FACULDADE DE TECNOLOGIA DE SO CAETANO DO SUL

JAIR AFONSO DE OLIVEIRA

PROCEDIMENTOS BSICOS DE SEGURANA APLICADOS A MDIAS SOCIAIS

SO CAETANO DO SUL/SP 2012

JAIR AFONSO DE OLIVEIRA

PROCEDIMENTOS BSICOS DE SEGURANA APLICADOS A MDIAS SOCIAIS

Trabalho de Concluso de Curso apresentado Faculdade de Tecnologia de So Caetano do Sul, sob a orientao do Prof. Msc. Everson Denis, como requisito parcial para a obteno do diploma de Graduao no Curso de Segurana da Informao.

SO CAETANO DO SUL/SP 2012

OLIVEIRA, Jair Afonso. Procedimentos Bsicos de Segurana Aplicados a Mdias Sociais Trabalho de Graduao apresentado Faculdade de Tecnologia de So Caetano do Sul. Aprovado em: Banca Examinadora Prof. Dr. / Msc./ Me. ______________________ Instituio: ___________________

Julgamento: ______________________ Assinatura: _________________________

Prof. Dr. / Msc./ Me. ______________________ Instituio: ___________________

Julgamento: ______________________ Assinatura: _________________________

Prof. Dr. / Msc./ Me. ______________________ Instituio: ___________________

Julgamento: ______________________ Assinatura: _________________________

AGRADECIMENTOS Agradeo primeiramente Deus pelo o que me proporciona na vida, assim como meus pais, Sr. Jair e Sra. Efignia que possuem papel fundamental em minha educao e foram essenciais para que eu chegasse a esta etapa em minha vida; a minha companheira que me tranquilizou constantemente. Agradeo tambm ao corpo de funcionrios da faculdade, principalmente os docentes que tive o privilgio de conhecer e adquirir conhecimentos, incluindo meu orientador Everson Denis que desde o incio do trabalho me ofereceu auxlio de forma clara e objetiva contribuindo para o meu crescimento acadmico; em suma a todos que me ajudaram a alcanar esse objetivo.

RESUMO OLIVEIRA, J. A. Procedimentos Bsicos de Segurana Aplicados a Mdias Sociais. 56 f. Trabalho de Graduao Faculdade de Tecnologia de So Caetano do Sul, So Caetano do Sul, 2012. Com base no cenrio atual e a alta incidncia de ataques de Engenharia Social reportados, explorando vulnerabilidades com o auxlio de tcnicas de persuaso e manipulao. O Engenheiro Social encontra nas mdias sociais um cenrio propcio ao roubo de informaes confidenciais. Os usurios em geral no tomam as devidas precaues e no realizam verificaes bsicas de segurana, frequentemente centenas de dados de acesso ficam vulnerveis na Internet. Feita a anlise de alguns cenrios e vulnerabilidades existem preocupaes que precisam ser tratadas com solues e recomendaes para conscientizao e preveno. Palavras-chave: Engenharia Social; Mdias Sociais; Preveno; Segurana; Informao.

ABSTRACT OLIVEIRA, J. A. Procedimentos Bsicos de Segurana Aplicados a Mdias Sociais. 56 f. Trabalho de Graduao Faculdade de Tecnologia de So Caetano do Sul, So Caetano do Sul, 2012. Based on the current scenario and the high incidence of reported attacks Social Engineering, exploiting vulnerabilities with the help of techniques of persuasion and manipulation. The Social Engineer social media is a scenario conducive to theft of confidential information. Users generally do not take proper precautions and do not perform basic safety checks, often hundreds of data access on the Internet leak. Made some scenarios and analysis of vulnerabilities there are concerns that must be addressed with solutions and recommendations for awareness and prevention. Keywords: Social Engineering, Social Media, Prevention, Security; Information.

LISTA DE ILUSTRAES Figura 1 Ano de origem e logo de algumas mdias sociais .................................... 19 Figura 2 Celebridades mais perigosas .................................................................. 22 Figura 3 Tentativa de mscara na URL ................................................................. 27 Figura 4 Exemplos spam....................................................................................... 29 Figura 5 Rede local ............................................................................................... 31 Figura 6 Tela do SET ............................................................................................ 33 Figura 7 Tela Can & Abel ..................................................................................... 34 Figura 8 ARP - DNS .............................................................................................. 35 Figura 9 Resultados do comando arp -a ............................................................... 36 Figura 10 DNS Spoofing ....................................................................................... 37 Figura 11 Comando Ping ...................................................................................... 37 Figura 12 Phishing ataque .................................................................................... 38 Figura 13 Acesso registrado ................................................................................. 39 Figura 14 Alerta ESET .......................................................................................... 40 Figura 15 HTTP - HTTPS ...................................................................................... 45

LISTA DE TABELAS Tabela 1 - Confronto de cenrios ............................................................................. 50

LISTA DE ABREVIATURAS E SIGLAS

ABNT ARP CERTbr

Associao Brasileira de Normas Tcnicas Address Resolution Protocol Centro de Estudos, Respostas e Tratamentos de Incidentes de Segurana do Brasil

DNS HTTP HTTPS IBM IP IRC LAN MAC MITM PIN SET SMS SSL TI URL

Domain Name System HyperText Transfer Protocol HyperText Transfer Protocol Secure International Business Machines Internet Protocol Internet Relay Chat Local Area Network Media Access Control Man-in-the-middle Personal Identification Number Social Engineering Toolkit Short Message Service Secure Socket Layer Tecnologia da Informao Uniform Resource Locator

Sumrio INTRODUO ......................................................................................................... 12 1 1.1 1.2 1.3 1.4 1.5 1.6 1.7 2 2.1 2.2 2.3 BASE TERICA ............................................................................................ 14 Ameaa ......................................................................................................... 14 Autenticidade ................................................................................................. 14 Confidencialidade .......................................................................................... 15 Informao .................................................................................................... 15 No Repdio.................................................................................................. 15 Segurana da Informao.............................................................................. 15 Vulnerabilidade .............................................................................................. 16 MDIAS SOCIAIS ........................................................................................... 17 Crescimento e Popularizao ........................................................................ 17 Dispositivos Mveis ....................................................................................... 19 Segurana ..................................................................................................... 20

