SlideShare uma empresa Scribd logo

Engenharia Social - Pequenas Informações de Grande Importância

Cassio Henrique. F. Ramos, CRISC
Cassio Henrique. F. Ramos, CRISC

O documento resume as técnicas de engenharia social, incluindo explorar situações de emergência, usar autoridade questionável e pedir ajuda para obter informações confidenciais de empresas. Ele também discute como treinamento, conscientização e avaliação podem ajudar a prevenir esses ataques.

Tecnologia
1 de 8
Baixar para ler offline
Engenharia Social Informações simples que podem impactar na segurança Copyright © 2011 Qualytool. All rights reserved. Consultoria Pesquisa Educação Executiva
2 Constantes golpes de Engenharia social a empresas no mundo todo nos fazem questionar os investimentos pesados apenas em tecnologia, esquecendo-se das pessoas. O Engenheiro Social: Atualmente temos visto os grandes O termo “Engenheiro Social” é uma investimentos tecnológicos das empresas forma mais simpática, e até pro ssional para mitigar riscos e garantir assim uma de chamar pessoas que usam habili- melhor segurança de suas informações e dades de comunicação, análise e muita ativos de informação. O que as empresas têm simpatia para, na maioria das vezes, esquecido é do investimento em pessoas e atacar empresas e acessar informações cultura. Este investimento é in nitamente importantes de forma enganosa, explo- menor do que o investimento em tecnologia, rando a con ança das pessoas e cau- pois os recursos mais importantes são as pes- sando danos ou obtendo lucro com isso. soas, e elas já estão na empresa. Algumas fontes citam os Engs. Sociais do A falta da cultura de segurança, e até “Bem”, que seriam pessoas que usam mesmo o sentimento de “isso nunca vai acon- seus dons e técnicas para ações positivas tecer comigo” é o grande culpado pela falta como entrevistar pessoas, vender produ- de investimento preventivo das empresas em tos e outros benefícios. Bom, nós não Segurança da Informação. A informação hoje vamos falar deles neste artigo, meu foco é o ativo de maior valor das organizações. aqui são fraudadores, ladrões e Uma das maiores vulnerabilidade aproveitadores. explorada pelo Engenheiro Social é a velha A engenharia social só é possível máxima “Não tenho nada de con dencial ou quando as pessoas não estão prepara- importante em minha empresa”, pois ele usa das, pois a base dela é a desatualização esse pensamento para extrair informações. das pessoas em relação a Segurança da Mal sabemos que às vezes uma informação Informação, o não entendimento sobre a isoladamente pode ser inofensiva, mas cinco importância das informações e ativos da ou seis juntas podem fazer uma empresa empresa, assim como a ingenuidade e o fechar, ou então ter um grande impacto instinto de ajuda em relação a pessoas negativo em seu negócio. desconhecidas, mas com grande simpa- tia. www.qualytool.com Copyright © 2011 Qualytool. All rights reserved.
3 Engenharia Social não é Pro ssão Apesar do nome, a Engenharia Social não é ligada as ciências exatas ou sociologia. Na ver- dade, trata-se de uma antiga técnica para roubo de informações importantes de pessoas descuidadas, através da criação de laços e amizade e de uma boa conversa. case I “Uma das maiores brechas da segu- Mais rápida que um piscar de olhos rança em pessoas é uma secretária ela me disse: extremamente prestativa” - Ok, aguarde um segundo por favor. Há alguns anos atrás me encontrei Me passando o endereço, o nome em Curitiba com um cliente e amigo que completo do contato e somando isso ao estava realizando a venda de sua em- meu acesso ao Google foi muito rápido presa para um grupo de São Paulo. Eu o ter a informação. encontrei no aeroporto e perguntei com Falha da Secretária? Não, ela fez qual grupo seria essa negociação. Ele me exatamente o que as secretárias são trei- respondeu prontamente que a informa- nadas para fazer, resolver problemas de ção era con dencial, pois essa informa- seus chefes e facilitar a vida. ção antes do fechamento poderia colocar Ela não tinha idéia de que a infor- em risco a negociação. Pedi a ele se pode- mação era con dencial, e mesmo se ria tentar descobrir e já que somos muito tivesse que mal tem passar a informação amigos e tínhamos um contrato de con - para um operador da empresa aérea para dencialidade com a sua empresa, não ajudar seu chefe? Bom, a brincadeira deu teria problema se eu tivesse sucesso. um grande susto em meu amigo, que não Perguntei a ele se a secretária dele pensou duas vezes em treinar seu pes- sabia os horários dos voos dele e se sabia soal. da informação. Ele me disse que sim. Liguei ao escritório dele e simplesmente disse: - Sra. Fulana, meu nome é João e estou com o Sr. Ciclano embarcando agora em nosso voo, ele me pediu em situação de emergência qual o endereço do local que ele vai visitar em São Paulo e o nome da pessoa, pois não está acessando a inter- net. www.qualytool.com Copyright © 2011 Qualytool. All rights reserved.
4 case II O Golpe da Lista Telefônica Depois de ler tudo isso, tenho certeza que muitas pessoas ainda pensam que di - cilmente as suas empresas cairiam em um golpe desses, mas só no ano de 2010 mil- hares de pequenas e médias empresas caíram no golpe da lista telefônica. Como funciona: case III “Tudo começa com uma ligação a Fishing Scan pequenos empresários, comerciantes e pro- Outro exemplo com uma mistura de ssionais liberais. Quem liga faz uma pro- Eng. Social e Tecnologia são os Fishing posta tentadora: divulgar o nome da em- Scan. Basta sair algum escândalo na mídia e presa gratuitamente numa lista telefônica. nossas caixas de correio enchem com Foi assim com seu Jorge Conto, dono e-mails do tipo: - “Vejam as fotos do Aci- de uma imobiliária em Fortaleza. “Eles dente na cidade de X” bobagem, certo? dizem que é um novo cadastro e citam o Não, infelizmente o número de pes- nome da Anatel”, conta. Ele acreditou que o soas que clicam para ver as fotos ainda é serviço sairia de graça e recebeu por fax um muito grande. Mas o grande impacto é contrato já preenchido com os dados da quando o Eng. Social estuda a empresa, as imobiliária dele. Os negociadores pediram pessoas que ela se relaciona, e acessa infor- que Jorge devolvesse o papel assinado e mações como: Quem são os fornecedores carimbado; daí para frente, o serviço gra- da empresa, seus gerentes, funcionários, tuito virou uma dívida de mais de R$ 3.500. datas de aniversário, informações das redes A lista telefônica impressa nunca apa- sociais e outros. rece; as empresas ganham apenas anúncios Quando se tem acesso a essa gama numa página na Internet. As cobranças de informações direcionadas, a capacidade começam a ser feitas em telefonemas de um ataque de sucesso é muito grande, ameaçadores, pouco depois de as vitimas por isso é muito importante que pessoas e assinarem o documento enviado por fax. empresas entendam que a exposição de "Diariamente, eu recebo ligações de supos- números de celular, datas de aniversário e tos cartórios de São Paulo e da empresa, outras informações aparentemente inocen- exigindo que eu faça um depósito", reclama tes ao grande público, podem ser utilizadas Jorge Conto.” g1.globo.com para um ataque. www.qualytool.com Copyright © 2011 Qualytool. All rights reserved.
