Engenharia Social Parte 4

ENGENHARIA SOCIAL – Parte 4

Você pode me ajudar?

O engenheiro social pode inferir contra a vítima, seria pedindo a sua ajuda. O homem de nossa sociedade ainda tem princípios herdados de gerações passadas, onde todos se ajudavam mutuamente. E a partir deste princípio o atacante explora a boa vontade da vítima para seu benefício.

Vejamos um exemplo simples de como é feito:

Atacante: “Bom dia, meu nome é Fonseca Araújo e gostaria de confirmar o depósito de seu salário na conta 14.223-6 do banco do Brasil.”

Vítima: “Calma aí, não tenho conta no banco do brasil como pode fazer isso?”

Atacante: “Deixe-me conferir…. Preciso de seu número de empregado e nome completo para que eu possa confirmar o depósito.”(Mitnick, 2003)

A vítima diz o numero dele e o seu nome completo, o atacante diz que foi um mal entendido e a mesma desliga aliviada o telefone.

Com o número de empregado e o nome completo desse sujeito, o atacante liga para o setor de TI da instituição em pede para que seja criada uma nova conta pois deseja possuir uma conta que ninguém saiba por motivos de segurança. Ele por sua vez lhe fornece um login e senha do sistema com todos os privilégios que o usuário tem.

Como evitar a trapaça?

Como podem perceber em todos os exemplos o atacante faz uma ligação de fora para dentro da instituição. Sendo muito mais fácil fazê-lo do que ficar horas e horas tentando passar por um firewall.

Uma maneira de evitar esse tipo de ataque seria uma restrição de informações por telefone, ou seja, um funcionário só pode passar informação a outro funcionário através de e-mail ou documento escrito. Também instruir os funcionários a ligarem de volta para quem está pedindo antes de fornecer o que foi pedido.

Outra forma de evitar seria a restrição de fornecimento de senhas ou logins entre os funcionários e pela equipe de TI. Para que qualquer pedido com respeito a ele seja feito através da forma escrita.

Contudo, a forma mais correta de se precaver de um ataque de engenharia social, é a construção de uma política de segurança e normas de prevenção e auditoria. Também é de fato crucial que a diretoria se conscientize de tal ameaça.

Conclusão

Dentre as inúmeras ameaças que existe para um ambiente corporativo, a engenharia social é uma das mais nocivas que existe. Sendo ela pouco divulgada e muitas das vezes não prevista nas normas e políticas de segurança.

Mostra-se também como um atacante pode se comportar, conhecendo um pouco de  suas técnicas e quanto é facil extrair informações de uma vítima sem que a mesma saiba que sofreu um ataque.

Observou-se que os fatores psicológicos envolvidos no meio corporativo são muito utilizados pelo engenheiro social.

Alguns tipos de ataque foram mostrados e com exemplos explicativos verificou-se o quanto é fácil para alguem com um objetivo nocivo a organização conseguir algo que almeja.

As formas de se prevenir de tal ameaça foram presupostas sendo que a escolhida para estudo fora  uma medida de segurança com foco na engenharia. Também vale resaltar que não apenas isso fará com que seja amenizado o problema, também a criação de normas de conduta dos funcionários devem serem implementadas dentre outros aspectos.

No próximo post será estudando sobre as políticas de segurança.

Explore posts in the same categories: Engenharia Social

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s


%d blogueiros gostam disto: