1

UNIVERSIDADE CANDIDO MENDES

AVM – FACULDADE INTEGRADA

PÓS-GRADUAÇÃO LATO SENSU

ENGENHARIA SOCIAL EM TEMPOS DE CRISE: UM DESAFIO

PARA AS EMPRESAS DE PEQUENO E MÉDIO PORTE

Jefferson Oliveira de Freitas

ORIENTADOR: Prof. (Luciana Madeira)

Rio de Janeiro 2016

DOCUMENTO P

ROTEGID

O PELA

LEID

E DIR

EITO A

UTORAL

2

UNIVERSIDADE CANDIDO MENDES

AVM – FACULDADE INTEGRADA

PÓS-GRADUAÇÃO LATO SENSU

Apresentação de monografia à AVM Faculdade Integrada como requisito parcial para obtenção do grau de especialista em Auditoria e Controladoria. Por: Jefferson Oliveira de Freitas

ENGENHARIA SOCIAL EM TEMPOS DE CRISE: UM DESAFIO

PARA AS EMPRESAS DE PEQUENO E MÉDIO PORTE

Rio de Janeiro 2016

3

AGRADECIMENTOS

Primeiramente a Deus que sempre foi a minha

força maior. Aos meus familiares, amigos e

namorada.

4

DEDICATÓRIA

Dedica-se a todos que sempre torceram pelo meu

crescimento. Sem vocês, eu jamais conseguiria.

5

RESUMO

No mundo de hoje, é difícil imaginar uma empresa operando sem a

que a influência da tecnologia, principalmente quando envolve dinamismo nas

transmissões dos dados. A globalização conecta tudo e todos com apenas um

clique.

No entanto, a tecnologia vem atrelada a desafios e cuidados para

que a segurança dos dados seja preservada da melhor forma possível, como

por exemplo, os efeitos catastróficos da Engenharia Social. O Engenheiro

Social utiliza-se de técnicas de influência e persuasão para ludibriar pessoas e

atingir seus objetivos.

Diante disso, surge o questionamento: em meio a grave crise

econômica e financeira do Brasil, as empresas de pequeno e médio porte

podem mitigar o impacto da Engenharia Social?

Sim. Podem! Ao contrário que diversos empresários pensam, a

melhor forma de tentar coibir possíveis ataques da Engenharia Social é investir

no capital humano, pois o ser humano é o ponto mais vulnerável de qualquer

sistema de informação.

Capacitar e desenvolver os colaboradores atrelados a uma política

de segurança consistente é o caminho “mais em conta” que as empresas de

pequeno e médio porte devem adotar para a preservação dos seus bens

intangíveis.

6

METODOLOGIA

O desenvolvimento do trabalho baseou-se na metodologia de

pesquisas bibliográficas, leituras de artigos e publicações em meios digitais e

consultas em endereços eletrônicos de instituições conceituadas, tais como: o

ABNT, SEBRAE, Instituto Brasileiro de Governança Corporativa, Controladoria

Geral da União, Centro de Estudo, Resposta e Treinamento de Incidentes de

Segurança no Brasil e outros.

7

SUMÁRIO

INTRODUÇÃO 08

CAPÍTULO I

A Tecnologia no Mundo Corporativo 10

CAPÍTULO II

A Arte da Engenharia Social 16

CAPÍTULO III

Combate ao Perigo da Engenharia Social 25

CONCLUSÃO 36

BIBLIOGRAFIA 38

ÍNDICE 39

ÍNDICE DE FIGURAS 40

8

INTRODUÇÃO

Em pleno século XXI, é difícil imaginar uma empresa que não utilize

a informática como ferramenta de trabalho. O artifício da tecnologia traz para

as empresas a velocidade na troca de informações; aumento na produtividade;

proximidades com fornecedores, parceiros comerciais e os clientes; entre

outros benefícios.

No entanto, para que as instituições desfrutem de todos os

benefícios atrelados à tecnologia, é necessário investimentos em infraestrutura,

softwares e treinamento de pessoal, já que tudo está contido na grande rede.

Cada detalhe é extremamente importante para que as empresas

busquem, mantenham-se e alavanquem o sucesso, principalmente no mundo

dinâmico e competitivo em que vivemos. Dentro de cada estratégia, um dos

detalhes primordiais é o chamado segredo empresarial, pois representa uma

vantagem competitiva para as instituições que o detenha.

O que muitas empresas ainda não enxergaram que não bastam

apenas investimentos para resguardar exposição de invasores virtuais. Hoje, o

elemento mais vulnerável de qualquer sistema de segurança da informação é o

fator humano, o qual possui traços comportamentais e psicológicos que o torna

suscetível a ataques de criminosos chamados Engenheiro Social. Segundo

Kevin MItnick (A Arte de Enganar; pag. 3), o fator humano é o elo mais fraco da

segurança.

Diante do exposto, surge a questão central desse trabalho: Em meio

a grave crise econômica e financeira do Brasil, as empresas de pequeno e

médio porte podem mitigar o impacto da Engenharia Social?

A escolha do tema deu-se através da complexidade e importância

para as pequenas e médias empresas, principalmente nos dias de hoje:

mercado competitivo, escassez de recursos, profissionais pouco treinados, etc.

O tema é amplamente discutido no campo da segurança da informação,

baseando-se em mitigar falhas de segurança de pessoas e organizações.

9

No entanto, todos esses esforços para mitigar os impactos gerados

pela Engenharia Social demandam investimentos, principalmente em mudança

de cultura, política de segurança, treinamento e conscientização de todos os

colaboradores.

Ao longo do trabalho será detalhada toda a complexidade em lidar

como os Engenheiros Sociais e seus danos que em muitos casos se tornam

irreparáveis para as empresas de pequeno e médio porte.

O impacto da tecnologia bem como a importância do segurança da

informação nas empresas será o tema central do capítulo I; apresentação

detalhada do conceito, forma de atuação e tipos de ataques gerados pela

Engenharia Social serão abordados no Capítulo II; o capítulo III será destinado

à forma de como as empresas devem se prevenir dos ataques e mitigar os

possíveis riscos dos Engenheiros Sociais.

