{"id":3565,"date":"2012-06-01T00:02:02","date_gmt":"2012-06-01T00:02:02","guid":{"rendered":"http:\/\/www.ethicalhacker.com.br\/site\/?p=3565"},"modified":"2019-07-18T12:23:23","modified_gmt":"2019-07-18T15:23:23","slug":"engenharia-social","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2012\/06\/diversos\/engenharia-social\/","title":{"rendered":"Engenharia Social"},"content":{"rendered":"

Em Seguran\u00e7a da informa\u00e7\u00e3o, chama-se Engenharia Social as pr\u00e1ticas utilizadas para obter acesso a informa\u00e7\u00f5es importantes ou sigilosas em organiza\u00e7\u00f5es ou sistemas por meio da engana\u00e7\u00e3o ou explora\u00e7\u00e3o da confian\u00e7a das pessoas. Para isso, o golpista pode se passar por outra pessoa, assumir outra personalidade, fingir que \u00e9 um profissional de determinada \u00e1rea, etc. \u00c9 uma forma de entrar em organiza\u00e7\u00f5es que n\u00e3o necessita da for\u00e7a bruta ou de erros em m\u00e1quinas. Explora as falhas de seguran\u00e7a das pr\u00f3prias pessoas que, quando n\u00e3o treinados para esses ataques, podem ser facilmente manipuladas.<\/p>\n

Entendendo a Engenharia Social<\/p>\n

Engenharia social compreende a inaptid\u00e3o dos indiv\u00edduos manterem-se atualizados com diversas quest\u00f5es pertinentes a tecnologia da informa\u00e7\u00e3o, al\u00e9m de n\u00e3o estarem conscientes do valor da informa\u00e7\u00e3o que eles possuem e, portanto, n\u00e3o terem preocupa\u00e7\u00e3o em proteger essa informa\u00e7\u00e3o conscientemente. \u00c9 importante salientar que, a engenharia social \u00e9 aplicada em diversos setores da seguran\u00e7a da informa\u00e7\u00e3o independente de sistemas computacionais, software e ou plataforma utilizada, o elemento mais vulner\u00e1vel de qualquer sistema de seguran\u00e7a da informa\u00e7\u00e3o \u00e9 o ser humano, o qual possui tra\u00e7os comportamentais e psicol\u00f3gicos que o torna suscet\u00edvel a ataques de engenharia social. Dentre essas caracter\u00edsticas, pode-se destacar:<\/p>\n

* Vaidade pessoal e\/ou profissional: O ser humano costuma ser mais receptivo a avalia\u00e7\u00e3o positiva e favor\u00e1vel aos seus objetivos, aceitando basicamente argumentos favor\u00e1veis a sua avalia\u00e7\u00e3o pessoal ou profissional ligada diretamente ao benef\u00edcio pr\u00f3prio ou coletivo de forma demonstrativa.<\/p>\n

* Autoconfian\u00e7a: O ser humano busca transmitir em di\u00e1logos individuais ou coletivos o ato de fazer algo bem, coletivamente ou individualmente, buscando transmitir seguran\u00e7a, conhecimento, saber e efici\u00eancia, buscando criar uma estrutura base para o in\u00edcio de uma comunica\u00e7\u00e3o ou a\u00e7\u00e3o favor\u00e1vel a uma organiza\u00e7\u00e3o ou individuo.<\/p>\n

* Forma\u00e7\u00e3o profissional: O ser humano busca valorizar sua forma\u00e7\u00e3o e suas habilidades adquiridas nesta faculdade, buscando o controle em uma comunica\u00e7\u00e3o, execu\u00e7\u00e3o ou apresenta\u00e7\u00e3o seja ela profissional ou pessoal buscando o reconhecimento pessoal inconscientemente em primeiro plano.<\/p>\n

* Vontade de ser \u00fatil : O ser humano, comumente, procura agir com cortesia, bem como ajudar outros quando necess\u00e1rio.<\/p>\n

