Segurana da informao vs Engenharia Social Como se proteger para no ser mais uma vtimaMtodos, tcnicas e meios utilizados pelo engenheiro social para enganar sua vtima.

RESUMO O presente artigo tem por objetivo principal abordar a engenharia social no que se refere aos seus mtodos, tcnicas e meios utilizados pelo engenheiro social para enganar sua vitima e comprometer assim a segurana da informao, de maneira que o leitor possa reconhecer esse tipo de abordagem para assim no ser mais uma vitima dessa prtica to comum nos dias de hoje. O artigo tambm tem como objetivo despertar o interesse e a conscientizao das pessoas e das organizaes para esse perigo eminente, pois esse o melhor caminho para proteger a informao. O artigo no tem como objetivo abordar a parte tcnica da segurana da informao, no que se referem aos protocolos, cdigos e etc. Partindo do princpio que a maioria dos usurios no compreende isso, pois so leigos nesse assunto. O artigo foi divido em trs grandes momentos. No primeiro momento ser abordado o conceito de engenharia social e segurana da informao assim como a importncia da informao nos dias de hoje para as pessoas e principalmente para as organizaes. Em um segundo momento, sero expostas algumas caractersticas inerentes ao ser humano que assim o torna presa fcil, assim como tambm as caractersticas do engenheiro social, para que assim possa ser reconhecido. Tambm sero tratados os procedimentos que no podem ficar de fora de uma poltica de segurana da informao, como por exemplo, os planos de treinamento e conscientizao dos funcionrios. Por ltimo, sero dadas dicas de como se proteger para no ser mais uma vitima da engenharia social. Com isso o leitor ter uma viso mais ampla dos riscos, danos e consequncias causadas pela engenharia social, assim como o que precisa ser feito para combat-la e como se proteger.

Palavras-chave: Engenharia Social. Segurana da Informao. Conscientizao. ABSTRACT This article aims to address the main social engineering regarding to its methods, techniques and methods used by social engineers to fool his victim and thereby compromise the security of information, so that the reader can recognize this kind of approach for not being a victim of this practice so common nowadays. The article also aims to arouse interest and awareness of people and organizations for this imminent danger, because this is the best way to protect information. The article is not intended to address the technical aspects of information security, as they refer to protocols, codes and so on. Assuming that most users do not understand this, because they are laymen in this matter. The article was divided into three great moments. At first we will address the concept of social engineering and information security as well as the importance of information nowadays for people and especially for organizations. In a second stage, it will be exposed some inherent characteristics of the human being that makes it a so easy prey, as well as the characteristics of the social engineer, so it can be recognized. It also will address the procedures that can not be left out of an information security policy, such as plans for training and awareness of employees. Finally, it will be given tips on how to protect yourself for not being another victim of social engineering. Thus the reader will have a broader view of risks, consequences and damage caused by social engineering, as well as what must be done to combat it and how to protect yourself. Key words: Social Engineering. Information Security. Awareness. LISTA DE FIGURASFigura 1 O ciclo Figura 2 Os pilares da Segurana da Informao 16 19

Figura 3 Aspectos da segurana da informao Figura 4 Atual modelo da segurana da informao. Figura 5 Proposta de novo modelo para Segurana da Informao. Figura 6 Elo mais fraco Figura 7 Como metade de oito para o Engenheiro Social. Figura 8 Ambiente sem polticas de Segurana.

19 24 24 25 29 32

LISTA DE TABELASTabela 1 Tipos de intrusos e seus objetivos. Tabela 2 reas de Risco, Tticas e Estratgias 27 54

SUMRIO12 INTRODUO 1. CONCEITOS DE ENGENHARIA SOCIAL E SEGURANA DA 15 INFORMAO 1.1. O QUE A ENGENHARIA SOCIAL 15 1.2. O QUE INFORMAO E QUAL A SUA IMPORTNCIA 17 1.3. O QUE SEGURANA DA INFORMAO. 17 1.4. TIPOS DE VULNERABILIDADES 21 23 2. O FATOR HUMANO 2.1. SUAS VULNERABILIDADES 25 2.2. COMO AGE O ENGENHEIRO SOCIAL 27 3. A IMPORTNCIA DA POLTICA DE SEGURANA, TREINAMENTO E 30 CONSCIENTIZAO 3.1. AMEAAS 30 3.2. POLTICA DE SEGURANA 31 34 3.2.1. Plano de treinamento e conscientizao 39 3.2.2. Plano de resposta a incidentes 4. TIPOS DE FRAUDES USANDO A ENGENHARIA SOCIAL, SUAS 42 TCNICAS E MEIOS UTILIZADOS 4.1. MEIOS MAIS COMUNS PARA ATACAR 42 4.2. TCNICAS DE ATAQUE MAIS COMUNS 43 5. DICAS PARA NO SER MAIS UMA VTIMA DA ENGENHARIA 47 SOCIAL 5.1. COMO SE PROTEGER 47 55 5.1.1. Elaborando senhas fortes 59 CONCLUSO 61 REFERNCIAS

INTRODUO

Hoje em dia, a informao o ativo mais valioso das organizaes. Ao mesmo tempo passa tambm a ser o mais visado e desejado por pessoas mal intencionadas com objetivo de vasculhar por curiosidade, furtar para obter informaes sigilosas e valiosas, trazer danos seja por diverso, benefcio prprio ou vingana, descobrir segredos e etc. Por isso, mais do que nunca, existe uma preocupao enorme com relao segurana das informaes nas organizaes e at mesmo nos lares, pois ela representa a inteligncia competitiva dos negcios (competitividade) e lucratividade. Por isso est exposta a uma enorme variedade de ameaas e vulnerabilidades. A questo que as organizaes do nfase somente na atualizao dos seus parques tecnolgicos como, por exemplo, tecnologias de ultima gerao, produtos cada vez mais sofisticados, firewalls, anti-malwares, Sistemas de deteco de intruso (IDS), dispositivos de autenticao cada vez mais poderosos, tokens, Smart cards, biometria e etc. Claro que toda essa tecnologia importante e fundamental para a segurana da informao, mas no o bastante. De nada adiantar trancar sempre as portas de sua casa, manter cadeados ou sistemas de segurana que monitorem ou dificultem a entrada pelas portas, sendo que algum de dentro de casa sempre abre as portas para o bandido. Dessa maneira, todo investimento vai por gua abaixo. Infelizmente ainda no da cultura das empresas investirem no treinamento e na conscientizao dos seus funcionrios, afinal eles tambm fazem parte da segurana da informao, mas as empresas acabam deixando de lado outro aspecto to importante quanto tecnologia, que o fator humano, que por sinal o elo mais fraco da segurana da informao. Quanto mais a tecnologia e os dispositivos de segurana evoluem dificultando assim a explorao de vulnerabilidades, mais os invasores exploraro o fator humano, pois como diz o prprio ditado: No h Patch contra

a Burrice Humana. (MARCELO; PEREIRA, 2005, p. 3). H somente uma maneira de combater a questo do fator humano e isso deve ser feito atravs de treinamentos e conscientizao dos funcionrios. Empregados devem ser treinados e orientados sobre o que a informao precisa para estar protegida e como proteg-la. A engenharia social, propriamente dita, est inserida como um dos desafios (se no o maior deles) mais complexos no mbito das vulnerabilidades encontradas na gesto da segurana da informao. (PEIXOTO, 2006, p. 36). A falta de conscincia das pessoas a respeito das tcnicas de Engenharia Social e o seu excesso de autoconfiana so os principais aspectos que favorecem o sucesso da Engenharia Social. Uma empresa que realmente leva a srio a questo da segurana da informao e considera isso como uma prioridade em sua cultura corporativa passa a treinar seus funcionrios assim que so admitidos, de maneira que nenhum funcionrio possa receber acesso a um microcomputador antes de participar de pelo menos uma aula bsica sobre conscientizao em segurana da informao. O objetivo desse artigo ajudar as pessoas a entenderem como elas so manipuladas e ensinar as barreiras que devem ser construdas por elas para no serem vtimas da engenharia social. Em resumo esse artigo tem como objetivo levantar a conscientizao das pessoas com relao sria ameaa causada pela engenharia social e ajud-las a terem certeza que suas empresas ou at mesmo seus prprios lares esto menos suscetveis a serem explorados por essas tcnicas. Esse artigo tem como escopo a parte no tcnica da segurana da informao, que envolve mtodos utilizados pelos intrusos para roubarem informao, comprometerem a integridade da informao que se acredita ser segura, mas na realidade no , ou destruir o ativo mais importante das empresas que so suas informaes, utilizando o mtodo da engenharia social.

Esse artigo no ter como escopo a parte tcnica da segurana da informao, partindo do princpio que a maioria esmagadora dos usurios leiga e que muitas vezes mal consegue operar um microcomputador, quanto mais compreender cdigos, protocolos e etc. Uma empresa pode ter adquirido as melhores tecnologias de segurana que o dinheiro pode comprar, pode ter treinado seu pessoal to bem que eles trancam todos os segredos antes de ir embora e pode ter contratado guardas para o prdio na melhor empresa de segurana que existe. Mesmo assim essa empresa ainda estar vulnervel. Os indivduos podem seguir cada uma das melhores prticas de segurana recomendadas pelos especialistas, podem instalar cada produto de segurana recomendado e vigiar muito bem a configurao adequada do sistema e a aplicao das correes de segurana. Esses indivduos ainda estaro completamente vulnerveis.(MITNICK; SIMON, 2003, p. 3). 1. CONCEITOS DE ENGENHARIA SOCIAL E SEGURANA DA INFORMAO 1.1. O QUE A ENGENHARIA SOCIAL O termo engenharia social ficou mais conhecido em 1990, atravs de um famoso hacker chamado Kevin Mitnick. Esse termo designa para prticas utilizadas a fim de se obter informaes sigilosas ou importantes de empresas, pessoas e sistemas de informao, explorando a confiana das pessoas para engan-las. Pode-se tambm definir engenharia social como a arte de manipular pessoas a fim de contornar dispositivos de segurana ou construir mtodos e estratgias para ludibriar pessoas, utilizando informaes cedidas

por elas de maneira a ganhar a confiana delas para obter informaes. (SILVA, E., 2008). Muitos so os significados e interpretaes dadas ao termo Engenharia Social. Uma das melhores encontradas a seguinte: Engenharia Social a cincia que estuda como o conhecimento do comportamento humano pode ser utilizado para induzir uma pessoa a atuar segundo seu desejo. No se trata de hipnose ou controle da mente, as tcnicas de Engenharia Social so amplamente utilizadas por detetives (para obter informao) e magistrados (para comprovar se um declarante fala a verdade). Tambm utilizada para lograr todo tipo de fraudes, inclusive invaso de sistemas eletrnicos. (KONSULTEX, 2004 apud PEIXOTO, 2006, p. 4). O termo engenharia foi atribudo a essa prtica porque construda sobre informaes e tticas de acesso a informaes sigilosas de forma indevida. J o termo social foi atribudo porque utiliza pessoas que vivem e trabalham em grupos organizados. Essas prticas simplesmente ganharam esse novo termo, pois so bem antigas sendo bastante utilizadas por detetives a fim de obterem informaes e tambm por magistrados com o objetivo de comprovar se um declarante fala a verdade. (SANTOS, 2004). De acordo com Peixoto (2006, p. 36), A engenharia social, propriamente dita, est inserida como um dos desafios (se no o maior deles) mais complexos no mbito das vulnerabilidades encontradas na gesto da segurana da informao. Os ataques de engenharia social podem ser divididos em dois grupos:

Os ataques diretos: Como o prprio nome j diz, so aqueles caracterizados pelo contato direto entre o engenheiro social e a vtima atravs de telefonemas, fax e at mesmo pessoalmente. Este exige do engenheiro social, um planejamento antecipado e bem detalhado, alm de um segundo plano para caso o primeiro no d certo, alm de muita criatividade e articulao para que o plano seja bem sucedido. Os ataques indiretos: Caracterizam-se pela utilizao de softwares ou ferramentas para invadir como, por exemplo, vrus, Cavalos de Troia ou atravs de sites e e-mails falsos para assim obter informaes desejadas. A figura abaixo ilustra o ciclo de ataque da engenharia social que consiste em quatro fases (Reunir Informaes, Desenvolver o Relacionamento com a vtima, Explorao e Execuo). Cada ataque de engenharia social nico, com a possibilidade de envolver mltiplas fases/ciclos e/ou pode at mesmo agregar o uso de outras tcnicas de ataque mais tradicionais para atingir o resultado final desejado (ALLEN, 2006, p. 5, traduo nossa).

Figura 1 O ciclo Fonte: (ALLEN, 2006)

1.2. O QUE INFORMAO E QUAL A SUA IMPORTNCIA

A informao representa a inteligncia competitiva dos negcios e reconhecida como ativo crtico para a continuidade operacional da empresa. (PEIXOTO, 2006, p. 37). Informao tambm se define como: Ato ou efeito de informar ou informar-se; comunicao, indagao ou devassa. Conjunto de conhecimentos sobre algum ou alguma coisa; conhecimentos obtidos por algum. Fato ou acontecimento que levado ao conhecimento de algum ou de um pblico atravs de palavras, sons ou imagens. Elemento de conhecimento suscetvel de ser transmitido e conservado graas a um suporte e um cdigo (PEIXOTO, 2006, p. 4). O Cdigo de prtica para a gesto da segurana da informao diz o seguinte: A informao um ativo que, como qualquer outro ativo importante, essencial para os negcios de uma organizao e consequentemente necessita ser adequadamente protegida. Isto especialmente importante no ambiente dos negcios, cada vez mais interconectado. Como um resultado deste incrvel aumento da interconectividade, a informao est agora exposta a um crescente nmero e a uma grande variedade de ameaas e vulnerabilidades (ASSOCIAO BRASILEIRA DE NORMAS TCNICAS-ABNT, 2005, p.2) 1.3. O QUE SEGURANA DA INFORMAO. De acordo com Peixoto (2006, p. 37), O termo segurana da informao pode ser designado como uma rea do conhecimento

que salvaguarda os chamados ativos da informao, contra acessos indevidos, modificaes no autorizadas ou at mesmo sua no disponibilidade. De acordo com as pesquisas mais recentes, aproximadamente 53% das empresas brasileiras apontam os funcionrios insatisfeitos como a maior ameaa segurana da informao, 40% delas afirmam ter sido vtimas de algum tipo de invaso, 31% no sabem dizer se sofreram ataques e somente 29% alegam nunca ter sofrido ataques, [...]. Em 22% dos casos de ataque, as organizaes no conseguiram detectar as causas e em 85% dos casos no souberam quantificar o prejuzo. (BANNWART, 2001 apud PEIXOTO, 2006, p. 36). A segurana da informao formada pelos seguintes pilares bsicos, que podem ser definidos da seguinte maneira (PEIXOTO, 2006):

Confidencialidade: a garantia de que as informaes transmitidas chegaro ao seu destino sem que se dissipem para outro lugar onde no deveria passar. Vrias tecnologias como, por exemplo, criptografia e autenticaes podem ser usadas, desde que mantenham a integridade das informaes; Integridade: a garantia de que as informaes no sofreram nenhuma modificao durante o trajeto entre a pessoa que enviou e a pessoa que recebeu a informao, garantindo assim a sua real veracidade aps chegarem ao destino.

Disponibilidade: De nada adianta possuir integridade e confidencialidade, se a informao nunca est disponvel. Ento, o grande desafio manter essa estrutura de passagem de informaes de forma confivel e integra sem que haja impossibilidade de captar as informaes.

Alguns modelos chegam a incluir mais dois pilares bsicos que seriam os seguintes:

No repdio e autenticidade: Conhecido como responsabilidade final, tem como objetivo verificar a identidade e autenticidade de algum ou at mesmo de um agente exterior a fim de garantir a integridade de origem.

Dessa maneira o modelo seria representado como na imagem abaixo:

Figura 2 Os pilares da Segurana da Informao Fonte: (PILARES..., [200-?])

Os pilares acima refletem na organizao e tambm envolvem trs aspectos principais:

Pessoas: Usurios conscientizados.

bem

orientados,

treinados

e

Processos: Regras bem claras para utilizao dos recursos tecnolgicos fornecidos pela empresa e leis que venham punir de maneira rigorosa os infratores em caso de desvio de informaes. Tecnologia: Sistemas bem implementados para garantir a proteo das informaes da empresa.

Figura 3 - Aspectos da segurana da informao Fonte: (SKYLAN, 2010) A informao precisa ser protegida, pois: A informao um ativo que, como qualquer outro ativo importante, essencial para os negcios de uma organizao e consequentemente necessita ser adequadamente protegida. Isto especialmente importante no ambiente dos negcios, cada vez mais interconectado. Como um resultado deste incrvel aumento da interconectividade, a informao est agora exposta a um crescente nmero e a uma grande variedade de ameaas e vulnerabilidades (ABNT, 2005, p.2). A segurana da informao necessria pelos seguintes motivos:

A informao e os processos de apoio, sistemas e redes so importantes ativos para os negcios. Definir, alcanar, manter e melhorar a segurana da informao podem ser atividades essenciais para assegurar a competitividade, o fluxo de caixa, a lucratividade, o atendimento aos requisitos legais e a imagem da organizao junto ao mercado. [...] a funo da segurana da informao viabilizar os negcios[...] (ABNT, 2005, p.2). Como o prprio Comit Gestor da Internet no Brasil diz: Computadores domsticos so utilizados para realizar inmeras tarefas, tais como: transaes financeiras, sejam elas bancrias ou mesmo compra de produtos e servios; comunicao, por exemplo, atravs de e-mails; armazenamento de dados, sejam eles pessoais ou comerciais, etc. (COMIT GESTOR DA INTERNET NO BRASIL, 2006, p. 1). E altamente recomendado que voc se preocupe com a segurana do seu microcomputador, pois ningum gostaria que:

Suas senhas e cartes de crdito fossem furtados e utilizados por outras pessoas; Sua conta do Internet Banking fosse utilizada por terceiros; Seus dados pessoais fossem alterados, destrudos ou visualizados por terceiros; Seu computador fosse danificado e arquivos importantes perdidos;

Segundo (COMIT GESTOR DA INTERNET NO BRASIL, 2006), pessoas mal intencionadas tentam invadir computadores a fim de:

Usar computador de terceiros para atividades ilcitas para dificultar sua identificao; Lanar ataques contra outros computadores; Usar seu disco rgido para armazenar dados. Destruir informaes; Disseminar Spam; Se passar por outras pessoas em mensagens de e-mail; Espalhar vrus de computador; Furtar nmero de cartes de credito ou senhas de banco; Furtar dados do seu computador em geral como, por exemplo, informaes do seu imposto de renda.

O rpido crescimento do uso do computador e a difuso da Internet tm contribudo para um crescimento fenomenal de crimes de computador e uma diversidade significativa de criminosos de computador. Embora a maioria dos ataques que causam perda financeira venha de dentro, estudos mostram que a maioria dos ataques vm de fora da organizao. (PIPKIN, 2003, p. 8, traduo nossa). 1.4. TIPOS DE VULNERABILIDADES Os principais tipos de vulnerabilidades existentes podem ser do tipo: (PEIXOTO, 2006).

Fsicas: Salas de CPD mal planejadas, estrutura de segurana fora dos padres exigidos;

Naturais: computadores so propensos a sofrerem danos naturais, como tempestades, incndio, alm, por exemplo, de falta de energia, acmulo de poeira, aumento da umidade e temperatura. Hardware: Desgaste do equipamento, obsolescncia ou m utilizao; Software: M instalao, erros de configurao, vazamento de informaes e, dependendo do caso, perda de dados ou indisponibilidade de recursos; Mdias: Disquetes e CDs podem ser perdidos ou danificados, e a radiao eletromagntica pode causar danos s vezes irreparveis nas mdias; Comunicao: Acessos no autorizados ou perda de comunicao; Humanas: Tratadas anteriormente, como, por exemplo, as tcnicas de engenharia social, as vulnerabilidades referindo-se ao fator humano, como falta de treinamentos, conscientizao, o no seguimento das polticas de segurana.