10

CAPÍTULO I

A TECNOLOGIA NO MUNDO CORPORATIVO

Em um mundo que diariamente urge a necessidade de transmissão

cada vez mais dinâmica das informações, a tecnologia desempenha um papel

fundamental e se torna crucial para o mundo corporativo. Vivemos em um

planeta conectado, que oferece infinitas opções de comunicação, e isso mudou

profundamente o cenário dos negócios, gerando novas oportunidades bem

como novos desafios e cuidados.

Além de todos os benefícios atrelados à tecnologia (velocidade e

eficiência nas informações sem precedentes, contatos dinâmicos com clientes,

colaboradores e fornecedores, entre outros), as empresas precisam lidar com

determinadas situações de perigo, identificando e protegendo seus dados.

1.1. A importância da Segurança da informação para as

pequenas e médias empresas no Brasil.

De acordo com Peixoto (2006), “O termo segurança da informação

pode ser designado como uma área do conhecimento que salvaguarda os

chamados ativos da informação, contra acessos indevidos, modificações não

autorizadas ou até mesmo sua não disponibilidade” (p.37).

O NBR ISO/IEC 17799:2001, pág 2, descreve a segurança da

informação assim:

Segurança da informação é a proteção da informação de vários

tipos de ameaças para garantir a continuidade do negócio,

minimizar o risco ao negócio, maximizar o retorno sobre os

investimentos e as oportunidades de negócio.

O grande desafio das empresas brasileiras é como lidar com o

vazamento das informações no cenário econômico atual do país, resumindo:

gerir com recursos cada vez mais escassos.

11

Segundo a pesquisa realizada pela empresa PwC (2014) sobre

segurança da Informação (figura 1), “no Brasil, a ação de hackers e

concorrentes é quase 10% maior do que no restante do mundo”. A pesquisa

também relata que o principal impacto gerado por esse problema, está

relacionando ao comprometimento dos registros dos clientes e não dos

empregados, como acontece no resto do mundo.

Ainda de acordo com pesquisa supracitada, empresas brasileiras

não investem na prevenção dos seus dados com base nas possíveis perdas

financeiras que um ataque pode gerar ao explorar uma fraqueza da companhia

e sim com recursos limitados fortemente influenciados pela economia

brasileira.

Figura 1 – Impactos dos incidentes de segurança Fonte: Pesquisa Global de Segurança da Informação 2014 - PcW

Diante do exposto, a segurança da informação é o bem intrínseco

mais importante das corporações, pois resguarda o diferencial competitivo,

informações sigilosas e até mesmo dados para tomadas de decisões e devem

ser preservados unindo investimentos em tecnologia com o treinamento de

pessoal.

12

1.1.1. Principais Riscos e Ameaças à Segurança da Informação.

Todo conteúdo que circula dentro e fora das empresas deve ser

protegido para manter sua confidencialidade, disponibilidade e integridade.

Contudo, a segurança da informação pode ser afetada por uma gama de

fatores, como: ambientais/infraestrutura, comportamentais do usuário e por

Engenheiros Sociais.

Como exemplo de falhas ambientais/infraestrutura:

• Forças da natureza: Fogo, inundações, terremotos, etc.

• Erros ou falhas técnicas de hardware: Falha de

equipamentos.

• Erros ou falhas técnicas de software: Bugs, erros de

conceção, etc.

• Obsolescência tecnológica.

Comportamentais do usuário, temos:

• Atos de falha ou erro humano.

• Comprometimento de propriedade intelectual: ofensas aos

direitos do autor, cópias não autorizadas.

• Atos deliberados de sabotagem ou vandalismo:

Destruição de sistemas ou informação.

No Capitulo II, serão detalhados os tipos de ameaças desenvolvidas

por Engenheiros sociais.

Como forma de coibir os possíveis riscos e ameaças às falhas de

segurança, é necessário o desenvolvimento de políticas de seguranças sólidas

e amplamente divulgada a todos os envolvidos no processo.

Para que os resultados sejam satisfatórios, a política de segurança

deverá explicitá os seguintes termos:

13

• Vulnerabilidade: Existência de um potencial de falha de

segurança.

• Ameaça: Elementos concretos, potenciadores de exploração

de falhas de segurança.

• Risco: Probabilidade de efetiva de concretização de ameaças

para as vulnerabilidades existentes.

• Medida: Meio ou procedimento de combate ou minimização

do risco.

• Impacte: Prejuízo em caso de concretização da ameaça.

• Incidente: Situação efetiva de aproveitamento de uma

vulnerabilidade.

Conforme figura abaixo, esses termos podem ser ilustrados através

de um fluxograma:

Figura 2 – Fluxograma Fonte: Artigo: Desafios da segurança da informação: da sua cultura e aplicação

à confiabilidade

14

Além de uma política sólida de segurança, as empresas necessitam

de software consistente para ajudar na proteção e na gestão dos processos,

conforme descrito no próximo tópico.

1.1.2. Software de Segurança da Informação.

Software de segurança é uma classe de software que atua para

identificar, prevenir, impedir e reparar a causa dano por código malicioso. Sua

forma de atuação consiste em: prevenção, limitação e o rastreamento dos

ataques. Porém, a evolução constante da natureza desses códigos exige que

os software sejam atualizados na mesma intensidade.

Abaixo, alguns tipos de Software mais utilizados nas empresas de

pequeno e médio porte:

• Firewall: Um Firewall impede que usuários não autorizados

acessem um computador, permitindo somente usuários

autorizados, protegendo assim, qualquer forma de ataque.

Alguns sistemas operacionais de computadores incluem

Firewalls de Software no próprio sistema operacional. Por

exemplo, o Microsoft Windows XP.

• Antivírus: Antivírus reconhece um ataque, quando possível,

antes que o mesmo se inicie, evitando assim que o código

malicioso invada um computador. Para manter a eficácia, é

imprescindível sua atualização constante, pois novos vírus

aparecem diariamente.

• Anti-spyware: O objetivo do Software Anti-spyware é evitar

que Softwares não autorizados roubem a transmissão de

dados que está no disco rígido do usuário, bem como os

dados que compartilha nas atividades online, através do

monitoramento das comunicações entre um computador e os

destinatários das mensagens externas.

