Baixe o app para aproveitar ainda mais
Prévia do material em texto
UNIVERSIDADE FEDERAL DE GOIÁS INSTITUTO DE INFORMÁTICA SEGURANÇA DA INFORMAÇÃO ENGENHARIA SOCIAL PROFESSOR: HAILTON DAVID LEMOS ALUNOS: DÉBORA SILVA DANIEL ALMEIDA GERSON CORREIA RAUL KAIO FIDELIS VINÍCIUS BARCELOS SILVA Resumo A engenharia social é uma ferramenta com um poder de fogo muito grande e quando bem aplicada ela se torna extremamente eficiente para o sucesso de qualquer operação. Ela pode ser considerada uma arte, quem aplica tal artificio faz uso das maneiras mais adversas em algumas situações para obter alguma informação. A engenharia social torna possível burlar as politicas de seguranças mais bem elaboradas e obter informações que são acessíveis ah um grupo restrito de pessoas. A aplicação da engenharia social não é algo apenas utilizado para o crime, pessoas no dia a dia fazem uso da mesma para se informarem a cerca de algo que lhes interessa. Sumário Resumo 03 1. Introdução 05 1.1 O que é? 05 1.2 Como surgiu? Quando surgiu? Onde surgiu? 05 2. Engenharia Social 05 2.1 Quais os métodos mais utilizados 05 2.2 Casos 06 2.2.1 Casos famosos 06 2.2.1.1 O caso do falsificador Frank W. Abagnale Jr 06 2.2.1.2 Kevin Mitnick 07 2.2.2 Caso recente 07 2.2.2.1 Falso ganhador da mega sena 07 2.3 Quem está mais vulnerável? 07 2.4 Como se proteger como usuário? 07 2.5 Como proteger os usuários sob sua responsabilidade? 08 3. Conclusão 09 4. Referencias Bibliográficas 10 1. Introdução 1.1 O que é? É uma técnica focada em explorar a confiança das vítimas para fazer um ataque, muitas vezes o alvo é muito bem protegido e seria bem trabalhoso para efetivar o ataque e ter sucesso, mas por meio da engenharia social basta utilizar da inteligência e sagacidade para agir e ter sucesso na obtenção das informações desejadas. 1.2 Como surgiu? Quando surgiu? Onde surgiu? Não se tem exatamente definido tais fatos dado o contexto de que sempre existiu alguma informação ou interesse em jogo a técnica foi utilizada. Mas um dos primeiros casos envolvendo tecnologia da informação ocorreu no começo dos anos 90 envolvendo o hacker Kevin Mitnick, o qual aplicou técnicas de engenharia social afim de obter um sistema de escuta telefônica do FBI. Ele obteve sucesso fazendo uso da técnica e acabou que fizeram um filme contanto sua história. 2. Engenharia Social Por ser uma técnica extremamente forte e sem um padrão definido de ação ela se tornou um dos meios mais utilizados para se obter qualquer tipo de informação, aplicamos ela no nosso dia a dia quando vamos comprar algo e perguntamos para outras pessoas acerca de um produto ou serviço por exemplo. Isso mostra que a aplicação dela é algo corriqueiro, ela pode ser usada em investigações afim de levantar informações que carecem de um nível de analise mais humano e menos automatizado ou utilizada na pratica de crimes, caso no qual ela anda sendo muito aplicada. A engenharia social visa uma das maiores brechas que podem existir em qualquer sistema ou organização do mundo, visa o fator humano, no caso as pessoas que o desenvolveram, que utilizam ou que fazem parte de tais. Varias técnicas podem ser utilizadas, desde coisas mais banais até algumas mais avançadas, mas todas se aproveitam do fator humano. Um exemplo de falha é um empregado que não passou por um treinamento acerca de questões de segurança e até mesmo um processo de seleção fraco no qual permite que funcionários mal intencionados ou que não sejam de confiança sejam contratados. 2.1 Quais os métodos mais utilizados A engenharia social usa dos mais diversos métodos para se atingir seu objetivo maior, explora vulnerabilidades da vida pessoal de seus alvos, realiza estudos acerca da pessoa e faz uso da persuasão para se conseguir mais informações que não estão disponíveis em sistemas ou documentos. Para se obter tais informações geralmente os atacantes fazem uso de algumas das seguintes técnicas: ● Envio de emails contendo algum tipo de vírus e para despertar o interesse da vitima faz o uso de títulos que criem um certo interesse por parte da vitima; ● Envio de spam, técnica que geralmente pega a vitima mais facilmente, pois geralmente para chamar a atenção da mesma geralmente informa a vitima que se trata de um email enviado pelo banco e solicita que a mesma acesse um link e informe seus dados; ● Ligações se passando por outra pessoa tendo como objetivo obter alguma informação