* Busca por novas amizades : O ser humano costuma se agradar e sentir-se bem quando elogiado, ficando mais vulner\u00e1vel e aberto a dar informa\u00e7\u00f5es.<\/p>\n

* Propaga\u00e7\u00e3o de responsabilidade : Trata-se da situa\u00e7\u00e3o na qual o ser humano considera que ele n\u00e3o \u00e9 o \u00fanico respons\u00e1vel por um conjunto de atividades.<\/p>\n

* Persuas\u00e3o : Compreende quase uma arte a capacidade de persuadir pessoas, onde se busca obter respostas espec\u00edficas. Isto \u00e9 poss\u00edvel porque as pessoas possuem caracter\u00edsticas comportamentais que as tornam vulner\u00e1veis a manipula\u00e7\u00e3o.<\/p>\n

A engenharia social n\u00e3o \u00e9 exclusivamente utilizada em inform\u00e1tica, a engenharia social \u00e9 uma ferramenta onde exploram-se falhas humanas em organiza\u00e7\u00f5es f\u00edsicas ou jur\u00eddicas onde operadores do sistema de seguran\u00e7a da informa\u00e7\u00e3o possuem poder de decis\u00e3o parcial ou total ao sistema de seguran\u00e7a da informa\u00e7\u00e3o seja ele f\u00edsico ou virtual, por\u00e9m devemos considerar que as informa\u00e7\u00f5es pessoais, n\u00e3o documentadas, conhecimentos, saber, n\u00e3o s\u00e3o informa\u00e7\u00f5es f\u00edsicas ou virtuais, elas fazem parte de um sistema em que possuem caracter\u00edsticas comportamentais e psicol\u00f3gicas na qual a engenharia social passa a ser auxiliada por outras t\u00e9cnicas como: leitura fria, linguagem corporal, leitura quente, termos usados no aux\u00edlio da engenharia social para obter informa\u00e7\u00f5es que n\u00e3o s\u00e3o f\u00edsicas ou virtuais mas sim comportamentais e psicol\u00f3gicas.<\/p>\n

A engenharia social \u00e9 praticada em diversas profiss\u00f5es beneficamente ou n\u00e3o, visando proteger um sistema da seguran\u00e7a da informa\u00e7\u00e3o ou atacar um sistema da seguran\u00e7a da informa\u00e7\u00e3o.<\/p>\n

Um engenheiro social n\u00e3o \u00e9 um profissional na engenharia social (a engenharia social n\u00e3o \u00e9 uma faculdade e sim t\u00e9cnicas), mas trata-se de uma pessoa que possui conhecimentos em diversas \u00e1reas profundamente ou n\u00e3o, 99% das pessoas que praticam a engenharia social, de forma ben\u00e9fica ou n\u00e3o, trabalham em grandes empresas ou em empresas de m\u00e9dio porte, visando buscar falhas em um sistema de seguran\u00e7a da informa\u00e7\u00e3o para aperfei\u00e7oar ou explorar falhas.<\/p>\n

Exemplos de empresas:<\/p>\n

* Agencias ca\u00e7a talentos: Estas empresas buscam pessoas com habilidades na engenharia social para usar de forma ben\u00e9fica dentro da empresa, visando aperfei\u00e7oar a abordagem de pessoas com talentos por parte de seus funcion\u00e1rios que sofrem ataques constantes de engenharia social para revelarem talentos descobertos pela empresa.<\/p>\n

* Seguradoras, Planos de Sa\u00fade: Estas empresas buscam constantemente na internet e outros meios de busca de pessoas com talentos em engenharia social, visando reduzir ataques individuais ou coletivos visando proteger o quadro de clientes, visando evitar a migra\u00e7\u00e3o de clientes para outras empresas da mesma atividade.<\/p>\n

A engenharia social muito confundida com a arte da engana\u00e7\u00e3o em termos t\u00e9cnicos por estar relacionada em casos de viola\u00e7\u00e3o da seguran\u00e7a da informa\u00e7\u00e3o virtualmente e f\u00edsicamente, por\u00e9m devemos lembrar que a engenharia social \u00e9 utilizada para a prote\u00e7\u00e3o da informa\u00e7\u00e3o tamb\u00e9m, estes casos s\u00e3o freq\u00fcentes e n\u00e3o s\u00e3o divulgados por motivos de seguran\u00e7a da informa\u00e7\u00e3o de uma pessoa juridica ou pessoa f\u00edsica, uma falha descoberta por uma pessoa com habilidades na engenharia social ela pode ser explorada de duas formas, beneficamente ou maleficamente, sua atua\u00e7\u00e3o como pessoa com habilidades na engenharia social contratado para solucionar falhas e n\u00e3o amplia-las, est\u00e1 \u00e9 a forma ben\u00e9fica de usar a engenharia social, a forma mal\u00e9fica de utilizar a engenharia social est\u00e1 ligada a 99% dos casos por pessoas que buscam violar, obter a informa\u00e7\u00e3o de forma desonesta, buscando lucros pessoas ou empresariais, lembramos que a engenharia social n\u00e3o \u00e9 uma faculdade e sim uma habilidade pessoal de um profissional ou n\u00e3o em uma determinada \u00e1rea, profiss\u00e3o, dedica\u00e7\u00e3o, hobby, entre outros.
\nA engenharia social \u00e9 utilizada no dia-a-dia de pessoas comuns ou n\u00e3o de forma involunt\u00e1ria, o que difere o uso involunt\u00e1rio da engenharia social do prejulgamento ou dedu\u00e7\u00e3o \u00e9 a vaidade pessoal ligada ao objetivo pessoal que induz a engenharia social involunt\u00e1ria, freq\u00fcentes em lugares comuns como:<\/p>\n

Exemplos de locais:<\/p>\n

* Feiras livres: A engenharia social involunt\u00e1ria \u00e9 freq\u00fcente nas feiras livres em desconfiamos da qualidade, da validade, do pre\u00e7o, usamos a engenharia social involunt\u00e1ria para obtermos informa\u00e7\u00f5es que nos favore\u00e7a diretamente, est\u00e1 forma de praticar a engenharia social involunt\u00e1ria e avaliada como tra\u00e7o comportamental.<\/p>\n

* Bares: A engenharia social involunt\u00e1ria \u00e9 freq\u00fcente em bares, buscando informa\u00e7\u00f5es que possam nos favorecer, em sua grande maioria esta pratica est\u00e1 ligada \u00e0 conquista, romantismo, de uma forma geral visando a conquista afetiva ou amorosa de uma segunda pessoa seja organizadamente ou n\u00e3o.<\/p>\n

A engenharia social lida com varias formas e t\u00e9cnicas em situa\u00e7\u00f5es diversas, pessoas com habilidades na engenharia social que atuam nesta \u00e1rea por muitos anos definem a engenharia social como umas das ferramentas mais utilizadas no mundo em comunica\u00e7\u00e3o humana, visando proteger a informa\u00e7\u00e3o ou n\u00e3o, divulgar a informa\u00e7\u00e3o ou n\u00e3o, uma arma ou uma flor em suas m\u00e3os com uma imagem desfocada ou focada, por\u00e9m muito perigosa ao cora\u00e7\u00e3o.<\/p>\n

T\u00e9cnicas
\nA maioria das t\u00e9cnicas de engenharia social consiste em obter informa\u00e7\u00f5es privilegiadas enganando os usu\u00e1rios de um determinado sistema atrav\u00e9s de identifica\u00e7\u00f5es falsas, aquisi\u00e7\u00e3o de carisma e confian\u00e7a da v\u00edtima. Um ataque de engenharia social pode se dar atrav\u00e9s de qualquer meio de comunica\u00e7\u00e3o. Tendo-se destaque para telefonemas, conversas diretas com a v\u00edtima, e-mail e WWW. Algumas dessas t\u00e9cnicas s\u00e3o:<\/p>\n