15

• Rede: São Software de segurança que identifica problemas

de segurança antes que possam afetar os usuários finais,

verificando os dados transmitidos através de conectores de

rede (Gatewayes e roteadores).

Os tipos de Software de segurança supracitados são exemplos de controle de

com baixo custo para as empresas. O mercado disponibiliza diversas opções

gratuitas ou não (licenças), cabe ao gestor analisar e avaliar as necessidades

da empresa.

Apresentado o conceito da segurança da informação bem como

seus desafios de sua proteção no cenário atual brasileiro, o próximo capítulo

será destinado á apresentação detalhada do conceito, forma de atuação e tipos

de ataques gerados pela Engenharia Social.

16

CAPÍTULO II

A ARTE DA ENGENHARIA SOCIAL

2.1. Conceituando a Engenharia Social.

O termo Engenharia Social pode ser dividido assim:

Engenharia: É a ciência, a arte e a profissão de adquirir e de aplicar os

conhecimentos matemáticos, técnicos e científicos na criação, aperfeiçoamento

e implementação de utilidades, tais como materiais, estruturas, máquinas,

aparelhos, sistemas ou processos, que realizem uma determinada função ou

objetivo (CREA-RN, 2013).

Social: É aquilo que pressupõe relações, sociabilidade, abarcando

relacionamentos, sentimentos, modos de ser, de estar, de agir e de se

manifestar. (Dicionário informal, 2016)

No livro Arte de Enganar (2002), Kevin Mitnick define assim a

Engenharia Social:

A Engenharia social usa a influência e a persuasão para

enganar as pessoas e convencê-las de que o engenheiro social

é alguém que na verdade ele não é, ou pela manipulação.

Como resultado, o engenheiro social pode aproveitar-se das

pessoas para obter as informações com ou sem uso da

tecnologia.

Podemos definir a Engenharia Social como um tipo de ataque, onde

são utilizados métodos, estratégias e táticas (Engenharia) com intuito de

conquistar a confiança das pessoas (Social), ludibriando-as, para obter

informações sigilosas, acesso às áreas restritas, entre outros.

Segundo especialistas em segurança da informação, a Engenharia

Social será a maior ameaça à continuidade dos negócios desta década.

Importante observar que o sucesso da Engenharia Social depende

da compreensão do comportamento do ser humano, além da habilidade de

17

persuadir outros a disponibilizarem informações ou realizarem ações desejadas

pelo Engenheiro Social.

Os ataques da Engenharia Social podem ser divididos em dois

grupos:

• Ataques Diretos: Como o próprio nome já diz, são aqueles

caracterizados pelo contato direto entre o Engenheiro Social e

a vítima através de telefonemas, fax e até mesmo

pessoalmente. Este exige do Engenheiro Social, um

planejamento antecipado e bem detalhado, além de um

segundo plano para caso o primeiro não dê certo, tudo

atrelado a muita criatividade e articulação.

• Ataques Indiretos: Caracterizam-se pela utilização de

Software ou ferramentas de invasão, como: vírus, sites e e-

mails falsos para assim obter informações desejadas.

Mas quem são os Engenheiros Sociais que estão por trás desses

ataques? Como é o perfil? O que buscam? Essas são apenas algumas

perguntas que o próximo tópico tentará elucidar da melhor forma.

2.2. O Engenheiro Social.

Como dito anteriormente, o ser humano é o ponto mais vulnerável

de qualquer sistema de informação; seus traços comportamentais e

psicológicos os tornam suscetíveis a ataques dos Engenheiros Sociais.

Segundo Araujo (2015, p. 27), o Engenheiro Social geralmente é um

tipo de pessoa agradável. Ou seja, uma pessoa educada, simpática,

carismática. Mas, sobretudo criativa, flexível e dinâmica. Possuindo uma

conversa envolvente.

De acordo com Kevin Mitnick (Arte de Enganar, pág xiii, 2002), o

perfil do Engenheiro Social é a combinação entre enganar pessoas com os

talentos da influência e persuasão.

18

Na Engenharia social, a persuasão pode ser trabalhada da seguinte

forma:

a) Conformidade – Quando a “vítima” é alertada que está fora do padrão

da empresa, setor, etc. No entanto, o Engenheiro Social define novas

regras, mostrando seu “passo a passo”.

b) Lógica – O Engenheiro Social induz a acreditar, a partir de premissas

corretas, que sua “vítima” não está desenvolvendo o trabalho

corretamente, conseguindo assim, que a mesma insira informações

falsas e/ou libere acessos restritos da empresa/máquina.

c) Necessidade – Essa característica visa sensibilizar a “vítima” com falsa

ideia que o Engenheiro Social está “em apuros”. Normalmente, as

pessoas tendem a ajudar.

d) Autoridade – Utilizando de indumentárias específicas (ternos, por

exemplo) e/ou citando nomes importantes/influentes da empresa, o

Engenheiro explora o medo na “vítima”.

e) Reciprocidade – O Engenheiro utiliza da ajuda mútua e gratidão para

atingir seus objetivos com as “vítimas”. Normalmente, as pessoas ficam

propensas a ajudar após ser ajudada.

f) Similaridade – Com base nas informações das “vítimas” como gênero,

ramo de atuação, idade, mesma situação (deficiência/limitação, por

exemplo), o Engenheiro Social busca a confiança para respaldar seu

ataque.

g) Informacional – Todo Engenheiro Social necessita ser bem informado

sobre o local que vai atacar. Isso facilita e muito na persuasão das

“vítimas”, pois cria uma situação mais confortável e retira o bloqueio

inicial. Nesse tipo de ataque, os funcionários recém admitidos são os

mais propensos a cair no golpe.

Além da persuasão, o Engenheiro Social é dotado de um enorme

poder de criatividade. Essa criatividade é tão grande que na maioria das vezes,

a vítima nem imagina que foi usada e muito menos que acabou de abrir o

caminho para um invasor.

19

Para que o ataque seja bem sucedido, é criado um ambiente

psicológico perfeito, como exemplo, identificações falsas, apelo sentimental,

sempre deixando a “vitima” bem tranquila.

