Curiosidades High Tech Notícias Segurança da Informação Tecnologia

Engenharia Social e Segurança da Informação

Curso de Manutenção de Celulares

Atuar na área de segurança da informação é diferente de qualquer outra área de TI. No mundo da segurança da informação, identificamos e gerenciamos diversas ameaças algumas muito comuns nos dias atuais, outras nem tanto. Na atualidade as que causam mais desagrado aos profissionais de segurança são: as redes sociais, programas de mensagens instantâneas, e-mails falsos, páginas clones de bancos, troca de arquivos na internet (músicas e filmes). Isso para não citar os novos funcionários que chegam a empresa acreditando que podem acessar qualquer coisa na internet, ou até mesmo ouvir música através do computador, trazendo consigo o vício de seu antigo emprego ou até mesmo enviar fotos pessoais usando o e-mail corporativo e o temido ato de instalar jogos no computador da empresa.

Mas meu amigo, não se assuste! Esta também é a função mais empolgante e desafiadora que existe dentro de uma empresa. Vou mostrar alguns desafios relacionados a segurança da informação:

Eu sei o que você faz no seu computador:
Em algum momento da sua vida, você pode acordar e perceber que tem um hacker convivendo com você. Pode ser a sua namorada, o seu marido, seus filhos, sua amante, sua irmã, um colega de trabalho ou até mesmo o seu chefe. A curiosidade, o ciúme ou a falta de confiança é quem desperta o instinto hacker dessas pessoas.

E esse instinto pode provocar uma instalação de um programa espião no seu computador pessoal ou corporativo. O programa espião pode monitorar os seus e-mails, as páginas visitadas e arquivos acessados, mensagens trocadas através do Messenger ou capturar a sua senha do Orkut, Facebook , Twitter e etc.

Então, você perceberá que deveria começar a fazer as coisas de forma diferente, o que significa deixar de conversar ou paquerar através do Messenger no ambiente de trabalho, anotar as suas senhas, não compartilhar o seu computador com outras pessoas (alguém pode instalar um programa espião no seu computador), não clicar em links suspeitos (por exemplo, “você recebeu uma intimação. Clique aqui!” ) ou acessar páginas pornográficas que solicitam a instalação de algum tipo de programa.

É por isso que a área de segurança da informação evolui tão bem no Brasil. Essa estratégia do programa espião é capaz de conciliar as diferentes psicologias de uma série de pessoas, desde aquelas que têm ciúmes até aquelas pessoas que querem saber o que você está fazendo no seu computador corporativo.

Quais são as proteções na internet?
As pessoas sempre me perguntam o tempo todo: Como posso estar sempre protegido contra todas as ameaças existentes na internet ? A única resposta razoável a esta pergunta é que não existe 100% de segurança efetiva. Os programas conhecidos como firewalls, antivírus e anti-spam passam uma falsa sensação de segurança.

Para complicar ainda mais a situação, é difícil identificar as novas armadilhas na internet. Os inúmeros ataques que surgem na internet evoluem mais rápido que as formas de proteção. E o “compre um antivírus e leve um anti-spam + firewall”, não irá proteger o seu computador contra as páginas clones de instituições financeiras ou até mesmo dos programas espiões que são comercializados por pouco mais de 200 reais na internet.

O que posso dizer sobre os golpes na internet? Os ataques virtuais representam ameaças reais à economia, no sentido de serem realizados para obter recursos financeiros de forma indevida. Isso ocorre porque o dinheiro é, praticamente falando, eletrônico. O seu dinheiro está guardado nos computadores do banco. Assim, algumas dicas ajudam a minimizar os riscos na internet.

<>

Cuidado com as promoções na internet:
É comum os golpistas criarem páginas de comércio eletrônico para oferecerem iPhone ou TVs tela plana a um preço muito abaixo de mercado. O objetivo é roubar os dados do seu cartão de crédito e claro, não entregar a mercadoria. Escolha lojas virtuais de empresas conhecidas e procure mais informações sobre a privacidade dos dados que serão fornecidos no momento da compra.

Atenção aos e-mails falsos e aos links curtos dos “Encurtadores de URL:
Pode ser muito difícil diferenciar um e-mail falso de um email verdadeiro. Porém, algumas dicas podem ajudar antes de você clicar em um e-mail: cuidado com os remetentes desconhecidos e títulos ligeiramente “estranhos” (por exemplo, “Você está sendo traído! Clique aqui para ver as fotos” ou  até mesmo “Nossa, quanto tempo, olha a nossa foto juntos, eu estou a direita da árvore! Amor, clique e veja as nossas fotos)” . Evite também em clicar nos links “curtos” ( no twitter devido ao limite de 140 caracteres somente, isso é uma epidemia) que estão no corpo do e-mail, por exemplo: http://goo.gl/pSHhf.  Atualmente já existem muitos golpes deste tipo utilizando esta técnica para enganar as pessoas.