2.3.1 Casos de Ataque ........................................................................................... 21 3 3.1 3.2 ENGENHARIA SOCIAL ................................................................................. 24 O Fator Humano ............................................................................................ 25 Formas de Ataque ......................................................................................... 26

3.2.1 Imposturas e Disfarces .................................................................................. 26 3.2.2 Pesquisa de Informaes .............................................................................. 27 3.2.3 O Spam e o Hoax .......................................................................................... 28 3.2.4 Phishing......................................................................................................... 29 4 4.1 4.2 4.3 4.4 5 5.1 5.2 5.3 AMBIENTE VULNERVEL ............................................................................ 31 Local Area Network ....................................................................................... 31 Social Engineering Toolkit (SET) ................................................................... 32 ARP Poison ................................................................................................... 33 Formas de Proteo ...................................................................................... 39 APLICANDO SEGURANA .......................................................................... 41 Conscientizao e Preveno ....................................................................... 41 Senhas Fortes ............................................................................................... 42 Mdias Sociais ............................................................................................... 44

5.3.1 Outras Formas de Proteo ........................................................................... 44 5.4 5.5 Polticas de Segurana .................................................................................. 46 Procedimentos Bsicos de Segurana .......................................................... 48

ANLISE DE RESULTADOS ........................................................................ 50

Consideraes Finais ............................................................................................... 51 Referncias .............................................................................................................. 52

12

INTRODUO As pessoas e corporaes possuem investimentos e preocupaes relacionadas suas estruturas de Segurana da Informao, barreiras de firewalls, mecanismos de deteco e preveno de intrusos, antivrus e outras ferramentas so implementadas e monitoradas, essenciais e existem planejamentos e gastos financeiros considerveis, porm, por vezes, no so suficientes para evitarem riscos e ameaas eminentes prtica conhecida como Engenharia Social, em sua definio segundo Mitnick & Simon (2003, p. vi), a engenharia social uma prtica utilizada para obter vantagens, persuadir a vtima e obter informaes como segue:

A engenharia social usa a influncia e a persuaso para enganar as pessoas e convenc-las de que o engenheiro social algum que na verdade ele no , ou pela manipulao. Como resultado, o engenheiro social pode aproveitar-se das pessoas para obter as informaes com ou sem o uso da tecnologia.

Esse trabalho tem como objetivo introduzir a forma que os engenheiros sociais utilizam para iludir usurios e obter acesso a informaes confidenciais de carter restritivo, informaes que podem ser violadas e consequentemente prejudicar tanto pessoas como as empresas. E juntamente com os principais mtodos de engenharia social, apresentar com mais detalhes, tcnicas utilizadas por esta prtica como, por exemplo, o phishing que empregado para a obteno de dados como senhas e logins. E, com o esclarecimento terico, enfatizar que o fator humano deve ser um elemento a ser considerado nas polticas de segurana. Desenvolver em laboratrio com a utilizao de mquinas virtuais, alguns cenrios onde possvel encontrar o uso destas tcnicas e, a partir de ferramentas, realizar sua demonstrao. Por exemplo, em um simples acesso a contas de e-mail ou outras mdias sociais, ao imaginar que estaria enviando suas credenciais para o destino correto na realidade os dados de acesso so interceptados e sequestrados. Aps anlise laboratorial do ambiente vulnervel, realizar a conscientizao e propor procedimentos bsicos para mitigar os riscos que envolvem a engenharia social. Justifica-se o trabalho pelo conhecimento de informaes importantes e relevantes que trafegam e so transmitidas via Internet, pelas redes sociais e

13

existem riscos de engenharia social ligados ao uso da tecnologia que precisam ser analisados e discutidos com a anlise da Segurana da Informao. O trabalho contribui para o esclarecimento de uma prtica, que tem por funo obter informaes confidenciais, e ento propor formas de proteo e conscientizao para poder minimizar os riscos com estes tipos de ataque em mdias sociais. Por ter se tornado popular e presente na sociedade, as mdias sociais so um ambiente atrativo onde falhas e vulnerabilidades, tanto considerando o fator humano quanto fatores tcnicos, so encontradas e exploradas, por indivduos interessados no roubo e desvio de informaes. Abordando um tema atual e de carter prtico vivenciado diariamente, onde empresas, sistemas computacionais e pessoas esto expostos a este cenrio de risco, pois a prtica da engenharia social condiz com o uso de tcnicas informatizadas e no informatizadas. Metodologia adotada por pesquisa descritiva onde so realizados estudos, anlise, registros e interpretaes de fatos. Com fundamentao terica realizada criteriosamente com base em livros, trabalhos acadmicos, artigos e base de dados na Internet. esperado com este trabalho, que alguns dos mtodos de engenharia social sejam esclarecidos ao leitor. O mais importante que ocorra a difuso desse conhecimento para que se possa lidar com situaes cotidianas e poder minimizar a exposio a este risco.

14

BASE TERICA Foi necessria a realizao de uma reviso da literatura para o

esclarecimento de alguns conceitos complementares vivenciados na Segurana da Informao com base em especialistas da rea, como Smola (2003), e na Associao Brasileira de Normas Tcnicas (ABNT, 2006) para aplicao dos mesmos dentro do contexto de segurana aplicada a mdias sociais. 1.1 Ameaa Causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organizao, de acordo com ISO/IEC 13335-1:2004. A ameaa proveniente de situaes como: Problemas ambientais: enchentes, umidades, queda de energia, gases. Comportamento: paralisao de funcionrios, invaso, fraudes,

espionagem virtual, funcionrio desmotivado. Eletrnica: falha de software, falha de hardware, falha nos

equipamentos de rede, Procedimentos: manipulao errada de arquivos, violao de

confidencialidade, falha na comunicao de procedimentos com o usurio. Ameaas so aes/eventos que podem comprometer a confidencialidade, a integridade e/ou a disponibilidade das informaes, causando incidentes de segurana e, por conseguinte, danos aos negcios da empresa. Moreira (2001) 1.2 Autenticidade A autenticidade a garantia de legitimidade da informao, identificado atravs do processo de autenticao, onde uma entidade (informao, mquina, usurios) caracteriza a sua propriedade Smola (2003). De acordo com Tanenbaum (2003), a autenticidade de uma informao validada atravs de assinaturas de seu proprietrio, verificando sua identidade, o no repdio, acrescenta tambm que a autenticao a tcnica atravs da qual um processo confirma que seu parceiro na comunicao quem deve ser e no um impostor.

