Entendendo e Evitando a Engenharia Social: Protegendo Sistemas e Informações

Atualmente, informação constitui um bem de suma importância para as organizações dos mais variados segmentos. A Internet popularizada ao longo dos anos 90 permitiu a troca e disponibilidade de informações por meio da WWW (World Wide Web). Outros mecanismos de comunicação e troca de informações como correio eletrônico também têm proporcionado benefícios no uso profissional e pessoal. Note que a informação compreende qualquer conteúdo que possa ser armazenado ou transferido de algum modo, servindo a determinado propósito e sendo de utilidade ao ser humano. Dentro do universo de informações, muitas delas têm valor pessoal ou mesmo organizacional. Na grande maioria das situações, usuários de informações desconhecem seu valor e pode colocar a si ou uma instituição numa condição vulnerável, principalmente, quando diante de um engenheiro social, conforme discutido abaixo.

Necessidade de Proteger Sistemas

No contexto apresentado acima, a necessidade de prover segurança da informação e sistemas de informações tem sido uma questão constante nas organizações. A segurança da informação visa proteger os sistemas através de um conjunto de medidas que preservam informações e sistemas de informações, assegurando-lhes integridade, não repúdio, disponibilidade, autenticidade e confidencialidade.

Embora a grande maioria das organizações e usuários comuns possua mecanismos técnicos defensivos contra ataques, os quais exigem o usuário informar não apenas seu login (ou nome de usuário num sistema) e respectiva senha, bem como verifica a existência de vírus em arquivos, ainda assim os sistemas atuais são susceptíveis a ataques não técnicos decorrentes da engenharia social.

 

Considere a situação na qual um executivo de uma companhia, o qual na realidade não é funcionário dessa companhia, faz uma ligação telefônica ao administrador de sistemas dessa companhia. O executivo (i.e. engenheiro social ou hacker social) informa ao administrador de sistemas que se encontra numa viagem de negócios fora da cidade e precisa ter acesso a um relatório de um cliente a fim de fechar um negócio de milhões de reais. Em razão disto, solicita que o administrador de sistemas troque sua senha, permitindo-lhe digitar nova senha, pois do contrário ele não terá acesso ao relatório do cliente e, conseqüentemente, perderá um negocio de milhões. O administrador, então, tentando ajudá-lo emite um comando de reset para o login daquele usuário e, a partir daí, o suposto executivo obtém acesso privilegiado ao sistema da companhia, sem ter a necessidade de passar por qualquer mecanismo de detecção de intrusão.

 

Entendendo a Engenharia Social

 

Engenharia social, dentro da área de segurança de sistemas computacionais, é um termo utilizado para qualificar os tipos de intrusão não técnica, que coloca ênfase na interação humana e, freqüentemente, envolve a habilidade de enganar pessoas objetivando violar procedimentos de segurança. Um aspecto relevante da engenharia social compreende a inaptidão dos indivíduos manterem-se atualizados com diversas questões pertinentes a tecnologia da informação, além de não estarem conscientes do valor da informação que eles possuem e, portanto, não terem preocupação em proteger essa informação.

 

É importante salientar que, independente do hardware, software e plataforma utilizada, o elemento mais vulnerável de qualquer sistema é o ser humano, o qual possui traços comportamentais e psicológicos que o torna susceptível a ataques de engenharia social. Dentre essas características, pode-se destacar:

•  Vontade de ser útil – O ser humano, comumente, procura agir com cortesia, bem como ajudar outros quando necessário.
• Busca por novas amizades – O ser humano costuma se agradar e sentir-se bem quando elogiado, ficando mais vulnerável e aberto a dar informações.
• Propagação de responsabilidade – Trata-se da situação na qual o ser humano considera que ele não é o único responsável por um conjunto de atividades.
• Persuasão – Compreende quase uma arte a capacidade de persuadir pessoas, onde se busca obter respostas específicas. Isto é possível porque as pessoas têm características comportamentais que as tornam vulneráveis a manipulação.

Importante observar que o sucesso da engenharia social depende da compreensão do comportamento do ser humano, além da habilidade de persuadir outros a disponibilizarem informações ou realizarem ações desejadas pelo engenheiro social. Perceba ainda que o medo de perder seu emprego ou vontade de ascender pode resultar na entrega de informação de natureza proprietária. Nesse sentido, observa-se que a engenharia social possui uma seqüência de passos na qual um ataque pode ocorrer:

• Coleta de informações – O hacker ou engenheiro social busca as mais diversas informações dos usuários como número de CPF, data de nascimento, nomes dos pais, manuais da empresa, etc. Essas informações ajudarão no estabelecimento de uma relação com alguém da empresa visada.
• Desenvolvimento de relacionamento – O engenheiro social explora a natureza humana de ser confiante nas pessoas até que se prove o contrário.
• Exploração de um relacionamento – O engenheiro social procura obter informações da vítima ou empresa como, por exemplo, senha, agenda de compromissos, dados de conta bancária ou cartão de crédito a serem usados no ataque.
• Execução do ataque – O hacker ou engenheiro social realiza o ataque a empresa ou vítima, fazendo uso de todas informações e recursos obtidos.

Evitando a Engenharia Social

Especialistas afirmam que a medida que nossa sociedade torna-se cada vez mais dependente da informação, a engenharia social tende a crescer e constituir-se numa das principais ameaças aos sistemas de segurança das (grandes) organizações. Entretanto, embora as situações apresentadas acima sejam um tanto indesejáveis e até certo ponto assustadoras, há mecanismos através dos quais uma organização pode implementar a fim de detectar e prevenir ataques de engenharia social. Tais medidas visam, principalmente, atenuar a participação do componente humano. Essas medidas compreendem:

•  Educação e Treinamento – Importante conscientizar as pessoas sobre o valor da informação que elas dispõem e manipulam, seja ela de uso pessoal ou institucional. Informar os usuários sobre como age um engenheiro social.
• Segurança Física – Permitir o acesso a dependências de uma organização apenas às pessoas devidamente autorizadas, bem como dispor de funcionários de segurança a fim de monitorar entrada e saída da organização.
• Política de Segurança – Estabelecer procedimentos que eliminem quaisquer trocas de senhas. Por exemplo, um administrador jamais deve solicitar a senha e/ou ser capaz de ter acesso a senha de usuários de um sistema. Estimular o uso de senhas de difícil descoberta, além de remover contas de usuários que deixaram a instituição.
• Controle de Acesso – Os mecanismos de controle de acesso tem o objetivo de implementar privilégios mínimos a usuários a fim de que estes possam realizar suas atividades. O controle de acesso pode também evitar que usuários sem permissão possam criar/remover/alterar contas e instalar software danosos a organização.

Tenho observado que gasto milhares de reais na aquisição de ferramentas de segurança (detecção de intrusão, firewalls, etc) a fim de dotarem seus sistemas de maior segurança. Todavia, a maioria das empresas acredita que a solução, unicamente, técnica garantem a segurança dos sistemas. Embora eu concorde que a solução técnica seja necessária, ela por si só não é suficiente. É preciso também considerar o componente humano de um sistema de segurança da informação a fim de minimizar ou quiçá minimizar a vulnerabilidade de sistemas.

Por ANTÔNIO MENDES DA SILVA FILHO

Professor do DIN/UEM. Doutor em Ciência da Computação