A tabela abaixo exibe os tipos de Engenheiros Sociais e seus

respectivos objetivos ao utilizar a Engenharia Social (POPPER; BRIGNOLI,

2003):

INTRUSOS OBJETIVOS

Estudantes Vasculhar mensagens de e-mail

alheias por diversão ou curiosidade.

Crackers Quebrar sistemas de segurança e

roubar informações.

Representantes Comerciais Encontrar Planilhas referentes a

preços ou cadastro de clientes.

Executivos Descobrir plano estratégico dos seus

concorrentes.

Espiões Descobrir planos militares

Terroristas Causar pânico pela rede e roubar

informações estratégicas.

Contatores Desfalques financeiros.

Corretores de Valores Adulterar informações para obter

lucro com o valor das ações.

Ex-funcionários Causar prejuízos apenas por

vingança.

Vigaristas Roubar informações, como senhas e

números de cartões de crédito.

20

Tabela 1: Tipos de Engenheiros Sociais e seus objetivos Fonte: (POPPER; BRIGNOLI, 2003)

Os ataques de Engenharia Social são normalmente praticados por

Crackers, que são Hackers mal intencionadas, pois ainda existe uma confusão

enorme com relação a esses dois termos, pois o termo “Hacker” está mais

relacionado ao indivíduo que possui um elevadíssimo graçu de conhecimento

em assuntos relacionados a computação como, por exemplo, linguagens de

programação, redes de computadores e entre outros conhecimentos e muitas

vezes esses eruditos utilizam todo o seu conhecimento para melhorar Software

de forma legal ao contrário dos Crackers que têm como objetivo trazer danos,

roubar informações, dinheiros, etc.

2.2.2. Tipos de Ataques.

Segundo Kevin Mitnick:

É prática comum pedir que um colega ou subordinado faça um

favor. Os Engenheiros Sociais sabem como explorar o desejo

natural das pessoas de ajudar e fazer parte de uma equipe. Um

atacante explora esse traço humano positivo para enganar

empregado desavisado para que executem ações que o

coloquem mais perto de seu objetivo. É importante entender

esse conceito simples para que você reconheça quando outra

pessoa está tentando manipulá-lo. (MITNICK;SIMON, 2003,

P.163).

Como dito anteriormente, a Engenharia Social é uma das técnicas

utilizadas por Crackers para obter acesso não autorizado a sistemas, redes ou

informações com grande valor estratégico para as organizações.

Alguns dos principais tipos de ataques serão ilustrados abaixo:

a) Análise do Lixo: O lixo é uma das fontes mais ricas de informações

para os Engenheiros Sociais; nele, podem ser encontrados dados de

fornecedores, colaboradores, senhas, etc.

21

b) Telefone convencional ou VolP (voz sobre IP): O engenheiro

social usa suas técnica e habilidades passando-se por alguém

(influente, familiar) para ludibriar a vítima.

c) Spoofing: Uma nova técnica utilizada é o chamado Spoofing do

número telefônico, que tem por objetivo defraudar o sistema de

identificação de chamadas, fazendo com que o número exibido pelo

identificador de chamadas seja aquele desejado pelo fraudador.

d) Internet e Redes Sociais: Quando um Engenheiro Social precisa

conhecer melhor seu alvo, esta técnica é utilizada, iniciando um

estudo no site da empresa para melhor entendimento, pesquisas na

Internet e uma boa consulta nas redes sociais na qual é possível

encontrar informações interessantes de funcionários da empresa,

cargos, amizades, perfil pessoal, entre outros.

e) Intranet: Tem por objetivo acessar remotamente algum

microcomputador da rede da empresa com o objetivo de se passar

por alguém.

f) Phishing: Enviar e-mails falsos para induzir a vítima a clicar em links

que instalarão vírus, Cavalos de Troia ou redirecionarão para

páginas falsas que capturam dados digitados.

g) Abordagem pessoal: Visita na empresa se passando por alguém

influente e/ou inofensiva (fornecedor, prestador de serviços, etc) e

através do poder de persuasão e falta de treinamento dos

funcionários, consegue convencer os colaboradores a liberarem o

acesso restrito.

h) Fax: Obter informações primárias para posteriormente fazer um

ataque melhor elaborado.

i) Spyware: É um software espião que monitora o microcomputador

sem que a vítima perceba.

j) Redes P2P (Peer-to-Peer): Essa é uma tecnologia que permite o

compartilhamento de arquivos entre diversos computadores. O

atacante usa essa tecnologia para espalhar vírus, Cavalos de Troia e

22

muitas outras pragas, além de claro oferecer ajuda para suas vítimas

a fim de trapaceá-las.

k) Engenharia Social Inversa: A engenharia social inversa é uma

técnica mais avançada e que exige muito mais preparação e

pesquisa. Nessa técnica os papeis se invertem. O atacante finge ser

uma autoridade, de maneira que os funcionários passarão a pedir

informação para ele, até chegar um ponto que o criminoso extraíra

informações valiosas sem que ninguém desconfie.

l) Footprint: Essa técnica tem por objetivo maior descobrir

informações a respeito de algumas tecnologias usadas pela

empresa, referentes principalmente ao acesso remoto, Internet e

extranet. Essa técnica utiliza-se de softwares especiais para coletar

as informações desejadas e é normalmente utilizada quando o

invasor não consegue absorver as informações desejadas através de

outras técnicas de persuasão devido à falta de conhecimento por

parte das vítimas a respeito do assunto desejado pelo invasor.

m) Programação neurolinguística: Essa técnica se baseia em imitar o

jeito de ser da vítima como, por exemplo, sua maneira de falar, se

expressar, gestos e entre outros, por um determinado tempo para

assim confundi-la, de maneira a formar certa intimidade, deixando a

vítima pensar que está no comando da situação. Até que a partir de

certo momento, o engenheiro social passa a comandar o dialogo sem

que a vítima sequer perceba, capturando assim as informações

desejadas. (JUNIOR, 2006).

2.3. Engenharia Social nas Empresas de Pequeno e Médio

Porte.