mais pessoal da vitima. ● O objetivo de todos os métodos de aplicados na engenharia social geralmente é: ● Conquistar a confiança do alvo; ● Fazer o alvo se sentir seguro. Uma infinidade de técnicas podem ser utilizadas para extrair as informações de interesse, uma conversa na fila do mercado ou da padaria, quando o atacante quer extrair uma informação por meio da engenharia social ele vai fazer de tudo para atingir tal objetivo. São as técnicas mais comuns, mas as elas vão muito alem, depende do nível de criatividade e inteligência do atacante quando realmente se quer obter informação do alvo. 2.2 Casos 2.2.1 Casos famosos Alguns casos tiveram uma notoriedade maior devido a audácia dos atacantes e na maioria dos casos o maior motivador era o desafio em si e não apenas o ganho material. 2.2.1.1 O caso do falsificador Frank W. Abagnale Jr Dentre suas várias investidas de Engenharia Social, conseguiu ser contratado por uma companhia aérea americana como copiloto, sem mesmo nunca ter feito um curso de pilotagem. Da mesma forma, sem ter habilitação, foi médico, professor universitário de sociologia e advogado. Conseguiu, também, descontar milhões de dólares através de cheques falsificados, e isso com a total permissão dos gerentes dos bancos. Quando tinha apenas 21 anos de idade foi considerado o maior vigarista e falsificador da época. Figurava na lista do FBI Federal Bureau of Investigation como o mais jovem dos dez criminosos mais procurados dos Estados Unidos.Utilizou a Engenharia Social para aplicar golpes pela primeira vez, encarnando um professor substituto de francês e teve como fator encorajador dois golpes que o seu pai executou com sua ajuda. Também é conhecido pelo filme “Prendame se for capaz” que foi baseado na sua autobiografia. 2.2.1.2 Kevin Mitnick Um caso bem famoso e que também acabou tendo um filme para contar a história do hacker Mitnick que no início dos anos 90 conseguiu a partir do uso da engenharia social ter acesso ao sistema de escuta telefônica do FBI, chamado SAS. Desafio o qual foi passado por um próprio policial disfarçado em um encontro de hackers. Afim de conseguir o sistema ele chegou até um exfuncionário da fabricante do SAS oferecendo uma proposta de emprego e se aproveitou de um momento difícil do exfuncionário. Kevin obteve sucesso na investida e conseguiu o manual e códigos do sistema a partir do exfuncionário. 2.2.2 Caso recente Com o objetivo de mostrar que o uso da engenharia social não visa apenas a tecnologia da informação e sim todas as áreas e que todo cuidado é pouco. Ela se aproveita de brechas de processos, de falhas na verificação e validação de informações criticas. 2.2.2.1 Falso ganhador da mega sena Em 2014 no Brasil foi preso o falso ganhador da megasena. Ele foi preso acusado de ser um dos participantes da fraude de R$ 73 milhões, na agência da Caixa Econômica Federal. O falso ganhador usou um nome falsopara criar uma conta na agência, onde o premio foi depositado. A operação foi muito bem articulada por parte dos criminosos, os quais se aproveitaram de brechas no processo de verificação do bilhete “premiado” que foi pago no final do ano de 2013 ao “ganhador”. Boa parte do dinheiro foi recuperada e esse caso mostrou uma brecha também na exploração do fator humano por meio da persuasão de um grupo de pessoas para executarem determinadas funções no ato. 2.3 Quem está mais vulnerável? Não temos como definir quem está mais vulnerável, mas de uma coisa temos certeza, quando um atacante realmente quer uma informação as chances de sucesso do mesmo é extremamente alta, pois o fator humano interfere e muito no nível de segurança de uma informação. Atualmente organizações ou empresas pequenas ou grandes, governos e pessoas são todos possíveis alvos. Todos podem possuir informações que sejam do interesse de algum terceiro e o mesmo pode fazer uso da engenharia social para ter acesso a elas. 2.4 Como se proteger como usuário? Como usuário que possui informações que precisam ser mantidas em sigilo, é importante buscar ter conhecimento das práticas mais comuns de aplicadas pela engenharia social para violar segredos. Já é se constatou que um dos pilares para o sucesso de ataques de Engenharia social é a suscetibilidade que a vítima tem de ter seus sentimentos e emoções manipuladas. Quem direciona o ataque busca fraquezas que possa explorar, comportamentos inerentes ao ser humano, são