5 5 Ações mais comuns de Engenharia Social Existem diversas técnicas e meios para aplicar a engenharia social, então, irei me dedicar àquelas que eu considero as mais comuns e impactantes. 1 A EMERGÊNCIA 2 AUTORIADE INQUESTIONÁVEL Quem não vai ajudar um Uma pergunta que eu faço conhecido que está em uma frequentemente às Auditorias de emergência? Essa é uma das Segurança quando alguém me situações mais difíceis de diz que tal informação é restrita discernir o certo do errado, e ou con dencial, como por exem- aqui entra a secretária prestativa, plo o No. de CPF, celular ou ou o colega de trabalho que não salário: quer deixar o amigo em uma - Se se o vice-presidente da em- situação ruim. presa ligar pedindo, você revela O atacante liga dizendo a informação? que alguém conhecido está em Normalmente a resposta algum tipo de emergência, e é: Pois é, se ele pedir tem que assim coleta informações repas- passar! Mas a questão é, quem sadas para ajudar o suposto disse que a pessoa que ligou é o amigo. A pessoa liga para você Vice-presidente da empresa? dizendo ser da Policia Em grandes corporações as pes- Rodoviária, e seu amigo que saiu soas não se conhecem, basta o de férias, sofreu um acidente, engenheiro social conhecer as para isso precisa do telefone dos pessoas da empresa e ameaçar a pais e do endereço dele. Essas entregar para o Sr. Gerente informações podem ser usadas Fulano de Tal se ela não falar, para simulação de sequestro e assim como colocar uma secre- diversas outras. tária a ligar antes e fazer demorar a ligação para criar expectativa e medo. 3 AJUDA Aqui é utilizado o seu lado humano para ajudar um colega, um opyright © 2011 Qualytool. All rights reserved. parente de amigo, namorado(a) ou alguém que possa ter um mínimo de laços de amizade e que você não gostaria de ver passando por problemas. As pessoas tendem a se sensibilizar com as outras quando estas são educadas, amáveis, agradáveis. Da mesma forma, quando se iden- ti cam com estas mesmas qualidades. www.qualytool.com
6 4 PRESENTE OU PRÊMIO Por mais comum que possa parecer o atacante liga para você a rmando que você ganhou algo em uma loja, ou shopping ou qualquer lugar que você frequente ou tenha relação. Neste caso os atacantes mais preparados não falam de grandes prêmios, mas sim de pequenos prêmios que você também não deixaria de querer, como duas revisões do seu carro, ou 4 tanques de gasolina ou ainda uma camisa de marca X. Esses pequenos prêmios fazem com que a gente queira retirar eles, e como não são expressivos, como “ Você Ganhou uma Mercedes”, são mais críveis e, sendo assim você passa informações necessárias para retirar o prêmio. 5 FALSO IDEALISMO 6 TESTE Muito usado em pessoas que aderem a causas sociais, am- As pessoas têm a tendência de bientais ou outras (basta procurar atender a solicitação de alguém após no Facebook, Orkut, Twitter ou ter se comprometido publicamente ou qualquer outra rede social que a de ter adotado uma causa. Tentamos vítima possa estar participando). demonstrar que somos con áveis. Neste caso são feitas ligações que Neste caso o atacante liga se validam as informações e, após passando por alguém da segurança ou esta ação podem então ser envia- auditoria, ai faz algumas perguntas dos alguns e-mails inofensivos sobre segurança para saber se a pessoa onde a vítima cria con ança para conhece realmente do assunto. Após acessar então o e-mail com o link isso usa-se o elogio e até se ouve a falso. opinião, criando assim uma laço para novas ligações e posteriormente per- guntar informações. Poderia, sem muita di culdade, escrever mais vinte ou trinta páginas sobre tipos e formas de ataque, mas acredito que não seja necessário, pois com os exemplos acima já temos ideia da quantidade e tipos de ataques pos- síveis hoje. www.qualytool.com www.qualytool.com Copyright © 2011 Qualytool. All rights reserved.
7 7 Resolvendo a Equação Para reduzirmos os riscos de fraudes A avaliação de tudo que é ensi- aplicadas por engenharia social, devemos nado é muito importante também, focar em três ações: para manter vivas as informações pas- Conscientizar sadas, aconselho testes escritos e reais, Treinar sendo eles bem preparados e orga- Avaliar nizados com toda a empresa antes. As pessoas precisam entender o que Pessoas críticas na organização são informações con denciais e restritas, o como secretárias, estagiários, vigias, que pode ser comunicado, o que fazer no terceiros e outros, muitas vezes não caso do chefe ou presidente ligar pedindo tem acesso a treinamentos e quali ca- algo e quais as formas de validação para ção. Não esqueçam que muitas vezes saber se a pessoas são legítimas ou não. cargos e funções que parecem não ter O foco deve ser treinar e conscientizar, impacto no negócio tem acesso a esse processo deve ser contínuo, atualizado informações, pessoas e locais críticos. e sempre com uso de cases reais. Para nalizar, não se esqueçam Aqui em nossa empresa é costume sempre de informar sempre as pessoas, e que algum golpe sai na mídia, escrever e deixar claras as politicas da empresa repassar a informação a todas as áreas sobre a segurança da informação. dizendo que tipo de golpe é, e como se pre- venir. Copyright © 2011 Qualytool. All rights reserved.
Cassio Furtado Ramos cassio.ramos@qualytool.com opyright © 2011 Qualytool. All rights reserved. Caxias do Sul - RS / Brasil Porto Alegre - RS / Brasil R. João Venzon Neto - 105 R. Dr. Possidonio Cunha - 641 B. Santa Catarina B. Vila Assunção CEP: 95.032-200 CEP: 91.900-140 Fone +55 54 3025 6363 Fone +55 51 3062 0639 www.qualytool.com

