Conceito Sobre Engenharia Social

Iniciado por DarkGenesis, 09 de Setembro , 2006, 10:31:43 PM

tópico anterior - próximo tópico

0 Membros e 1 Visitante estão vendo este tópico.

DarkGenesis

Engenharia Social é o termo utilizado para a obtenção de informações importantes de uma empresa, através de seus usuários e colaboradores. Essas informações podem ser obtidas pela ingenuidade ou confiança. Os ataques desta natureza podem ser realizados através de telefonemas, envio de mensagens por correio eletrônico, salas de bate-papo e pasmem, até mesmo pessoalmente.
Já foram identificados casos em que alguém, se passando por um funcionário do suporte técnico de um provedor de acesso Internet, telefonou para um usuário informando que a conexão estava com algum tipo de problema e que para consertar necessitava da sua senha.
O usuário, na sua ingenuidade, fornece a senha e depois vai ver no extrato mensal do provedor que utilizou muito mais recursos do que realmente o tinha feito.
Outra técnica muito utilizada na Internet são os sites anônimos que prometem horas grátis de acesso, bastando você fornecer a eles seu nome de usuário e senha. Na verdade, trata-se de um ataque de engenharia social, e eles utilizarão estas informações para conseguir horas extras sim, mas para eles!
Com o crescente avanço da tecnologia, as empresas estão dedicando uma boa parte do tempo para resolver os problemas técnicos de segurança. São investidos muitos recursos para garantir a segurança de servidores e aplicações, e devido a esta consciência que hoje está bem evoluída, as técnicas de ataques têm se aprimorado.
Tentar invadir um site ou uma empresa torna-se um desafio ainda maior, e nesta situação, a engenharia social vem tendo destaque e passa a ser a nova moda.
Recentemente, um amigo meu que trabalha em uma empresa de tecnologia foi vítima de uma tentativa desta natureza. Chegou em sua conta de correio eletrônico na empresa uma mensagem de uma universitária, na qual ela solicitava ajuda para a confecção de um trabalho acadêmico.
Mesmo sendo muito simpática, bastaram duas trocas de mensagens para que a universitária simplesmente desaparecesse. O meu amigo perguntou como ela havia obtido informações a respeito de seu nome e endereço eletrônico e ela forneceu uma resposta inconsistente.
Este exemplo aponta para um lado que deve ser muito bem observado por todos, que é o fator emocional. Os ataques de engenharia social por correio eletrônico têm sido realizados com maior freqüência através de mensagens de mulheres para homens e vice-versa.
Este ataque motivado pelo fator emocional é também muito utilizado nas salas de chat. Meninas que se dizem jovens, atraentes e de bom papo, podem ser na verdade um verdadeiro farsante, que manipula os sentimentos das pessoas para fisgar uma informação preciosa.
Há de se ter muito cuidado também com os documentos impressos dentro da empresa. Papéis amassados e jogados no lixo são um convite para fraudadores. Precisamos estar atentos também com as informações a respeito da empresa.
A divulgação de nomes, funções, ramais, endereço eletrônico e outros dados a respeito da estrutura organizacional da empresa podem ser utilizadas por pessoas maliciosas. Em muitas organizações é comum encontrarmos uma lista na entrada dos corredores de acesso, ou na mesa das secretárias, contendo o nome, identificação eletrônica do usuário e função exercida pelo mesmo na empresa.
Outro exemplo de ataque de engenharia social diz respeito às entrevistas para emprego, onde muitas vezes o candidato à vaga passa várias informações da empresa em que trabalha. Pode não haver vaga alguma para o cargo. Apenas a empresa, que supostamente abriu a vaga, está tentando levantar informações dos seus concorrentes.
São muitas as formas e mecanismos de ataque mediante a fragilidade e ingenuidade das pessoas, mas deixaremos abaixo, algumas dicas que podem ajudá-lo a minimizar este problema e garantir a sua privacidade e a da sua empresa:

    * Estabeleça uma política de controle de acesso físico na empresa;
    * Classifique as informações de sua empresa, onde cada colaborador saiba o que pode ser divulgado e o que não pode;
    * Desconfie das ofertas mirabolantes que circulam pela Internet;
    * Ao receber um telefonema de uma pessoa estranha, que conhece todos os seus dados e lhe transmite confiança, retenha desta pessoa o máximo de informações possíveis. Não divulgue nada e peça o número de retorno dela para garantir que a ligação é procedente;
    * Estabeleça uma política de segurança na sua empresa onde a informação, que é o seu principal patrimônio, receba o tratamento correto com relação à segurança;
    * Evite compartilhar sua senha de acesso, pois ela pode ser divulgada sem que você tenha sido a vítima do ataque de engenharia social;
    * Conscientize seus funcionários a respeito do tema, realizando palestras e treinamentos onde o assunto seja abordado;
    * Desconfie das mensagens de correio eletrônico onde você não conhece o remetente. Convites para entrevistas, seminários, informações para pesquisa e etc. são formas de atrair a atenção para obter informações da empresa;
    * "Falsos" fabricantes e fornecedores de tecnologia costumam tentar descobrir a topologia e configuração da rede da empresa através de contatos com o pessoal que administra estes equipamentos. Oriente esses funcionários a buscar a autenticidade dos técnicos e soluções por eles apresentadas;
    * E para finalizarmos, deixamos uma comparação interessante: "Em uma partida de futebol, o assistente do juiz é orientado a deixar o lance seguir e não marcar impedimento do atacante caso ele fique em dúvida, mas quando falamos em segurança da informação a regra é: na dúvida, desconfie!

Por: Marco Aurélio Maia

Dark.BS

Não tem geito mesmo a engenharia social é quase inevitavél ou vc é mais esperto que o engeinheiro ou já era !!! heheh 8)
vlw...

abobre

CitarJá foram identificados casos em que alguém, se passando por um funcionário do suporte técnico de um provedor de acesso Internet, telefonou para um usuário informando que a conexão estava com algum tipo de problema e que para consertar necessitava da sua senha.

 Nos ultimos dois dias recebi 3 ligações de um cara e de uma mina perguntando como q estava com o meu acesso a internet e se eu estava conseguindo acessar o meu email normal, mas nem perguntaram a minha senha, caso pergunta-se eu ia zuar mto com eles...

 Mas tem razao, no meu ponto de vista,algumas pessoas que vendem consorcio tem mto seing no papo, os caras enrrolam mto meu, mas alguns sao ótimos profissionais, foi apenas um exemplo de profissao que usa um tipo de seing pra conseguir alguma coisa..

 Ótima materia DG.

RT

èè..
A Engenharia Social é boa, quando bem aplicada né? tem MUUUUUUUUITO mané por aee..
É até bonito agente ver uma SEing perfeita..
Ótimo post..  :o


RT; 8)