exemplos: ● Vontade de ser útil – O ser humano, comumente, procura agir com cortesia, bem como ajudar outros quando necessário; ● Busca por novas amizades – O ser humano costuma se agradar e sentirse bem quando elogiado, ficando mais vulnerável e aberto a dar informações; ● Propagação de responsabilidade – Tratase da situação na qual o ser humano considera que ele não é o único responsável por um conjunto de atividades. Quem possui informações que deseja manter em segredo, deve estar atento até nos momentos de maior descontração, é justamente nesses momentos que um ataque tem maior chance de acontecer. Devese refletir constantemente se não existem interesses maliciosos em pessoas que perguntam sobre informações sigilosas. É importante estar atento a quem tem acesso aos seus meios de armazenamento de informações, computador, gavetas com documentos, até mesmo o seu lixo, tudo pode ser utilizado como meio de ataque. 2.5 Como proteger os usuários sob sua responsabilidade? A criação de uma politica de segurança é o passo inicial que deve ser definido afim de aumentar a segurança para a proteção de um grupo de usuários, realizar treinamentos com os mesmos ao entrarem na empresa e posteriormente ter treinamentos em um espaço de tempo definido afim de atualizar o grupo sobre novas ameaças, leis, regras e métodos de defesa. Definir de maneira clara e simples questões sobre o acesso a informações na empresa e definir subgrupos de acesso com a finalidade de restringir o acesso de alguns usuários a certos tipos de informações. 3. Conclusão Temos que ter consciência que a evolução tecnológica aumenta a segurança do armazenamento de informações e isso faz com que seja mais difícil a invasão de sistemas por exemplo, o que refletirá no aprimoramento de técnicas de engenharia social. O uso da engenharia social nos surpreende pela gama de maneiras que ela pode ser utilizada. Se manter atualizado e atento a questões básicas como o que se fala, com quem fala e onde fala se torna cada vez mais importante. A evolução da segurança é constante e a evolução de maneiras para burlar essa segurança também é constante. No momento que um método de segurança é criado nós já teremos um grupo empenhado em bular esse método a qualquer custo e a engenharia social na maioria das vezes é utilizado devido a sua eficiência na extração de dados através das pessoas ligadas direta ou indiretamente ao projeto. 4. Referencias Bibliográficas Pessoas: o problema ou a solução para a segurança da informação? . Disponível em: http://computerworld.com.br/blog/opiniao/2014/07/29/pessoasoproblemaouasolucaoparaa segurancadainformacao/. Acesso em: 30 de julho 2014. O que é engenharia social e que exemplos podem ser citados sobre este método de ataque? . Disponivel em: http://duvidas.terra.com.br/duvidas/558/oqueeengenhariasocialequeexemplospodemser citadossobreestemetododeataquec. Acesso em: 30 de julho 2014. O Uso Indevido da Engenharia Social na Informática. Disponível em: http://pt.scribd.com/doc/63676272/OUsoIndevidodaEngenhariaSocialnaInformatica. Acesso em: 31 de julho de 2014. Engenharia Social: A doce arte de hackear mentes. Disponível em: http://pt.slideshare.net/rafajaques/engenhariasocialadoceartedehackearmentes. Acesso em: 30 de julho de 2014. Entendendo e Evitando a Engenharia Social: Protegendo Sistemas e Informações. Disponível em: http://www.espacoacademico.com.br/043/43amsf.htm. Acesso em: 01 de julho de 2014. Engenharia Social. Disponivel em: http://invasaoproibida.wordpress.com/engenhariasocial/. Acesso em: 03 de julho de 2014. Falso ganhador da MegaSena é preso após fraude milionária na Caixa. Disponível em: http://g1.globo.com/to/tocantins/noticia/2014/01/falsoganhadordamegasenaepresoaposfra udemilionarianacaixa.html. Acesso em: 03 de julho de 2014. Cerca de 70% do dinheiro roubado em fraude na Caixa é recuperado. Disponível em: http://g1.globo.com/to/tocantins/noticia/2014/01/cercade70dodinheiroroubadoemfraudena caixaerecuperado.html. Acesso em: 03 de julho de 2014. Engenharia Social: as tecnicas de ataques mais utilizadas. Disponível em: http://www.profissionaisti.com.br/2013/10/engenhariasocialastecnicasdeataquesmaisutiliz adas/. Acesso em: 21 de julho de 2014. Dissertação sobre o filme (Hackers 2: Operação Takedown). Disponível em: http://euclezio.blogspot.com.br/2013/09/dissertacaosobreofilmehackers2.html. Acesso em: 21 de julho de 2014.
Compartilhar