a todos os dados nele armazenados. 
 
Exemplo 2: e-mail (fakemail, e-mails falsos, os famosos phishing scam): 
 
Você recebe uma mensagem de e-mail, na qual o remetente se identifica 
como sendo o gerente ou responsável do departamento de suporte do 
banco em que você é correntista. Na mensagem, ele diz que o serviço de 
Internet Banking está apresentando um determinado problema e que tal 
 
 
 ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 22 
problema pode ser corrigido se você executar o aplicativo que já está 
estrategicamente anexado à mensagem. É fato que a execução deste 
aplicativo apresenta uma tela análoga àquela que você utiliza para ter 
acesso à conta bancária, onde, usualmente, você digita sua senha. 
Entretanto, este aplicativo aponta uma outra URL que não é do banco e 
está preparado para furtar a senha de acesso da sua conta bancária e 
enviá-la para o atacante. 
 
Exemplo 3: Telefone ou VoIP (voz sobre IP): 
Um desconhecido telefona para você e diz ser do suporte técnico do seu 
provedor de internet. Nesta ligação, ele diz que a conexão com a internet 
que você utiliza está apresentando um problema e, então, pede sua senha 
de acesso para corrigi-lo. Caso você entregue a senha, este suposto técnico 
poderá realizar inúmeras atividades que não são do seu interesse e até 
maliciosas, utilizando a sua conta de acesso a internet e, portanto, 
relacionando tais atividades a você. 
Unidade 4: A informação e sua importância estratégica 
 
4.1 Objetivo 
Apresentar premissas fundamentais e conceitos de hacker e cracker, comentar o 
papel do usuário no escritório e na internet, definir contramedidas que possam 
ser utilizadas no caso de detecção de um ataque baseado em Engenharia social 
para atenuar ou eliminar a ameaça à organização. 
 
4.2 O que é segurança da informação? 
O entendimento da importânciae dinâmica da informação para a organização 
pode facilitar a identificação de formas de atuação segura. Desta forma, é 
imprescindível que o custodiante de qualquer informação entenda o porquê da 
necessidade de segurança nas organizações, a importância de cada informação, 
compreenda o conceito do que é segurança da informação e saiba aplicar as 
melhores práticas do mercado. 
 
 
 ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 23 
Conforme afirmado anteriormente, a preservação da informação durante todo o 
seu ciclo de vida potencializa o sucesso da empresa, pela preservação do 
conhecimento estratégico. Devemos cuidar para que não haja entrega indevida 
de informação, por desconhecimento do assunto ou mesmo por falta de análise 
adequada pelo empregado, tanto relacionada ao solicitante quanto à real 
necessidade em cada caso. 
Segurança da informação é a proteção: 
 De dados e informações contra ações não autorizadas: 
o divulgação, transferência, modificação ou destruição; 
o ações intencionais ou acidentais. 
 De pessoas, instalações, equipamentos, sistemas básicos e 
aplicativos, dados, informações e outros recursos significativos. 
 
Segurança de Informações está relacionada à proteção dos ativos. Todas as 
informações processadas por uma organização, bem como os equipamentos e 
sistemas utilizados, representam ativos valiosos, no sentido de que a 
continuidade do funcionamento da organização pode depender da preservação 
destes ativos. 
 
 Um projeto de segurança da informação deve garantir aos clientes, 
fornecedores e colaboradores: 
 A exatidão, a integridade e a disponibilidade; 
 A confidencialidade e a privacidade; 
 A identificação de ameaças e vulnerabilidades existentes. 
 
4.2.1 Fatores que impactam na Segurança 
Os fatores de maior impacto na segurança da informação são: 
 Valor: Importância do ativo para a organização; 
 Impacto: Tamanho do prejuízo, medido através de propriedades 
mensuráveis ou abstratas, que a concretização de uma determinada 
ameaça causará; 
 
 
 
 ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 24 
Devemos levar em consideração que diferentes ameaças possuem impactos 
diferentes e que, dependendo do ativo afetado, podemos ter também impactos 
diferentes para uma mesma ameaça. 
 
