Engenharia Social

Prévia do material em texto

UNIVERSIDADE FEDERAL DE GOIÁS 
INSTITUTO DE INFORMÁTICA 
SEGURANÇA DA INFORMAÇÃO 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
ENGENHARIA SOCIAL 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
PROFESSOR: 
HAILTON DAVID LEMOS 
 
ALUNOS: 
DÉBORA SILVA 
DANIEL ALMEIDA 
GERSON CORREIA 
RAUL KAIO FIDELIS 
VINÍCIUS BARCELOS SILVA 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Resumo  
 
A engenharia social é uma ferramenta com um poder de fogo muito grande e quando bem 
aplicada ela se torna extremamente eficiente para o sucesso de qualquer operação. Ela pode 
ser considerada uma arte, quem aplica tal artificio faz uso das maneiras mais adversas em 
algumas situações para obter alguma informação. A engenharia social torna possível burlar as 
politicas de seguranças mais bem elaboradas e obter informações que são acessíveis ah um 
grupo restrito de pessoas. A aplicação da engenharia social não é algo apenas utilizado para o 
crime, pessoas no dia a dia fazem uso da mesma para se informarem a cerca de algo que lhes 
interessa. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Sumário 
 
Resumo  03 
1. Introdução  05 
1.1 O que é?  05 
1.2 Como surgiu? Quando surgiu? Onde surgiu?  05 
2. Engenharia Social 05 
2.1 Quais os métodos mais utilizados  05 
2.2 Casos  06 
2.2.1 Casos famosos  06 
2.2.1.1 O caso do falsificador Frank W. Abagnale Jr  06 
2.2.1.2 Kevin Mitnick  07 
2.2.2 Caso recente  07 
2.2.2.1 Falso ganhador da mega sena  07 
2.3 Quem está mais vulnerável?  07 
2.4 Como se proteger como usuário?  07 
2.5 Como proteger os usuários sob sua responsabilidade?  08 
3. Conclusão  09 
4. Referencias Bibliográficas  10 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
1. Introdução 
 
1.1 O que é? 
 
É uma técnica focada em explorar a confiança das vítimas para fazer um ataque, muitas vezes 
o alvo é muito bem protegido e seria bem trabalhoso para efetivar o ataque e ter sucesso, mas 
por meio da engenharia social basta utilizar da inteligência e sagacidade para agir e ter sucesso 
na obtenção das informações desejadas. 
 
1.2 Como surgiu? Quando surgiu? Onde surgiu? 
 
Não se tem exatamente definido tais fatos dado o contexto de que sempre existiu alguma 
informação ou interesse em jogo a técnica foi utilizada.  
Mas um dos primeiros casos envolvendo tecnologia da informação ocorreu no começo 
dos anos 90 envolvendo o hacker Kevin Mitnick, o qual aplicou técnicas de engenharia social 
afim de obter um sistema de escuta telefônica do FBI. Ele obteve sucesso fazendo uso da 
técnica e acabou que fizeram um filme contanto sua história. 
 
2. Engenharia Social 
 
Por ser uma técnica extremamente forte e sem um padrão definido de ação ela se tornou um 
dos meios mais utilizados para se obter qualquer tipo de informação, aplicamos ela no nosso 
dia a dia quando vamos comprar algo e perguntamos para outras pessoas acerca de um 
produto ou serviço por exemplo. Isso mostra que a aplicação dela é algo corriqueiro, ela pode 
ser usada em investigações afim de levantar informações que carecem de um nível de analise 
mais humano e menos automatizado ou utilizada na pratica de crimes, caso no qual ela anda 
sendo muito aplicada. 
A engenharia social visa uma das maiores brechas que podem existir em qualquer 
sistema ou organização do mundo, visa o fator humano, no caso as pessoas que o 
desenvolveram, que utilizam ou que fazem parte de tais. Varias técnicas podem ser utilizadas, 
desde coisas mais banais até algumas mais avançadas, mas todas se aproveitam do fator 
humano. Um exemplo de falha é um empregado que não passou por um treinamento acerca de 
questões de segurança e até mesmo um processo de seleção fraco no qual permite que 
funcionários mal intencionados ou que não sejam de confiança sejam contratados. 
 
2.1 Quais os métodos mais utilizados 
 
A engenharia social usa dos mais diversos métodos para se atingir seu objetivo maior, explora 
vulnerabilidades da vida pessoal de seus alvos, realiza estudos acerca da pessoa e faz uso da 
persuasão para se conseguir mais informações que não estão disponíveis em sistemas ou 
documentos. 
Para se obter tais informações geralmente os atacantes fazem uso de algumas das 
seguintes técnicas: 
● Envio de e­mails contendo algum tipo de vírus e para despertar o interesse da 
vitima faz o uso de títulos que criem um certo interesse por parte da vitima; 
● Envio de spam, técnica que geralmente pega a vitima mais facilmente, pois 
geralmente para chamar a atenção da mesma geralmente informa a vitima que 
se trata de um e­mail enviado pelo banco e solicita que a mesma acesse um link 
e informe seus dados; 
● Ligações se passando por outra pessoa tendo como objetivo obter alguma 
informação mais pessoal da vitima. 
● O objetivo de todos os métodos de aplicados na engenharia social geralmente é: 
● Conquistar a confiança do alvo; 
● Fazer o alvo se sentir seguro. 
Uma infinidade de técnicas podem ser utilizadas para extrair as informações de 
interesse, uma conversa na fila do mercado ou da padaria, quando o atacante quer extrair uma 
informação por meio da engenharia social ele vai fazer de tudo para atingir tal objetivo. 
São as técnicas mais comuns, mas as elas vão muito alem, depende do nível de 
criatividade e inteligência do atacante quando realmente se quer obter informação do alvo. 
 