* V\u00edrus que se espalham por e-mail<\/p>\n

Criadores de v\u00edrus geralmente usam e-mail para o propagar de suas cria\u00e7\u00f5es. Na maioria dos casos, \u00e9 necess\u00e1rio que o usu\u00e1rio ao receber o e-mail execute o arquivo em anexo para que seu computador seja contaminado. O criador do v\u00edrus pensa ent\u00e3o em uma maneira de fazer com que o usu\u00e1rio clique no anexo. Um dos m\u00e9todos mais usados \u00e9 colocar um texto que desperte a curiosidade do usu\u00e1rio. O texto pode tratar de sexo, de amor, de not\u00edcias atuais ou at\u00e9 mesmo de um assunto particular do internauta. Um dos exemplos mais cl\u00e1ssicos \u00e9 o v\u00edrus I Love You, que chegava ao e-mail das pessoas usando este mesmo nome. Ao receber a mensagem, muitos pensavam que tinham um(a) admirador(a) secreto(a) e na expectativa de descobrir quem era, clicavam no anexo e contaminam o computador. Repare que neste caso, o autor explorou um assunto que mexe com qualquer pessoa. Alguns v\u00edrus possuem a caracter\u00edstica de se espalhar muito facilmente e por isso recebem o nome de worms (vermes). Aqui, a engenharia social tamb\u00e9m pode ser aplicada. Imagine, por exemplo, que um worm se espalha por e-mail usando como tema cart\u00f5es virtuais de amizade. O internauta que acreditar na mensagem vai contaminar seu computador e o worm, para se propagar, envia c\u00f3pias da mesma mensagem para a lista de contatos da v\u00edtima e coloca o endere\u00e7o de e-mail dela como remetente. Quando algu\u00e9m da lista receber a mensagem, vai pensar que foi um conhecido que enviou aquele e-mail e como o assunto \u00e9 amizade, pode acreditar que est\u00e1 mesmo recebendo um cart\u00e3o virtual de seu amigo. A t\u00e1tica de engenharia social para este caso, explora um assunto cab\u00edvel a qualquer pessoa: a amizade.<\/p>\n