15

1.3 Confidencialidade De acordo com a norma ISO/IEC 13335-1:2004, a confidencialidade a propriedade de que a informao no esteja disponvel ou revelada a indivduos, entidades ou processos no autorizados. Um cenrio de confidencialidade pode ser visualizado perante a transmisso de arquivos compactados de extenso (.rar) com senha pela rede mantendo assim a confidencialidade da informao contida nele. 1.4 Informao A informao um ativo que, como qualquer outro ativo importante, essencial para os negcios de uma organizao e consequentemente necessita ser adequadamente protegida, ABNT NBR ISO/IEC 27002:2006. 1.5 No Repdio De acordo com Tanenbaum (2003) o no repdio a garantia que a autoria das informaes no podem ser rejeitadas pelo autor aps o envio das mesmas, podendo-se obter confiabilidade da origem das informaes transmitidas. 1.6 Segurana da Informao Descrita na ABNT NBR ISO/IEC 27002:2006. Segurana da Informao a preservao da confidencialidade, integridade e disponibilidade da informao, adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, no repdio e confiabilidade, podem tambm estar envolvidas. Como consta na definio da ABNT NBR ISO/IEC 27002:2006, a segurana da informao protege a informao de diversos tipos de ameaas para garantir a continuidade dos negcios, minimizar os danos dos negcios e maximizar o retorno dos investimentos e as oportunidades de negcio. De modo mais amplo, Smola (2003) define como um termo ambguo, assumindo duas interpretaes. A primeira tendo a segurana como um meio, que garante a confidencialidade, integridade e disponibilidade da informao, a conformidade com a legislao vigente e continuidade de negcios na ocorrncia de incidentes. E a segunda como um fim, onde a segurana alcanada por meio de prticas e polticas.

16

1.7 Vulnerabilidade Smola (2003), afirma que a vulnerabilidade a fragilidade presente ou associada a ativos que manipulam e/ou processam informaes que, ao serem exploradas por ameaas, permite a ocorrncia de um incidente de segurana, afetando negativamente um ou mais princpios da segurana da informao: confidencialidade, integridade e disponibilidade. As vulnerabilidades por si s no provocam incidentes, pois so elementos passivos, necessitando para tanto de um agente causador ou condio favorvel, que so as ameaas.

17

MDIAS SOCIAIS A idia de mdias sociais dada pela possibilidade de compartilhamento de

pensamentos, contedo e opinies e envolvem textos, imagens, vdeos e udios onde os usurios ou membros, sendo pessoas e organizaes possam interagir instantaneamente entre si e a nvel mundial, Segundo Fontoura (2008), em publicao no Ministrio da Cultura, conforme explicado abaixo:
Mdias Sociais so tecnologias e prticas online, usadas por pessoas (isso inclui as empresas) para disseminar contedo, provocando o compartilhamento de opinies, idias, experincias e perspectivas (e eis o seu 1 grande diferencial). Seus diversos formatos, atualmente, podem englobar textos, imagens, udio, e vdeo. So web sites que usam tecnologias como blogs, mensageiros, podcasts, wikis, videologs, ou mashups (aplicaes que combinam contedo de mltiplas fontes para criar uma nova aplicao), permitindo que seus usurios possam interagir instantaneamente entre si e com o restante do mundo.

O termo mdias sociais para Moresco & Ikeno (2011, p. 3) designa-se de forma geral, os canais de difuso e compartilhamento de comunicao digital e de interao entre organizao e pblico. As mdias sociais existem pela necessidade humana de se obter informaes de diversos tipos, para a divulgao de novos produtos e servios, comunicao e difuso de idias e conhecimentos para que novas opinies sejam formuladas e formadas, que antigas opinies sejam revisadas, para o compartilhamento de informaes e contedo pessoal, em suma as mdias sociais fazem a interao entre grupos sociais, estabelecidos nas plataformas online. 2.1 Crescimento e Popularizao Quando a atual Internet ainda era ARPANET, em 1971, foi criado o e-mail com o propsito de trocar mensagens simples entre os usurios da ARPANET segundo artigo publicado no site Tec Mundo (2009). J nos anos 70, dado o nascimento do Usenet, frum de texto e mensagens agrupados por assuntos, em 1980 o Internet Relay Chat (IRC), usado como bate-papo, de acordo com artigo da RGV Blog (2012), at hoje o IRC continua difundido e utilizado no cenrio da cultura hacker.

18

O Blogger nasceu em 1999, sendo um sistema de blog que uma espcie de dirio virtual adotado para comunicao de empresas e pessoas. Conforme Stazauskas (2011), em 2002 surgiu o Last.fm, uma rede social voltada para msica. No artigo publicado pela RGV Blog (2012), no ano seguinte 2003, surgem duas notrias redes sociais, o LinkedIn, voltada para contatos profissionais e o MySpace, com a novidade de realizar a customizao dos perfis de cada usurio. E seguindo tendncias das prprias mdias sociais, com o tempo por no saber acompanhar as tendncias de outras redes sociais, caiu em desuso. Em 2004, temos o surgimento de duas redes sociais muito conhecidas dos brasileiros, o Orkut e o Facebook. Nesta mesma poca surgiu o Flickr, uma rede social que permite o compartilhamento de fotos, desenhos e ilustraes. J em 2005, o grande destaque foi o surgimento do Youtube. A moda do microblog veio em 2006, como dito por Stazauskas (2011), com o Twitter e as mensagens de 140 caracteres. Com maiores taxas de transmisso de dados, diferentes tipos de mdias se tornaram sociais desde msicas e vdeos, produtos at indicaes profissionais e documentos secretos de governos e empresas privadas so informaes importantes que so compartilhadas pela rede. E recentemente, mdias sociais de nichos foram lanadas como em 2010 com a rede social recm-adquirida pelo Facebook, Instagram relacionada ao