Como afirma Peixoto (2006, p. 39), Infelizmente ainda no da cultura de nosso pas as empresas adotarem potencial investimento em segurana digital mais especificamente na segurana das informaes. Pesquisa feita pela Symantec com 200 companhias sedadas no Brasil revela que 80% investem at 10% do oramento total em segurana e 57% dedicam at 5%. O estudo mostra ainda que os vrus e cdigos maliciosos seriam a causa de 54% dos problemas digitais

enfrentados. Em seguida estariam as vulnerabilidades de software e hardware com 32% e os ataques causados por funcionrios 30%. (MAGALHES, 2004 apud PEIXOTO, 2006, p. 39). 2. O FATOR HUMANO Segundo Kevin Mitnick: Uma empresa pode ter adquirido as melhores tecnologias de segurana que o dinheiro pode comprar, pode ter treinado seu pessoal to bem que eles trancam todos os segredos antes de ir embora e pode ter contratado guardas para o prdio na melhor empresa de segurana que existe. Mesmo assim essa empresa ainda estar vulnervel. Os indivduos podem seguir cada uma das melhores prticas de segurana recomendadas pelos especialistas, podem instalar cada produto de segurana recomendado e vigiar muito bem a configurao adequada do sistema e a aplicao das correes de segurana. Esses indivduos ainda estaro completamente vulnerveis.(MITNICK; SIMON, 2003, p. 3). Em qualquer organizao, por maior que seja a sua segurana, sempre haver um fator de desequilbrio chamado fator humano. O velho ditado que diz que um segredo deixa de ser um segredo quando mais algum sabe uma das mximas existentes dentro da segurana da informao. Os maiores engenheiros sociais tiram proveito das fraquezas ou gostos pessoais de seus alvos para assim aproximar e conseguir alcanar seus objetivos. (MARCELO; PEREIRA, 2005).

Um dos maiores problemas hoje em dia na segurana da informao est relacionado ao ser humano e sua ignorncia. Prticas que permitem o acesso no autorizado a dados, lugares, objetos e entre outros, fragiliza qualquer esquema de segurana da informao, uma vez que as pessoas acabam tendo acesso a informaes indevidas, colocando em risco a segurana da informao. A questo comportamental pode afetar significativamente as demais medidas de segurana, por mais modernas que elas sejam. (SILVA, M.; COSTA, 2009) Um dos grandes assuntos discutidos atualmente a questo da incluso do fator humano como um dos elementos base da segurana da informao. Existem propostas de modelos para incluso desse fator primordial como um dos pilares fundamentais da segurana da informao, pois o modela atual considera o fator humano em um nvel no base.

Figura 4 Atual modelo da segurana da informao. Fonte: (SILVA, M.; COSTA, 2009)

Figura 5 Proposta de novo modelo para Segurana da Informao. Fonte: (SILVA, M.; COSTA, 2009)

O fator humano uma das maiores causas de invases e ataques, devido a vrios motivos que sero abordados de maneira mais profunda posteriormente, como por exemplo, a escolha de senhas fracas ou pelo esquecimento de algum cuidado bsico de segurana. Algo que pode ser facilmente percebido que usurios no ligam para a empresa na qual trabalha. Eles s se preocupam mesmo com o pagamento, sua avaliao e aumento de salrio. (SCHWARTAU, 2010). 2.1. SUAS VULNERABILIDADES Podemos destacar as seguintes caractersticas do ser humano que o torna vulnervel e suscetvel a ataques de engenharia social: (JUNIOR, 2006).

Vontade de se tornar til: O ser humano procura ser Cortez ou ajudar os outros quando necessrio. Buscar amizades: Os humanos costumam se sentir bem ao serem elogiados, de maneira que muitas vezes ficam abertos para fornecer informaes.

Prorrogar responsabilidades: Muitas vezes o ser humano considera no ser o nico responsvel pelo conjunto de responsabilidades ou atividades. Persuaso: caracterizada pela capacidade de convencer, buscando assim a respostas desejadas para alcanar o objetivo. Isso acontece porque o ser humano possui caractersticas que o tornam vulnerveis a manipulao.

Outra grande vulnerabilidade dentro da empresa o prprio funcionrio insatisfeito, desmotivado e desvalorizado. Todo o investimento em tecnologia, treinamentos e conscientizao, pode ser jogado fora se a companhia no cuidar e valorizar seus funcionrios. (PRESCOTT, 2007).

Figura 6 - Elo mais fraco Fonte: (PEIXOTO, 2006)

Eu no sou criptoanalista, nem matemtico. Apenas sei como as pessoas cometem erros e elas cometem sempre os mesmos erros. (MITNICK; SIMON, 2005, p. 247, traduo nossa). Os seres humanos so seres imperfeitos e multifacetados. Alm disso, situaes de risco modificam seus comportamentos, e, decises sero fortemente baseadas em confiana e grau de

criticidade da situao. (VARGAS, 2002 citado por POPPER; BRIGNOLI, 2003, p. 7). Em razo de todos esses fatores, sempre havero brechas de segurana devido ao comportamento humano e sua falta de conscincia com relao segurana da informao, onde a engenharia social poder produzir bons resultados. Mesmo aqueles que descobrem que foram atacados, dificilmente admitem o fato, com receio de prejudicarem sua reputao. Na Inglaterra, por exemplo, as empresas j podem ostentar um certificado de que exercitam boas prticas de mercado no que diz respeito segurana da informao, que rapidamente est se tornando um diferencial competitivo para as empresas que souberem administr-lo. (SALDANHA, 2002 citado por POPPER; BRIGNOLI, 2003, p. 2). Aps uma meticulosa anlise, pode-se concluir que dificilmente haver algum ou alguma companhia que nunca tenha sofrido pelo menos uma tentativa de ataque utilizando a engenharia social. A falta de conscincia das pessoas a respeito das tcnicas de Engenharia Social e o seu excesso de autoconfiana (pois a maioria das pessoas no se considerara ingnuas e acham que no podem ser ludibriadas) so os principais aspectos que favorecem o sucesso da Engenharia Social. A maioria dos funcionrios acha que o problema da segurana da informao tratado somente pela tecnologia em si como, por exemplo, firewalls, antivrus e outras tecnologias, por isso de fundamental importncia criar programas de treinamento e conscientizao sobre a segurana da informao, pois o fator humano a linha de frente para proteo geral da empresa. Esse assunto ser abordado de maneira mais detalhada no captulo subsequente.

Com o aumento crescente de ataques e invases sofridos pelas empresas, estas esto procurando modernizar seus parques tecnolgicos, adquirir novos produtos como firewalls, formas de criptografia, Sistemas de Deteco de Intruso (IDS), dispositivos de autenticao cada vez mais poderosos e muitos outros mecanismos de segurana, e acabam muitas vezes deixando em segundo plano outro aspecto to importante quanto tecnologia, e esse aspecto o fator humano. No h Patch contra a Burrice Humana. (MARCELO; PEREIRA, 2005, p. 3). 2.2. COMO AGE O ENGENHEIRO SOCIAL Geralmente o engenheiro social um tipo de pessoa agradvel. Ou seja, uma pessoa educada, simptica, carismtica. Mas, sobretudo criativa, flexvel e dinmica. Possuindo uma conversa bastante envolvente. (ARAUJO, 2005, p. 27). A tabela abaixo exibe os tipos de intrusos e seus respectivos objetivos ao utilizar a engenharia social. (POPPER; BRIGNOLI, 2003). Tabela 1 Tipos de intrusos e seus objetivos.Intrusos Estudantes Crackers Representantes Comerciais Executivos Espies Objetivos Vasculhar mensagens de e-mail alheias por diverso ou curiosidade. Quebrar sistemas de segurana e roubar informaes. Encontrar planilhas referentes a preos ou cadastro de clientes. Descobrir plano estratgico dos seus concorrentes. Descobrir planos militares.

Tabela 1 Tipos de intrusos e seus objetivos.

Intrusos Terroristas Contadores Corretores de valores Ex-funcionrios Vigaristas

Objetivos Causar pnico pela rede e roubar informaes estratgicas. Desfalques financeiros. Adulterar informaes para obter lucro com o valor das aes. Causar prejuzos apenas por vingana. Roubar informaes, como senhas e nmeros de cartes de crdito.

Fonte: (POPPER; BRIGNOLI, 2003).

Os ataques de engenharia social so normalmente praticados por Crackers, que so hackers mal intencionados, pois ainda existe uma confuso enorme com relao a esses dois termos, pois o termo Hacker est mais relacionado ao indivduo que possui um elevadssimo grau de conhecimento em assuntos relacionados computao como, por exemplo, linguagens de programao, redes de computadores e entre outros conhecimentos e muitas vezes esses eruditos utilizam todo o seu conhecimento para melhorar softwares de forma legal ao contrrio dos Crackers que tm como objetivo trazer danos, roubar informaes, dinheiro e etc. A ideia de hackear pode invocar imagens estilizadas de vandalismo eletrnico, espionagem, cabelo tingido e piercing. A maioria das pessoas associa hackear com violao da lei, portanto insinuam que todos aqueles que se dedicam a atividades hackers so criminosos. verdade que existem pessoas l fora, que utilizam tcnicas hackers para quebrar a lei, mas hackear no est muito relacionado a isso. Na verdade, hackear est mais relacionado a seguir a lei do que quebr-la. (ERICKSON, 2009, p. 1, traduo nossa). O profissional da arte de enganar pessoas utiliza-se de tcnicas de persuaso e explorao da ingenuidade dos usurios, criando um ambiente psicolgico perfeito para seu ataque, como por exemplo, utilizando identificaes falsas, carisma e o apelo sentimental a fim

de conquistar a confiana da vtima. Normalmente o engenheiro social procura deixar sua vtima bem tranquila, passando-se por algum do mesmo nvel hierrquico ou superior dentro da organizao ou at mesmo por clientes e fornecedores de maneira a induzi-los a fornecer informaes, executar programas ou at mesmo fornecer senhas de acesso. Esses profissionais da arte de enganar podem utilizar como pretexto situaes de emergncia ou de segurana da empresa e geralmente, no pedem muita informao de uma s vez para a mesma pessoa e sim aos poucos e para pessoas diferentes, para que ningum desconfie dele. Muitas vezes eles usam disfarces dos mais variados tipos como, por exemplo: faxineiros, consultores, gerentes e etc. O chamado engenheiro social dotado de um enorme poder de criatividade. Essa criatividade to grande que na maioria das vezes, a vtima nem imagina que foi usada e muito menos que acabou de abrir o caminho para um invasor. Para que um ataque de engenharia social seja bem sucedido, necessria bastante pacincia e persistncia e essa uma das grandes caractersticas dos engenheiros sociais. Uma das primeiras e mais obvias maneiras de atravessar um firewall a trapaa. (RUSSELL, 2003, p. 283, traduo nossa). Se algum perguntar a uma pessoa normal quanto a metade de oito, normalmente essa pessoa ir responder quatro, mas o Engenheiro Social v a resposta como na imagem abaixo:

