Segurança:
Estado de proteção, em que estamos “livres” de perigos e incertezas.
Segurança da informação é o processo de proteger a informação de diversos tipos de ameaças externas e internas para garantir a continuidade dos negócios, minimizar os danos aos negócios e maximizar o retorno dos investimentos e as oportunidades de negócio.Segurança se faz protegendo todos os elos da corrente, ou seja, todos os ativos (físicos, tecnológicos e humanos) que compõem seu negócio.
Na grande maioria das vezes o elo mais vulnerável dessa corrente, trata do fator humano. Neste contexto, irei abordar através de três tópicos, um pouco sobre Engenharia Social!

O que e quais são as características e os tipos de engenharias sociais no contexto de segurança de sistemas?
Engenharia Social é a ciência que estuda como o conhecimento do comportamento humano pode ser utilizado para induzir uma pessoa a atuar segundo seu desejo. Não se trata de hipnose ou controle da mente, as técnicas de Engenharia Social são amplamente utilizadas por detetives (para obter informação) e magistrados (para comprovar se um declarante fala a verdade). Também é utilizada para lograr todo tipo de fraudes, inclusive invasão de sistemas eletrônicos.
Abaixo, são mostrados os tipos de engenharias sociais:
- Telefone ou VolP (voz sobre IP) – passar-se por alguém que não é seria um dos típicos ataques de engenharia social, como na personificação – help-desk;
- Internet (coleta de informações) – como, por exemplo, sites que fornecem id;
- Intranet (acesso remoto) – Por exemplo, por acesso remoto, capturando-se o micro de determinado usuário da rede e se passando por alguém que na verdade não é.
- E-mail – (Fakemail, e-mails falsos, os famosos phishing scam);
- Pessoalmente (In Person Social Engineering) – poder de persuasão, habilidade em saber conversar, tipo de ataque mais raro.
- Chats (bate papo) – Fazer-se passar por alguém que na verdade não é fica muito mais fácil pelos canais de bate-papo.
- Fax – Primeiramente, obter o número do fax da pessoa física ou jurídica para que se possa começar o ataque.
- Cartas/correspondência – Não é o meio mais moderno sem dúvida, mas, acredite, é um recurso poderoso que faz como uma das maiores vítimas as pessoas mais velhas.
- Spyware – Software “espião” usado para monitorar de modo oculto as atividades do computador de um alvo;
- Mergulho no lixo (“Dumpster diving”) – Várias coisas que são descartadas para o lixo muitas vezes contêm informações essenciais ao suposto engenheiro social;
- Surfar sobre os ombros – É o ato de observar uma pessoa digitando no teclado do computador para descobrir e roubar sua senha ou outras informações de usuário.
Como evitar ataques provocados por engenharias sociais?
É importante salientar que, independente do hardware, software e plataforma utilizada, o elemento mais vulnerável de qualquer sistema é o ser humano, o qual possui traços comportamentais e psicológicos que o torna susceptível a ataques de engenharia social. No entanto, existem mecanismos através dos quais uma organização pode implementar a fim de detectar e prevenir ataques de engenharia social. Tais medidas visam, principalmente, atenuar a participação do componente humano. Essas medidas compreendem:
- Educação e Treinamento – Importante conscientizar as pessoas sobre o valor da informação que elas dispõem e manipulam, seja ela de uso pessoal ou institucional. Informar os usuários sobre como age um engenheiro social.
- Segurança Física – Permitir o acesso a dependências de uma organização apenas às pessoas devidamente autorizadas, bem como dispor de funcionários de segurança a fim de monitorar entrada e saída da organização.
- Política de Segurança – Estabelecer procedimentos que eliminem quaisquer trocas de senhas. Por exemplo, um administrador jamais deve solicitar a senha e/ou ser capaz de ter acesso a senha de usuários de um sistema. Estimular o uso de senhas de difícil descoberta, além de remover contas de usuários que deixaram a instituição.
- Controle de Acesso – Os mecanismos de controle de acesso tem o objetivo de implementar privilégios mínimos a usuários a fim de que estes possam realizar suas atividades. O controle de acesso pode também evitar que usuários sem permissão possam criar/remover/alterar contas e instalar software danosos a organização.
Exemplo de Engenharia Social
Kevin Mitnick, um dos hackers mais famosos do mundo, em seu livro: A Arte de Enganar, Mitnick chama de engenharia social a habilidade de se manipular pessoas para obter informações necessárias para conseguir acessar um sistema, roubar dados de bancos ou qualquer outra coisa.
Exemplo:
“Um usuário recebe uma mensagem e-mail, onde o remetente é o gerente ou alguém em nome do departamento de suporte do seu banco. Na mensagem ele diz que o serviço de Internet Banking está apresentando algum problema e que tal problema pode ser corrigido se o usuário executar o aplicativo que está anexado à mensagem. A execução deste aplicativo apresenta uma tela análoga àquela que o usuário utiliza para ter acesso à conta bancária, aguardando que você digite sua senha. Na verdade, este aplicativo está preparado para furtar à senha de acesso a conta bancária e enviá-la para o atacante.”
Neste caso, podemos observar que foi explorada a falha humana, de confiar e abrir um e-mail deste tipo.
Conhece alguma situação parecida?