O valor de uma empresa depende cada vez mais de informações

como propriedade intelectual e os dados críticos de negócios estão cada vez

mais volumosos, dispersos, móveis e dinâmicos. Essas realidades demandam

atenção na defesa dos ativos digitais corporativos.

23

Para as empresas de grande porte, os investimentos em segurança

da informação já ocupam boa parte dos seus orçamentos anuais. No entanto, a

mentalidade das empresas de Pequeno e Médio Porte ainda precisa

amadurecer nesse sentido. Principalmente na conscientização que não

somente os esforços para investimentos em ferramentas e soluções de

segurança, mas também no desenvolvimento de uma política e cultura entre

seus clientes internos e externos para que possam mitigar os riscos de ataques

virtuais.

O Relatório sobre Segurança da Informação nas Empresas (2010)

da Symantec mostra que as empresas da América Latina perdem mais de US$

500 mil por ano em decorrência de ataques virtuais. Outra pesquisa da

Qualibest apontou que mais de 85% dos funcionários no Brasil usam a internet

da empresa para fins pessoais. Desses, quase 80% usam o e-mail pessoal

durante o expediente, mais de 60% fazem pesquisas pessoais em sites de

busca, mais de 50% fazem operações com internet banking e cerca de 15%

utilizam a conexão com a internet da empresas para download de músicas,

jogos e outros downloads de interesses pessoais.

Outra facilidade muito comum nessas empresas é a displicência dos

usuários em criar senhas fáceis de serem descobertas. Muitos utilizam como

senha, nome do login, palavras existentes nos dicionários, apelidos, datas de

nascimento, de namoro/casamento, números sequenciais, informação de

familiares ou até mesmo o próprio nome que, com um software gerenciador de

senhas, é possível decifra-lás em segundos.

Com base nos dados acima, podemos concluir que as empresas de

Pequeno e Médio Porte proporcionam um “cenário ideal” para as ações dos

Engenheiros sociais, pois de acordo com a Pesquisa Global da EY sobre

Segurança da Informação – 2015, os criminosos cibernéticos procuram

fraquezas e brechas para que, aliadas a conhecimentos específicos sobre a

empresa, consigam atingir seus objetivos.

24

Apresentado de forma detalhada o conceito, forma de atuação e

tipos de ataques gerados pela Engenharia Social, o próximo capítulo será

destinado á forma de como as empresas devem se prevenir dos ataques e

mitigar os possíveis riscos dos Engenheiros Sociais.

25

CAPÍTULO III

COMBATE AO PERIGO DA ENGENHARIA SOCIAL

3.1. Combatendo os Engenheiros Sociais.

Conforme mencionado anteriormente, os Engenheiros Sociais

utilizam-se da persuasão e do profundo conhecimento do ambiente a ser

atacado para atingir seus objetivos.

O grande desafio das empresas é saber como minimizar esse risco.

A prevenção não é tarefa fácil. A maioria das empresas não direciona recursos

financeiros nem humanos para tal, pois investem na manutenção de sistemas e

em novas tecnologias, ao invés de direcionar parte desse investimento para

combater um inimigo que pode ser bem mais perigoso, a Engenharia Social.

Na visão do (PEIXOTO, 2006, p.20):

Se todo funcionário fosse tão questionador como uma criança,

demonstrando interesse nos mínimos detalhes, ouvindo mais,

estando fortemente atento a tudo a sua volta, e principalmente

fazendo o uso dos poderosos “por quês”, com certeza as

empresas transformariam os frágeis cadeados em legítimos

dispositivos dificultantes de segurança da informação.

Ainda segundo (PEIXOTO, 2006, p. 54)

A maior prova para se ter certeza de que você será a próxima

vítima da engenharia social é simplesmente subestimar o

praticante desta arte. Mas como ao certo saber quem é afinal o

engenheiro social naquele dado momento, lugar ou situação?

Não saberá, na primeira instância. Apenas desconfiará de

algum suspeito à medida que você vá adquirindo conhecimento

das técnicas padrões e revolucionárias da engenharia social. E

assim percebendo algumas “gafes” do engenheiro social,

deixará a incerteza para então capturar o alvo certo.

26

Os seres humanos são seres imperfeitos e multifacetados. Além

disso, situações de risco modificam seus comportamentos e, decisões serão

fortemente baseadas em confiança e grau de criatividade da situação.

Em função disso desses fatores, sempre existirão brechas em seu

caráter ou comportamento pouco consciente em relação à segurança, onde a

Engenharia Social poderá ser plenamente eficaz.

Dentro do ambiente coorporativo, alguns erros cometidos aumentam

potencialmente o risco de se tornar uma vítima da Engenharia Social:

(PEIXOTO, 2006):

• Mencionar senha por telefone é um erro gravíssimo, pois antes de

disponibilizar qualquer tipo de informação, deve-se saber com quem se

fala e onde se fala, além de conferir através de aparelhos indicadores de

chamada se o telefone de origem da ligação se é o realmente

mencionado;

• Visitantes terem acesso às áreas interna na empresa, obtendo contato

com as informações confidenciais;

• Entrada de pessoas não autorizadas ou principalmente sem

identificação, com as portas abertas e expostas à entrada de qualquer

um;

• Entrega de informações sem o devido conhecimento real de quem as

está levando;

• Recebimento de informações digitais sem o prévio conhecimento da

procedência, sem fazer primeiramente uma inspeção do material

recebido de algum lugar ou equipamento que não comprometa a

empresa ou organização;

27

• Descarte incorreto de material que se acha inútil, como por exemplo,

não triturar documentos antes de jogá-los fora e de preferência em

diversas lixeiras ou o descarte de CDs e outros, sem eliminar

definitivamente as informações contidas neles;

• Gavetas abertas, de fácil acesso a documentos;

• Jogo via internet ou mesmo por Pen-drives ou CD-ROM são passíveis

de conter armadilhas, como ativação de worms, cavalo de troia, vírus e

dentre outros perigos que se escondem por trás dos envolventes jogos

ou diversões oferecidas;

• Deixar expostos arquivos de backup, não guardando em lugar seguro e

confiável, além de demonstrar explicitamente que é um backup;

• Nome de usuários e senhas expostas para qualquer um que passar ver

e ter acesso;

• Computador ligado exibindo informações confidenciais como senha,

login de usuários e código fontes;

• Acesso a sites indevidos, não confiáveis, ou fora das políticas de

trabalho da empresa;

• Sistema de alarme desativado, desligado ou inoperante, em caso de

alguma urgência ou emergência.