compartilhamento de fotos com efeito de filtros em smarthphones. O processo de amadurecimento das mdias e redes sociais se deu atravs das ltimas dcadas, desde o surgimento do simples e-mail at sofisticadas contas de integrao e convergncia de servios em nuvem. Os recursos oferecidos pela Internet que envolvem mdias sociais tendem a crescer pelo retrospecto de sites oferecidos ao decorrer dos ltimos anos. A Figura 1 ilustra o ano de origem e o logo de algumas mdias sociais:

19

Figura 1 Ano de origem e logo de algumas mdias sociais

Fonte: Imagem nossa. 2.2 Dispositivos Mveis Segundo o Centro de Estudos, Respostas, e Tratamento de Incidentes de Segurana no Brasil (2012), a capacidade de executar muitas aes iguais a de um computador pessoal, como a navegao web, acesso a e-mail e redes sociais, esto tornando dispositivos mveis como smartphones e tablets cada vez mais populares. O Cert.br (2012), ainda alerta que a semelhana de um dispositivo mvel com um computador pessoal infelizmente no apenas com as facilidades apresentadas anteriormente, o dispositivo mvel tambm est exposto a riscos e pode ser utilizado para realizar atividades maliciosas. O dispositivo mvel possui uma grande e atrativa quantidade de informaes pessoais, como agenda de contatos, calendrio de eventos e rotina, fotos, vdeos e dados de acesso que ficam armazenados em cache ou nos cookies dos browsers tambm em dispositivos mveis com o objetivo de facilitar o uso. Por conta destes atrativos, algum que possui certa confiana pode, por exemplo, pedir emprestado seu smartphone ou tablet com algum pretexto aparentemente inocente e ento roubar todos os dados para usar contra a pessoa ou contra a organizao. Poucas

20

so as pessoas que se preocupam em criptografar, aplicar senhas e proteger o contedo de seus dispositivos mveis e isso tambm inclui entre outras coisas, fotos pessoais e os acessos aos seus e-mails e credenciais de mdias sociais. 2.3 Segurana Para prevenir riscos de informaes pessoais e confidenciais serem interceptados e extraviados dos sistemas, as mdias sociais atualmente j iniciaram suas precaues, com o uso do HyperText Transfer Protocol Secure (HTTPS), obrigatoriedade de senhas fortes, recuperao de senhas por meios mais seguros como mensagens de texto, Short Message Service (SMS) entre outras tcnicas de criptografia e autenticao segura. So avanos notrios comparados a precria segurana nos meados dos anos 70. O uso, de acordo com Tanenbaum (2003), do pacote de segurana, Secure Sockets Layer (SSL) permite uma conexo segura entre dois sockets, incluindo, negociao de parmetros entre cliente e servidor, autenticao mtua de cliente e servidor, comunicao secreta e proteo da integridade dos dados, quando o Hyper Text Transfer Protocol (HTTP) usado sobre o SSL, ele se denomina HTTPS. Segundo Tanenbaum (2003), o SSL admite vrios algoritmos de criptografia, a fim de manter a integridade das mensagens trafegadas, portanto, ao acessar uma pgina HTTPS, os dados inseridos, como por exemplo, login e senha, sero criptografados, e assim sero preservados em uma tentativa de captura. Outra precauo adotada pelas organizaes realizar a avaliao de senhas no momento do cadastro para evitar senhas muito simples, categorizando-as em fraca, mdia e forte. E at em alguns casos, no permitir o cadastro de senhas categorizadas como fraca, o usurio ento deve cadastrar uma senha forte, mesclando letras maisculas e minsculas, nmeros e caracteres especiais. Em casos de recuperao de senhas, antigamente os mtodos eram voltados a uso de e-mail secundrio sendo, por enviar a prpria senha via e-mail ou ento enviar um link para reset e redefinio de senha, mas em alguns casos o engenheiro social pode ter o acesso ao e-mail da vtima e assim nada seria resolvido. Porm, como j dito existem outros mtodos como a redefinio de senha por envio de mensagens de texto SMS, afinal, o telefone mvel sempre, ou quase, estar por perto e tambm por voz utilizando o telefone.

21

De acordo com site oficial Google (2012), em seu servio de e-mail, o Gmail, disponibiliza ao usurio a opo de ativar a autenticao em duas etapas, que alm do login e senha, o nmero de celular do usurio tambm solicitado, sendo assim, algum que roubar a senha no poder se autenticar considerando que o mesmo no possui o nmero de celular da vtima. J o Facebook (2012), possui mais de uma ferramenta de segurana disponvel ao usurio, entre elas, possvel que o usurio ative um cdigo de segurana sempre que um computador ou dispositivo mvel tentar acessar a conta do usurio, este cdigo de segurana ser enviado para o nmero de celular fornecido e ento, um Personal Identification Number (PIN) de seis caracteres enviado ao nmero de celular cadastrado, no prximo passo o usurio entrar com o nmero do PIN e um nome para o dispositivo, este ltimo procedimento acontecer a cada acesso de um dispositivo no reconhecido. Alm disso, e de acordo ainda com o prprio site oficial Facebook (2012), tambm possvel apenas ativar que cada dispositivo no reconhecido insira a ele prprio um nome, o usurio ento capaz de monitorar quantos e quais dispositivos esto sendo utilizados e finalizar uma sesso desconhecida. Com o Twitter (2012), o servio de autenticao a cada login ou a monitorao de dispositivos relacionados ainda no est disponvel, porm, o usurio pode cadastrar o nmero de celular e caso no se lembre da senha ou exista a necessidade de redefinir a senha o nmero do telefone mvel ser solicitado. Exigindo assim uma informao consideravelmente pessoal a ser respondida assim como as respostas secretas que geralmente so cadastradas no momento de criao da conta. Tudo de acordo e consulta aos prprios sites oficiais. No basta apenas ter todos os cuidados em manter aplicativos, sistemas operacionais e antivrus atualizados, deve-se estar atento a postagens e mensagens enviadas assim como os hyperlinks que as mesmas trazem. 2.3.1 Casos de Ataque As mdias sociais so comum alvo de ataques dos engenheiros sociais casos de phishing scan, espionagem e at outros sofisticados ataques diretos visando obteno de senhas e acessos que possam levar a descoberta de informaes antes sigilosas.