4.3 Classificação da Proteção 
Conforme ilustrado na Figura 9, a proteção da informação pode ser classificada 
em: 
• Prevenção: Evita que acidentes ocorram; 
• Desencorajamento: Desencoraja a prática de ações; 
• Monitoramento: Monitora o estado e o funcionamento dos ativos; 
• Detecção: Detecta a ocorrência de incidentes; 
• Limitação: Diminui danos causados; 
• Reação: Reage a determinados incidentes; 
• Correção: Repara falhas existentes; 
• Recuperação: Repara danos causados por incidentes. 
 
Figura 9: Classificação das medidas de SI 
 
4.4 Premissa Fundamental 
 
 Não existe segurança absoluta! 
 
 
 ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 25 
 Análise continuada - Por mais que nos esforcemos, sempre haverá 
uma abertura de segurança que as medidas tomadas até então não 
contemplarão; 
 Isso significa dizer que o máximo que se pode fazer é minimizar a 
falta de segurança para patamares aceitáveis. 
 
 Dado que a Engenharia social é: 
 Um Método usado para obtenção de informações, por meio da 
persuasão ou exploração da confiança; 
 Características básicas: Utiliza a confiança, a ingenuidade, a 
surpresa e o respeito à autoridade, fazendo-se passar por outra 
pessoa; 
 Não é necessário o conhecimento de vulnerabilidades tecnológicas 
e pode ser aplicada, de forma simples, para se obter informações 
de grande valor. 
 
 Com artifícios comuns como: 
 Apresentação de um problema e depois da solução; 
 Bajulação; 
 Compaixão; 
 Declaração de urgência ou importância; 
 Intimidação; 
 Oferta de lucro ou benefício com pouco esforço; 
 Se aproveitar de quem tem acesso a informações privilegiadas para 
repassar a quem não tem; 
 Troca de favores. 
 
Comportamentos seguros devem ser adotados por todos para preservação do 
patrimônio da empresa. 
 
 
 
 
 
 ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 26 
4.7 O papel do profissional 
Para se proteger de ataques de Engenharia social, o profissional deve adotar 
procedimentos no trato direto com pessoas e também na utilização de recursos 
de tecnologia. 
 
Para se proteger de ataques (no escritório): 
 Desconfie de: 
 Ofertas e benefícios fáceis demais; 
 E-mails supostamente enviados por instituições governamentais ou 
bancárias, informando problemas em seu cadastro. Este tipo de 
comunicação não é feito por e-mail e não há como garantir a 
autenticidade de um correio proveniente da internet. 
 
 Verifique previamente: 
 a autenticidade da solicitação, como, por exemplo, nome e telefone de 
contato do solicitante, antes de prestar informações pessoais; 
 a identidade e registre os dados de terceiros, antes de entregar 
qualquer material a um portador; 
 a necessidade e o endereço do site antes de clicar em links de internet 
com extensões .exe, .mp3, .rar, .scr, .wmv e .zip. 
 
 Não forneça: 
 endereços no campo ‘Para’ ao enviar e-mails; 
 senhas de acesso a sistemas, contas bancárias e cartão de crédito, 
nem mesmo para os provedores destes serviços. 
 
 Tenha: 
 o antivírus sempre atualizado; 
 Firewall, no caso de redes compartilhadas; 
 Cuidado com uso de telefones celulares, iPods, tokens, entre 
outros; 
 
 
 ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 27 
 Cuidado também com o preenchimento de dados pessoais em 
inscrições de sites. 
 
 Cuidado: 
 No acesso e disponibilização de dados na WEB (orkut, msn, entre 
outros). 
 Limite o número de pessoas que possam ter contato com as suas 
informações! 
• Dados armazenados no disco rígido são recuperáveis, mesmo 
depois de apagados! 
• Não clique em links! Digite o endereço que deseja acessar e 
procure sempre observar o domínio. 
• Não use redes wireless abertas! 
 