Recomendados

Internet, Informações e Riscos
Internet, Informações e RiscosInternet, Informações e Riscos
Internet, Informações e RiscosRicardo Roesler
 
E-book sobre Engenharia Social
E-book sobre Engenharia SocialE-book sobre Engenharia Social
E-book sobre Engenharia SocialMiguel Reis
 
Empreendedor.com - Palestra Direito Digital - Sandra Tomazi
Empreendedor.com - Palestra Direito Digital - Sandra TomaziEmpreendedor.com - Palestra Direito Digital - Sandra Tomazi
Empreendedor.com - Palestra Direito Digital - Sandra TomaziRodrigo Lima
 
( Espiritismo) # - biografias # espiritas famosos
( Espiritismo) # - biografias # espiritas famosos( Espiritismo) # - biografias # espiritas famosos
( Espiritismo) # - biografias # espiritas famososInstituto de Psicobiofísica Rama Schain
 
126015847 seguranca-de-redes-criptografia-2
126015847 seguranca-de-redes-criptografia-2126015847 seguranca-de-redes-criptografia-2
126015847 seguranca-de-redes-criptografia-2Marco Guimarães
 
Cabreralydia venganzasycastigosdelosorishas-090413125554-phpapp01
Cabreralydia venganzasycastigosdelosorishas-090413125554-phpapp01Cabreralydia venganzasycastigosdelosorishas-090413125554-phpapp01
Cabreralydia venganzasycastigosdelosorishas-090413125554-phpapp01Tania Campos
 
Carta a um maçom
Carta a um maçomCarta a um maçom
Carta a um maçomLeonardo Toledo
 
A TRILOGIA
A TRILOGIAA TRILOGIA
A TRILOGIARoberto Axe
 

Recomendados

Internet, Informações e Riscos
Internet, Informações e RiscosInternet, Informações e Riscos
Internet, Informações e RiscosRicardo Roesler
 
E-book sobre Engenharia Social
E-book sobre Engenharia SocialE-book sobre Engenharia Social
E-book sobre Engenharia SocialMiguel Reis
 
Empreendedor.com - Palestra Direito Digital - Sandra Tomazi
Empreendedor.com - Palestra Direito Digital - Sandra TomaziEmpreendedor.com - Palestra Direito Digital - Sandra Tomazi
Empreendedor.com - Palestra Direito Digital - Sandra TomaziRodrigo Lima
 
( Espiritismo) # - biografias # espiritas famosos
( Espiritismo) # - biografias # espiritas famosos( Espiritismo) # - biografias # espiritas famosos
( Espiritismo) # - biografias # espiritas famososInstituto de Psicobiofísica Rama Schain
 
126015847 seguranca-de-redes-criptografia-2
126015847 seguranca-de-redes-criptografia-2126015847 seguranca-de-redes-criptografia-2
126015847 seguranca-de-redes-criptografia-2Marco Guimarães
 
Cabreralydia venganzasycastigosdelosorishas-090413125554-phpapp01
Cabreralydia venganzasycastigosdelosorishas-090413125554-phpapp01Cabreralydia venganzasycastigosdelosorishas-090413125554-phpapp01
Cabreralydia venganzasycastigosdelosorishas-090413125554-phpapp01Tania Campos
 
Carta a um maçom
Carta a um maçomCarta a um maçom
Carta a um maçomLeonardo Toledo
 
A TRILOGIA
A TRILOGIAA TRILOGIA
A TRILOGIARoberto Axe
 
Engenharia social
Engenharia socialEngenharia social
Engenharia socialNaraBarros10
 
A ti muda
A ti mudaA ti muda
A ti mudaJeovani Azevedo Moreira
 
Segurança nas Redes Sociais
Segurança nas Redes SociaisSegurança nas Redes Sociais
Segurança nas Redes SociaisCassio Henrique. F. Ramos, CRISC
 
trabalho de informática
trabalho de informáticatrabalho de informática
trabalho de informáticaguest45440c
 
Revista Fenacon 157 - entrevista de Roberto Dias Duarte
Revista Fenacon 157 - entrevista de Roberto Dias DuarteRevista Fenacon 157 - entrevista de Roberto Dias Duarte
Revista Fenacon 157 - entrevista de Roberto Dias DuarteRoberto Dias Duarte
 
FULLCOVER | Cyber risk dossier | To boldly go
FULLCOVER | Cyber risk dossier | To boldly goFULLCOVER | Cyber risk dossier | To boldly go
FULLCOVER | Cyber risk dossier | To boldly goMDS Portugal
 
O Fim da Privacidade
O Fim da PrivacidadeO Fim da Privacidade
O Fim da PrivacidadeFilipe Pontes
 
Artigo engenharia social
Artigo engenharia socialArtigo engenharia social
Artigo engenharia socialEmbratel
 
VI congresso fecomercio de crimes eletrônicos 04082014 - apresentação de af...
VI congresso fecomercio de crimes eletrônicos 04082014 - apresentação de af...VI congresso fecomercio de crimes eletrônicos 04082014 - apresentação de af...
VI congresso fecomercio de crimes eletrônicos 04082014 - apresentação de af...FecomercioSP
 
Reflecção clc 5 (dr 1,2,3,4)
Reflecção clc 5 (dr 1,2,3,4)Reflecção clc 5 (dr 1,2,3,4)
Reflecção clc 5 (dr 1,2,3,4)joaokota
 
Os perigos escondidos nas redes sociais
Os perigos escondidos nas redes sociaisOs perigos escondidos nas redes sociais
Os perigos escondidos nas redes sociaismarcosfarias30
 
Internet segura 2
Internet segura 2Internet segura 2
Internet segura 2Marta Fort
 
Empresas com velhos hábitos, Consumidores com novas ferramentas-Ricardo Miragaia
Empresas com velhos hábitos, Consumidores com novas ferramentas-Ricardo MiragaiaEmpresas com velhos hábitos, Consumidores com novas ferramentas-Ricardo Miragaia
Empresas com velhos hábitos, Consumidores com novas ferramentas-Ricardo MiragaiaReclame Aqui
 
Engenharia Social
Engenharia SocialEngenharia Social
Engenharia SocialLuis Guilherme Rodrigues
 
Midia training, Novas Tecnlogias e Assessoria de Imprensa
Midia training, Novas Tecnlogias e Assessoria de ImprensaMidia training, Novas Tecnlogias e Assessoria de Imprensa
Midia training, Novas Tecnlogias e Assessoria de ImprensaMarcio Ferreira
 
Identidade Digital
Identidade DigitalIdentidade Digital
Identidade DigitalPaula Peres
 
BatalhaDigital.pdf
BatalhaDigital.pdfBatalhaDigital.pdf
BatalhaDigital.pdfmarcoslosoares106
 
Geração Cybernética
Geração CybernéticaGeração Cybernética
Geração CybernéticaLeonardo Dunham
 
Internet Vsf
Internet VsfInternet Vsf
Internet Vsfap8dgrp4
 
ENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdf
ENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdfENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdf
ENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdfHelenaReis48
 
Dados vencem crises
Dados vencem crisesDados vencem crises
Dados vencem crisesCassio Henrique. F. Ramos, CRISC
 
Lemon - Transformando informações em inteligência
Lemon - Transformando informações em inteligênciaLemon - Transformando informações em inteligência
Lemon - Transformando informações em inteligênciaCassio Henrique. F. Ramos, CRISC
 

Mais conteúdo relacionado

Semelhante a Engenharia Social - Pequenas Informações de Grande Importância

trabalho de informática
trabalho de informáticatrabalho de informática
trabalho de informáticaguest45440c
 