22

Conforme o IDG Now (2011), a morte de Osama Bin Laden foi usada como isca para um ataque de engenharia social; com e-mails enviados que diziam conter em hyperlinks imagens e vdeos com detalhes da morte do mesmo, mas na realidade os links serviam para download de malware. Em geral extremamente comum o uso de notcias populares ou pessoas famosas na tentativa de enganar o usurio final tentando mascarar alguma inteno maliciosa por trs, recentemente a empresa estadunidense de Segurana da Informao McAfee (2012), pelo sexto ano consecutivo publicou uma pesquisa em que revela as celebridades mais perigosas na Internet, atriz britnica Emma Watson protagonista de diversos filmes de Hollywood ocupa o primeiro lugar sendo lder das ameaas online, ainda segundo a pesquisa a tendncia atual so de mulheres latinas conforme o ranking da Figura 2: Figura 2 Celebridades mais perigosas

Fonte: McAfee, Setembro/2012.

Os constantes vazamentos de milhares de senhas tambm revelam o quanto o cenrio vulnervel em Junho 2012, o prprio diretor do LinkedIn, Vicente Silveira comunicou no blog oficial LinkedIn (2012) que houve um caso de violao de dados

23

de sua empresa, comprometendo as senhas de alguns usurios, o LinkedIn tratou de se desculpar pelo inconveniente e comunicar aos usurios que tiveram sua senha comprometida o procedimento a ser realizado. Segundo o site Olhar Digital em matria onde o responsvel pelo laboratrio de pesquisa da empresa de antivrus AVG, Krcma (2012), d um alerta diretamente para o Facebook e sites semelhantes, pois um ambiente propcio para as pragas, j que os engenheiros sociais usam da confiana dos usurios, espalhando hyperlinks maliciosos nas pginas de amigos da pessoa invadida. Dificilmente um internauta desconfia de um link enviado por um amigo e por isso a rede social o local para isso. Alm dessas ameaas de roubo ou contaminao ainda existem os perigos e problemas relacionada prtica de engenharia social ligada espionagem, de acordo com o jornal News (2012), citando fontes do governo federal da Austrlia em relatrio feito sobre as mdias scias e defesa, os soldados australianos esto recebendo preparo e maiores informaes sobre os perigos das mdias sociais ainda de acordo com o jornal membros de faces ligadas ao Talib tm usado perfis de mulheres no Facebook para coletar informaes de soldados, como a sua localizao, algo que tem se tornado comum quando se envia alguma publicao no Facebook utilizando-se de geo-tagging, ou seja, a prpria localizao.

24

ENGENHARIA SOCIAL Como diz Mitnick & Simon (2003), as corporaes podem ter em sua

arquitetura um escopo voltado e direcionado a Segurana da Informao, incluindo altos investimentos nas melhores tecnologias na rea como autenticao biomtrica, criptografia na transmisso e armazenamento de dados, sistemas operacionais seguros, antivrus, firewalls, polticas de senhas fortes alm de outros mecanismos de defesa; e mesmo assim ainda sofrerem ataques e perdas em um ponto bem crtico, mas, que por vezes, no tem os devidos cuidados e no so tratados como pontos vulnerveis e passam despercebidos nas auditorias de segurana interna, necessrio que exista uma preocupao e que anteceda a invaso. Em agosto de 2012, a Apple Inc. suspendeu o reset de senha das suas contas de identificao de usurio AppleID, por telefone em ligaes que eram efetuadas diretamente para a empresa; atitude que foi tomada aps um ataque de engenharia social conjunto empresa Amazon que possibilitou a invaso do servio iCloud, da Apple, que pertencia ao jornalista de tecnologia Mat Honan em matria publicada pelo Wired Gadged Lab (2012). Visualizando o site pessoal do jornalista, o engenheiro social comeou o ataque com a obteno do endereo de e-mail do mesmo. Na pgina de recuperao de senha do servio Gmail, o atacante conseguiu o e-mail secundrio do jornalista o do servio Apple, Me.com, que d acesso ao iCloud uma plataforma de servios em nuvem. Aps o ataque, o prprio jornalista explicou em seu site Emptyage (2012), que o servio de suporte AppleCare por telefone basicamente necessitava de trs informaes para autenticao que se resumem no que o usurio sabe, como email, endereo de cobrana e quatro ltimos dgitos do carto de crdito. O e-mail foi obtido atravs do Gmail o endereo de cobrana atravs da ferramenta de whois que concede informaes como nome do responsvel, telefone e endereo de domnios que so registrados como o .com.br, .com etc. J para burlar os dgitos do carto de crdito foi necessria uma outra invaso de engenharia social dessa vez aplicada Amazon. Em outra ligao, o atacante se fazendo passar pelo jornalista solicitou ao atendente da Amazon a realizar a insero de um novo nmero de carto de crdito no sistema, aps em outra ligao o engenheiro social relatou que tinha perdido a senha e ao informar o nmero do carto falso, que o mesmo registrou anteriormente