Figura 7 - Como metade de oito para o Engenheiro Social. Fonte: (MARCELO; PEREIRA, 2005)

Dificilmente um ser humano teria essa viso. Quase todo mundo tem somente a viso matemtica, ou seja, o mais obvio, mas o engenheiro social nem sempre se guia pelo mais lgico. Muitas vezes o ilgico pode ser a melhor resposta para o problema em questo. (MARCELO; PEREIRA, 2005). 3. A IMPORTNCIA DA POLTICA TREINAMENTO E CONSCIENTIZAO Mitnick afirma o seguinte: Como diz o ditado; at mesmo os verdadeiros paranicos [sic] provavelmente tm inimigos. Devemos assumir que cada empresa tambm tem os seus os atacantes que visam a infra-estrutura [sic] da rede para comprometer os segredos da empresa. No acabe sendo uma estatstica nos crimes de computadores; est mais do que na hora de armazenar as defesas necessrias implementando controles adequados por meio de polticas de segurana e procedimentos bem planejados. (MITNICK; SIMON, 2003, p. 23). 3.1. AMEAAS Concordando com o que diz Peixoto (2006), muitas vezes nos sentimos ameaados em determinadas situaes, mas isso no quer dizer necessariamente que voc se sente vulnervel. J na situao oposta, quando algum se considera vulnervel, certamente essa pessoa se v ameaada. No uma regra, mas valida se comparada com o que diz respeito s informaes. Na tica de Peixoto (2006), As ameaas so o resultado das vulnerabilidades existentes, o que prova a perda dos elementos bsicos para existir segurana da informao que so eles a DE SEGURANA,

confidencialidade, integridade e disponibilidade. Essas ameaas podem ser divididas em:

Naturais: Fenmenos da natureza. Como por exemplo, raios que danificam equipamentos, chuvas, umidade, terremotos e etc. Involuntrias: Aquelas que ocorrem por causa desconhecimento, erros ou acidentes e entre outros. do

Voluntrias: Ss aquelas propositais, resultantes de aes como, por exemplo, aes deCrackers, espies, disseminadores de vrus de computador.

3.2. POLTICA DE SEGURANA Para evitar ou diminuir o risco de informaes confidenciais serem acessadas indevidamente, perdidas ou at mesmo adulteradas dentro das organizaes, necessrio que haja uma srie de procedimentos claramente estabelecidos aonde quer que estas informaes venham transitar. Ns no tocamos em redes, ns tocamos nas pessoas. Porque, no fim, o elo mais fraco em todas essas coisas a pessoa que est frente da tela. (SCHWARTAU, 2010 p. 1). Poltica de segurana da informao pode ser definida como uma srie de instrues bem claras a fim de fornecer orientao para preservar as informaes. Esse um elemento essencial para o controle efetivo da segurana da informao de maneira a combater e prevenir possveis ameaas ou ataques que venham a comprometer a segurana da informao nas empresas ou organizaes. Essas polticas esto entre as mais significativas no que diz respeito a evitar e detectar os ataques da engenharia social. (FONSECA, 2009).

Figura 8 - Ambiente sem polticas de Segurana. Fonte: (PEIXOTO, 2006)

Concordando com o que diz Fonseca (2009), o controle efetivo da segurana posto em prtica atravs do treinamento dos funcionrios, bem como atravs de polticas e procedimentos que devem ser muito bem documentados. importante salientar que uma poltica de segurana no elimina a possibilidade de ataques de engenharia social, mesmo que a poltica seja seguida corretamente por todos os funcionrios. Sendo assim, o objetivo tornar mnimo o risco, a um nvel que seja aceitvel. As polticas de segurana que sero apresentadas neste artigo incluem questes que talvez no estejam diretamente direcionadas a engenharia social, mas de maneira indireta fazem parte das tcnicas normalmente utilizadas nos ataques de engenharia social. Um bom exemplo so as polticas relacionadas abertura de anexos em e-mails, que podem ocasionar a instalao de vrus, Cavalos de Troia e etc., fazendo com que o invasor tenha controle da mquina da vtima. Esse tipo de ato bastante utilizado por engenheiros sociais. Concordando com o que diz Fonseca (2009), um bom programa de segurana da informao deve comear com uma avaliao dos riscos visando determinar as seguintes questes:

Quais informaes, ou que tipo informao precisar estar protegida e qual o seu nvel de proteo. Quais ameaas ou que tipo de ameaa pode atingir a empresa. Quais prejuzos a empresa teria se um desses sinistros viesse a acontecer.

Concordando com o que diz Fonseca (2009), o objetivo da avaliao dos riscos levantar as informaes que precisam de proteo imediata para que assim possam ser priorizadas. Tambm dever haver uma anlise de custo/benefcio a fim de saber o custo da informao que ser protegida, lembrando de um ponto importantssimo nessa poltica de segurana o apoio firme da alta gerncia, demonstrando claramente seu interesse e comprometimento por considerar isso fundamental para o bom funcionamento da empresa ou organizao, de maneira que os prprios funcionrios venham perceber esse interesse da alta gerncia. Ao desenvolver uma poltica de segurana, deve-se levar em considerao que existem funcionrios que no tm conhecimento da linguagem tcnica. Portando, os jarges tcnicos no devem ser usados para que o documento possa ser facilmente entendido por qualquer funcionrio. O documento tambm deve deixar bem claro a importncia da poltica de segurana para que dessa maneira os funcionrios no encarem isso como perca de tempo. Devem ser criados dois documentos separadamente, onde um deles apresentar as polticas e o outro abordar os procedimentos. Isso deve acontecer porque os procedimentos usados para implementar as polticas, podem mudar com maior frequncia do que a prpria poltica em si. Alm disso, ao redigir as polticas, deve-se tambm analisar se a tecnologia que ser utilizada para implantar determinada poltica poder realmente ser usada pela empresa,

levando em considerao o custo/benefcio. Ento, os redatores da poltica de segurana de uma organizao devem manter o foco em polticas adequadas de acordo com o ambiente e objetivo do negcio da empresa, pois cada empresa possui uma cultura organizacional particular, assim como requisitos de segurana da informao baseados de acordo com suas necessidades. (FONSECA, 2009). importante ressaltar tambm que a poltica de segurana nunca deve ser imutvel ou inflexvel, pois as novas tcnicas de ataques usando a engenharia social esto surgindo a cada dia assim como as prprias tecnologias e ou procedimentos para combat-las. Para que a poltica de segurana esteja sempre atualizada, devem-se estabelecer procedimentos regulares com o objetivo de identificar as novas ameaas e assim combat-las atravs das tecnologias e ou procedimentos adequados. Lembrando que esse documento atualizado deve sempre estar disponvel em um lugar bem acessvel a todos os funcionrios. Isso facilitar bastante a consulta dos funcionrios ao surgir alguma dvida relacionada s polticas e procedimento de segurana. Quanto mais rpido o funcionrio conseguir acessar esse documento, melhor ser. (MITNICK; SIMON, 2003). 3.2.1. Plano de treinamento e conscientizao Talvez haja pouqussimos assuntos de extrema importncia e ao mesmo tempo to entediantes para a maioria dos funcionrios, pelo qual devero ainda passar por treinamentos como a questo da segurana da informao. Por isso vital que haja artifcios para prender suas atenes e inclusive entusiasm-los. (FONSECA, 2009). Concordando com o que diz Fonseca (2009), um programa de conscientizao sobre segurana da informao em uma empresa, tem como objetivo principal, influenciar os funcionrios a mudarem

seus hbitos e motiv-los a participarem do treinamento, para assim conscientiz-los que eles so parte da segurana da informao na empresa e que ela poder sofrer um ataque a qualquer momento. Com essa conscincia e bem motivados, eles buscaro cumprir sua parte para proteger o ativo mais importante da empresa que so suas informaes. Esses funcionrios ainda precisam ser treinamos e educados de maneira que possam ter conscincia das informaes que precisam ser protegidas e como proteg-las para que assim possam identificar facilmente um ataque de engenharia social. Esses programas de treinamento e conscientizao devem ser realizados constantemente, pois com o passar do tempo o preparo das pessoas diminui alm de novas ameaas e tcnicas usadas pelos engenheiros sociais surgirem constantemente, o que faz com que seja necessrio reforar e atualizar os princpios da segurana da informao na mente dos colaboradores. Uma empresa que realmente leva a questo da segurana da informao a srio e como uma prioridade em sua cultura corporativa, passa a treinar seus funcionrios assim que so admitidos, de maneira que nenhum funcionrio possa receber acesso a um microcomputador antes de participar de pelo menos uma aula bsica sobre conscientizao em segurana da informao. Um timo aspecto a ser abordado que pode funcionar como um grande agente motivador para os funcionrios esclarec-los de que a segurana da informao no um assunto de interesse somente da empresa, mas tambm dos prprios funcionrios, pois a prpria empresa possui informaes particulares a respeito dos seus funcionrios. Inclusive algumas analogias podem ser feitas para criar entusiasmo nos empregados, como por exemplo, informlos de que no cuidar da segurana das informaes no ambiente de trabalho o mesmo que no cuidar do carto do banco ou do nmero do carto de crdito de algum. Ou seja, os funcionrios