Para se proteger de ataques: no escritório (Alertas com relação ao uso da 
Internet): 
 
 Evite baixar aplicativos desconhecidos. Estes podem trazer vírus para o 
computador! 
 Não abra arquivos que você desconfie que possam conter vírus; 
 Cuidado ao repassar “correntes” por e-mail para seus amigos ou colegas 
de trabalho. Ele pode conter vírus e “infectar” o computador de muitas 
outras pessoas; 
 Sempre que necessário, passe o antivírus no computador e também em 
mídias móveis (por exemplo, pen drive, disquete); 
 Cuidado com e-mails falsos; 
 Tenha cuidado ao adicionar estranhos em redes sociais; 
 Tenha cautela ao divulgar informações pessoais e fotos na Internet; 
 Evite a pirataria; 
 Fraudes eletrônicas existem, não caia nesta! 
 
Lembre-se: é melhor prevenir do que remediar! 
 
 
 ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 28 
Nem todo site é confiável! 
Nem todo site de venda de produtos é seguro e confiável! 
Nem tudo que se baixa da Internet é bom! 
Você sabe com quem está falando? 
Unidade 5: Casos reais clássicos 
 
5.1 Objetivo 
1. Apresentar casos reais clássicos e recentes de falhas na segurança de 
informação para melhor percepção da importância do comportamento 
adequado. 
2. Reforçar o aspecto da importância e da falha de funcionários nestes 
eventos. 
3. Reconhecer comportamento de funcionários como ameaçaà Segurança da 
Informação. 
 
5.2 Casos reais 
A seguir serão apresentados alguns casos reais clássicos de uso de Engenharia 
social em diferentes situações. 
 
Caso 01 – A história de Kevin Mitnick 
... “habilidoso hacker consegue acesso aos arquivos do FBI. Para capturá-lo, o 
agente McCoy Rollins conta com a ajuda de Tsutomo Shimomura, gênio da 
informática responsável por traçar as pistas deixadas por Kevin no ciberespaço”. 
 
Utilizava técnicas de Engenharia social. Tornou-se um dos piratas de informática 
mais procurados dos EUA. Posteriormente, tornou-se profissional e consultor de 
segurança de informação. 
 
Sua história foi inspiração para o filme Hackers 2: Operation Takedown ("Hackers 
2 – Caçada Virtual"). 
 
 
 
 ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 29 
Caso 02 – A história de Frank Abagnale W. Jr. 
... (Condado de Westchester, 27/04/48) Westchester, 1948. Foi um falsificador 
de cheques e impostor norte-americano por cinco anos na década de 1960. 
Atualmente preside a Abagnale and Associates, uma empresa de consultoria 
contra fraudes financeiras. 
 
Sua história foi inspiração para o filme Catch Me If You Can ("Prenda-me se for 
capaz"), baseado em sua biografia não oficial de mesmo nome. 
 
Caso 03 – Adriano Lamo 
Fez hacking como entretenimento. Sem esconder a identidade, quando encontra 
uma falha na segurança, avisa a organização sobre isso. “Robin Hood” do 
hacking. Invadiu a Microsoft, a Yahoo, a MCI WorldCom, a Excite@Home e as 
empresas de telefonia SBC, Ameritech e Cingular, além do New York Times. 
 
Figura 10: Casos recentes e gafes 
piadasnerds.etc.br 
 
Outros casos mais recentes de Engenharia social (e gafes em Mídias 
Sociais). 
 
Caso 04 - Morgan Stanley 
Morgan Stanley é uma empresa de serviços financeiros. Nela, um funcionário foi 
demitido em 05/01/2015 acusado de roubo de informações de nomes e números 
 
 
 ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 30 
de contas de aproximadamente 350 mil clientes da área de gestão de fortunas, 
dos quais informações de 900 foram postadas na internet. (VALOR, 2015). 
 
Caso 05 – Tacos lambidos no Taco Bell 
“... A Taco Bell também precisou demitir outro funcionário que divulgou uma foto 
em que lambia tacos em um restaurante de rede, nos Estados Unidos. A imagem 
viralizou a WEB e causou uma crise de imagem na companhia. Em comunicado, a 
Taco Bell disse que os tacos tinham sido usados pra um treinamento de um novo 
prato e descartados. 
 
