ESPECIAL: Importância da práctica de “Engenharia Social” (Parte 2)

>> sexta-feira, maio 29, 2009

 

evaldo Esta é a parte final do texto, há uma pequena descrição dos métodos usados para obter informações e assim provocar brechas de segurança.(a parte nº1 está mais abaixo)

Autor: Evaldo Tatsch Junior | Blog: www.infoaux-security.blogspot.com

A pesquisa do começa com algo do tipo (fique tranquilo, é apenas uma perguntinha boba): “O Sr. utiliza softwares de que tipo (web, client)”? Agora o cracker começa a perguntar coisas mais interessantes, para ele, é claro): “Diga qual o software que o Sr. mais costuma utilizar dentro da empresa e qual o propósito deste software”? Agora o cracker vai iludir o nosso funcionário, mostrando preocupação com a segurança das informações. “Claro que o Sr. sabe da necessidade de criar senhas para a segurança das suas informações. Ao mesmo tempo, o Sr. sabe das dificuldades de decorar estas senhas. O Sr. costuma sempre utilizar a mesma senha para acesso a todos os softwares da empresa”?

Agora, imaginemos que para esta pergunta, o nosso amigo funcionário tenha respondido sim. Eureka!!! Que prato cheio para o cracker. Agora ele sabe que para a maior parte dos sistemas utilizados na empresa, o nosso funcionário utiliza a mesma senha informada naquele “cadastrinho bobo” e sem nenhuma maldade naquele site “ingenuo” que o nosso funcionário acessou.

E se ele tivesse dito: “Não, costumo utilizar senhas diferentes”. Quem sabe, o cracker teria oferecido uma maneira fácil para que o funcionário pudesse armazenar estas senhas, como por exemplo, crie uma pasta em sua conta de email e coloque todas as suas senhas lá. Enfim, o cracker sugeriria uma maneira prática para o armazenamento das senhas ou tentaria outras táticas de Engenharia Social para que pudesse descobrí-las.

Com certeza, se o funcionário seguisse a dica, isso facilitaria a vida do cracker quando invadisse a conta de email da vítima, pois lá estariam as senhas para os demais acessos aos outros sistemas da empresa.

Claro que aqui foi um exemplo bastante exdrúxulo, mas podem ter certeza, a maneira de abordar as vítimas não é tão diferente disso. Ao mesmo tempo, fico em dúvida se podemos chamar este indivíduo salafrário de cracker, já que ele não está utilizando nenhum software para invadir uma máquina ou roubar alguma senha. Ele apenas está usando a esperteza e se aproveitando da ingenuidade de alguém.

Obviamente como citei no inicio do artigo, as táticas de Engenharia Social são bem diversificadas, o que dificulta ainda mais o controle por parte das empresas. Pode ser que seja muito complicado para que a empresa consiga controlar o que os seus funcionários acessam ou o que conversam no telefone, mas seria bem mais fácil se houvesse alguma dica, enfim, que os funcionários fossem ao menos apresentados para a matéria Engenharia Social. Talvez, citar alguns exemplos, já serviria para uma diminuição nas invasões realizadas através desta prática.

Infelizmente, apesar de tantos exemplos de diferentes tácticas utilizadas para a obtenção de senhas através da ludibriação dos colaboradores, as empresas ainda não estão dando a devida atenção a este tipo de ataque. Pelo menos, essa é a visão que até o momento eu tenho visto pelo mundo da www afora.

Adquirir softwares caros, investir nos melhores equipamentos, pagar os maiores salários, fazer backups instantâneos e diários de todas as informações. Tudo isso é formidável, mas imaginem, o seguinte: aquela informação da senha de rede foi passada ingenuamente por aquele funcionário exemplar, como falamos anteriormente. Aquele funcionário exemplar, que ganha um bom salário, casualmente trabalha no setor financeiro, tendo acesso, por exemplo, as contas da empresa. Com certeza, o meu melhor equipamento e o meu melhor software não vão conseguir barrar o acesso de um cracker que tenha obtido esta informação tão preciosa.

Pode levar alguns dias ou até algumas horas para que com essa pequena informação, o cracker obtenha o acesso as contas da empresa e leve parte do seu capital.

Obviamente, aqui eu quis apenas explicar e tentar demonstrar, mesmo que de forma grotesca, o que é, o que pode acontecer e como é importante praticar a Engenharia Social.

Portanto, sempre que possível, tentem, com o perdão da redundância, “Socializar a Engenharia Social”.

Passem adiante, a importância de praticar Engenharia Social. Não deixem de pecar pela falta de informação dos colaboradores da sua empresa. Dêem o valor e a atenção que este tema realmente merece.

Abraço a Todos e Sucessos.

blog comments powered by Disqus

Enviar um comentário

Liberdade de uso de Tags HTML e Links
para Negrito (Ex: Novos Horizontes
para Links (Ex: <a href="http://ultracognitivo.com>Novos Horizontes</a>

Divirtam-se.

Adquira o seu domínio.

Seguidores

  © Blogger template Simple n' Sweet by Ourblogtemplates.com 2011

Voltar ao TOPO