percebero que ao colaborarem estaro protegendo no somente informaes da empresa, mas tambm suas informaes pessoais. Outro bom artifcio seria a demonstrao das tcnicas de engenharia social atravs da dramatizao, reportagens ou atravs de vdeos educativos sobre o assunto, que exibam casos reais de maneira que seja ao mesmo tempo algo educativo e divertido. (FONSECA, 2009). Concordando com o que diz Fonseca (2009), interessante deixar bem claro que nem sempre um programa desse tipo deve ser encarado como algo genrico para todas as reas da empresa. Muito pelo contrrio, muitas vezes o treinamento deve ser adaptado de acordo com os requisitos especficos de cada grupo dentro da organizao, pois apesar de muitas vezes as polticas serem aplicadas a todos os funcionrios, h situaes em que ser necessria a existncia de polticas especficas para determinados cargos ou grupos distintos dentro das organizaes, como por exemplo, os gestores, o pessoal da tecnologia, os usurios de microcomputadores, o pessoal das reas no tcnicas, os assistentes administrativos, recepcionistas e o pessoal da segurana fsica da empresa. Uma observao interessante a ser feita com relao aos funcionrios da segurana fsica que normalmente esse tipo de funcionrio no tem acesso aos microcomputadores e s vezes nem mesmo possuem proficincia para oper-los, mas nem por isso devem ser excludos do treinamento, pois os engenheiros sociais costumam utiliz-los como peas importantes para conseguirem acesso privilegiado a locais restritos como, por exemplo, algumas salas ou escritrios que venham posteriormente permitir a invaso de algum computador. Por isso em alguns casos, o treinamento precisa sofrer adaptaes. Como no exemplo supracitado, os guardas da segurana no precisariam passar pelo treinamento completo que os usurios de microcomputadores deveriam passar. J aqueles funcionrios que no puderem participar dos treinamentos em classe, devero ser

includos no treinamento atravs de outras formas de instruo como, por exemplo, vdeos, treinamentos baseado em computadores, cursos on-line ou por material escrito. Tambm muito importante ressaltar a questo dos empregados que mudarem de cargo, funo e etc. Esses funcionrios devero passar por um novo processo de treinamento ajustado s suas novas atribuies. fundamental em um programa de conscientizao deixar bem claro a importncia de seguir as polticas de segurana corretamente e os danos que a empresa poder vir a sofrer se estas no forem seguidas perfeitamente. Os funcionrios tambm devem ser advertidos a respeito das consequncia que sofrero se no cumprirem as normas e procedimentos estabelecidos, pois muitas vezes, os prprios funcionrios ignoram ou at mesmo negligenciam os procedimentos que acham desnecessrios, ou aqueles considerados tediosos segundo entendimento prprio. Elaborar um resumo dessas consequncias e divulg-los amplamente um timo procedimento a ser realizado. Algo muito interessante que tambm pode ser colocado em prtica a recompensa para os funcionrios que seguem as boas prticas de segurana da empresa de maneira correta. Pois sabemos que o incentivo sempre algo muito motivador. Tambm interessante divulgar amplamente por toda empresa atravs de circulares internas, boletins peridicos on-line ou pela prpria Intranet, os casos frustrados de quebra de segurana onde um funcionrio atuou de maneira correta evitando algum sinistro. (MITNICK; SIMON, 2003). Como o prprio ditado diz: A melhor maneira de resolver um problema evit-lo. No entanto a questo da preveno nas empresas uma tarefa nada fcil, pois a maioria das empresas no d a devida ateno para essa questo. Elas concentram seus recursos financeiros somente na manuteno de sistemas e em

novas tecnologias, ao invs de destinar parte desses recursos para treinamento e conscientizao dos funcionrios para combater a engenharia social. Recursos comoIntranet ou correio eletrnico podem ser to teis para a divulgao, por exemplo, de lembretes de segurana como mudana de senhas, pois o grande risco quando os funcionrios relaxam na questo da segurana. Por isso de extrema importncia insistir, j que esse tipo de ameaa to real nos dias de hoje, quanto s falhas tcnicas de segurana. Concordando com o que diz Fonseca (2009), um bom e objetivo processo de conscientizao sobre segurana da informao no pode deixar de lado os seguintes tpicos:

Descrever a forma com que engenheiros sociais utilizam suas aptides para manipular e ludibriar. Tticas empregadas pelos engenheiros sociais para cumprirem suas metas. Como identificar a ao de um engenheiro social. Como agir ao desconfiar de alguma solicitao suspeita. A quem reportar as tentativas de ataque fracassadas ou que tiveram xito. Questionar solicitaes, independentemente do cargo ou importncia que o solicitante julga ter. No confiar em pessoas que fazem solicitaes de informaes, sem antes examinar perfeitamente sua real identidade. Como proceder para proteger informaes sigilosas.

Como encontrar as polticas e procedimentos de segurana da informao e sua importncia na proteo das informaes. Sintetizar e explicar o sentido de cada poltica de segurana como, por exemplo, a questo da criao de senhas difceis de serem descobertas. A obrigao do cumprimento das polticas de segurana e as consequncias para o empregado e para a organizao caso haja algum descumprimento. Como divulgar material ou informao restrita. Melhores prticas de uso do correio eletrnico de maneira a no se tornar vtima da engenharia social, vrus e armadilhas em geral. Questes fsicas da segurana como, por exemplo, a utilizao de crachs e o questionamento para com aqueles que esto nas dependncias da organizao sem utiliz-lo. Eliminao de documentos que contenham informaes confidenciais independentemente se sua natureza fsica ou eletrnica. Deixar bem claro que testes sero feitos periodicamente dentro da organizao para verificar quais funcionrios esto procedendo corretamente e quais no esto. Fornecer material informativo como, por exemplo, lembretes atravs do meio de comunicao que julgar conveniente. Parabenizar publicamente o(s) funcionrio(s) destaque(s) na segurana da informao.

Testes de intruso e vulnerabilidades usando a engenharia social podem ser feitos periodicamente com o objetivo de encontrar falhas ou descobrir o descumprimento das polticas de segurana e at mesmo pontos fracos no prprio treinamento dos funcionrios. interessante avisar os funcionrios que testes desse tipo sero realizados periodicamente. (MITNICK; SIMON, 2003). Tudo isso se resume em uma reeducao na organizao de maneira a inserir uma nova cultura que abrange cem por cento da empresa, pois qualquer falha poder ser fatal. Pode-se considerar que o programa de treinamento teve um bom aproveitamento se todos que participaram do programa estiverem convencidos e motivados com a conscincia de que a segurana da informao faz parte do seu trabalho dirio. (FONSECA, 2009). 3.2.2. Plano de resposta a incidentes No existe infraestrutura de segurana da informao que venha garantir cem por cento de proteo, pois as falhas sempre existiro, por mais remotas que sejam. Portanto as empresas devem estar preparadas para reconhecer, analisar e responder aos incidentes de segurana o mais rpido possvel, pois isso fator fundamental para amenizar os estragos ou diminuir custos com reparos. importante que as experincias anteriores com outros incidentes sejam usadas para prevenir ocorrncias semelhantes no futuro ou at mesmo para aprimorar a segurana atual. O documento que define as diretrizes para tratar incidentes de segurana chama-se Plano de Resposta a Incidentes. Ele possui os procedimentos e medidas a serem tomadas para remediar, corrigir ou contornar os incidentes. O tratamento de cada incidente depender de alguns fatores como, por exemplo, a sua magnitude e o risco que trar para a empresa. (POPPER; BRIGNOLI, 2003).

Como j foi abordado anteriormente, cada empresa possui suas particularidades e culturas organizacionais, portanto, os procedimentos de respostas para os incidentes so tambm muito particulares, pois variam de organizao para organizao. O mais importante que independente do porte da empresa ou do seu ramo de atividades, ela dever possuir o seu prprio Plano de Respostas a Incidentes. As seguintes medidas no podem ser deixadas de lado em um Plano de Resposta a Incidentes: (POPPER; BRIGNOLI, 2003).

Identificar a autoria dos ataques, assim como sua seriedade, estragos causados e responsveis pelo incidente. Divulgar o mais rpido possvel o acontecimento ocorrido para que o mesmo incidente no ocorra em outras reas da empresa. Tomar as medidas necessrias para restaurar aquilo que foi afetado como, por exemplo, mudar senhas, trocar funcionrios, aumentar o nvel de controle. Contatar os rgos de segurana para que o fato seja registrado, assim como tentar entrar em contado com os responsveis pelos ataques.

Esse captulo apresentou alguns dos procedimentos que creio ser fundamentais na criao de uma poltica de segurana da informao que procura se proteger de ataques de engenharia social, no devendo ser considerada como uma lista completa de procedimentos, at mesmo porque isso varia de acordo com o planejamento de cada empresa, ou seja, esses procedimentos so uma base para a criao de uma poltica de segurana que se ajuste as necessidades peculiares de cada empresa.

4. TIPOS DE FRAUDES USANDO A ENGENHARIA SOCIAL, SUAS TCNICAS E MEIOS UTILIZADOS Nesse captulo, sero abordadas as vrias tcnicas usadas pelos engenheiros sociais, assim como os meios utilizados para alcanarem o objetivo de enganar suas vtimas. 4.1. MEIOS MAIS COMUNS PARA ATACAR Os engenheiros sociais utilizam-se normalmente dos seguintes meios para atacar suas vtimas: (POPPER; BRIGNOLI, 2003).

Telefone convencional ou VolP (voz sobre IP): O engenheiro social usa suas tcnica e habilidades passandose por algum para ludibriar a vtima. Internet: Coletar informaes sensveis dos usurios como, por exemplo, login e senha ao serem digitados. Intranet: Tem por objetivo acessar remotamente algum microcomputador da rede com o objetivo de se passar por algum. E-mail: Enviar e-mails falsos para induzir a vtima a clicar em links que instalaro vrus, Cavalos de Troia ou redirecionaro para pginas falsas que capturam dados digitados. Pessoalmente: Tentar persuadir a vtima. Chats: Tentar se passar por outra pessoa nas salas de bate-papo. Fax: Obter informaes primrias para posteriormente fazer um ataque melhor elaborado.

Correio convencional: Envia correspondncias ou cartas falsas para as vtimas. um mtodo considerado nada atual, mas muito utilizado para enganar pessoas mais antigas ou idosas. Spyware: um software espio que microcomputador sem que a vtima perceba. monitora o

Redes P2P (Peer-to-Peer): Essa uma tecnologia que permite o compartilhamento de arquivos entre diversos computadores. O atacante usa essa tecnologia para espalhar vrus, Cavalos de Troia e muitas outras pragas, alm de claro oferecer ajuda para suas vtimas a fim de trapace-las. Redes Sociais: Os sites de relacionamento so cada vez mais utilizados pelos usurios. O que muitos deles talvez no saibam e que esses sites deixam um rastro das informaes de maneira que pessoas mal intencionadas podem se passar por outras pessoas, camuflando assim sua real identidade. Isso contribui bastante para o sucesso de um ataque de engenharia social.

