Recursos Humanos Como Factor de Risco na Administracao de Sistemas
Por: Ana Graciosa • 11/5/2016 • Trabalho acadêmico • 985 Palavras (4 Páginas) • 386 Visualizações
Tema: Recursos Humanos Como Factor de Risco na Administração de Sistemas Tendo em Conta a Componente Engenharia Social
Alguns criminosos consideram ser mais fácil explorar a natureza humana do que explorar falhas de software. Ao invés de gastar em tecnologia sofisticada para obter acesso a um sistema ou computador, usam algo mais insidioso que é a Engenharia Social.
Engenharia social
Definições:
- São as práticas utilizadas para obter acesso a informações importantes ou sigilosas em organizações ou sistemas por meio da enganação ou exploração da confiança das pessoas.
- Refere-se a manipulação psicológica de pessoas para a execução de acções ou divulgar informações confidenciais.
- É a forma pela qual os criminosos ganham acesso ao computador da vítima.
O objectivo da engenharia social é de instalar spyware ou outro software mal-intencionado ou de induzir a vítima a entregar suas senhas ou outras informações confidenciais pessoais ou financeiras.
Este é um termo que descreve um tipo psicotécnico de intrusão que depende fortemente de interacção humana e envolve enganar outras pessoas para quebrar procedimentos de segurança.
Para isso, o golpista pode se passar por outra pessoa, assumir outra personalidade ou fingir que é um profissional de determinada área. É uma forma de entrar em organizações sem fazer o uso da força bruta ou de erros em máquinas, pois, explora as falhas de segurança das próprias pessoas que, quando não treinadas para esses ataques, podem facilmente ser manipuladas.
A engenharia social é aplicada em diversos sectores da segurança da informação independente de sistemas computacionais, software e ou plataforma utilizada, o elemento mais vulnerável de qualquer sistema de segurança da informação é o ser humano, o qual possui traços comportamentais e psicológicos que o torna susceptível a ataques de engenharia social.
A Engenharia social tem sucesso por vários factores dos quais destacamos os seguintes:
Inaptidão dos indivíduos se manterem actualizados com diversas questões pertinentes a tecnologia da informação;
Falta de consciencialização dos recursos humanos acerca do valor da informação que eles possuem;
Propagação de responsabilidade que fará com que determinada tarefa não seja realizada;
Insatisfação do funcionário que poderá suscitar desejo de vingança;
Técnicas
A maioria das técnicas de engenharia social consiste em obter informações privilegiadas enganando os usuários de um determinado sistema através de identificações falsas, aquisição de carisma e confiança da vítima. Um ataque de engenharia social pode se dar através de qualquer meio de comunicação. Tendo-se destaque para telefonemas, conversas directas com a vítima, e-mail e WWW. Algumas dessas técnicas são:
Vírus que se espalham por e-mail
Criadores de vírus geralmente usam e-mail para propagar as suas criações, e na maioria dos casos, o usuário ao receber o e-mail executa o arquivo em anexo e o seu computador é contaminado.
Persuasão
Compreende a capacidade de persuadir pessoas, onde se busca obter respostas específicas o que se torna possível porque as pessoas possuem características comportamentais que as tornam vulneráveis a manipulação.
Busca por novas amizades
O ser humano costuma se agradar e sentir-se bem quando elogiado, ficando mais vulnerável e aberto a dar informações.
Exemplos de ataques usando engenharia social:
Exemplo 1: o usuário recebe uma mensagem de re-cadastro de senhas do e-mail institucional, mesmo sabendo que esse tipo de solicitação nunca foi feito via e-mail, pode responder ao e-mail e dar acesso a um mal-intencionado.
Exemplo 2: um funcionário/ ex-funcionário insatisfeito, pode se tornar um alvo fácil dos engenheiros sociais e dar informações sensíveis acerca da segurança a terceiros para que ataquem com sucesso a organização.
Exemplo 3: o funcionário recebe uma mensagem de e-mail, dizendo que o seu computador está infectado por um vírus. A mensagem sugere que ele instale uma ferramenta disponível em um site da Internet, para eliminar o vírus de seu computador. O funcionário pode realizar a tarefa enquanto que a real função desta ferramenta não é eliminar um vírus, mas sim de permitir que alguém tenha acesso ao seu computador e a todos os dados nele armazenados.
...