A foto teria sido feita para um concurso interno em que os funcionários deveriam 
mostrar qual seria a reação dos clientes ao experimentar o prato pela primeira 
vez. Lamber comida, porém, extrapolou as regras.” (UOL, 2013). 
 
Você sabia? 
A instrução da CVM Nº 358, Art. 8º estabelece, dentre outros, que é dever de 
todo profissional manter sigilo sobre informações empresariais relativas a ato ou 
fato relevante. 
 
PORTANTO: 
Um dos objetivos da Comissão de Valores Mobiliários (CVM) é garantir o correto 
manuseio e divulgação de informações empresariais para público. 
 
DAÍ: 
Empresas de capital aberto têm ações da bolsa de valores e devem responder 
aos acionistas. 
Unidade 6: Dados motivacionais 
 
6.1 Objetivo 
1. Apresentar a metáfora que correlaciona a visão do Iceberg com o cenário 
da Segurança da Informação, detalhar a tríade: Pessoas, Processos e 
 
 
 ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 31 
Tecnologia e apresentar Pesquisas externas, relatórios, sites oficiais e links 
de interesse sobre o tema Engenharia Social. 
 
6.2 Introdução 
Para o sucesso das empresas, é primordial que haja um programa continuado de 
segurança da informação. Existem vários aspectos relevantes a serem 
considerados para proteção efetiva deste ativo e, consequente, diminuição de 
incidentes de segurança. Na Figura 11, temos a metáfora do Iceberg, que ilustra 
bem o que ocorre em um cenário de Segurança da Informação. Na visão do 
Iceberg somente a menor parcela é visível, de imediato. Em Segurança da 
Informação, este aspecto que é visível, comumente, é relacionado ao uso da 
tecnologia, porém esta é uma pequena parte do levantamento e do investimento 
a ser feito. 
 
 
Figura 11: A miopia do iceberg 
 
6.3 A Tríade: Pessoas, Processos e Tecnologia 
A segurança da informação só será alcançada se a tríade Pessoas, Processos e 
Tecnologia for seguida. 
 
 
 ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 32 
Para que a estratégia de segurança seja efetiva, ela precisa considerar estas três 
perspectivas básicas. 
 
Um sistema de informação deve observar, de forma equilibrada, a tríade 
pessoas, processos e tecnologia, conforme ilustrado na Figura 12. Desta forma, 
estas três visões do sistema de informação devem cooperar, ajustar-se e 
modificar-se ao longo do tempo para gerar um desempenho otimizado. 
 
Figura 12: Equilíbrio nos fatores influenciadores 
 
1) Pessoas: É nas pessoas que começa e termina a segurança; basta 
que uma, na cadeia de processos, não esteja preparada, para que o risco 
de incidente aumente consideravelmente. Um jargão conhecido no ramo 
da segurança de informação diz que: o elo mais fraco da corrente da 
segurança são as pessoas. Lembrar que: “Uma corrente é tão forte quanto 
o seu elo mais fraco.” 
 
 O que fazer, então? Educação. 
 Como fazer? Treinamento. 
 Por que fazer? Conscientização. 
 
 
 
 ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 33 
2) Processos: devem ser flexíveis até o ponto que não afete a segurança 
das informações; a partir daí devem ser tratados de forma rígida e 
metódica. 
 
3) Tecnologia: A definição e utilização adequada dos recursos tecnológicos 
também é um dos aspectos básicos de segurança. Por ser mais visível, 
costuma ter um tratamento mais imediato. 
 
Lembre-se que: 
As informações da empresa são ativos do negócio corporativo. Devem ser 
utilizadas de modo ético e seguro em benefício exclusivo da empresa! 
 
6.4 Apresentação de Pesquisas externas, relatórios, sites oficiais e 
links 
A seguir, apresentamos alguns dados motivacionais relacionados a pesquisas 
externas em segurança de informação (SI), relatórios relevantes e sites oficiais, 
além de links de interesse sobre o tema. 
 