Para que as empresas possam mitigar os riscos de possíveis

ataques de Engenheiros Sociais é necessário a criação de políticas de

28

segurança centralizada e bem divulgada e implementar essa nova cultura nos

colaboradores.

Além disso, para auxiliar as empresas a se protegerem dos ataques

dos Engenheiros Sociais é imprescindível que haja uma política de criação de

senhas consideradas fortes, tais como:

• Sequência longa e aleatória de caracteres;

• Combinar letras, números e símbolos;

• Utilizar espaços entre palavras ou caracteres (se o sistema

aceitar);

• Mesclar letras maiúsculas com minúsculas.

Essas e outras dicas têm como objetivo minimizar ou dificultar ao

máximo a possibilidade de sofrer prejuízos causados pela Engenharia Social.

3.1.1. Política de Segurança.

Como definição da Cartilha de Segurança para Internet (CGI.br,

NIC.br, CERT.br, 2012), a Política de Segurança é considerada como um

importante mecanismo de segurança, tanto para as instituições como para os

usuários, pois com ela é possível deixar claro o comportamento esperado de

cada um. Desta forma, casos de mau comportamento, que estejam previstos

na política, podem ser tratados de forma adequada pelas partes envolvidas.

Ainda segundo a Cartilha, a política de segurança define os direitos

e as responsabilidades de cada um em relação à segurança dos recursos

computacionais que os utiliza e as penalidades às quais está sujeito, caso não

a cumpra.

A política de segurança pode conter outras políticas específicas,

como:

• Política de senhas: define as regras sobre o uso de senhas nos

recursos computacionais, como tamanho mínimo e máximo, regra de

formação e periodicidade de troca.

29

• Política de backup: define as regras sobre a realização de cópias de

segurança, como tipo de mídia utilizada, período de retenção e

frequência de execução.

• Política de privacidade: define como são tratadas as informações

pessoais, sejam elas de clientes, usuários ou funcionários.

• Política de confidencialidade: define como são tratadas as

informações institucionais, ou seja, se elas podem ser repassadas a

terceiros.

• Política de uso aceitável (PUA) ou Acceptable Use Policy (AUP):

também chamada de “Termo de Uso” ou “Termo de Serviço”, define as

regras de uso dos recursos computacionais, os direitos e as

responsabilidades de quem os utilizam e as situações que são

consideradas abusivas.

Como forma de divulgação da política de segurança as empresas

podem utilizar alguns recursos valiosos, como exemplos: intranet, boletins

periódicos on-line, lembretes no correio eletrônico, requisitos de mudança de

senha e treinamento.

Para as empresas, o maior risco é que os colaboradores tornarem-

se complacentes e relaxarem na segurança; por isso a importância da ampla

divulgação e treinamento direcionado.

Esse treinamento deve estender-se por toda a empresa, incluindo

Diretores, Gerentes, Supervisores e demais funcionários. O foco deve ser as

tácticas comuns de intromissão e as estratégias de prevenção. Quando alguém

captar sinais de um ataque, deve imediatamente alertar os demais, para que

não sejam também abordados.

Para evitar ser mais uma vítima, as áreas de risco da empresa, a

tática do invasor e a respectiva estratégia de combate necessitam estão

30

relacionadas (POPPER; BRIGNOLI, 2003), conforme ilustrado na tabela

abaixo:

ÁREA DE RISCO

TÁTICA DO INVASOR

ESTRATÉGIA DE

COMBATE

Suporte de Informática

Representação e Persuasão

Desenvolver na empresa uma política de mudança frequente de senhas e treinar os demais funcionários para nunca repassarem senhas ou outras informações confidenciais por telefone.

Entrada de Edifícios

Acesso físico não

autorizado.

Treinar os funcionários da segurança para não permitirem o acesso de pessoas sem o devido crachá de identificação e mesmo assim fazer uma verificação visual.

Escritórios

Caminhar pelo Ambiente

Não digitar senhas na presença de pessoas estranhas, a não ser que você consiga fazer isso rapidamente.

Escritórios

Caminhar pelos corredores à procura de salas desprotegidas.

Todos os visitantes devem ser acompanhados por um funcionário da empresa.

Escritórios

Roubar documentos importantes

Manter os documentos confidenciais fora do alcance de pessoas não autorizadas.

Sala de correspondência

Inserção de mensagens falsas.

Fechar e monitorar a sala de correspondência.

Sala dos servidores

Instalam programas analisadores de protocolo para conseguirem informações confidenciais, além da remoção de equipamentos.

Manter sala dos servidores sempre trancada e o inventário de equipamento atualizado.

Central telefônica

Roubar acesso a linhas telefônicas

Controlar chamadas para o exterior e para longas distâncias e recusar pedidos de transferências suspeitas

Suporte Telefônico

Usar de disfarces na hora de solicitar ajuda aos atendentes,

Os atendentes devem solicitar sempre um código de acesso, para só então

31

geralmente se passando por outra pessoa.

prestarem o suporte solicitado.

ÁREA DE RISCO

TÁTICA DO INVASOR

ESTRATÉGIA DE

COMBATE

Depósito de lixo

Vasculhar o lixo

Guardar o lixo da empresa em lugar seguro, triturar todo tipo de documento e destruir todo o tipo de mídia magnética fora de uso.

Internet e Intranet

Criar e/ou inserir programas na Internet ou Intranet para capturar senhas

Criar senhas fortes e fazer uso consciente da mesma, alterando-a periodicamente.

Tabela 1: Área de Risco, Táticas e Estratégia

Fonte: (POPPER; BRIGNOLI, 2003).