25

e conseguiu a autenticao e o acesso. As formas de autenticao da Amazon tambm se mostraram bem ineficientes ao passo de que foi possvel inserir um nmero de carto falso apresentando apenas informaes como nome, e-mail, endereo de cobrana e a confiana dos atendentes no outro lado da linha. Obtendo informaes consideradas muitas vezes por seus donos como irrelevantes e ludibriando atendentes e sistemas de proteo falhos, o engenheiro social informando os dados conseguidos e forjados obteve uma senha de acesso temporria com a AppleCare e entrando na conta iCloud do jornalista o engenheiro social apoderou-se do acesso de considervel parte da vida digital da sua vtima, isso inclui sua conta do Gmail, Twitter, iCloud e ordenou remotamente que apagassem todos os dados dos dispositivos do jornalista como o iPhone, iPad e MacBook, de acordo tambm com o site pessoal do jornalista Emptyage (2012). Nesse caso, o atacante utilizou de tcnicas no informatizadas para efetuar suas invases, mas que se manifestaram atravs de danos informatizados e tecnolgicos. As corporaes envolvidas j esto revendo e tomando devidas providncias para melhorarem os processos e fluxos internos como foi previamente adiantado. 3.1 O Fator Humano Pessoas esto adeptas a se encontrarem e se comunicarem com outras pessoas. Isso normal e social, eventos como estes, acontecem todos os dias em nosso planeta contemporneo hbrido, tanto na vida digital quanto na real e por vezes possvel se deparar com pessoas aparentemente comuns que so simpticas, prestativas, educadas e bem articuladas que conseguem controlar e influenciar a conversa sem dispararem alertas e avisos, o perfil do engenheiro social difcil de traar e depende do comportamento social de cada um, tanto para identificar quem pode ser um engenheiro social e quem pode ser uma vtima potencial. Segundo Mitnick & Simon (2003, p. 3) "No final, os ataques de engenharia social podem ter sucesso quando as pessoas so estpidas ou, em geral, apenas desconhecem as boas prticas de segurana." estendendo a viso para empresas e corporaes o mesmo ainda diz:

26

(...) muitos profissionais da tecnologia da informao (TI) conservam a idia errada de que tornaram suas empresas imunes ao ataque porque usaram produtos de segurana padro. Todos que acham que os produtos de segurana esto fadados a sofrer da iluso da segurana.

As pessoas em geral acreditam nas outras pessoas e depositam certa confiana imediata, dependendo de algumas variveis como roupas e aparncia, modo de falar, vocabulrio, e tambm quando se tratam de pessoas de influncia com certo respaldo no caso, inclusive frequentemente, os engenheiros sociais se fazem passar por outras pessoas e assim elevam automaticamente suas prprias credenciais. Conhecido por ser o elo mais fraco da segurana o fator humano de acordo com Smola (2003) "A maior vulnerabilidade em segurana da informao o ser humano, pois representa o elo mais fraco do nvel de proteo da informao, tornando-se a maior ameaa existente." Isso porque muitas vezes faltam treinamentos e as pessoas se tornam ingnuas em assuntos relacionados segurana da informao, muitas vezes no aplicam a poltica de segurana adotada na empresa e nos sites de mdias sociais e permitem que brechas fatalmente sejam exploradas comprometendo a integridade e confidencialidade das informaes em conjunto com seus sistemas. 3.2 Formas de Ataque As formas de ataque relacionadas engenharia social so diversas, tanto por formas tecnolgicas e informatizadas como no informatizadas, este subcaptulo trata de algumas formas de ataque empregado na prtica da engenharia social aplicada tambm nas mdias sociais. 3.2.1 Imposturas e Disfarces Os engenheiros sociais conhecem o funcionamento da sociedade em que vivem, sabem dos desejos, medos, cobias e anseios da populao e usam esse conhecimento ao seu favor, muitas vezes se utilizando do blefe e do falso poder para realizar a imposio de suas imagens e conseguir enganar e forjar situaes conforme Mitnick & Simon (2003). As tcnicas de engenharia social por vezes se mesclam com tcnicas de espionagem, uma delas a da utilizao de disfarces para iludir suas vtimas

27

podendo ser um terno de alto padro ou uniformes de funcionrios de servios de limpeza, eltrica ou at disfarces tecnolgicos utilizados por sites clone. Como por exemplo, o mascaramento dos endereos, Uniform Resource Locator (URL) que consiste em visualmente iludir o usurio como, por exemplo, o uso de encurtadores de URL, transformando sitefalso.hostfree.com em algo mais amigvel como choc.la/abc, que pode ser distribudo em um servio de microblogging normalmente. Segundo o Cert.br (2012), tambm comum o uso de endereos parecidos para confundir e parecer autntico, alterando www.twitter.com (pgina original) para www.twiiter.com (endereo falso), importante estar atento a detalhes desse tipo ainda mais quando os hyperlinks so maiores, semelhante a esse relacionado na Figura 3 a um e-mail de divulgao de um vdeo que foi postado no Facebook. Figura 3 Tentativa de mscara na URL

Fonte: Print do sistema. Nada impede que a URL desse tamanho na verdade redirecione para outra menor contendo apenas uma pgina de acesso falsa para captura de credenciais. 3.2.2 Pesquisa de Informaes Os engenheiros sociais pesquisam informaes na rede pelo fato dos usurios comuns divulgarem muitas informaes relevantes como a prpria localizao, nomes de pessoas prximas, melhores amigos, eventos e fotos. As pessoas esto propcias a contatos suspeitos por sentirem uma falsa segurana principalmente quando envolvem amigos reais como alerta Krcma (2012). Muitas vezes um atacante pode usar das informaes fornecidas nas redes sociais para montar um dicionrio de possveis senhas, por exemplo, utilizando combinaes de nomes de parentes, data de aniversrio, artistas, livros preferidos entre outros, e tambm obter bastante informaes de cunho pessoal que talvez no precisariam estar disponveis, por vezes, publicamente nas redes sociais como por exemplo o nome e a localizao do trabalho ou instituio de ensino que o usurio frequenta. Aplicado a informaes que podem estar disponveis em perfis de empresas, por exemplo, Mitnick & Simon (2003, p.13) diz que "Grande parte das informaes aparentemente incuas de posse de uma empresa cobiada por um atacante da

