Carreira

Ξ 1 comentário

O poder da essência humana contra a engenharia social – EH x ES

publicado por Carlos Roberto Miranda

O poder da essência humana contra a engenharia social - EH x ESFazendo uma rápida retrospectiva de minhas atividades em 2014, este foi o ano em que mais me dediquei a participar de eventos em busca de inovação às minhas ideias de soluções, visando melhorar o atendimento ao meu público e também pelo que o próprio mercado de TI (Tecnologia da Informação) me exige.

Entre a análise de um relatório e outro, entre minhas participações nos principais eventos de negócios, tecnologias e tendências, presença em congressos e simpósios dos quais alguns eu pude colaborar com minhas opiniões e em noutros, inclusive, tive a oportunidade de palestrar, seguramente, posso afirmar a todos vocês que o assunto mais debatido, discutido e que se mostrou com maiores preocupações no ano de 2014 foram os SISTEMAS DE SEGURANÇA DA INFORMAÇÃO (SSI), com forte destaque à ENGENHARIA SOCIAL (ES).

Se há preocupações com a segurança é porque neste ambiente, certamente, existe insegurança. No ambiente computacional a insegurança é tratada como incidente.

O conceito de incidente, descrito pelo CERT que é o grupo de respostas e tratamento a incidente no Brasil é, “qualquer evento adverso, confirmado ou sob suspeita, relacionado à sistemas de computação ou de redes de computadores”.

É importante lembrar que um Sistema de Informação (SI), originalmente, é compreendido por:

  • Um Sub-Sistema Social;
  • Um Sub-Sistema Automatizado.

Já o universo dos Sistemas de Segurança da Informação (SSI) compreende três setores distintos:

  • A Segurança Física (ou Patrimonial), responsável pelos alarmes e sistemas de monitoramento como CFTV, etc.;
  • A Segurança Lógica (ou Tecnologia da Informação – TI), responsável pelos desenvolvimentos de programas (softwares) antivírus, antispywares, firewalls, SSLs, criptografias, etc.;
  • A Segurança Humana (que corresponde justamente ao Sub-Sistema Social no SI), que compreende os técnicos de Sistemas da Informação (SI) e redes de computadores, corporativas ou não, e todo usuário que se utiliza de um sistema de base digital de informação.

Como se pode ver, tanto o SI como o SSI, originariamente, precisam contemplar o fator humano presente e interferente no ambiente da informação para se fazer existir, pois é justamente aí que estão os maiores interessados e é justamente daí que aparece ou desponta o invasor de sistemas.

Um invasor de sistema é denominado hacker ou cracker, sendo o hacker um indivíduo com conhecimento técnico de invasão e evasão em redes de computadores que os utiliza, na maioria das vezes, não com objetivos de vantagens pessoais, mas para testar seus próprios conhecimentos (39%) que lhes deem a sensação de serem inteligentes ou o prazer de invadir uma rede ou sistema (68%), sendo a maioria deles do sexo masculino (98%), segundo uma pesquisa realizada por um site de segurança independente.

Já o cracker é o criminoso cibernético ou eletrônico propriamente dito. Ele “usa os computadores e outros equipamentos eletrônicos de comunicação para cometer atividades ilícitas, criminosas, normalmente com objetivos financeiros”. [A palavra cracker, do inglês, significa, aquele que quebra códigos de sistemas ilegalmente].

E por que hackers e crackers invadem?

Resposta: porque tem interesses escusos e porque também encontram oportunidades favoráveis às suas ações de delitos, como nos exemplos a seguir.

  • Para descobrir estratégias governamentais ou militares;
  • Para praticar ações terroristas, implantar o pânico, o caos e/ou para desestabilização social;
  • Para espionagem empresarial ou de negócios;
  • Para aplicar desfalques financeiros;
  • Para alterar informações de interesses;
  • Para causar prejuízos por ciúme, inveja a alguém ou por raiva de uma empresa que o demitiu (interesse social / profissional);
  • Para descobrir senhas, números de cartões, identidades e outros documentos;
  • Para obter ganhos e vantagens ilícitas;
  • Por curiosidade, prazer, oportunismo, dentre outros;

Em suma, estes indivíduos invadem Sistemas de Informação porque além de tudo o que foi listado, encontram brechas no Sub-Sistema Automatizado (S-SA) ou facilidades de acessos no Sub-Sistema Social (S-SS).

As brechas no S-SA podem ser tratadas criando-se e mantendo pessoal técnico especializado visando mapear, rastrear, localizar e bloquear todas as possíveis brechas existentes nestes sistemas de informação, compreendido pelo lado da automação, repleto de soluções a altura de um ataque de violação automatizada. Porém, este não será o meu foco de assunto neste artigo pelo simples fato de, como eu disse inicialmente, o destaque maior das preocupações em 2014 recai justamente pelo fator preocupante nos Sub-Sistema Social do SI ou na Segurança Humana da SSI.

Portanto, aqui vou tratar das facilidades de acessos aos Sub-Sistema Social, como o que se deparam os invasores e que é algo que requer interesse da alta cúpula empresarial, tentando sensibilizá-la a lidar com mais esta quesstão e com as necessidades de treinamento por parte do pessoal envolvido nos sistemas, desde os técnicos da mais alta hierarquia, aos usuários e principalmente os mais leigos, que é justamente o lado mais interessado e, por este motivo, é também o lado mais fraco dos Sistema de Segurança da Informação (SSI).

“O recurso mais precioso de um sistema de computador [atualmente] não é mais o processador, a memória, o disco ou a rede, mas a atenção humana”, aponta um grupo de pesquisadores da Universidade Carnegie Mellon (citado pelo ph.D. Daniel Goleman, autor de diversos livros que tratam das emoções). Assim, a partir daqui será preciso conhecer sobre Engenharia Social (ES) para entender o que o invasor pratica e quais são os seus objetivo e metas.

Mas o que é Engenharia Social (ES)?

O Consultor de Sistemas inglês, Ian Mann, define Engenharia Social como a arte e a ciência de “manipular pessoas, enganando-as, para que forneçam informações ou executem uma ação.

O termo “engenharia” foi dado por se tratar de ações táticas e estratégicas para a antiga prática de persuadir (Influenciar, convencer, incitar, induzir, condicionar, manipular, controlar), antes usada apenas por detetives, magistrados, etc. e hoje, extraída e emprestada dos termos da ciência política, tem sido muito utilizada nas áreas de SSI por afetar inúmeras pessoas, por isso “social”.

E o que faz um Engenheiro Social?

O Engenheiro Social, por sua vez, é entendido e referenciado como a pessoa com habilidade no trato com
emoções e sentimentos de pessoas, suas vítimas, com foco de ataque.

O ciclo de ataque de um Engenheiro Social envolve quatro etapas a saber:
1. Reunir informações;
2. Desenvolver o relacionamento;
3. Exploração; e
4. Execução.

(Fonte: Elen, 2006)

As armas mais utilizadas em Engenharia Social e consequentemente pelos Engenheiros Sociais são o telefone, o e-mail, páginas webs falsas de empresas (privadas, governamentais e instituições filantrópicas) e aparecem em táticas de ataques até mesmo pessoalmente.

Em um recente relatório (agosto/2014) sobre os resultados de um teste de segurança da informação, a empresa McAfee destacou que “80 % dos respondentes enganaram-se em pelo menos um, dentre sete e-mails falsos de phishing recebidos” e também, que o pessoal das áreas de RH e Contabilidade / Finanças, estão entre os que mais cometem este tipo de engano. Veja o gráfico do resultado do relatório publicado pela McAfee.

Fonte: Relatório McAfee - ago/2014

Fonte: Relatório McAfee – ago/2014

Referentes aos ataques e invasões a partir de páginas web, a Trendmicro, outra empresa de segurança da informação, apresentou um relatório apontando as 10 empresas que, segundo os invasores, são “O TOP 10” de preferência para crianção de websites falsos. Segue a lista com as porcentagens de preferências dos invasores.

TOP 10 DE SITES FALSOS
Banco do Brasil: 31%
Itaú-Unibanco: 24%
Bradesco: 18%
Santander: 11%
Cielo: 6%
Caixa: 2%
HSBC: 1%
Master Card: 1%
TAM Arlines: 1%
Casas Bahia: 1%
Outros: 4%

(Fonte: Relatório TrendMicro)

Quando os ataques são por telefones os invasores podem assumir inúmeras identidades falsas e se apresentarem estrategicamente, se fazendo passar por alguma autoridade ou alguém de confiança na organização que desejam vitimar. De maneira física ou pessoal, os mesmos podem portar crachás e apresentar documentos falsos ou ainda, aplicar táticas de manipulação diretamente ao pessoal de portarias, guardas e vigias de seguranças, recepcionistas, secretárias, chefias, assessores, gerências e até mesmo à cúpula dirigente ou o menor subalterno em hierarquia na organização estão sujeitos às artimanhas de um Engenheiro Social que, não medirá esforços em ludibriar a sua vítima para conseguir alcançar o seu objetivo.

Por estes e outros motivos a Engenharia Social é o nosso objeto de assunto sendo assim o nosso maior problema atual e que não podemos dar as costas ou relegar para segundo plano.

O nosso foco de assunto, portanto, serão as pessoas envolvidas nos sistemas.

E por que as pessoas?

Por que são elas o “lado mais fraco” de um SSI e, por este motivo, consequentemente, tornam-se o “lado mais explorado” de um ataque de ES, pois, pessoas são sujeitas às fraquezas humanas.

Podemos listar as 10 fraquezas humanas mais exploradas pelos Engenheiros Sociais ao aplicarem Engenharia Social em seus ataques, são elas:

  • A inocência / ignorância: aproveitando-se de crianças e adolescentes, por suas faltas de experiências e pela falta de conhecimentos, respectivamente, para tirar vantagens e proveitos para si nos seus ataques.
  • A curiosidade: Quando enviam e-mails falsos (phishings) com palavras chaves como “clique aqui”, “receba grátis”, “clique e ganhe”, “veja nossas fotos”, etc..
  • A confiança: E-mails com possíveis conteúdos maliciosos (vírus) onde buscam ganhar a sua confiança da vítima com o intuito de disseminar os códigos maliciosos possivelmente existentes para os demais computadores da rede que depois, será cobrado pela insegurança do seu negócio.
  • A ganância: Com aparência de um grande negócio em oportunidade e o possível desejo de ganhar sempre mais, tentam provocar a ganância de uma vítima em potencial ao oferecer possibilidades de faturamentos / rendimentos inusitados com metas ilimitadas a partir de baixas aplicações ou aplicação zero.
  • A impaciência: Quando enviam propostas com alertas de respostas urgentes ou informações de que a chance é apenas para “já”, “não perca tempo” ou ainda, “não deixe passar esta oportunidade única”.
  • A vaidade: este é o item da moda atualmente já que a grande maioria das pessoas sentem desejos das perfeições corporais, jamais alcançadas mas sempre tentadas, para homens e mulheres que não medem esforços e nem sacrifícios para obterem a conquista ilusória de corpo, dito, “sarado”.
  • A complacência: que está na ânsia de querer ajudar, ser gentil ou prestativo (a) e que por este motivo pode levar a pessoa a se tornar mais uma vítima de um ataque de ES, pois o engenheiro social saberá aproveitar da sua bondade e desta fragilidade para pedir ajuda, com intenções nada satisfatórias em resultado.
  • A libido: os desejos sexuais sempre estiveram em alta e o engenheiro social, sabendo desta fraqueza humana, pode enviar um e-mail com supostas fotos amorosas, sedutoras, sensuais ou provocativas que, inadvertidamente, se a pessoa com libido alto não estiver atenta, poderá abrir as portas à entrada de uma série de vírus maliciosos em sua máquina ou por em risco todo um sistema empresarial que depois, só irão aguardar o momento propício para se ativar automaticamente para, no mínimo onerar os seus recursos eletrônicos ou por outro lado, fazer uma varredura geral dos seus arquivos instalados na tentativa de roubar possíveis senhas, números de cartões ou de documentos, etc..
  • A preguiça / negligência: este é um item infalível na lista dos violadores de sistemas, pois um ES sabe que nem todos os dias as pessoas estão com disposição a cumprir regras de segurança e é claro que, um dia, a preguiça de conferir um determinado item de segurança vai oferecer a oportunidade que ele, o invasor, tanto espera e uma negligência pode ser esta porta.
  • A distração: talvez este seja o mais importante de todos os itens listados aqui e, pelo fato de as pessoas não estarem 100% focadas no que fazem, que um ES logra resultados positivos nos seus eventos, nestas situações e nos seus ataques. Por isso é costume encontrarmos táticas de desvio da atenção da vítima ou de desequilibrá-la no que faz para o invasor poder agir.

Engenheiros Sociais tem por característica principal serem cautelosos e pacientes e sabem esperar o momento certo para o seu ataque ser preciso e certeiro.

Em resumo, o que um Engenheiro Social faz, durante um ataque de Engenharia Social é procurar o ponto emocional mais fraco de sua vítima para distraí-la do seu foco de atenção ou desorientá-la no equilíbrio que possui para poder atacar porém, não interessa ao ES tirar a sua vítima do equilíbrio emocional que possui, pois assim não garantiria a continuidade de suas ações sem levantar suspeitas da vítima e sem nem sequer saber que passou por um ataque de Engenharia Social.

Como então se proteger da Engenharia Social e de um Engenheiro Social?

Conhecendo e aplicando técnicas de fortalecimento dos fatores pessoais de foco de atenção concentrada e formas de manter a orientação estabilizada no equilíbrio psicológico que se possui, fazendo conhecer os seus fatores de essência forte e assim, reverter um ataque de ES.

Isto anula qualquer possibilidades de sucesso de ES, fortalecendo o fator pessoal em questão.

Uma dessas técnicas consiste em procurar conhecer os fatores de interesses na essência de um estímulo e controle que se expressa, que seja a sua predisposição de atuar, para descobrir quais fatores enfraquecidos existem e assim poder revertê-los em fortalecimento consciente.

Diversas outras técnicas existem e podem ser aplicadas porém, deve-se observar aquela que melhor estuda e se adapta aos fatores viciosos e bloqueadores da sua essência, para poder corrigi-los adequadamente, na raiz do que o enfraquece, diante de um interesse inimigo ou alheio.

Na verdade, é o estudo e o conhecimento da lógica das Essências Humanas (EH), aplicadas aos seus interesses pessoais, sociais, profissionais e/ou, que vão determinar o melhor ou os melhores caminhos a seguir, até você encontrar o seu nível de foco excelente e equilibrado, sem fraquejar diante do inimigo.

Aliás, com a prática do fortalecimento pela localização dos fatores enfraquecidos, você vai descobrir que, na grande maioria das vezes não é preciso nem lutar contra um inimigo ou contra o adversário que se tem para se ver o fortalecimento, basta apenas e para isso, trabalhar com afinco e empenho a seu favor – com foco de atenção no que se faz.

[Crédito da Imagem: Engenharia Social – ShutterStock]

  •  
  •  
  •  
  •  
  •  
  •  
  •  

Compare preços de Uber, 99 e Taxi

Minimum Way

Autor

Consultor de TI e atualmente divulgando as lógicas de estrutura e dinâmicas da EH (Essência Humana), de autoria própria. http://www.crmtreinamento.blogspot.com.br crm@crmtreinamento@yahoo.com.br

Carlos Roberto Miranda

Comentários

1 Comment

  • Interessante quando todas as funções burocráticas do RH e concentre-se apenas na parte estratégica da gestão de pessoas.

You must be logged in to post a comment.

Busca

Patrocínio

Publicidade




Siga-nos!

Newsletter: Inscreva-se

Para se inscrever em nossa newsletter preencha o formulário.