Revista Fenacon 157 - entrevista de Roberto Dias Duarte
Revista Fenacon 157 - entrevista de Roberto Dias DuarteRevista Fenacon 157 - entrevista de Roberto Dias Duarte
Revista Fenacon 157 - entrevista de Roberto Dias DuarteRoberto Dias Duarte
 
FULLCOVER | Cyber risk dossier | To boldly go
FULLCOVER | Cyber risk dossier | To boldly goFULLCOVER | Cyber risk dossier | To boldly go
FULLCOVER | Cyber risk dossier | To boldly goMDS Portugal
 
O Fim da Privacidade
O Fim da PrivacidadeO Fim da Privacidade
O Fim da PrivacidadeFilipe Pontes
 
Artigo engenharia social
Artigo engenharia socialArtigo engenharia social
Artigo engenharia socialEmbratel
 
VI congresso fecomercio de crimes eletrônicos 04082014 - apresentação de af...
VI congresso fecomercio de crimes eletrônicos 04082014 - apresentação de af...VI congresso fecomercio de crimes eletrônicos 04082014 - apresentação de af...
VI congresso fecomercio de crimes eletrônicos 04082014 - apresentação de af...FecomercioSP
 
Reflecção clc 5 (dr 1,2,3,4)
Reflecção clc 5 (dr 1,2,3,4)Reflecção clc 5 (dr 1,2,3,4)
Reflecção clc 5 (dr 1,2,3,4)joaokota
 
Os perigos escondidos nas redes sociais
Os perigos escondidos nas redes sociaisOs perigos escondidos nas redes sociais
Os perigos escondidos nas redes sociaismarcosfarias30
 
Internet segura 2
Internet segura 2Internet segura 2
Internet segura 2Marta Fort
 
Empresas com velhos hábitos, Consumidores com novas ferramentas-Ricardo Miragaia
Empresas com velhos hábitos, Consumidores com novas ferramentas-Ricardo MiragaiaEmpresas com velhos hábitos, Consumidores com novas ferramentas-Ricardo Miragaia
Empresas com velhos hábitos, Consumidores com novas ferramentas-Ricardo MiragaiaReclame Aqui
 
Midia training, Novas Tecnlogias e Assessoria de Imprensa
Midia training, Novas Tecnlogias e Assessoria de ImprensaMidia training, Novas Tecnlogias e Assessoria de Imprensa
Midia training, Novas Tecnlogias e Assessoria de ImprensaMarcio Ferreira
 
Identidade Digital
Identidade DigitalIdentidade Digital
Identidade DigitalPaula Peres
 
Internet Vsf
Internet VsfInternet Vsf
Internet Vsfap8dgrp4
 
ENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdf
ENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdfENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdf
ENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdfHelenaReis48
 

Semelhante a Engenharia Social - Pequenas Informações de Grande Importância (20)

Engenharia social
Engenharia socialEngenharia social
Engenharia social
 
A ti muda
A ti mudaA ti muda
A ti muda
 
Segurança nas Redes Sociais
Segurança nas Redes SociaisSegurança nas Redes Sociais
Segurança nas Redes Sociais
 
trabalho de informática
trabalho de informáticatrabalho de informática
trabalho de informática
 
Revista Fenacon 157 - entrevista de Roberto Dias Duarte
Revista Fenacon 157 - entrevista de Roberto Dias DuarteRevista Fenacon 157 - entrevista de Roberto Dias Duarte
Revista Fenacon 157 - entrevista de Roberto Dias Duarte
 
FULLCOVER | Cyber risk dossier | To boldly go
FULLCOVER | Cyber risk dossier | To boldly goFULLCOVER | Cyber risk dossier | To boldly go
FULLCOVER | Cyber risk dossier | To boldly go
 
O Fim da Privacidade
O Fim da PrivacidadeO Fim da Privacidade
O Fim da Privacidade
 
Artigo engenharia social
Artigo engenharia socialArtigo engenharia social
Artigo engenharia social
 
VI congresso fecomercio de crimes eletrônicos 04082014 - apresentação de af...
VI congresso fecomercio de crimes eletrônicos 04082014 - apresentação de af...VI congresso fecomercio de crimes eletrônicos 04082014 - apresentação de af...
VI congresso fecomercio de crimes eletrônicos 04082014 - apresentação de af...
 
Reflecção clc 5 (dr 1,2,3,4)
Reflecção clc 5 (dr 1,2,3,4)Reflecção clc 5 (dr 1,2,3,4)
Reflecção clc 5 (dr 1,2,3,4)
 
Os perigos escondidos nas redes sociais
Os perigos escondidos nas redes sociaisOs perigos escondidos nas redes sociais
Os perigos escondidos nas redes sociais
 
Internet segura 2
Internet segura 2Internet segura 2
Internet segura 2
 
Empresas com velhos hábitos, Consumidores com novas ferramentas-Ricardo Miragaia
Empresas com velhos hábitos, Consumidores com novas ferramentas-Ricardo MiragaiaEmpresas com velhos hábitos, Consumidores com novas ferramentas-Ricardo Miragaia
Empresas com velhos hábitos, Consumidores com novas ferramentas-Ricardo Miragaia
 
Engenharia Social
Engenharia SocialEngenharia Social
Engenharia Social
 
Midia training, Novas Tecnlogias e Assessoria de Imprensa
Midia training, Novas Tecnlogias e Assessoria de ImprensaMidia training, Novas Tecnlogias e Assessoria de Imprensa
Midia training, Novas Tecnlogias e Assessoria de Imprensa
 