28

engenharia social porque ela pode ter um papel vital em seu esforo de se revestir de credibilidade. A partir das informaes obtidas fica mais fcil para o engenheiro social se aproximar da vtima e forjar cenrios e situaes que possam interessar e enganar sem levantar suspeitas e alertas. 3.2.3 O Spam e o Hoax Em suma, significa e-mails no solicitados e de contedo falso de boatos, existem h muito tempo na rede de computadores, alguns dos vrus mais famosos j registrados foram disseminados dessa forma como, por exemplo, o mundialmente famoso vrus I Love You transmitido por e-mail o mesmo continha engenharia social em seu apelo emocional embutido no contedo fazendo com que o leitor clicasse no anexo e fizesse o download do malware, ou simplesmente usasse um software de leitor de e-mails que automatizava o processo de cpia do anexo, de acordo com relatrio de ameaas da Internet da empresa de segurana da informao Commtouch (2012). Existem muitos casos que envolvem spam e hoax de acordo com o relatrio da Commtouch (2012), para o primeiro trimestre de 2012 existe uma mdia de 94 bilhes de e-mails de spam que foram enviados por dia, como j mencionado, grande parte das notcias so usadas pelos engenheiros sociais para tentar enganar suas vtimas e carem em seus golpes, alm dos casos j citados anteriormente importante mencionar que nem sempre os spams de contedo malicioso trazem algum arquivo em si, existem tambm hyperlinks de redirecionamento que podem levar a algum servidor falso, hospedeiro de malwares ou de phishing. A Figura 4 mostra exemplos de spam ligados a mdias sociais enviados em 2012, tcnicas avanadas de mascaramento de endereo de e-mail ou spoofing e-mail em que, por exemplo, a vtima recebe e-mails com o endereo de remetente supostamente autntico.

29

Figura 4 Exemplos spam

Fonte: Commtouch, Abril/2012. 3.2.4 Phishing De acordo com a IBM (2007), os ataques de phishing existem desde 1996, e consiste em uma prtica de engenharia social em que na maioria dos casos o atacante persuade a vtima intencionalmente para realizar uma srie de aes para poder obter acesso a informaes confidenciais. Ainda de acordo com o artigo, canais de comunicao como as mdias sociais, mensageiros instantneos, e-mails de spam, mensagens em redes sociais podem ser vetores de phishing assim tambm como banners de propaganda. Um ataque de phishing consiste em alguns mtodos para enganar o usurio e prover acesso ao servidor falso que hospeda uma pgina web clone, falsa, com campos de insero de login e senha que redirecionam os dados inseridos ao atacante ou apenas em um ataque de sniffing que consiste em visualizaes de trfego de rede e interceptao de pacotes de dados. De acordo com a IBM (2007), man-in-the-middle (MITM), um dos mtodos de phishing de maior sucesso em casos de ataque, onde o atacante intercepta os

30

pacotes da comunicao entre o cliente e o servidor. Como citado no artigo IBM (2007), um ataque MITM eficiente deve usar algum servidor de proxy, ou seja um servidor no meio repassando e redirecionando o trfego, seja atravs de configuraes diretas no browser ou tcnicas de envenenamento de cache Domain Name System (DNS), em original DNS Cache Poisoning, que utilizada para interromper o trfego de encaminhamento de pacotes normal, pela injeo de endereos IP para nomes de domnio falsos. O phishing pode ser categorizado como fraude eletrnica a partir da tentativa de furto de dados como, por exemplo, senhas de acesso em sites clone, uma tcnica comum na Internet.

31

AMBIENTE VULNERVEL Uma anlise de ambiente vulnervel demonstra na prtica como funcionam os

ataques relacionados anteriormente, reconhecendo as vulnerabilidades existentes, tais como os problemas de segurana e propor respectivas solues. 4.1 Local Area Network Considerando uma Local Area Network (LAN), um cenrio de comunicao com conectividade com a Internet, pode-se analisar algumas vulnerabilidades possveis de serem exploradas por algum engenheiro social localizado dentro da mesma rede local. A Figura 5 ilustra uma rede local comum que retrata o laboratrio de ambiente vulnervel. Figura 5 Rede local

Fonte: Imagem Nossa.

32

Recursos utilizados no laboratrio: A vtima: desktop com sistema operacional Microsoft Windows 7; O atacante: notebook com sistema operacional Microsoft Windows 7; No notebook, mquina virtual VMware Workstation 9 rodando um

servidor web no sistema operacional GNU/Linux BackTrack 5 r3; Rede local; Roteador NetGear WGR614L; Softwares: SET 3.6, Can & Abel v4.9.43, AVG Anti-Virus Free, Avira

2011 e ESET Smart Security 5.0. 4.2 Social Engineering Toolkit (SET) Rodando em um ambiente de mquina virtual com configurao de rede no modo bridge. A distribuio GNU/Linux BackTrack 5 disponvel a partir do seu site oficial BackTrack Linux (2012), e de acordo com o mesmo, um sistema operacional desenvolvido para testes de penetrao, padronizado com ferramentas avanadas que visam desde anlises de rede e vulnerabilidades, kits de exploits at softwares relacionados a prpria engenharia social. De acordo com Ali & Heriyanto (2011) do livro BackTrack 4, o SET, ou kit de ferramentas de engenharia social desenvolvido pela empresa de segurana da informao TrustedSec (2012). Nada mais do que um avanado software de auxlio em aplicao de tcnicas de engenharia social. Vamos focar na parte de vetores relacionados website, como o mtodo phishing onde possvel clonar alguma pgina na Internet e hospedar a mesma criando um servidor web. O mtodo phishing de ataque utilizado o Credential Harvester, ou colheita de credenciais de acordo com Offensive Security (2012), um ataque disponvel a partir do SET dentro do mdulo de ataques de vetores web. De acordo com o prprio software, o mtodo cria um clone da pgina de entrar do website desejado, assim como os campos de login e senha, dessa forma os dados da vtima so armazenados no servidor falso do atacante. Com o uso do kit de ferramentas de engenharia social o SET, possvel realizar o clone de algum site na Internet, necessitando indicar o endereo do site alvo, realizar a cpia do mesmo e hospedar em um servidor prprio rodando na porta padro 80 (HTTP). No caso clone do site Facebook, a cpia da pgina de