6.4.1 Pesquisas Externas 
No Brasil, existe uma pesquisa nacional que aponta resultados e desafios que 
procuram responder o quanto estamos preparados para lidar com o 
amadurecimento constante das ameaças à Segurança da Informação em 
empresas brasileiras. Observar que: os resultados, em alguns casos, apontam 
níveis de maturidade abaixo do esperado. 
 
“Pesquisa Nacional de Segurança da Informação 2014: Resultados e Desafios!” 
URL https://www.youtube.com/watch?v=yvFkrWPc1yI. Publicação: 12-12- 2014. 
 
6.4.2 Relatórios 
Um estudo publicado pelo Centro de Estudos Estratégicos e Internacionais dos 
E.U.A. em conjunto com a empresa de segurança digital McAfee revela que 
 
 
 ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 34 
falhas em segurança digital geram, em todo o mundo, um prejuízo anual que 
atinge a marca de aproximadamente US$ 500 bilhões. 
McAfee, 2013. The economic impact of cybercrime and cyber espionage. 2013. 
URL: http://www.mcafee.com/mx/resources/reports/rp-economic-impact-
cybercrime.pdf. Jul, 2013. McAfee. An Intel Company. 
 
6.4.3 Sites Oficiais e Links 
 
A seguir, são listados algunssites oficiais e links com entrevistas, artigos e 
eventos recentes, para consulta. 
 
Social Engineering Framework: 
http://www.social-engineer.org/framework/general-discussion/ 
Entrevistas e eventos recentes: 
http://itforum365.com.br/buscar/?q=kevin mitnick 
Artigos sobre segurança: 
http://www.symantec.com/connect/security/articles/ 
Cartilha de segurança para internet: 
http://cartilha.cert.br/ 
 
De acordo com a cartilha de segurança do CERT/BR (Centro de Estudos, 
Resposta e Tratamento de Incidentes de Segurança no Brasil), a Engenharia 
social é “um método de ataque onde alguém faz uso da persuasão”. 
Unidade 7: Campanhas de conscientização sobre Segurança da 
Informação 
 
7.1 Objetivo 
Elaboração de campanhas de conscientização sobre Segurança da Informação 
para colaboradores; estudo de um programa prático de treinamento e 
conscientização, que aborde aspectos do comportamento humano e da 
 
 
 ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 35 
Engenharia social; e também sugestões para um programa constante, segundo 
MITNICK. 
 
7.2 Introdução 
Nesta aula, apresentaremos diferentes formas utilizadas pelas empresas para 
elaborar e obter adesão da força de trabalho aos programas de conscientização 
em Segurança da Informação, através de campanhas de conscientização. 
 
7.3 Conscientização e Treinamento 
A Conscientização em Segurança da Informação dos colaboradores da força de 
trabalho é altamente relevante para a efetiva Segurança da Informação (SI) e 
consiste em uma tarefa que demanda esforços periódicos em diferentes frentes 
de atuação. Adicionalmente, esforços direcionados em treinamentos com foco e 
grupo específico reforçam os conceitos elaborados durante as diferentes 
atividades da campanha. 
 
Uma Iniciativa de Segurança da Informação deve ter metas integradas 
determinadas previamente para que os resultados alcançados sejam 
mensuráveis. 
 
7.3.1 Elaborar Campanhas de Conscientização de SI 
A conscientização em SI do trabalhador é uma atividade razoavelmente 
complexa, pois requer entendimento da importância dos ativos empresariais, 
adequação de normas e de procedimentos e, também, mudança de hábitos. 
Além disso, deve levar em conta o porte da empresa, requer avaliação de cada 
situação-problema e medidas de continuidade. 
 
Uma Iniciativa Integrada de Segurança da Informação pode compreender, entre 
outros, os passos básicos relacionados a seguir: 
 
Verificar Público-Alvo; Determinar METAS para cada grupo; Verificar resultados 
alcançados. 
 