Identidade Digital
Identidade DigitalIdentidade Digital
Identidade Digital
 
BatalhaDigital.pdf
BatalhaDigital.pdfBatalhaDigital.pdf
BatalhaDigital.pdf
 
Geração Cybernética
Geração CybernéticaGeração Cybernética
Geração Cybernética
 
Internet Vsf
Internet VsfInternet Vsf
Internet Vsf
 
ENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdf
ENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdfENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdf
ENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdf
 

Mais de Cassio Henrique. F. Ramos, CRISC

Mais de Cassio Henrique. F. Ramos, CRISC (14)

Dados vencem crises
Dados vencem crisesDados vencem crises
Dados vencem crises
 
Lemon - Transformando informações em inteligência
Lemon - Transformando informações em inteligênciaLemon - Transformando informações em inteligência
Lemon - Transformando informações em inteligência
 
Ebook Lemon - 6 erros no design de dashboars
Ebook Lemon - 6 erros no design de dashboarsEbook Lemon - 6 erros no design de dashboars
Ebook Lemon - 6 erros no design de dashboars
 
Palestra gestão de riscos na nova ISO 9001:2015
Palestra gestão de riscos na nova ISO 9001:2015Palestra gestão de riscos na nova ISO 9001:2015
Palestra gestão de riscos na nova ISO 9001:2015
 
Como gerenciar os riscos de seu negócio
Como gerenciar os riscos de seu negócioComo gerenciar os riscos de seu negócio
Como gerenciar os riscos de seu negócio
 
GCN - Gestão de Continuidade de Negócios
GCN - Gestão de Continuidade de NegóciosGCN - Gestão de Continuidade de Negócios
GCN - Gestão de Continuidade de Negócios
 
Gaúchos nas Redes Sociais
Gaúchos nas Redes SociaisGaúchos nas Redes Sociais
Gaúchos nas Redes Sociais
 
Estratégia pela Mudança
Estratégia pela MudançaEstratégia pela Mudança
Estratégia pela Mudança
 
Desafiando Murphy
Desafiando MurphyDesafiando Murphy
Desafiando Murphy
 
Monitoramento da Marca na Web
Monitoramento da Marca na WebMonitoramento da Marca na Web
Monitoramento da Marca na Web
 
Gestão de Equipes
Gestão de EquipesGestão de Equipes
Gestão de Equipes
 
Gestão Ambiental BS 8555
Gestão Ambiental BS 8555Gestão Ambiental BS 8555
Gestão Ambiental BS 8555
 
Arte de Produzir Melhor
Arte de Produzir MelhorArte de Produzir Melhor
Arte de Produzir Melhor
 
Gestão por Indicadores
Gestão por IndicadoresGestão por Indicadores
Gestão por Indicadores
 