* E-mails falsos (spam)<\/p>\n

Este \u00e9 um dos tipos de ataque de engenharia social mais comuns e \u00e9 usado principalmente para obter informa\u00e7\u00f5es financeiras da pessoa, como n\u00famero de conta-corrente e senha. Neste caso, o aspecto explorado \u00e9 a confian\u00e7a. Boa parte dos criadores desses e-mails s\u00e3o criminosos que desejam roubar o dinheiro presente em contas banc\u00e1rias. Por\u00e9m, os sistemas dos bancos s\u00e3o muito bem protegidos e quase que inviol\u00e1veis! Como \u00e9 invi\u00e1vel tentar burlar a seguran\u00e7as dos sistemas banc\u00e1rios, \u00e9 mais f\u00e1cil ao criminoso tentar enganar as pessoas para que elas forne\u00e7am suas informa\u00e7\u00f5es banc\u00e1rias. A t\u00e1tica usada \u00e9 a seguinte: o criminoso adquire uma lista de e-mails usados para SPAM que cont\u00e9m milh\u00f5es de endere\u00e7os, depois vai a um site de um banco muito conhecido, copia o layout da p\u00e1gina e o salva em um site provis\u00f3rio, que tem a url semelhante ao site do banco. Por exemplo, imagine que o nome do banco seja ‘Banco Dinheiro’ e o site seja www.bancodinheiro.com. O criminoso cria um site semelhante: ‘www.bancodinhero.com’ ou ‘www.bancodinheiro.com.br’ ou ‘www.bancodinheiro.org’, enfim. Neste site, ele faz uma c\u00f3pia id\u00eantica a do banco e disponibiliza campos espec\u00edficos para o usu\u00e1rio digitar seus dados confidenciais. O passo seguinte \u00e9 enviar um e-mail \u00e0 lista adquirida usando um layout semelhante ao do site. Esse e-mail \u00e9 acompanhado por um link que leva ao site falso. Para fazer com que o internauta clique no link, o texto da mensagem pode, por exemplo, sugerir uma premia\u00e7\u00e3o: “Voc\u00ea acaba de ser premiado com 10 mil reais. Clique no link para atualizar seu cadastro e receber o pr\u00eamio”. Como a institui\u00e7\u00e3o banc\u00e1ria escolhida geralmente \u00e9 muito conhecida, as chances de que o internauta que recebeu o e-mail seja cliente do banco s\u00e3o grandes. Assim, ele pode pensar que de fato foi o banco que enviou aquela mensagem, afinal, o e-mail e o site do link tem o layout da institui\u00e7\u00e3o. Como conseq\u00fc\u00eancia, a v\u00edtima ingenuamente digita seus dados e dias depois percebe que todo o dinheiro da sua conta sumiu! Repare que em casos assim, o golpista usa a imagem de confiabilidade que o banco tem para enganar as pessoas. Mensagens falsas que dizem que o internauta recebeu um cart\u00e3o virtual ou ganhou um pr\u00eamio de uma empresa grande s\u00e3o comuns. Independente do assunto tratado em e-mails desse tipo, todos tentam convencer o internauta a clicar em um link ou no anexo. A forma utilizada para convencer o usu\u00e1rio a fazer isso \u00e9 uma t\u00e1tica de engenharia social.<\/p>\n

Fonte: http:\/\/pt.wikipedia.org\/wiki\/Engenharia_social_(seguran%C3%A7a_da_informa%C3%A7%C3%A3o)<\/p>\n\r\n\t\t

\r\n\t\t\t
\r\n\t\t\t\t
\r\n\t\t\t\r\n\t\t\t
<\/div>\r\n\t\t<\/div> \r\n\t\t
\r\n\t\t\t

By: Gerson Raymond\n<\/strong><\/p>\n

T\u00e9cnico em Contabilidade, T\u00e9cnico em Eletr\u00f4nica, T\u00e9cnico em Telecomunica\u00e7\u00f5es, Bacharel em Ci\u00eancia da Computa\u00e7\u00e3o, Administrador de Redes Linux (CentOS, XEN, Zabbix, Asterisk\/Elastix) e P\u00f3s-Graduando em Seguran\u00e7a em Tecnologia da Informa\u00e7\u00e3o \u2013 UNIVERSIDADE MACKENZIE \u2013 SP.<\/p>\n

Homepage: http:\/\/www.grsecurity.com.br<\/a><\/p>\n

\u00a0<\/em>\r\n\t\t<\/div> <\/p>\r\n\t\t\t<\/div> \r\n\t\t<\/div> \n","protected":false},"excerpt":{"rendered":"

Em Seguran\u00e7a da informa\u00e7\u00e3o, chama-se Engenharia Social as pr\u00e1ticas utilizadas para obter acesso a informa\u00e7\u00f5es importantes ou sigilosas em organiza\u00e7\u00f5es ou sistemas por meio da engana\u00e7\u00e3o ou explora\u00e7\u00e3o da confian\u00e7a das pessoas. Para isso, o golpista pode se passar por outra pessoa, assumir outra personalidade, fingir que \u00e9 um profissional de determinada \u00e1rea, etc. \u00c9 […]<\/p>\n","protected":false},"author":2,"featured_media":3566,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[100],"tags":[],"class_list":["post-3565","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-diversos"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/3565","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=3565"}],"version-history":[{"count":8,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/3565\/revisions"}],"predecessor-version":[{"id":10553,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/3565\/revisions\/10553"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/3566"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=3565"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=3565"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=3565"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}