 
 ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 36 
A seguir, temos alguns exemplos de METAS para uma hipotética Campanha de 
Segurança de Informação. São elas: 
Ex. 1: Participação de determinado percentual da força de trabalho em uma 
campanha específica. 
Ex. 2: Atingir a participação de determinado percentual da força de trabalho 
que não participou das atividades do Projeto de Conscientização em 
Segurança da Informação no ano anterior, em uma campanha específica. 
 
Verificar resultados alcançados, por exemplo, ao: 
1. Informar aos gerentes quais profissionais da força de trabalho foram 
indicados e quantos cumpriram metas de participação em eventos. 
2. Contabilizar o número de ações preventivas realizadas, por ocasião de 
identificação de riscos, durante a campanha. 
 
Para compor a campanha, várias outras atividades podem ser consideradas 
relevantes para o momento e público-alvo selecionado e incluídas em METAS, 
como, por exemplo: 
 
1. Reuniões periódicas para repasse de informações de segurança de 
informação; 
2. Jogos de Perguntas e Respostas objetivas sobre o tema (que podem 
ser online); 
3. Jogos empresariais; 
4. Videos com situações mais frequentes; 
5. Filmes relacionados a Segurança de Informação; 
Entre outros. 
 
CONSIDERAR QUE: 
Um programa prático de treinamento e conscientização em segurança das 
informações aborda os aspectos do comportamento humano e da Engenharia 
social e deve incluir (MITNICK, 2003, pp. 202-203): 
 
 
 ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 37 
1. Uma descrição do modo como os atacantes usam as habilidades da 
Engenharia social para enganar as pessoas; 
2. Os métodos usados pelos engenheiros sociais para atingir seus 
objetivos; 
3. Como reconhecer um provável ataque de Engenharia social; 
4. O procedimento para o tratamento de uma solicitação suspeita; 
5. A quem relatar as tentativas da Engenharia social ou os ataques 
bem-sucedidos; 
6. A importância de questionar todos que fazem uma solicitação 
suspeita, independentemente da posição ou importância que a 
pessoa alega ter. 
7. O fato de que os funcionários não devem confiar implicitamente nas 
outras pessoas sem uma verificação adequada, embora o seu 
impulso seja dar aos outros o benefício da dúvida; 
8. A importância de verificar a identidade e a autoridade de qualquer 
pessoa que faça uma solicitação de informações ou ação; 
9. Procedimentos para proteger as informações confidenciais, entre eles 
a familiaridade com todo o sistema de classificação de dados; 
10. A localização das políticas e dos procedimentos de segurança da 
empresa e a sua importância para a proteção das informações e dos 
sistemas de informações corporativas; 
11. Um resumo das principais políticas de segurança e uma explicação 
do seu significado. Por exemplo, cada empregado deve ser instruído 
sobre como criar uma senha difícil de adivinhar; 
12. A obrigação de cada empregado de atender às políticas e as 
consequências do não atendimento. 
 
Ainda segundo MITNICK (2003), a lista de possibilidades de um programa 
constante de conscientização poderia incluir: 
1. Fornecimento de exemplares do livro “A arte de enganar” (MITNICK, 
2003) para todos os empregados; 
 
 
 ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 38 
2. Inclusão de itens informativos nas circulares da empresa, por 
exemplo, artigos, lembretes (de preferência itens curtos que chamem 
a atenção) ou quadrinhos; 
3. Colocação de uma foto do Empregado da Segurança do Mês; 
4. Pôsteres afixados nas áreas dos empregados; 
5. Notas publicadas no quadro de avisos; 
6. Lembretes impressos nos envelopes de pagamento; 
7. Envio de lembretes por correio eletrônico; 
8. Uso de proteções de tela relacionadas com segurança; 
9. Transmissão de anúncios sobre a segurança por meio do sistema de 
voice mail; 
10. Impressão de etiquetas para o telefone com mensagens tais como 
"A pessoa que está ligando é quem ela diz ser?"; 
11. Configuração de mensagens de lembrete que aparecem quando o 
computador é ligado, tais como "Criptografe as informações 
confidenciais antes de enviá-las"; 
12. Inclusão da conscientização para a segurança como um item-padrão 
nos relatórios de desempenho dos empregados e nas análises 
anuais; 
13. Publicação na intranet de lembretes de conscientização para a 
segurança, talvez usando quadrinhos ou humor, ou alguma outra 
maneira que incentive as pessoas a lerem; 
14. Uso de um quadro eletrônico de mensagens na lanchonete, com um 
lembrete de segurança que seja trocado frequentemente; 
15. Distribuição de folhetos ou brochuras; 
16. E pense naqueles biscoitos da fortuna que são distribuídos de graça 
na lanchonete, contendo cada um deles um lembrete sobre a 
segurança em vez de uma previsão. A ameaça é constante; os 
lembretes também devem ser constantes. 
 