Engenharia Social - Pequenas Informações de Grande Importância

  • 1. Engenharia Social Informações simples que podem impactar na segurança Copyright © 2011 Qualytool. All rights reserved. Consultoria Pesquisa Educação Executiva
  • 2. 2 Constantes golpes de Engenharia social a empresas no mundo todo nos fazem questionar os investimentos pesados apenas em tecnologia, esquecendo-se das pessoas. O Engenheiro Social: Atualmente temos visto os grandes O termo “Engenheiro Social” é uma investimentos tecnológicos das empresas forma mais simpática, e até pro ssional para mitigar riscos e garantir assim uma de chamar pessoas que usam habili- melhor segurança de suas informações e dades de comunicação, análise e muita ativos de informação. O que as empresas têm simpatia para, na maioria das vezes, esquecido é do investimento em pessoas e atacar empresas e acessar informações cultura. Este investimento é in nitamente importantes de forma enganosa, explo- menor do que o investimento em tecnologia, rando a con ança das pessoas e cau- pois os recursos mais importantes são as pes- sando danos ou obtendo lucro com isso. soas, e elas já estão na empresa. Algumas fontes citam os Engs. Sociais do A falta da cultura de segurança, e até “Bem”, que seriam pessoas que usam mesmo o sentimento de “isso nunca vai acon- seus dons e técnicas para ações positivas tecer comigo” é o grande culpado pela falta como entrevistar pessoas, vender produ- de investimento preventivo das empresas em tos e outros benefícios. Bom, nós não Segurança da Informação. A informação hoje vamos falar deles neste artigo, meu foco é o ativo de maior valor das organizações. aqui são fraudadores, ladrões e Uma das maiores vulnerabilidade aproveitadores. explorada pelo Engenheiro Social é a velha A engenharia social só é possível máxima “Não tenho nada de con dencial ou quando as pessoas não estão prepara- importante em minha empresa”, pois ele usa das, pois a base dela é a desatualização esse pensamento para extrair informações. das pessoas em relação a Segurança da Mal sabemos que às vezes uma informação Informação, o não entendimento sobre a isoladamente pode ser inofensiva, mas cinco importância das informações e ativos da ou seis juntas podem fazer uma empresa empresa, assim como a ingenuidade e o fechar, ou então ter um grande impacto instinto de ajuda em relação a pessoas negativo em seu negócio. desconhecidas, mas com grande simpa- tia. www.qualytool.com Copyright © 2011 Qualytool. All rights reserved.
  • 3. 3 Engenharia Social não é Pro ssão Apesar do nome, a Engenharia Social não é ligada as ciências exatas ou sociologia. Na ver- dade, trata-se de uma antiga técnica para roubo de informações importantes de pessoas descuidadas, através da criação de laços e amizade e de uma boa conversa. case I “Uma das maiores brechas da segu- Mais rápida que um piscar de olhos rança em pessoas é uma secretária ela me disse: extremamente prestativa” - Ok, aguarde um segundo por favor. Há alguns anos atrás me encontrei Me passando o endereço, o nome em Curitiba com um cliente e amigo que completo do contato e somando isso ao estava realizando a venda de sua em- meu acesso ao Google foi muito rápido presa para um grupo de São Paulo. Eu o ter a informação. encontrei no aeroporto e perguntei com Falha da Secretária? Não, ela fez qual grupo seria essa negociação. Ele me exatamente o que as secretárias são trei- respondeu prontamente que a informa- nadas para fazer, resolver problemas de ção era con dencial, pois essa informa- seus chefes e facilitar a vida. ção antes do fechamento poderia colocar Ela não tinha idéia de que a infor- em risco a negociação. Pedi a ele se pode- mação era con dencial, e mesmo se ria tentar descobrir e já que somos muito tivesse que mal tem passar a informação amigos e tínhamos um contrato de con - para um operador da empresa aérea para dencialidade com a sua empresa, não ajudar seu chefe? Bom, a brincadeira deu teria problema se eu tivesse sucesso. um grande susto em meu amigo, que não Perguntei a ele se a secretária dele pensou duas vezes em treinar seu pes- sabia os horários dos voos dele e se sabia soal. da informação. Ele me disse que sim. Liguei ao escritório dele e simplesmente disse: - Sra. Fulana, meu nome é João e estou com o Sr. Ciclano embarcando agora em nosso voo, ele me pediu em situação de emergência qual o endereço do local que ele vai visitar em São Paulo e o nome da pessoa, pois não está acessando a inter- net. www.qualytool.com Copyright © 2011 Qualytool. All rights reserved.
  • 4. 4 case II O Golpe da Lista Telefônica Depois de ler tudo isso, tenho certeza que muitas pessoas ainda pensam que di - cilmente as suas empresas cairiam em um golpe desses, mas só no ano de 2010 mil- hares de pequenas e médias empresas caíram no golpe da lista telefônica. Como funciona: case III “Tudo começa com uma ligação a Fishing Scan pequenos empresários, comerciantes e pro- Outro exemplo com uma mistura de ssionais liberais. Quem liga faz uma pro- Eng. Social e Tecnologia são os Fishing posta tentadora: divulgar o nome da em- Scan. Basta sair algum escândalo na mídia e presa gratuitamente numa lista telefônica. nossas caixas de correio enchem com Foi assim com seu Jorge Conto, dono e-mails do tipo: - “Vejam as fotos do Aci- de uma imobiliária em Fortaleza. “Eles dente na cidade de X” bobagem, certo? dizem que é um novo cadastro e citam o Não, infelizmente o número de pes- nome da Anatel”, conta. Ele acreditou que o soas que clicam para ver as fotos ainda é serviço sairia de graça e recebeu por fax um muito grande. Mas o grande impacto é contrato já preenchido com os dados da quando o Eng. Social estuda a empresa, as imobiliária dele. Os negociadores pediram pessoas que ela se relaciona, e acessa infor- que Jorge devolvesse o papel assinado e mações como: Quem são os fornecedores carimbado; daí para frente, o serviço gra- da empresa, seus gerentes, funcionários, tuito virou uma dívida de mais de R$ 3.500. datas de aniversário, informações das redes A lista telefônica impressa nunca apa- sociais e outros. rece; as empresas ganham apenas anúncios Quando se tem acesso a essa gama numa página na Internet. As cobranças de informações direcionadas, a capacidade começam a ser feitas em telefonemas de um ataque de sucesso é muito grande, ameaçadores, pouco depois de as vitimas por isso é muito importante que pessoas e assinarem o documento enviado por fax. empresas entendam que a exposição de "Diariamente, eu recebo ligações de supos- números de celular, datas de aniversário e tos cartórios de São Paulo e da empresa, outras informações aparentemente inocen- exigindo que eu faça um depósito", reclama tes ao grande público, podem ser utilizadas Jorge Conto.” g1.globo.com para um ataque. www.qualytool.com Copyright © 2011 Qualytool. All rights reserved.