2.2 Casos 
 
2.2.1 Casos famosos 
 
Alguns casos tiveram uma notoriedade maior devido a audácia dos atacantes e na maioria dos 
casos o maior motivador era o desafio em si e não apenas o ganho material. 
 
2.2.1.1 O caso do falsificador Frank W. Abagnale Jr 
 
Dentre suas várias investidas de Engenharia Social, conseguiu ser contratado por uma 
companhia aérea americana como co­piloto, sem mesmo nunca ter feito um curso de pilotagem. 
Da mesma forma, sem ter habilitação, foi médico, professor universitário de sociologia e 
advogado. Conseguiu, também, descontar milhões de dólares através de cheques falsificados, e 
isso com a total permissão dos gerentes dos bancos. 
Quando tinha apenas 21 anos de idade foi considerado o maior vigarista e falsificador da 
época. Figurava na lista do FBI ­ Federal Bureau of Investigation como o mais jovem dos dez 
criminosos mais procurados dos Estados Unidos.Utilizou a Engenharia Social para aplicar 
golpes pela primeira vez, encarnando um professor substituto de francês e teve como fator 
encorajador dois golpes que o seu pai executou com sua ajuda. 
Também é conhecido pelo filme “Prenda­me se for capaz” que foi baseado na sua 
autobiografia. 
 
 
 
 
2.2.1.2 Kevin Mitnick 
 
Um caso bem famoso e que também acabou tendo um filme para contar a história do hacker 
Mitnick que no início dos anos 90 conseguiu a partir do uso da engenharia social ter acesso ao 
sistema de escuta telefônica do FBI, chamado SAS. Desafio o qual foi passado por um próprio 
policial disfarçado em um encontro de hackers. Afim de conseguir o sistema ele chegou até um 
ex­funcionário da fabricante do SAS oferecendo uma proposta de emprego e se aproveitou de 
um momento difícil do ex­funcionário. Kevin obteve sucesso na investida e conseguiu o manual e 
códigos do sistema a partir do ex­funcionário. 
 
2.2.2 Caso recente 
 
Com o objetivo de mostrar que o uso da engenharia social não visa apenas a tecnologia da 
informação e sim todas as áreas e que todo cuidado é pouco. Ela se aproveita de brechas de 
processos, de falhas na verificação e validação de informações criticas. 
 
2.2.2.1 Falso ganhador da mega sena  
 
Em 2014 no Brasil foi preso o falso ganhador da mega­sena. Ele foi preso acusado de ser um 
dos participantes da fraude de R$ 73 milhões, na agência da Caixa Econômica Federal. O falso 
ganhador usou um nome falsopara criar uma conta na agência, onde o premio foi depositado. A 
operação foi muito bem articulada por parte dos criminosos, os quais se aproveitaram de 
brechas no processo de verificação do bilhete “premiado” que foi pago no final do ano de 2013 ao 
“ganhador”.  
Boa parte do dinheiro foi recuperada e esse caso mostrou uma brecha também na 
exploração do fator humano por meio da persuasão de um grupo de pessoas para executarem 
determinadas funções no ato. 
 
2.3 Quem está mais vulnerável? 
 
Não temos como definir quem está mais vulnerável, mas de uma coisa temos certeza, quando 
um atacante realmente quer uma informação as chances de sucesso do mesmo é 
extremamente alta, pois o fator humano interfere e muito no nível de segurança de uma 
informação. 
Atualmente organizações ou empresas pequenas ou grandes, governos e pessoas são 
todos possíveis alvos. Todos podem possuir informações que sejam do interesse de algum 
terceiro e o mesmo pode fazer uso da engenharia social para ter acesso a elas. 
 
2.4 Como se proteger como usuário? 
 
Como usuário que possui informações que precisam ser mantidas em sigilo, é importante 
buscar ter conhecimento das práticas mais comuns de aplicadas pela engenharia social para 
violar segredos. 
Já é se constatou que um dos pilares para o sucesso de ataques de Engenharia social é 
a suscetibilidade que a vítima tem de ter seus sentimentos e emoções manipuladas. Quem 
direciona o ataque busca fraquezas que possa explorar, comportamentos inerentes ao ser 
humano, são exemplos: 
● Vontade de ser útil – O ser humano, comumente, procura agir com cortesia, bem 
como ajudar outros quando necessário; 
● Busca por novas amizades – O ser humano costuma se agradar e sentir­se 
bem quando elogiado, ficando mais vulnerável e aberto a dar informações; 
● Propagação de responsabilidade – Trata­se da situação na qual o ser humano 
considera que ele não é o único responsável por um conjunto de atividades. 
 