4.2. TCNICAS DE ATAQUE MAIS COMUNS Abaixo, encontram-se as tcnicas e mtodos de ataque mais comuns usados pelos engenheiros sociais: (POPPER; BRIGNOLI, 2003).

Pesquisa: Essa ttica concerne no colhimento de materiais com a finalidade de descobrir quem so as pessoas que guardam as informaes desejadas. O prximo passo ser procurar meios para absorver as informaes desejadas dessas pessoas.

Personificao e impostura: A personificao se baseia na criao de um personagem. Um exemplo clssico aquele em que o engenheiro social faz uma ligao passando-se por algum da rea de informtica da empresa e diz precisar da senha da pessoa ou se passar por um assistente da presidncia ou gerencia e pedir informaes em nome do seu chefe. Muitos engenheiros sociais chegam a estudar padres de fala e o tipo de linguagem utilizada por suas vtimas, pois cada organizao possui suas prprias linguagem e expresses. Isso acontece porque ao conversar com algum utilizando a mesma linguagem, se torna mais fcil persuadi-lo, pois a vtima se sente mais segura. Em grandes empresas difcil conhecer todos os funcionrios e devido a isso, normalmente a vtima acaba cedendo. Diviso de responsabilidades: A tcnica da diviso de responsabilidades tambm bem comum e se resume em convencer os funcionrios a compartilharem as senhas com o objetivo de dividirem determinadas tarefas ou responsabilidades. Spoofing: Uma nova tcnica utilizada o chamado Spoofing do nmero telefnico, que tem por objetivo defraudar o sistema de identificao de chamadas, fazendo com que o nmero exibido pelo identificador de chamadas seja aquele desejado pelo fraudador. E-mails falsos: Essa tcnica uma das mais comuns aplicadas pelos engenheiros sociais para conseguirem dados alheios como, por exemplo, senhas, contas bancrias, cartes de crdito e etc. Normalmente esses emails falsos abordam assuntos que esto em alta na mdia, atualizaes de segurana, recuperao de dados bancrios, promoes, premiaes ou qualquer outro

assunto que venha despertar a curiosidade da vtima para que ela seja persuadida a clicar em links que instalaro vrus, cavalos de troia ou direcionaro para pginas falsas, que capturaro os dados da vtima ao serem digitados.

Phishing: Criao de sites falsos que possuem o endereo muito parecido com o site original, tirando assim proveito de erros de digitao comuns. Ao digitar informaes nesse site, automaticamente os dados so enviados para os criminosos. Por isso a importncia de ter certeza se o site verdadeiro antes de enviar qualquer informao. Engenharia Social Inversa: A engenharia social inversa uma tcnica mais avanada e que exige muito mais preparao e pesquisa. Nessa tcnica os papeis se invertem. O atacante finge ser uma autoridade, de maneira que os funcionrios passaro a pedir informao para ele, at chegar um ponto que o criminoso extrara informaes valiosas sem que ningum desconfie. Footprint: Essa tcnica tem por objetivo maior descobrir informaes a respeito de algumas tecnologias usadas pela empresa, referentes principalmente ao acesso remoto, Internet e extranet. Essa tcnica utiliza-se de softwares especiais para coletar as informaes desejadas e normalmente utilizada quando o invasor no consegue absorver as informaes desejadas atravs de outras tcnicas de persuaso devido falta de conhecimento por parte das vtimas a respeito do assunto desejado pelo invasor. Vasculhamento do lixo: Por incrvel que parea, o vasculhamento do lixo da empresa um dos grandes mtodos usados por esses criminosos para conseguirem acessar informaes sensveis, pois muitas empresas no

se preocupam com o destino do seu lixo ou sequer utilizam mquinas fragmentadoras ou trituradoras de papel para que os diversos documentos sigilosos no sejam recuperados por pessoas mal intencionadas.

Olhar pessoas digitando: Essa tcnica tem por objetivo descobrir as senhas das pessoas enquanto elas digitam no teclado. Programao neurolingustica: Essa tcnica se baseia em imitar o jeito de ser da vtima como, por exemplo, sua maneira de falar, se expressar, gestos e entre outros, por um determinado tempo para assim confundi-la, de maneira a formar certa intimidade, deixando a vtima pensar que est no comando da situao. At que a partir de certo momento, o engenheiro social passa a comandar o dialogo sem que a vtima sequer perceba, capturando assim as informaes desejadas. (JUNIOR, 2006).

Kevin Mitnick tambm ressalta que: prtica comum pedir que um colega ou subordinado faa um favor. Os engenheiros sociais sabem como explorar o desejo natural das pessoas de ajudar e fazer parte de uma equipe. Um atacante explora esse trao humano positivo para enganar empregado desavisado para que executem aes que o coloquem mais perto de seu objetivo. importante entender esse conceito simples para que voc reconhea quando outra pessoa est tentando manipul-lo. (MITNICK; SIMON, 2003, p. 163). 5. DICAS PARA NO SER MAIS UMA VTIMA DA ENGENHARIA SOCIAL

De acordo com (PEIXOTO, 2006, p. 20). Se todo funcionrio fosse to questionador como uma criana, demonstrando interesse nos mnimos detalhes, ouvindo mais, estando fortemente atento a tudo sua volta, e principalmente fazendo o uso dos poderosos por qus, com certeza as empresas transformariam os frgeis cadeados em legtimos dispositivos dificultantes de segurana da informao. 5.1. COMO SE PROTEGER O bom senso fundamental nesses casos. Fique bastante atento com relao a qualquer tipo de abordagem, independente do meio utilizado, como por exemplo, e-mails, telefone e etc. No fornea informaes confidenciais como, por exemplo, senhas. J nos casos de mensagens que tentam induzir a clicar em links contidos no e-mail ou em alguma pgina da Internet, a melhor coisa a fazer entrar em contato com o remetente do e-mail ou com a instituio se for o caso, para certificar-se a respeito do assunto. (COMIT GESTOR DA INTERNET NO BRASIL, 2006). Esses so alguns dos maiores erros cometidos dentro do ambiente corporativo que aumentam potencialmente o risco de se tornar uma vtima da engenharia social: (PEIXOTO, 2006)

Mencionar senha por telefone um erro gravssimo, pois antes de disponibilizar qualquer tipo de informao, deve-se saber com quem se fala e de onde fala, alm de conferir atravs de aparelhos identificadores de chamada se o telefone de origem da ligao est realmente batendo com o mencionado. Tambm importante conferir o motivo pelo qual solicitaram determinada informao. Lembrando que existe uma tcnica j abordada no captulo anterior

chamada Spoofing, que faz com que o nmero exibido pelo identificador de chamadas seja aquele desejado pelo fraudador. Portanto, no seguro confiar somente nessa informao para ter certeza que o solicitante realmente quem diz ser;

Visitantes terem acesso rea interna na empresa, obtendo contato com as informaes confidenciais; Entrega de informaes sem o devido conhecimento real de quem as est levando; Entrada de pessoas no autorizadas ou principalmente sem identificao, com portas abertas e expostas entrada de qualquer um; Recebimento de informaes digitais (disquete, CD etc.) sem o prvio conhecimento da procedncia (de onde realmente vem e de quem vem e do que se trata), sem fazer primeiramente uma inspeo do material recebido em algum lugar ou equipamento que no comprometa a empresa ou organizao; Descarte incorreto de material que se acha intil, como por exemplo, no triturar documentos antes de jog-los fora e de preferncia em diversas lixeiras ou o descarte de disquetes, CDs e outros, sem eliminar definitivamente as informaes contidas neles; Gavetas abertas, de fcil acesso a documentos. Jogo via internet ou mesmo por disquetes, Pen-drives ou CD-ROM so passveis de conter armadilhas, como ativao de worms, cavalos de troia, vrus e dentre outros perigos que se escondem por trs dos envolventes jogos, ou diverses oferecidas;

Deixar expostos arquivos de backup, no guardando em lugar seguro e confivel, alm de demonstrar explicitamente que um backup. Nome de usurio e senhas expostas para qualquer um que passar ver e ter acesso. Disquetes, Pen-drives, CDs, documentos, material particular como bolsas, carteiras em cima da mesa ou expostos, com grande facilidade de algum se apoderar ou ter acesso, principalmente se as portas ou janelas ficam sempre abetas. Programas, documentos digitais gravados em disquete ou CDs, no sendo devidamente guardados em lugares seguros onde somente aqueles que podem ter realmente acesso seriam portadores da informao; Computador ligado exibindo informaes confidenciais como senha, login de usurio, cdigos fontes; Acessos a sites indevidos, no confiveis, ou fora das polticas de trabalho da empresa; Computador ligado e, sobretudo, logado com a senha e nome de algum usurio esquecidinho, deixando o uso da mquina disponvel para algum no autorizado. Sistema de alarme desativado, desligado ou inoperante, em caso de alguma urgncia ou emergncia; Softwares em lugar no seguro; bem como livros, apostilas etc., que contenham informaes que sirvam como um facilitador em trazer palavras de cunho tcnico de modo a disponibilizar id, senhas, sejam elas default ou no;

Enfeites, como vasos, quadros, dentre outros, servindo como mera distrao, fugindo do habitual e tradicional layout de arranjo do ambiente de trabalho, podendo ser alvo de suspeita, pois atrs desses enfeites podem estar guardados, escondidos ou implantados sistemas de escuta, gravadores, dentre outros pequenos sistemas que podem colher informaes ditas ou vivenciadas naquele ambiente. Paranoias e neuroses parte, todo cuidado pouco;

Quanto aos riscos inerentes aos fatores humanos, podem-se destacar como exemplo os seguintes controles: (SMOLA, 2003 citado por PEIXOTO, 2006, p. 53).