  • 5. 5 5 Ações mais comuns de Engenharia Social Existem diversas técnicas e meios para aplicar a engenharia social, então, irei me dedicar àquelas que eu considero as mais comuns e impactantes. 1 A EMERGÊNCIA 2 AUTORIADE INQUESTIONÁVEL Quem não vai ajudar um Uma pergunta que eu faço conhecido que está em uma frequentemente às Auditorias de emergência? Essa é uma das Segurança quando alguém me situações mais difíceis de diz que tal informação é restrita discernir o certo do errado, e ou con dencial, como por exem- aqui entra a secretária prestativa, plo o No. de CPF, celular ou ou o colega de trabalho que não salário: quer deixar o amigo em uma - Se se o vice-presidente da em- situação ruim. presa ligar pedindo, você revela O atacante liga dizendo a informação? que alguém conhecido está em Normalmente a resposta algum tipo de emergência, e é: Pois é, se ele pedir tem que assim coleta informações repas- passar! Mas a questão é, quem sadas para ajudar o suposto disse que a pessoa que ligou é o amigo. A pessoa liga para você Vice-presidente da empresa? dizendo ser da Policia Em grandes corporações as pes- Rodoviária, e seu amigo que saiu soas não se conhecem, basta o de férias, sofreu um acidente, engenheiro social conhecer as para isso precisa do telefone dos pessoas da empresa e ameaçar a pais e do endereço dele. Essas entregar para o Sr. Gerente informações podem ser usadas Fulano de Tal se ela não falar, para simulação de sequestro e assim como colocar uma secre- diversas outras. tária a ligar antes e fazer demorar a ligação para criar expectativa e medo. 3 AJUDA Aqui é utilizado o seu lado humano para ajudar um colega, um opyright © 2011 Qualytool. All rights reserved. parente de amigo, namorado(a) ou alguém que possa ter um mínimo de laços de amizade e que você não gostaria de ver passando por problemas. As pessoas tendem a se sensibilizar com as outras quando estas são educadas, amáveis, agradáveis. Da mesma forma, quando se iden- ti cam com estas mesmas qualidades. www.qualytool.com
  • 6. 6 4 PRESENTE OU PRÊMIO Por mais comum que possa parecer o atacante liga para você a rmando que você ganhou algo em uma loja, ou shopping ou qualquer lugar que você frequente ou tenha relação. Neste caso os atacantes mais preparados não falam de grandes prêmios, mas sim de pequenos prêmios que você também não deixaria de querer, como duas revisões do seu carro, ou 4 tanques de gasolina ou ainda uma camisa de marca X. Esses pequenos prêmios fazem com que a gente queira retirar eles, e como não são expressivos, como “ Você Ganhou uma Mercedes”, são mais críveis e, sendo assim você passa informações necessárias para retirar o prêmio. 5 FALSO IDEALISMO 6 TESTE Muito usado em pessoas que aderem a causas sociais, am- As pessoas têm a tendência de bientais ou outras (basta procurar atender a solicitação de alguém após no Facebook, Orkut, Twitter ou ter se comprometido publicamente ou qualquer outra rede social que a de ter adotado uma causa. Tentamos vítima possa estar participando). demonstrar que somos con áveis. Neste caso são feitas ligações que Neste caso o atacante liga se validam as informações e, após passando por alguém da segurança ou esta ação podem então ser envia- auditoria, ai faz algumas perguntas dos alguns e-mails inofensivos sobre segurança para saber se a pessoa onde a vítima cria con ança para conhece realmente do assunto. Após acessar então o e-mail com o link isso usa-se o elogio e até se ouve a falso. opinião, criando assim uma laço para novas ligações e posteriormente per- guntar informações. Poderia, sem muita di culdade, escrever mais vinte ou trinta páginas sobre tipos e formas de ataque, mas acredito que não seja necessário, pois com os exemplos acima já temos ideia da quantidade e tipos de ataques pos- síveis hoje. www.qualytool.com www.qualytool.com Copyright © 2011 Qualytool. All rights reserved.
  • 7. 7 7 Resolvendo a Equação Para reduzirmos os riscos de fraudes A avaliação de tudo que é ensi- aplicadas por engenharia social, devemos nado é muito importante também, focar em três ações: para manter vivas as informações pas- Conscientizar sadas, aconselho testes escritos e reais, Treinar sendo eles bem preparados e orga- Avaliar nizados com toda a empresa antes. As pessoas precisam entender o que Pessoas críticas na organização são informações con denciais e restritas, o como secretárias, estagiários, vigias, que pode ser comunicado, o que fazer no terceiros e outros, muitas vezes não caso do chefe ou presidente ligar pedindo tem acesso a treinamentos e quali ca- algo e quais as formas de validação para ção. Não esqueçam que muitas vezes saber se a pessoas são legítimas ou não. cargos e funções que parecem não ter O foco deve ser treinar e conscientizar, impacto no negócio tem acesso a esse processo deve ser contínuo, atualizado informações, pessoas e locais críticos. e sempre com uso de cases reais. Para nalizar, não se esqueçam Aqui em nossa empresa é costume sempre de informar sempre as pessoas, e que algum golpe sai na mídia, escrever e deixar claras as politicas da empresa repassar a informação a todas as áreas sobre a segurança da informação. dizendo que tipo de golpe é, e como se pre- venir. Copyright © 2011 Qualytool. All rights reserved.
  • 8. Cassio Furtado Ramos cassio.ramos@qualytool.com opyright © 2011 Qualytool. All rights reserved. Caxias do Sul - RS / Brasil Porto Alegre - RS / Brasil R. João Venzon Neto - 105 R. Dr. Possidonio Cunha - 641 B. Santa Catarina B. Vila Assunção CEP: 95.032-200 CEP: 91.900-140 Fone +55 54 3025 6363 Fone +55 51 3062 0639 www.qualytool.com