Pular para o conteúdo

Entendendo o que é Engenharia Social

Este trabalho apresenta os principais aspectos referentes a engenharia social, seus conceitos, como entender e evitar sua ocorrência, as técnicas utilizadas para se obter sucesso nos ataques, a fragilidade das vítimas e etc.
Guilherme Junior domguilherme

Por Guilherme Junior em 28/12/2006

Hits: 107.366 Categoria: Linux Subcategoria: Segurança
  • Indicar
  • Impressora
  • Denunciar

Parte 6: Como se proteger da Engenharia Social

Bom senso

A vítima deve ficar sempre bem atenta ao receber qualquer tipo de abordagem, seja por telefone, e-mail, carta ou até mesmo pessoalmente, onde um pessoa (atacante) tenta o induzir a fornecer informações confidenciais pessoais e até mesmo sobre a empresa em que trabalha.

Informações sensíveis

Deve-se sempre estar antenado quando lhe for solicitado informações sensíveis como, por exemplo, números de cartões de crédito, senhas e etc. por pessoas estranhas. A vítima antes de tudo deve verificar a autenticidade da ligação que esta recebendo, do crachá que o atacante apresentou e etc.

Solicitações pela internet

Nunca fornecer informações pessoais, de empresas e etc antes de identificar e constatar a autenticidade do pedido. Por várias vezes, vítimas recebem e-mails contendo links falsos, informações não verdadeiras ou até mesmo solicitações de cadastro em empresas fantasmas. Para não cair nestas armadilhas a vítima deve, por exemplo, entrar em contato com a instituição que lhe fez a solicitação de cadastro, como por exemplo bancos, receita federal e etc, para garantir assim uma autenticidade do pedido, nunca clicar sobre links recebidos através de spams e etc.

Treinamento

Atualmente as empresas que querem evitar esse tipo de ataque, estão investindo alto em treinamento de funcionários, afim de evitar a vazão de informações sobre a estrutura da empresa.

O treinamento, estabelecimento da política de segurança da informação na empresa, baseia-se em educar os funcionários a sempre certificar-se de que a pessoa a quem vai fornecer as informações é realmente quem diz ser, a tomarem cuidado com o lixo pois este é uma grande fonte de informações, desconfiarem de pessoas em chats e etc.

Esta política de segurança da informação da empresa deve conter dentre outros tópicos, planos e ações de segurança como, por exemplo, plano de proteção física, continuidade dos negócios, análise de riscos, ações de engenharia, plano de contingência, plano de conscientização de todos os colaboradores, mesmo os terceirizados e etc.

Basicamente tudo se resume em reeducar toda a corporação a fim de implantar uma nova cultura cem por cento abrangente, cem por cento, pois qualquer falha põe novamente a corporação em risco iminente.

Se mesmo com a leitura do artigo ainda surgirem quaisquer dúvidas a respeito do tema (Engenharia Social), ficarei feliz em ajudá-los. Para tanto envie um e-mail para: domguilherme - at - gmail.com

Guilherme Voltan Júnior

Páginas do artigo

   1. Introdução
   2. Técnicas
   3. Qualificação dos ataques
   4. Métodos utilizados pelo atacante
   5. Figuras da Engenharia Social
   6. Como se proteger da Engenharia Social

Outros artigos deste autor

Kernel Hacking (RootKits)

Leitura recomendada

Enganando invasores com Honeyperl

Rede Tor para iniciantes

Aprenda a capturar a página inicial de seus usuários

ProFTPD + ClamAV - FTP livre de vírus

Ataque de Rougue AP com AIRBASE-NG

Comentários

#1 Comentário enviado por nayamonia em 28/12/2006 - 08:26h
Guilherme, parabens pelo seu texto, ficou bom, porém a idéia final que o artigo transmite é que a Engenharia Social é a arte de fazer o mal de uma forma inteligente. No entanto, eu acredito que hoje ela pode ser usada para o bem, tanto quanto para o mal, pois possibilita com extrema fácilidade domar situações de incerteza e perigo.
Eu vejo a Engenharia Social como a arte de persuadir e ser beneficiado pela própria inteligência.
Se uma pessoa sempre encontra uma solução para os seus desafios, se confia em tudo que está em sua cabeça e sempre consegue fazer as coisas da melhor maneira possível para os dois lados, desde que estrategicamente planejado, esta pessoa, no meu entendemento, está praticando Engenharia Social.