Seminrios de sensibilizao; Cursos de capacitao; Campanhas de divulgao da poltica de segurana; Crachs de identificao; Procedimentos especficos para demisso e admisso de funcionrios; Termo de responsabilidade; Termo de confidencialidade; Softwares de auditoria de acessos; Softwares de monitoramento e filtragem de contedo;

As prticas acima citadas ajudaro a minimizar a possibilidade da empresa se tornar mais uma vitima da engenharia social. Podemos constatar na viso de (PEIXOTO, 2006, p. 54)

A maior prova para se ter certeza de que voc ser a prxima vtima da engenharia social simplesmente subestimar o praticante desta arte. Mas como ao certo saber quem afinal o engenheiro social naquele dado momento, lugar ou situao? No saber, na primeira instncia. Apenas desconfiar de algum suspeito medida que voc v adquirindo conhecimento das tcnicas padres e revolucionrias da engenharia social. E assim percebendo algumas gafes do engenheiro social, deixar a incerteza para ento capturar o alvo certo. Abaixo, mais algumas dicas para manter seu computador seguro ao acessar a Internet. (SISTEMA DE COOPERATIVAS DE CRDITO DO BRASIL, [200-?]).

Instale um bom programa de antivrus e, pelo menos uma vez por semana, faa uma verificao completa do computador; Use sempre cpia original do programa de antivrus, pois as cpias piratas geralmente j esto infectadas e no funcionam corretamente; Configure seu antivrus para procurar por atualizaes diariamente; Use seu antivrus para verificar todo arquivo baixado antes de abri-lo ou execut-lo pela primeira vez; Cpias originais do Windows so mais seguras e so atualizadas periodicamente pela Microsoft;

Mantenha o sistema operacional do seu computador e seus programas sempre atualizados para proteg-los contra as falhas de segurana, que so descobertas todos os dias; Somente instale programas de fontes confiveis. Evite os servios de compartilhamento (por exemplo: Kazaa, Bittorrent, Limeware, Emule, etc.). Eles so uma das principais fontes de disseminao de programas nocivos; No abra e-mails e arquivos enviados por desconhecidos; No abra programas ou fotos que dizem oferecer prmios; Cuidado com os e-mails falsos de bancos, lojas e cartes de crdito; Jamais abra arquivos que terminem com PIF, SCR, BAT, VBS e, principalmente, os terminados com EXE e COM; Se voc desconfiar de um e-mail recebido, mesmo quando enviado por pessoa conhecida, cuidado, pois pode ser um e-mail falso; Verifique se o endereo que est aparecendo em seu navegador realmente o que voc queria acessar; No confie em tudo o que v ou l; No autorize instalao de software de desconhecidos ou de sites estranhos; Antes de clicar em um link, veja na barra de status do navegador se o endereo de destino do link est de acordo com a descrio do mesmo; Sempre desconfie de ofertas e sorteios dos quais no tenha prvio conhecimento.

Ao realizar compras pela Internet procure reconhecidamente seguros;

por

sites

Se for utilizar o seu carto de crdito ou tiver que fornecer dados bancrios, verifique se a pgina acessada utiliza tecnologia de criptografia, ou seja, o endereo da pgina acessada deve comear com https e deve aparecer o cone de um cadeado na barra de status (parte inferior) ou direita da caixa do endereo, dependendo do navegador. Uma observao importante a ser feita, que Crackers colocam imagens de cadeados para fazer com que os usurios pensem que o site seguro, mas na realidade no . Se voc desconfiar de um site de compra, deixe-o de lado e compre em outro lugar. Ao preencher qualquer cadastro seja ele virtual ou no, s fornea informaes de extrema necessidade. No acredite em todos os e-mails sobre vrus, principalmente aqueles de origem duvidosa que trazem anexo arquivo para ser executado, prometendo solucionar o problema; Jamais acredite em pedidos de pagamento, correo de senhas ou solicitao de qualquer dado pessoal por e-mail. Comunique-se por telefone com a instituio que supostamente enviou o e-mail e confira o assunto. Nunca realize operaes bancrias ou transaes pela internet que possuam informaes pessoais de lugares pblicos como, por exemplo, LAN-Houses, pois computadores pblicos muitas vezes contm cdigos maliciosos, instalados por pessoas mal-intencionadas, capazes, por exemplo, de registrar tudo o que voc digitar

no teclado, facilitando a quebra de sigilo dos seus dados confidenciais. Os mecanismos de busca da Internet indexam um nmero enorme de pginas Web e outros recursos.Crackers podem usar esses mecanismos para fazer ataques annimos, procurar por vitimas e adquirir o conhecimento necessrio para montar um poderoso ataque contra a rede. Os mecanismos de busca so perigosos em grande parte porque usurios so descuidados. Alm disso, os mecanismos de busca podem ajudar a evitar a identificao dos Crackers. Mecanismos de busca tornam a descoberta de maquinas expostas quase sem esforo. Nos ltimos anos, os mecanismos de busca tm recebido uma grande quantidade de ateno negativa por expor informaes confidenciais. Como resultado, o mais interessante que so as consultas, no retorna mais resultados teis. (MCCLURE; SCAMBRAY; KURTZ, 2009, p. 553, traduo nossa). A tabela abaixo exibe as reas de risco da empresa, a ttica do invasor e a respectiva estratgia de combate, para assim evitar ser mais uma vtima. (POPPER; BRIGNOLI, 2003). Tabela 2 reas de Risco, Tticas e Estratgiasrea de Risco Ttica do invasor Estratgia de Combate Desenvolver na empresa uma poltica de mudana frequente de senhas e treinar os demais funcionrios para nunca passarem senhas ou outras informaes confidenciais por telefone; Treinar os funcionrios da segurana para no permitirem o acesso de pessoas sem o devido crach de identificao e mesmo assim fazer uma verificao visual; No digitar senhas na presena

Suporte de Informtica

Representao e persuaso

Entrada de edifcios

Acesso fsico no autorizado;

Escritrios

Caminhar pelo ambiente;

Suporte telefnico

Usar de disfarces na hora de solicitar ajuda aos atendentes, geralmente se passando por outra pessoa; Caminhar pelos corredores procura de salas desprotegidas; Insero de mensagens falsas;

Escritrios Sala de correspondncia Sala dos servidores

de pessoas estranhas, a no ser que voc consiga fazer isso rapidamente; Os atendentes devem solicitar sempre um cdigo de acesso, para s ento prestarem o suporte solicitado; Todos os visitantes devem ser acompanhados por um funcionrio da empresa; Fechar e monitorar a sala de correspondncia;

Instalam programas analisadores de Manter sala dos servidores protocolo para conseguirem sempre trancada, e o inventrio informaes confidenciais, alm da de equipamentos atualizado; remoo de equipamentos; Controlar chamadas para o exterior e para longas Central telefnica Roubar acesso a linhas telefnicas distncias, e recusar pedidos de transferncias suspeitas; Criar e/ou inserir programas Criar senhas fortes e fazer uso Internet eintranet naInternet ou intranet para capturar consciente da mesma, senhas; alterando-a periodicamente. Guardar o lixo da empresa em lugar seguro, triturar todo tipo Depsito de lixo Vasculhar o lixo; de documento, e destruir todo o tipo de mdia magntica fora de uso;

Tabela 2 reas de Risco, Tticas e Estratgiasrea de Risco Escritrio Ttica do invasor Estratgia de Combate

Manter os documentos confidenciais fora do alcance Roubar documentos de pessoas no autorizadas, de preferncia em importantes; envelopes fechados.

Fonte: (POPPER; BRIGNOLI, 2003). Quase todos esses ataques poderiam ser evitados se o empregado alvo seguisse estas etapas:

Verificar a identidade da pessoa para ter certeza se ela realmente quem diz ser.

Certificar se a pessoa realmente possui autorizao. Ficar sempre atento ao ser abordado por algum, principalmente se voc no conhece a pessoa. Independente se a abordagem foi feita atravs do telefone, carta ou e-mail, no fornea informaes sensveis, pessoais ou at mesmo da organizao onde trabalha. No clicar em links antes de verificar a autenticidade da solicitao. Vrias so as vtimas de e-mails falsos. Para no ser mais uma vtima dessa armadilha, entre em contato com a fonte da solicitao seja ela uma pessoa, empresa, rgo pblico e etc. A melhor coisa a fazer enquanto estiver navegando na Web ser cauteloso e manter o antivrus e detectores de pragas virtuais em geral sempre atualizados. Escolher senhas fortes e no compartilhar com outras pessoas.

5.1.1. Elaborando senhas fortes Com relao elaborao de senhas: A displicncia dos usurios que criam senhas fceis de serem descobertas, que ficam longos perodos sem alter-las, e ainda utilizam a mesma senha para acesso a vrias contas, torna o ataque mais simples. Basta enviar um cadastro oferecendo um brinde ou a participao em um sorteio que solicite o nome e senha do usurio e pronto. O hacker ter a sua disposio tudo o que necessrio para um ataque, sem grande esforo (GRANGER, 2001 apud POPPER; BRIGNOLI, 2003, p. 4-5).

Isso pode ser reforado pela seguinte opinio: Muitos usam como senha, palavras que existem em todos os dicionrios, seus apelidos, ou at mesmo o prprio nome que, com um software gerenciador de senhas, possvel decifr-las em segundos. (VIRINFO, 2002 apud POPPER; BRIGNOLI, 2003, p. 4). Para um engenheiro social, uma senha forte ser aquela composta por uma sequncia aleatria de caracteres. Os seguintes critrios podem ajudar sua senha a se tornar forte: (MICROSOFT CORPORATION, 2006).

Escolha senhas longas, pois para cada caractere adicionado, maior ser a proteo. A quantidade mnima de caracteres recomendvel oito para uma senha segura. O ideal seria no mnimo quatorze caracteres. Uma frase secreta fcil de lembrar e por ser mais longa, ser mais seguro ainda. A combinao de letras, nmeros e smbolos ajudam bastante a aumentar a fora da senha. Quanto maior a variedade de caracteres, mais poderosa ser a senha. Quanto menor a variedade de caracteres maior dever ser a senha. Uma senha que possui quinze caracteres composta somente por letras e nmeros aleatrios cerca de 33.000 vezes mais forte do que uma senha de oito caracteres que composta por elementos de todo o teclado. lgico que uma senha ideal possui vrios tipos de caracteres diferentes e ao mesmo tempo longa. Use a tecla "Shift", pois sua senha ser muito mais forte se voc combinar os smbolos gerados atravs dessa tecla.

Use frases ou palavras que voc lembre com facilidade, mas que ao mesmo tempo seja difcil de algum adivinhar.