3.1.3. Plano de Resposta a Incidentes.

Mesmo a melhor infraestrutura de segurança da informação não

pode garantir que intrusos ou outras ações maliciosas ocorram. Quando um

incidente de segurança ocorre, é um fator crítico para a organização ter meios

para responder a esse evento. A velocidade à qual uma organização pode

reconhecer, analisar e responder a um incidente de segurança, limita os

estragos e diminui os custos de restauração. A habilidade de usar essa

informação para reparar ou prevenir ocorrências similares, aprimora a

segurança geral a uma organização.

O Plano de Resposta a Incidentes é um documento que descreve as

diretrizes gerais e procedimentos para tratamento dos principais incidentes de

segurança que podem ocorrer na organização, proporcionando ao pessoal de

suporte instruções sobre as medidas a serem tomadas para definição e

correção dos mesmos.

O tipo de tratamento dado aos incidentes de segurança varia de

acordo com a sua intensidade de risco. Porém, o encaminhamento deve ser

decidido em acordo com a alta direção da sua empresa e com o respaldo do

departamento jurídico. As ações pertinentes podem envolver o relacionamento

32

com entidades externas (como clientes, parceiros, provedores de serviços e

outros) ou mesmo exigir o acionamento de autoridades e órgãos policiais.

Principais pontos a serem considerados em um Plano de Resposta a

Incidentes:

• Procedimentos para identificação e autoria dos ataques:

identificar a intensidade e quantificar os prejuízos causados

pelo incidente e também procurar identificar os

responsáveis pelo incidente;

• Divulgação das informações: divulgar imediatamente o fato

ocorrido para que outras áreas não sejam também

abordadas;

• Procedimentos e pessoal responsável pela restauração: as

ações de restauração como, mudança de senhas, troca de

pessoal, intensificação dos níveis de controle, devem ser

imediatamente tomadas a fim de evitar maiores prejuízos;

• Contatos com as fontes do ataques e órgãos de

segurança: contatar os responsáveis pelos ataques, a fim

de exigir a indenização dos prejuízos e também os órgãos

de segurança para que fique registrado o fato ocorrido

(Medeiros, 2001).

A gama de formas de ataque de engenharia social é muito grande e

os procedimentos de resposta a incidentes são particulares. Estas

particularidades variam de acordo com o ramo de atividade de cada empresa; o

que é imprescindível para uma, pode ser dispensável para outra. No entanto,

toda empresa, independente do porte, deve ter o seu Plano de Resposta a

Incidentes.

33

3.2. Software ou fator humano, onde concentrar o

investimento?

O grande dilema das empresas de pequeno e médio porte é onde

investir para mitigar os efeitos da Engenharia Social. De acordo com o Kenin

Mitnick (Arte de Enganar, pág. 03), o fator humano é o elo mais fraco da

segurança.

Então a pergunta do título estaria respondida. Errado! A resposta

não é tão simples assim devido à mentalidade dos empreendedores brasileiros,

pois segundo o Sebrae (2016), os mesmos não conseguem dar a devida

importância ao treinamento e capacitação da equipe e a encaram como custo

ou “bondade”.

Diante desse pensamento, a concentração dos investimentos,

normalmente, é em sistemas e software, já que são propriedades intangíveis

das empresas. No entanto, não são garantias de proteção contra os ataques

dos Engenheiros Sociais.

Investir na capacitação e desenvolvimento dos colaboradores é a

forma mais eficiente que as empresas têm para prevenir e combater os efeitos

da Engenharia Social.

Para que os colaboradores adquiram conhecimentos supracitados é

necessário investimentos, por parte das empresas, nos seguintes tópicos:

• Seminários de Sensibilização;

• Cursos de Capacitação;

• Campanhas de divulgação da política de segurança;

• Crachás de identificação;

• Procedimentos específicos para demissão e admissão de funcionários;

• Termo de Responsabilidade;

• Termo de Confidencialidade;

• Softwares de auditoria de acessos, monitoramento e filmagem de

conteúdo.

34

Aliado a todos esses pontos supracitados, as empresas devem

influenciar seus colaboradores a mudarem seus hábitos e motivá-los a

participarem do treinamento, para assim conscientizá-los que eles são parte da

segurança da informação na empresa e que ela poderá sofrer um ataque a

qualquer momento. Com essa consciência e bem motivados, eles buscarão

cumprir sua parte para proteger o ativo mais importante da empresa: as

informações.

Além disso, investimentos nos programas de treinamento e

conscientização devem ser realizados constantemente, pois como o passar do

tempo o preparo das pessoas diminui além de novas ameaças e técnicas

usadas pelos engenheiros sociais surgirem constantemente, o que faz com que

seja necessário reforçar e atualizar os riscos na mente dos colaboradores.

Uma empresa que realmente leva a sérios os riscos e as

consequências da Engenharia Social a sério e como uma prioridade em sua

cultura corporativa passa a treinar seus funcionários assim que são admitidos,

de maneira que nenhum funcionário possa receber acesso a um

microcomputador antes de participar de pelo menos um treinamento básico

sobre os princípios básicos da política de segurança da empresa.

Um ótimo aspecto a ser abordado que pode funcionar como um

grande agente motivador para os colaboradores é esclarecê-los de que a

segurança da informação não é um assunto de interesse somente da empresa,

mas também dos próprios funcionários, pois a própria empresa possui

informações particulares a respeito dos seus funcionários. Assim, os

colaboradores perceberão que seguindo a política da empresa estarão

protegendo não somente informações corporativas, mas também suas

informações pessoais.

Cabe ressaltar que o treinamento deve ser adaptado de acordo

com os requisitos específicos de cada grupo dentro da organização, pois

apesar de muitas vezes são aplicados a todos os colaboradores, há situações

em que será necessária a existência de políticas específicas para

determinados cargos ou grupos distintos dentro das organizações. Também é

35

muito importante destacar a questão de funcionários que mudarem de cargo,

função e etc; os mesmos deverão passar por um novo processo de treinamento

ajustado às suas novas atribuições.

É fundamental que todos os colaboradores envolvidos sejam

advertidos a respeito das consequências que sofrerão se não cumprirem as

normas e procedimentos estabelecidos, pois muitas vezes, os próprios

funcionários ignoram ou até mesmo negligenciam os procedimentos que

acham desnecessários, ou aqueles considerados tediosos segundo

entendimento próprio.

