Recursos Humanos Como Factor de Risco na Administracao de Sistemas

Tema: Recursos Humanos Como Factor de Risco na Administração de Sistemas Tendo em Conta a Componente Engenharia Social

Alguns criminosos consideram ser mais fácil explorar a natureza humana do que explorar falhas de software. Ao invés de gastar em tecnologia sofisticada para obter acesso a um sistema ou computador, usam algo mais insidioso que é a Engenharia Social.

Engenharia social

Definições:

• São as práticas utilizadas para obter acesso a informações importantes ou sigilosas em organizações ou sistemas por meio da enganação ou exploração da confiança das pessoas.
• Refere-se a manipulação psicológica de pessoas para a execução de acções ou divulgar informações confidenciais.
• É a forma pela qual os criminosos ganham acesso ao computador da vítima.

O objectivo da engenharia social é de instalar spyware ou outro software mal-intencionado ou de induzir a vítima a entregar suas senhas ou outras informações confidenciais pessoais ou financeiras.

Este é um termo que descreve um tipo psicotécnico de intrusão que depende fortemente de interacção humana e envolve enganar outras pessoas para quebrar procedimentos de segurança.

Para isso, o golpista pode se passar por outra pessoa, assumir outra personalidade ou fingir que é um profissional de determinada área. É uma forma de entrar em organizações sem fazer o uso da força bruta ou de erros em máquinas, pois, explora as falhas de segurança das próprias pessoas que, quando não treinadas para esses ataques, podem facilmente ser manipuladas.

A engenharia social é aplicada em diversos sectores da segurança da informação independente de sistemas computacionais, software e ou plataforma utilizada, o elemento mais vulnerável de qualquer sistema de segurança da informação é o ser humano, o qual possui traços comportamentais e psicológicos que o torna susceptível a ataques de engenharia social.

A Engenharia social tem sucesso por vários factores dos quais destacamos os seguintes:

Inaptidão dos indivíduos se manterem actualizados com diversas questões pertinentes a tecnologia da informação;

Falta de consciencialização dos recursos humanos acerca do valor da informação que eles possuem;

Propagação de responsabilidade que fará com que determinada tarefa não seja realizada;

Insatisfação do funcionário que poderá suscitar desejo de vingança;

Técnicas

A maioria das técnicas de engenharia social consiste em obter informações privilegiadas enganando os usuários de um determinado sistema através de identificações falsas, aquisição de carisma e confiança da vítima. Um ataque de engenharia social pode se dar através de qualquer meio de comunicação. Tendo-se destaque para telefonemas, conversas directas com a vítima, e-mail e WWW. Algumas dessas técnicas são:

Vírus que se espalham por e-mail

Criadores de vírus geralmente usam e-mail para propagar as suas criações, e na maioria dos casos, o usuário ao receber o e-mail executa o arquivo em anexo e o seu computador é contaminado.

Persuasão

 Compreende a capacidade de persuadir pessoas, onde se busca obter respostas específicas o que se torna possível porque as pessoas possuem características comportamentais que as tornam vulneráveis a manipulação.

Busca por novas amizades

O ser humano costuma se agradar e sentir-se bem quando elogiado, ficando mais vulnerável e aberto a dar informações.

Exemplos de ataques usando engenharia social:

Exemplo 1:  o usuário recebe uma mensagem de re-cadastro de senhas do e-mail institucional, mesmo sabendo que esse tipo de solicitação nunca foi feito via e-mail, pode responder ao e-mail e dar acesso a um mal-intencionado.

Exemplo 2: um funcionário/ ex-funcionário insatisfeito, pode se tornar um alvo fácil dos engenheiros sociais e dar informações sensíveis acerca da segurança a terceiros para que ataquem com sucesso a organização.

Exemplo 3:  o funcionário recebe uma mensagem de e-mail, dizendo que o seu computador está infectado por um vírus. A mensagem sugere que ele instale uma ferramenta disponível em um site da Internet, para eliminar o vírus de seu computador. O funcionário pode realizar a tarefa enquanto que a real função desta ferramenta não é eliminar um vírus, mas sim de permitir que alguém tenha acesso ao seu computador e a todos os dados nele armazenados.

...