Vejamos alguns passos para criar sua senha forte: 1) Escolha uma frase fcil de lembrar como por exemplo. "Meu filho Carlos tem trs anos ou ento utilize a primeira letra de cada palavra que ficaria assim mfctta. 2) Uma tima opo se o sistema aceitar a utilizao de espaos entre as palavras ou caracteres. 3) Lembre-se de que quanto maior e mais complexas as combinaes forem, mais forte ser a senha, ento ao invs de usar mfctta como no primeiro exemplo, pode-se usar MfcTtA, Meu FilhO CarLos tem 3 aNos ou MeuFilhO KrlOs t&m 3 @no$.. Essa a oportunidade de usar a imaginao. Teste sua senha em um verificador de senhas. Este um recurso que ajuda a medir a fora da sua senha. (MICROSOFT CORPORATION, [200-?]). Estratgias para evitar senhas fracas

Evite escolher sequencias repetidas como, por exemplo: 123456, 3333333, abcdefg ou letras prximas no teclado. Evite tambm substituies semelhantes como, '1' no lugar de 'i' ou '@' no lugar de 'a', como em "M1cr0$0ft" ou "Senh@", lembrando que essas substituies podem sim se tornar fortes mais somente quando combinadas com vrios outros caracteres. No use nome de login, data de aniversrio, parte do nome, nmero de documentos, informaes de familiares, pois

informaes pessoais e de familiares so as primeiras a serem testadas pelos invasores.

Tambm no use palavras encontradas em dicionrios, pois existem softwares sofisticadssimos que utilizam essa tcnica, e inclusive palavras de trs para frente, erros comuns de digitao, substituies e at mesmo aquelas palavras que um adulto consciente jamais falaria perto das crianas. Use uma senha diferente para cada site ou sistema. Pois se voc utiliza a mesma senha para tudo e algum descobrir, todas as outras tambm sero descobertas e a catstrofe ser bem maior.

O objetivo maior dessas dicas minimizar ou dificultar ao mximo a possibilidade de um ataque de engenharia social. Pois segundo o prprio Kevin Mitnick, considerado o maior entendido do assunto: A verdade que no existe uma tecnologia no mundo que evite o ataque de um engenheiro social (MITNICK; SIMON, 2003, p. 195). O prprio Mitnick considerado o maior especialista em engenharia social do qual se tem notcias, em uma das suas raras vindas ao Brasil no final do ano de 2003, concedeu uma entrevista para a Information Week Brasil, onde declarou que foi vtima de engenharia social ao receber uma ligao de um jornalista dizendo que havia conversado com seu editor. Desatento, Mitnick confiou na palavra do jornalista e deu uma entrevista sobre o livro. Depois, quando a reportagem foi publicada o editor de Mitnick ligou para ele furioso, pois toda a estratgia para o lanamento do livro The Art of Deception (A arte de enganar) havia sido prejudicada por causa da entrevista, que o editor no havia autorizado. (PEIXOTO, 2006). CONCLUSO

O presente artigo procurou abordar a engenharia social de maneira a esclarecer o que realmente essa prtica to utilizada nos dias atuais para alcanar algum objetivo atravs da trapaa. Assim como a importncia que a informao tem para as organizaes e a necessidade de proteg-la. A maioria dos incidentes envolvendo a segurana da informao est diretamente ligada ao fator humano, pois este est totalmente relacionado com a segurana da informao. A segurana da informao tem um inicio e termina nas pessoas. Segurana da informao est mais relacionada com processos do que com a prpria tecnologia. Por isso no adiantar nada investir pesado em tecnologia e deixar de lado o fator humano. A conscientizao fundamental, sem ela a empresa corre um risco enorme, pois as vulnerabilidades humanas so evidentes e bem exploradas pelos engenheiros sociais. O artigo atingiu os objetivos estabelecidos, que eram colaborar como um instrumento de conscientizao a respeito do tema proposto, mostrando ao leitor o quanto as pessoas so manipuladas e ludibriadas nos dias de hoje atravs da engenharia social. Fazer tambm com que o leitor possa identificar um suposto ataque de engenharia social e, sobretudo reconhea o prprio engenheiro social atravs de suas caractersticas marcantes. Expor tambm procedimentos bsicos que no podem de maneira alguma ficar de fora de uma poltica de segurana para treinamento e conscientizao dos funcionrios. E finalmente dar dicas ao leitor que podem ajud-lo a no cair nas armadilhas do engenheiro social e assim no vir a se tornar mais uma vtima dessa prtica. Conforme proposto no inicio, o artigo procurou no abordar a parte tcnica da segurana da informao que envolve abordagens a respeito de cdigos, protocolos e etc. Buscou sim abordar bem os mtodos e tcnicas utilizadas pelos intrusos para roubarem informaes e comprometerem a segurana da informao.

Espero ter alcanado as expectativas do leitor e ter tambm contribudo de alguma maneira para a difuso do conhecimento adquirido atravs dessa pesquisa que resultou na criao do artigo proposto. REFERNCIAS ALLEN, Malcolm. Social Engineering: A Means to Violate a Computer System. SANS Institute InfoSec Reading Room. [S.l.], 13 f., june./dec. 2006. Disponvel em: . Acesso em: 20 ago. 2010. ARAUJO, Eduardo E. de. A VULNERABILIDADE HUMANA NA SEGURANA DA INFORMAO. 2005. 85 f. Monografia (Graduao) Faculdade de Cincias Aplicadas de Minas, Unio Educacional Minas Gerais S/C LTDA, Uberlndia, 2005. Disponvel em: . Acesso em: 14 out. 2010. ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. NBR ISO/IEC 17799: tecnologia da informao: tcnicas de segurana cdigo de prtica para a gesto da segurana da informao. Rio de Janeiro, 2005. 120 p. Disponvel em: < http://xa.yimg.com/kq/groups/21758149/952693400/name/ABNT+N BR+ISO+IEC+17799+-+27001-2005++Tecnologia+da+Informa %C3%A7%C3%A3o+-+T%C3%A9cnicas+de+Seguran%C3%A7a++C%C3%B3digo+de+Pr%C3%A1tica+para+a+Gest%C3%A3o>. Acesso em: 24 set. 2010. COMIT GESTOR DA INTERNET NO BRASIL. Centro de Estudos, Resposta e Tratamento de Incidentes de Segurana. Cartilha de Segurana para Internet. So Paulo, 2006. 95 p. Disponvel em: . Acesso em: 23 ago. 2010. ERICKSON, Jon. Hacking: the art of exploitation. San Francisco: No Starch Press, 2003.

FONSECA, Paula F. Gesto de Segurana da Informao: O Fator Humano. 2009. 16 f. Monografia (Especializao) Redes e Segurana de Computadores, Pontifcia Universidade Catlica do Paran, Curitiba, 2009. Disponvel em: . Acesso em: 24 ago. 2010. JUNIOR, Guilherme. Entendendo o que Engenharia Social. [S.l.: s.n.], 2006. Disponvel em: . Acesso em: 5 set. 2010. MARCELO, Antonio; PEREIRA, Marcos. A Arte de Hackear Pessoas. Rio de Janeiro: Brasport, 2005. MCCLURE, Stuart; SCAMBRAY, Joel; KURTZ, George. Hacking exposed 6: network security secrets & solutions. [S.l.]: The McGraw-Hill Companies, 2009. MICROSOFT CORPORATION. Ajude a proteger suas informaes pessoais com senhas fortes. [S.l.:s.n.], 2006. Disponvel em: . Acesso em: 20 ago. 2010. MICROSOFT CORPORATION. Verificador de senha. [S.l.:s.n.], [200-?]. Disponvel em: . Acesso em: 20 ago. 2010. MITNICK, Kevin D.; SIMON, William L. A arte de enganar: Ataques de Hackers: Controlando o Fator Humano na Segurana da Informao. So Paulo: Pearson Education, 2003. MITNICK, Kevin D.; SIMON, William L. The art of intrusion: the real stories behind the exploits of hackers, intruders, and deceivers. Indianapolis: Wiley Publishing, 2005. PEIXOTO, Mrio C. P. Engenharia Social e Segurana da Informao na Gesto Corporativa. Rio de Janeiro: Brasport, 2006. PILARES da segurana da informao. Disponvel em: . Acesso em: 31 out. 2010.

PIPKIN, Donald L. Halting the hacker: a practical guide to computer security. 2nd ed. Upper Saddle River: Pearson Education, 2003. POPPER, Marcos Antonio; BRIGNOLI, Juliano Tonizetti. ENGENHARIA SOCIAL: Um Perigo Eminente. [2003]. 11 f. Monografia (Especializao) Gesto Empresarial e Estratgias de Informtica, Instituto Catarinense de Ps-Graduao ICPG, [S.l.], [2003]. Disponvel em: . Acesso em: 19 ago. 2010. PRESCOTT, Roberta. Fator humano: um dos pilares da segurana da informao. [S.l.:s.n.], 2007. Disponvel em: . Acesso em: 03 out. 2010. RUSSELL, Ryan. Stealing the network: how to own the box. Rockland: Syngress Publishing, 2003. SANTOS, Luciano A. L. O impacto da engenharia social na segurana da informao. 2004. 82 f. Monografia (Especializao) Universidade Tiradentes, Aracaju, 2004. Disponvel em: . Acesso em: 14 out. 2010. SCHWARTAU, Winn. Engenharia social: pessoas ainda so elo mais fraco. [S.l.:s.n.], 2010. Disponvel em: . Acesso em: 15 out. 2010. SILVA, Elaine M. da. Cuidado com a engenharia social: Saiba dos cuidados necessrios para no cair nas armadilhas dos engenheiros sociais. [S.l.:s.n.], 2008. Disponvel em: . Acesso em: 20 out. 2010 SILVA, Maicon H. L. F. da; COSTA, V. A. de S. F. O fator humano como pilar da Segurana da Informao: uma proposta alternativa. Serra Talhada (PE), 2009. Disponvel em: . Acesso em: 31 out. 2010.

SISTEMA DE COOPERATIVAS DE CRDITO DO BRASIL; CONFEDERAO NACIONAL DE COOPERATIVAS DE CRDITO. Cartilha de Segurana da Informao. [S.l.:s.n.], [200?]. Disponvel em: . Acesso em: 24 ago. 2010. SKYLAN: technology. Disponvel em: . Acesso em: 31 out. 2010.