sábado, 4 de agosto de 2007

O que é Engenharia Social ?

Engenharia Social é o termo utilizado para a obtenção de informações importantes de uma empresa, através de seus usuários e colaboradores. Essas informações podem ser obtidas pela ingenuidade ou confiança. Os ataques desta natureza podem ser realizados através de telefonemas, envio de mensagens por correio eletrônico, salas de bate-papo e pasmem, até mesmo pessoalmente.

Já foram identificados casos em que alguém, se passando por um funcionário do suporte técnico de um provedor de acesso Internet, telefonou para um usuário informando que a conexão estava com algum tipo de problema e que para consertar necessitava da sua senha. O usuário, na sua ingenuidade, fornece a senha e depois vai ver no extrato mensal do provedor que utilizou muito mais recursos do que realmente o tinha feito.

Outra técnica muito utilizada na Internet são os sites anônimos que prometem horas grátis de acesso, bastando você fornecer a eles seu nome de usuário e senha. Na verdade, trata-se de um ataque de engenharia social, e eles utilizarão estas informações para conseguir horas extras sim, mas para eles!

Com o crescente avanço da tecnologia, as empresas estão dedicando uma boa parte do tempo para resolver os problemas técnicos de segurança. São investidos muitos recursos para garantir a segurança de servidores e aplicações, e devido a esta consciência que hoje está bem evoluída, as técnicas de ataques têm se aprimorado. Tentar invadir um site ou uma empresa torna-se um desafio ainda maior, e nesta situação, a engenharia social vem tendo destaque e passa a ser a nova moda.

Os ataques de engenharia social por correio eletrônico têm sido realizados com maior freqüência através de mensagens de mulheres para homens e vice-versa. Este ataque motivado pelo fator emocional é também muito utilizado nas salas de chat. Meninas que se dizem jovens, atraentes e de bom papo, podem ser na verdade um verdadeiro farsante, que manipula os sentimentos das pessoas para fisgar uma informação preciosa.

Há de se ter muito cuidado também com os documentos impressos dentro da empresa. Papéis amassados e jogados no lixo são um convite para fraudadores. Precisamos estar atentos também com as informações a respeito da empresa.

A divulgação de nomes, funções, ramais, endereço eletrônico e outros dados a respeito da estrutura organizacional da empresa podem ser utilizadas por pessoas maliciosas. Em muitas organizações é comum encontrarmos uma lista na entrada dos corredores de acesso, ou na mesa das secretárias, contendo o nome, identificação eletrônica do usuário e função exercida pelo mesmo na empresa.

Outro exemplo de ataque de engenharia social diz respeito às entrevistas para emprego, onde muitas vezes o candidato à vaga passa várias informações da empresa em que trabalha. Pode não haver vaga alguma para o cargo. Apenas a empresa, que supostamente abriu a vaga, está tentando levantar informações dos seus concorrentes.

São muitas as formas e mecanismos de ataque mediante a fragilidade e ingenuidade das pessoas, mas deixaremos abaixo, algumas dicas que podem ajudá-lo a minimizar este problema e garantir a sua privacidade e a da sua empresa:

  • Estabeleça uma política de controle de acesso físico na empresa;
  • Classifique as informações de sua empresa, onde cada colaborador saiba o que pode ser divulgado e o que não pode;
  • Desconfie das ofertas mirabolantes que circulam pela Internet;
  • Ao receber um telefonema de uma pessoa estranha, que conhece todos os seus dados e lhe transmite confiança, retenha desta pessoa o máximo de informações possíveis. Não divulgue nada e peça o número de retorno dela para garantir que a ligação é procedente;
  • Estabeleça uma política de segurança na sua empresa onde a informação, que é o seu principal patrimônio, receba o tratamento correto com relação à segurança;
  • Evite compartilhar sua senha de acesso, pois ela pode ser divulgada sem que você tenha sido a vítima do ataque de engenharia social;
  • Conscientize seus funcionários a respeito do tema, realizando palestras e treinamentos onde o assunto seja abordado;
  • Desconfie das mensagens de correio eletrônico onde você não conhece o remetente. Convites para entrevistas, seminários, informações para pesquisa e etc. são formas de atrair a atenção para obter informações da empresa;
  • "Falsos" fabricantes e fornecedores de tecnologia costumam tentar descobrir a topologia e configuração da rede da empresa através de contatos com o pessoal que administra estes equipamentos. Oriente esses funcionários a buscar a autenticidade dos técnicos e soluções por eles apresentadas;
Fonte: http://www.scua.com.br/site/seguranca/conceitos/ataques_engsocial.htm

0 comentários:

by TemplatesForYou
SoSuechtig,Burajiru