O que tu achas ?

Abraços !!!

Gabriel Fernandes
#2 Comentário enviado por jragomes em 28/12/2006 - 12:59h
Texto muito legal, Guilherme. Só lembrando que hoje a Internet é uma grande fonte de pesquisa para Engenharia Social, sabendo-se cruzar informações você tem histórico das pessoas e até mesmo planos de curto prazo (viagens, baladas, etc).

Também concordo com o que o Gabriel disse, a Engenharia Social também pode ser usada para o bem. Apesar de que sempre vemos ela sendo utilizada para o mal.
#3 Comentário enviado por dill_tche em 28/12/2006 - 16:24h
Ótimo texto, aquela parte da programação neurolinguística achei super importante.
#4 Comentário enviado por JosuéDF em 29/12/2006 - 01:28h
KEVIN DAVID MITNICK foi (é) um dos mais famosos hackers do mundo, seus ataques e investidas sempre foram bem sucedidos graças a um intenso uso de E.S contra seus alvos em especial grandes corporações.

ps: caro domguilherme tenho a impressão de que já li esse seu artigo em algum lugar e não foi aqui no vol, nem no vosso website.
#5 Comentário enviado por cytron em 31/12/2006 - 02:44h
É bom ver esse assunto novamente, na época dos Pentiuns 166 (quando nossas máquinas eram 486 por falta de grana), esse assunto era muito difundino na net, rodavam muitos textos bons sobre Engenharia Social. É poca boa! Eu dormia apenas três horas por dia, o restante era Assembly, Linux, smbclient -L, nmap e muitas tentativas, hahahahha, sem falar na BBS, aquilo era demais.

Sabe... esse texto até me inspirou, vou dar um complemento e fazer um artigo sobre esse assunto dando alguns exemplos que pratiquei muito.
#6 Comentário enviado por albertguedes em 02/01/2007 - 10:30h
Bom, o assunto hoje em dia não é tão difundido assim, pois é a primeira vez que ouço falar em Engenharia Social, ou então eu é que estou desatualizado mesmo, seja como for, é um assunto muito interessante e para mim este artigo foi uma boa introdução à matéria. É muito bom para se previnir contra expertinhos que venham a usar isto com más intensões.
#7 Comentário enviado por massaorb em 02/01/2007 - 15:12h
Muito bom artigo. Um filme que retrata muito bem o artigo é: Hackers II - Operation Takedown. Os quinze ou vinte minutos iniciais do filme são extremamente realistas.
#8 Comentário enviado por removido em 17/01/2007 - 16:48h
No meu ponto de vista alguém que ache que engenharia social possa ser usada para o bem está tendo uma visão muito lírica da realidade. O rótulo de "engenharia social" (apesar de englobar o expertise em investigação e pesquisa) não passa de um termo bem formal - se é que mereça - para o popular "MENTIROSO" ou "MALANDRO" que tem como propósito pleno "ENGANAR" as pessoas de uma forma inteligente a fim de obter alguma "VANTAGEM" (financeira ou não). Partindo deste princípio não vejo como alguém possa tapear alguém na boa fé.

Quanto ao comentário do nosso amigo "nayaless":

'Se uma pessoa sempre encontra uma solução para os seus desafios, se confia em tudo que está em sua cabeça e sempre consegue fazer as coisas da melhor maneira possível para os dois lados, desde que estrategicamente planejado, esta pessoa, no meu entendemento, está praticando Engenharia Social.'

Do ponto de vista prático e até acadêmico - e posso afirmar com muita convicção - que essa pessoa está praticando, no máximo, as técnicas de administração e psicologia organizacional... Longe das tecnicas da engenharia social.

Muito cuidado com a diferença entre fato e achismo. Amigos!

Uma boa recomendação de leitura e do colega 'LinxBoy':

Título: "A Arte de Enganar"
Autor: KEVIN DAVID MITNICK
Sinopse: Descreve as técnicas basicas - com 'casos de uso' - da engenharia social.
Advertência: Muita gente passou a se achar o próprio Mitnick depois de ser esse livro. Portanto, tenha cabeça feita prá ler esse cara.

Sds prá todos!

OBS.: Gostei do artigo.
#9 Comentário enviado por heckjp em 25/01/2007 - 08:44h
Otimo artigo, infelizmente a engenharia social é algo tão comum que as pessoas muitas das vezes não se dão conta que estão sendo enganadas, tamanha é a eficiência desta técnica. O que realmente deveriamos fazer é não confiar em ninguém até que provem o contrário.Parabéns
#10 Comentário enviado por Overkill Grando em 21/06/2008 - 13:38h
Tópico excelente:D
Eu discordo em partes com o nosso coléga surfistacalhorda... pois ele disse para outro cara tomar cuidado com o achismo e levar em conta apenas os fatos, sendo que ele mesmo não faz isso...
Em certo ponto de seu comentario, quando afirma que o rótulo de "engenharia social" não passa de um termo bem formal pra descrever os populares mentirosos... ele disse: "se é que mereça..."
Até onde sei, isso não é nada a mais do que a opinião dele e não um fato. Ele fez isso em vários lugares de seu comentario; o que me leva a pensar que ele se contradisse inumeras vezes...

Engenharia Social pode muito bem ser usada para o bem e isso decididamente não é uma visão lirica da realidade como surfistacalhorda sitou anteriormente... pois o ser humano executa a engenharia social diversas vezes por dia e nem nota isso... ela pode ser aplicada em bares, geralmente quando relacionada a encontrar um parceiro (a) (o chamado migué, ou azaração); em reuniões de negócio quando relacionada a um fechamento de sociedade ou coisa parecida ( usada pra convencer o outro de que aquele é um bom negocio) ; e ainda... a palavra VENDEDOR te diz algo? Tudo que um vendedor faz... é aplicar a engenharia social em seu cliente para conseguir vender seu produto....

Afinal de contas, Engenharia social não é apenas trapaçear pessoas, como o proprio Kevin Mitnick afirmou em seu livro... Engenharia social do ponto de vista ético, é tudo o que envolve convencer pessoas... quando um vendedor oferece um produto... ele tenta convence-lo de que você precisa do produto e ele muitas vezes pode fazer isso sem mentir...

Como disse nosso amigo surfistacalhorda....""Partindo deste princípio não vejo como alguém possa tapear alguém na boa fé.""
Realmente, é impossivel tapear alguém na boa fé... mas dizer que alguem que usa engenharia social éticamente tapeia os outros na boa fé é uma atitude totalmente retrógrada, equivocada e se posso acrescentar, até um pouco mesquinha...

Porque? porque eu uso a engenharia social éticamente e não tapeio ninguém... pois além dos exeplos que dei anteriormente... a engenharia social também pode ser usada por administradores de rede, security-officers e consultores de segurança nas empresas para treinar os funcionarios da mesma afim de evitar que algum estelionatario use da engenharia social contra a empresa....

se quiserem maiores informações
me ligue ou adicione no msn
(45)99656392
jr.ripper@gmail.com


Abraço a todos
#11 Comentário enviado por luizvieira em 24/07/2009 - 07:50h
Bom artigo!
[]'s
#13 Comentário enviado por removido em 25/03/2010 - 10:40h
Excelente artigo! Gostaria de, se você permetir, apesar de já estar no Viva o Linux, poder reproduzir (devidamente creditada a fonte) em meu site pessoal [http://pedro-araujo.com] para compartilhar com as pessoas mais próximas de mim que, por não se interessarem necessariamente pelos conteúdos de Linux, programação e TI que aqui tratamamos não conhecem esta comunidade - será muito útil para eles.
#14 Comentário enviado por L4URI4NO em 14/07/2011 - 23:17h
CONCORDO COM MUITOS COMENTÁRIOS, PORÉM, QUERO DEIXAR AQUI UMA OBSERVAÇÃO ... ENGENHARIA SOCIAL É O CRIME DO SÉCULO !!!

Contribuir com comentário

Entre na sua conta para comentar.