O ataque de Engenharia Social

As pessoas e principalmente as empresas investem muito dinheiro para melhorar a segurança de seus computadores, sistemas e redes adquirindo antivírus, Firewalls e outras ferramentas de proteção. O que muitas destas pessoas e corporações ainda não entenderam é que as vulnerabilidades agora estão em outro local, nas pessoas. É a ameaça da Engenharia Social.

Mas o que é a Engenharia Social? É uma forma de se obter informações sigilosas ou importantes de empresas e sistemas onde o atacante utiliza e artifícios para enganar e explorar a confiança das pessoas. O termo ficou conhecido a partir de 1990, através do famoso hacker Kevin Mitnick.

A forma preferida de ação dos atacantes é através do telefone utilizado para contactar colaboradores se fazendo passar por colegas de trabalho, chefes ou mesmo autoridades externas e com isto conseguir informações privadas. Mas a Engenharia Social não utiliza apenas o contato telefônico, praticas como a visita a empresa ou o contato informal com funcionários também podem ser utilizadas para obter dados sigilosos.

Vamos conhecer alguns dos ataques mais comuns de Engenharia Social.

Um dos tipos de ataque utiliza mensagens de e-mail onde o remetente é supostamente do seu banco avisando que o serviço de Internet Banking está apresentando algum problema e para corrigi-lo você deve executar o aplicativo que segue em anexo. Ao acreditar na mensagem e clicar no anexo o computador do usuário é infectado por um vírus.

Os boatos que aparecem na Internet também podem ser utilizados para que o Engenheiro Social aplique seus golpes. Acidentes, eventos naturais ou fofocas podem ser o assunto da mensagem portadora do código malicioso.

Outro tipo de ataque comum é a ligação de um desconhecido que se diz ser de um call center de uma empresa de TV a cabo, Banco ou Provedor. Na ligação o usuário é informado que seu acesso ou sistema está apresentando algum problema e, então, é solicitada sua sua senha para corrigi-lo.

Infelizmente muitos usuários caem nestes golpes.

Apesar de qualquer pessoa ou colaborador possam ser alvos em potencial os mais visados são as secretárias ou supervisores pois esses tem contato direto com os ocupantes de cargos mais altos da corporação estes sim os verdadeiros objetivos.

E como se proteger? A melhor defesa é a informação. Todos os colaboradores devem estar capacitados para reconhecer tentativas de ataque. Outras práticas importantes são: identificar detalhadamente o interlocutor de uma ligação telefônica e nunca informar sua senha pessoal a outras pessoas.

A proteção também passa por não expor informações pessoais na Internet, seja em redes sociais seja em chats. Isto facilita a engenharia social criminosa pois estas informações podem ser usados para que o atacante conheça sobre você e monte sua estratégia. Então nada de colocar telefones, endereço, empresa na qual trabalha e qualquer tipo de informação pessoal em seu perfil.

Gilberto Sudré

Gilberto Sudre

Perito e Assistente Técnico em Computação Forense. Professor do IFES e coordenador do Laboratório de Pesquisa em Segurança da Informação e Perícia Computacional Forense.. Coordenador do Cisco Academy Support Center Ifes-ASC. Instrutor da Academia Cisco. Instrutor da Academia de Polícia do ES na área de Computação Forense. Professor da EMERJ - Escola da Magistratura do Estado do Rio de Janeiro no Curso de Aperfeiçoamento de Magistrados – Cibercrimes. Membro da Sociedade Brasileira de Ciências Forenses. Membro da HTCIA - High Technology Crime Investigation Association. Membro do Comitê Técnico CB21/CE27 - Tecnologia da Informação – Técnicas de Segurança da ABNT (Associação Brasileira de Normas técnicas). Membro fundador do DC5527, grupo local da Conferência Internacional de Segurança da Informação DEF CON. Comentarista de Tecnologia da CBN e TV Gazeta. Autor dos livros Antenado na Tecnologia e Redes de Computadores e co-autor dos livros Internet: O encontro de 2 Mundos, Segurança da Informação: Como se proteger no mundo Digital, Marco Civil da Internet, Processo Judicial Eletrônico e Tratado de Computação Forense.

Website: http://gilberto.sudre.com.br

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

CommentLuv badge