 
 
 ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 39 
Com isso,o profissional de SI começa a expandir o conhecimento necessário 
para atuação no processo de planejamento, execução e avaliação dos resultados 
alcançados em SI para patamares desejáveis. 
Unidade 8: Comportamento seguro 
 
8.1 Objetivo 
Nesta aula, apresentaremos diferentes opções em que os colaboradores se 
apoiem para atender à Segurança da Informação, através de dicas, atitudes, 
técnicas e procedimentos. Além de discorrer, resumidamente (breve revisão), 
sobre os temas ligados a Engenharia social, interligando os assuntos para 
melhor entendimento da proposta da disciplina, da teoria apresentada e maior 
adequação na atuação profissional. 
 
Pontuar a importância da segurança da informação e do envolvimento do 
gerente. 
 
Reforçar a necessidade de comprometimento com a mudança comportamental. 
 
8.2 Aspectos comportamentais, físicos ou psicológicos para 
vulnerabilidade 
Observar os diversos aspectos comportamentais, físicos ou psicológicos que 
possam constituir vulnerabilidades no controle de acesso às informações e que 
são utilizados por potenciais invasores com o intuito de obter informações a que, 
normalmente, os acessos não lhes seriam concedidos. A “Ilusão de Segurança” 
como fator determinante para questões de Segurança da Informação. 
 
8.3 Importância da segurança da informação e a importância do 
gerente 
No mundo globalizado a informação constitui um dos maiores ativos de uma 
empresa. O conhecimento que a empresa detém (produzido ou adquirido por ela) 
deve ser preservado, por ser um de seus maiores patrimônios. 
 
 
 ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 40 
O gerente deve: 
- prover as condições necessárias para o cumprimento dos padrões de 
Segurança da Informação em sua área de atuação; e 
- fazer a gestão da informação. 
 
A mudança comportamental precisa do comprometimento de todos. 
Para isso se concretizar, o gerente deve liderar pelo exemplo. 
 
8.4 Comprometimento com a mudança comportamental 
“A Ilusão de Segurança” 
- Produtos de segurança sozinhos oferecem a verdadeira segurança? 
- Em relação às informações empresariais, pode-se confiar em terceiros 
até que se prove o contrário? 
 
8.4.1 Informação X Segurança 
Uma análise básica de segurança deve conter as perguntas a seguir: 
 
 O que? 
(Quais informações precisam de um determinado nível de segurança?) 
 Por que? 
(Por que estas informações devem ser protegidas?) 
 Quando? 
(Quando proteger estas informações? Determinar o processo do ciclo de 
vida da informação) 
 Onde? 
(Onde estas informações vão circular? Considerar os fatores físicos, 
tecnológicos e humanos.) 
 
RISCO = (Ameaça) * (Vulnerabilidade) * (Valor do Ativo ou Custo do Evento) 
 
 Sem os cuidados necessários, o que pode acontecer? 
A Companhia perde lucratividade por vazamento de informação. 
 
 
 ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 41 
Lembre-se que: 
Para que a empresa seja capaz de compartilhar informações de forma segura, 
garantindo o sucesso dela no mundo competitivo, é imprescindível adotar 
comportamentos e práticas seguras no dia a dia.