Elaborar um resumo dessas consequências e divulgá-los

amplamente é um ótimo procedimento a ser realizado.

36

CONCLUSÃO

Neste trabalho a Engenharia Social foi abordada de maneira a

esclarecer o que é essa prática tão utilizada para alcançar algum objetivo de

forma ilícita. Assim como a importância que a informação tem para as

organizações e a necessidade de protegê-la.

Hoje em dia, as informações são transmitidas cada vez mais

dinâmicas e sem a utilização da tecnologia esse processo seria impossível.

Com isso, o cuidado com os dados transmitidos são imprescindíveis para o

mundo coorporativo.

Diante disso, as empresas necessitam desenvolver políticas de

seguranças consistentes com objetivo de mitigar possíveis riscos e ameaças e

de manter sua confidencialidade, disponibilidade e integridade do seu

patrimônio intangível (informação, dados).

A maioria dos incidentes envolvendo a segurança da informação

está diretamente ligada ao fator humano, pois esta mais relacionada com

processos do que com a própria tecnologia. Traços comportamentais e

psicológicos tornam o ser humano suscetível a ataques dos Engenheiros

Sociais.

Utilizando-se de Conformidade, lógica, Necessidade, Autoridade,

Reciprocidade, similaridade e informacional, os Engenheiros Sociais procuram

atingir seus objetivos de forma mais precisa e detalhada, reduzindo assim,

chances de falhas.

Diante do exposto, a questão central desse trabalho resurge: Em

meio a grave crise econômica e financeira do Brasil, as empresas de pequeno

e médio porte podem mitigar o impacto da Engenharia Social?

Com base no trabalho desenvolvido, o mesmo atingiu as

expectativas e elucidou o tema de forma positiva: diante do cenário de

turbulência vivido pelo país, as empresas de pequeno e médio porte podem

mitigar o impacto da Engenharia Social.

37

Conclui-se então que investimentos somente em software modernos

não são impeditivos para coibir as ações dos Engenheiros Sociais, mesmo

porque em tempos de crise que o País está atravessando, isso não seria nada

simples para as empresas de pequeno e médio porte, diante dos altos custos

envolvidos.

A maneira mais eficiente de mitigar os possíveis ataques seria

investimentos na capacitação e desenvolvimentos dos colaboradores; o foco

deverá ser em ter atenção e responsabilidade ao manipular, transmitir ou

descartar informações, atrelados a política de segurança centralizada e bem

divulgada, através de uma reeducação na organização de maneira a inserir

uma nova cultura que abrange cem por cento da empresa, pois qualquer falha

poderá ser fatal.

38

BIBLIOGRAFIA

ABNT. Tecnologia da informação — Técnicas de segurança — Código de

prática para a gestão da segurança da informação. Rio de janeiro. 2005.

EY. Pesquisa Global sobre segurança da informação – 2015. Disponível em:

http://www.ey.com/Publication/vwLUAssetsPI/giss2015_/$FILE/EY_Global_Info

rmation_Security_Survey_2015_report_Web.pdf, Acesso em: 15-jul-2016

GOUVEIA, LUÍS B. Desafios da segurança da informação: da sua cultura e

aplicação à confidencialidade. Disponível em:

http://pt.slideshare.net/lmbg/desafios-da-segurana-da-informao-da-sua-cultura-

e-aplicao-confidencialidade. Acesso em 11-jul-16

MITNICK, Kevin D.; SIMON, William L. A Arte de Enganar: Ataques de

Hackers: Controlando o Fator Humano na Segurança da Informação. São

Paulo: Pearson Education, 2003.

NÚCLEO DE INFORMAÇÃO E COORDENAÇÃO DO PONTO BR; CENTRO DE ESTUDOS, RESPOSTA E TRATAMENTO DE INCIDENTES DE SEGURANÇA NO BRASIL. Cartilha de Segurança para a Internet. Disponível em: http://www.cgi.br/media/docs/publicacoes/1/cartilha-seguranca-

internet.pdf#page=5&zoom=auto,-107,345 Acesso em: 16-set-16

PEIXOTO, Mário C. P. Engenharia Social e Segurança da Informação na

Gestão Corporativa. Rio de Janeiro: Brasport, 2006.

POPPER, Marcos Antônio; BRIGNOLI, Juliano Tonizatti. Engenharia Social:

Um perigo Eminente. 2003

PWC. Pesquisa Global de Segurança da Informação. Disponível em:

https://www.pwc.com.br/pt/publicacoes/servicos/assets/consultoria-

negocios/pesq-seg-info-2014.pdf. Acesso em 05-mai-16

SEBRAE. Qualificação de pessoas, sem dúvida! Disponível em:

http://www.papodeespecialistas.sebrae.com.br/qualificacao-de-pessoas-sem-

duvida/ Acesso em 07-jul-16

39

ÍNDICE

FOLHA DE ROSTO 02 AGRADECIMENTOS 03 DEDICATÓRIA 04 RESUMO 05 METODOLOGIA 06 SUMÁRIO 07 INTRODUÇÃO 08

CAPÍTULO I

A TECNOLOGIA NO MUNDO CORPORATIVO 10

1.1. A importância da Segurança da Informação para as Pequenas e Médias empresas 10

CAPÍTULO II

A ARTE DA ENGENHARIA SOCIAL 16

2.1. Conceituando a Engenharia Social 16

2.2. O Engenheiro Social 17

2.3. Engenharia Social nas Empresas de Pequeno e Médio Porte 22

CAPÍTULO III

COMBATE AO PERIGO DA ENGENHARIA SOCIAL 25

3.1. Combatendo os Engenheiros Sociais 25

3.2. Software ou fator humano, onde concentrar o investimento? 33

CONCLUSÃO 36 BIBLIOGRAFIA 38 ÍNDICE 39 ÍNDICE DE FIGURAS 40

40

ÍNDICE DE FIGURAS

Figura 1 – Impactos dos incidentes de segurança 11

Figura 2 – Fluxograma 13