Páginas clones:
Em 2009, os usuários do Hotmail e do Gmail foram vítimas de páginas clones. Ou seja, o usuário acredita estar na página verdadeira, quando na verdade está fornecendo a sua senha para uma página clone. Esta técnica é aplicada pelos golpistas com o objetivo roubar senhas de internet banking. Você pode identificar uma página clone através de erros de português, inexistência do cadeado de segurança no rodapé do Browser, a má qualidade das imagens exibidas no site, e as vezes a senha é solicitada mais de uma vez, há solicitação de informações pessoais, tais como, nome da mãe, data de nascimento, senha do cartão, data de expiração e etc.

Programas espiões:
Um antivírus pode minimizar o risco de o computador ser infectado por um programa espião. Porém, não oferece 100% de segurança.

Engenharia Social:

Na minha opinião a mais  grave de todas. Ela é aplicada em diversos setores da segurança da informação independente de sistemas computacionais, software e ou plataforma utilizada, o elemento mais vulnerável de qualquer sistema de segurança da informação é o ser humano, o qual possui traços comportamentais e psicológicos que o torna uma presa fácil a ataques de engenharia social. Na engenharia social, suas práticas são utilizadas para obter acesso a informações importantes ou sigilosas em organizações ou sistemas por meio da enganação ou exploração da confiança das pessoas. Para isso, o golpista pode se passar por outra pessoa, assumir outra personalidade, fingir que é um profissional de determinada área, etc. É uma forma extremamente fácil e simples de entrar em organizações que não necessita de nenhum tipo de força bruta ou de erros em máquinas. Explora as falhas de segurança das próprias pessoas que, quando não treinadas para esses ataques, podem ser facilmente manipuladas. Tudo leva a crer que o usuário, o trabalhador, o ser Humano que trabalha honestamente pode ser sim aquela peça fundamental para um roubo de informações sigilosas em qualquer empresa.

Te peguei.bat, e agora ?

Um teste simples de engenharia social que fiz na empresa em que trabalho, tinha o intuíto de saber como as pessoas se comportavam diante de tal situação e o que fariam caso realmente fossem vítimas da engenharia social.

Primeiramente criei um documento explicando que o CD tinha dados altamente confidenciais e que teria que ser disponibilizado somente ao departamento financeiro da empresa.

Logo, criei um script simples em um arquivo de lote do Windows, que inseria o nome do computador, o nome do usuário, seu IP, Data e Hora que automaticamente enviava estes dados para serem por mim analizados.

Então peguei o documento e o script e gravei em um CD. No Próprio CD e na sua capa super personalizada, simplesmente escrevi: “CONFIDENCIAL”. E sutilmente larguei o cd em um canto qualquer da empresa.

Resultado:
Com isso eu também medi o nível de curiosidade das pessoas, verifiquei que alguns usuários clicaram 5, 6, 11 vezes no mesmo arquivo, tentando abrir e obter certas “informações”.  Quando alguém finalmente se cansava por não conseguir abrir e obter as “informações” ali contidas e que sua curiosidade não seria sanada, passava o CD para o funcionário ao lado para tentar ver se conseguiria abrir também, ou seja aquele CD passou por uma troca de máquinas consideravelmente alta. Foi absolutamente incrível saber por onde este CD passou e quais o outros departamentos e computadores que ele visitou.

E se esse teste que fiz fosse um caso real ? Em que um mero visitante dentro da empresa, deixasse um CD ou Pen Drive abandonado contendo algum tipo de Spyware, Malware, Vírus e etc, altamente pronto para captar informações da empresa e com apenas um clique para ser executado pelo curioso e inocente usuário ?

Tive a tarefa de educar os funcionários em meu ambiente de trabalho, para não serem futuras vítimas de engenharia social, assim preservando a sua integridade pessoal e principalmente a integridade da empresa em que nós trabalhamos.

Com a soma destas diferentes psicologias e técnicas que ajudam e muito a indústria da segurança da informação em adotar medidas cada vez mais eficientes, inclusive  em combater o seu desenvolvimento no Brasil. Claro trazendo também benefícios para a carreira da Segurança da Informação. E Lembre-se: É uma área em ascensão.


Aqui o fonte do simples script que utilizei:

echo PEGUEI.bat
echo Por Rafael de Luna Russo – rafael@escreveassim.com.br
echo
date/t >> R:\rafaelrusso\peguei.txt
time/t >> R:\rafaelrusso\peguei.txt
echo
echo
echo * Usuario: %username% Host: %computername% >> R:\rafaelrusso\peguei.txt
ipconfig >> R:\rafaelrusso\peguei.txt
echo
echo
echo


Engenharia Social e Segurança da Informação
Avalie

Para enviar seu comentário, preencha os campos abaixo:

Deixe uma resposta

*

Seja o primeiro a comentar!

Por gentileza, se deseja alterar o arquivo do rodapé,
entre em contato com o suporte.