 
Quem possui informações que deseja manter em segredo, deve estar atento até nos 
momentos de maior descontração, é justamente nesses momentos que um ataque tem maior 
chance de acontecer. Deve­se refletir constantemente se não existem interesses maliciosos 
em pessoas que perguntam sobre informações sigilosas. 
É importante estar atento a quem tem acesso aos seus meios de armazenamento de 
informações, computador, gavetas com documentos, até mesmo o seu lixo, tudo pode ser 
utilizado como meio de ataque. 
 
2.5 Como proteger os usuários sob sua responsabilidade? 
 
A criação de uma politica de segurança é o passo inicial que deve ser definido afim de aumentar 
a segurança para a proteção de um grupo de usuários, realizar treinamentos com os mesmos 
ao entrarem na empresa e posteriormente ter treinamentos em um espaço de tempo definido 
afim de atualizar o grupo sobre novas ameaças, leis, regras e métodos de defesa. 
Definir de maneira clara e simples questões sobre o acesso a informações na empresa 
e definir subgrupos de acesso com a finalidade de restringir o acesso de alguns usuários a 
certos tipos de informações. 
 
 
3. Conclusão 
 
Temos que ter consciência que a evolução tecnológica aumenta a segurança do 
armazenamento de informações e isso faz com que seja mais difícil a invasão de sistemas por 
exemplo, o que refletirá no aprimoramento de técnicas de engenharia social. 
O uso da engenharia social nos surpreende pela gama de maneiras que ela pode ser 
utilizada. Se manter atualizado e atento a questões básicas como o que se fala, com quem fala 
e onde fala se torna cada vez mais importante.  
A evolução da segurança é constante e a evolução de maneiras para burlar essa 
segurança também é constante. No momento que um método de segurança é criado nós já 
teremos um grupo empenhado em bular esse método a qualquer custo e a engenharia social 
na maioria das vezes é utilizado devido a sua eficiência na extração de dados através das 
pessoas ligadas direta ou indiretamente ao projeto. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
4. Referencias Bibliográficas 
 
Pessoas: o problema ou a solução para a segurança da informação? . Disponível em:                           
http://computerworld.com.br/blog/opiniao/2014/07/29/pessoas­o­problema­ou­a­solucao­para­a­
seguranca­da­informacao/. Acesso em: 30 de julho 2014. 
O que é engenharia social e que exemplos podem ser citados sobre este método de ataque? .                                 
Disponivel em:   
http://duvidas.terra.com.br/duvidas/558/o­que­e­engenharia­social­e­que­exemplos­podem­ser­
citados­sobre­este­metodo­de­ataquec. Acesso em: 30 de julho 2014. 
O Uso Indevido da Engenharia Social na Informática. Disponível em:                   
http://pt.scribd.com/doc/63676272/O­Uso­Indevido­da­Engenharia­Social­na­Informatica. 
Acesso em: 31 de julho de 2014. 
Engenharia Social: A doce arte de hackear mentes. Disponível em:                   
http://pt.slideshare.net/rafajaques/engenharia­social­a­doce­arte­de­hackear­mentes. Acesso   
em: 30 de julho de 2014. 
Entendendo e Evitando a Engenharia Social: Protegendo Sistemas e Informações. Disponível                     
em: http://www.espacoacademico.com.br/043/43amsf.htm. Acesso em: 01 de julho de 2014. 
Engenharia Social. Disponivel em: http://invasaoproibida.wordpress.com/engenharia­social/. 
Acesso em: 03 de julho de 2014. 
Falso ganhador da Mega­Sena é preso após fraude milionária na Caixa. Disponível em: 
http://g1.globo.com/to/tocantins/noticia/2014/01/falso­ganhador­da­mega­sena­e­preso­apos­fra
ude­milionaria­na­caixa.html. Acesso em: 03 de julho de 2014. 
Cerca de 70% do dinheiro roubado em fraude na Caixa é recuperado. Disponível em: 
http://g1.globo.com/to/tocantins/noticia/2014/01/cerca­de­70­do­dinheiro­roubado­em­fraude­na­
caixa­e­recuperado.html. Acesso em: 03 de julho de 2014. 
Engenharia Social: as tecnicas de ataques mais utilizadas. Disponível em: 
http://www.profissionaisti.com.br/2013/10/engenharia­social­as­tecnicas­de­ataques­mais­utiliz
adas/. Acesso em: 21 de julho de 2014. 
Dissertação sobre o filme (Hackers 2: Operação Takedown). Disponível em: 
http://euclezio.blogspot.com.br/2013/09/dissertacao­sobre­o­filme­hackers­2.html. Acesso em: 
21 de julho de 2014.