33

acesso, entrar ou login foi realizada com sucesso e se encontra disponvel na porta padro 80 conforme Figura 6: Figura 6 Tela do SET

Fonte: Print do sistema. No momento de configurao, tambm foi configurado o endereo IP dos pacotes de volta que so direcionados para o mesmo endereo IP do servidor, ou seja, o prprio endereo IP da mquina virtual. Com o servidor de hospedagem do phishing configurado e pronto, pode-se acessar o mesmo de dentro de nossa rede local utilizando o endereo http://192.168.1.7. O prximo passo usar algum mtodo de ataque MITM em nossa rede local (LAN). 4.3 ARP Poison O Address Resolution Protocol (ARP), ou protocolo de resoluo de endereo de acordo com Tanenbaum (2003, p. 482) "O ARP resolve o problema de encontrar um endereo Ethernet que corresponda a determinado endereo IP. No laboratrio como tcnica man-in-the-middle se torna necessrio o mtodo ARP Poison, ou envenenamento de endereos cache ARP. De acordo com artigo publicado no site Viva o Linux (2009), a definio de APR-Poisoning.

34

ARP-Poisoning ou ARP Spoofing um tipo de ataque no qual uma falsa resposta ARP enviada uma requisio ARP original. Enviando uma resposta falsa, o roteador pode ser convencido a enviar dados destinados ao computador 1 para o computador 2. Se o envenenamento ocorre, o computador 1 no tem idia do redirecionamento das informaes. A atualizao do cache do computador alvo (computador 1) com uma entrada falsa chamado de Poisoning (envenenamento).

Os ataques de envenenamento ARP consistem em alterar a tabela ARP ou cache ARP ao enviar pacotes a algum host da rede e passar ao computador 1 que o IP do roteador tem o MAC Address do computador 2, ou seja, associar endereo IP na vtima ao endereo MAC da placa de rede do atacante. No caso da rede local, o processo de envenenamento deve ser realizado no endereo do default gateway do seguimento de rede em conjunto ao computador vtima. O Can uma ferramenta robusta para Microsoft Windows, assim como o SET traz uma grande quantidade de mdulos, um deles o de ARP que permite realizar ataques de envenenamento de cache ARP e ARP-DNS para mascarar o endereo IP. Aps buscar pelos endereos MACs conectados no mesmo seguimento de rede possvel configurar um sequestro de trfego IP do host selecionado, conforme figura 7: Figura 7 Tela Can & Abel

Fonte: Print do sistema.

35

Em conjunto com o ataque ARP Poisoning pode-se mascarar o endereo IP com o uso do DNS Spoofing, conforme Figura 8, que ilustra tentativas de resoluo de nome em uma rede comprometida. Figura 8 ARP - DNS

Fonte: Imagem Nossa O ataque conhecido como DNS Spoofing realiza o mascaramento de uma requisio DNS legtima e redirecionando para o IP mascarado conforme descrio aplicada da figura 8: 1 Vtima faz uma requisio DNS. 2 Recebe resposta de DNS falsa da mquina do atacante. 3 A comunicao realizada com o servidor de phishing.

O protocolo DNS de acordo com Tanenbaum (2003, p. 617) " usado principalmente para mapear nomes de hosts e destinos de mensagens de correio eletrnico em endereos IP" ento sendo um servio de resoluo de nomes em nmeros IP. Com o Can em estado de envenenamento ativo conforme ilustra a

36

Figura 9 e consulta na prpria mquina alvo utilizando o comando arp a, possvel observar que realmente o ARP Poisoning est ativo conforme Figura 9: Figura 9 Resultados do comando arp -a

Fonte: Print do sistema. A Figura 9, perspectiva da vtima, ao executar o comando arp com o parmetro a que revela as entradas ativas, obtm-se o endereo MAC do default gateway ligado ao IP 192.168.1.1 representado na parte em fundo preto, aps o ataque e a espera do cache ser envenenado, possvel verificar o ARP Poisoning em ao ao atribuir ao gateway o endereo MAC do host do atacante 192.168.1.5, visualizado na tela de fundo branco.

37

Nas configuraes de ARP-DNS no Can possvel cadastrar o nome da requisio DNS no caso facebook.com, www.facebook.com e o respectivo Spoofing IP, o endereo IP para o qual a vtima ser redirecionada ao tentar acessar algum domnio do site de mdia social conforme Figura 10: Figura 10 DNS Spoofing

Fonte: Print do sistema. Verificado tambm na mquina alvo a resposta do comando Ping aplicado ao domnio www.facebook.com antes e aps o envenenamento de cache ARP-DNS estar ativo, conforme Figura 11: Figura 11 Comando Ping

Fonte: Print do sistema.

38

No momento aps o envenenamento do cache na rede local mais especificamente a mquina alvo se encontra totalmente comprometida, ao tentar uma conexo com www.facebook.com, a partir do ataque de ARP Poison e DNS Spoofing o trfego redirecionado para o servidor de phishing criado com o SET na mquina virtual do atacante com endereo IP 192.168.1.7. A figura 12 mostra a pgina de login recebida aps a tentativa de conexo no endereo

www.facebook.com: Figura 12 Phishing ataque

Fonte: Print do sistema.

Muitas pessoas que acessam diariamente a Internet e as mdias sociais no esto preparadas para lidarem com esse tipo de situao, o conjunto de ataques realizados no necessitaram de nenhuma interao direta com a vtima. E as senhas digitadas foram capturadas e instantaneamente retransmitidas ao atacante conforme ilustra Figura 13:

39

Figura 13 Acesso registrado

Fonte: Print do sistema. O ataque foi bem sucedido e os dados de acesso foram interceptados aps o usurio no se adequar a formas de proteo que poderiam ter protegido a conexo e terem evitado o roubo de informaes. 4.4 Formas de Proteo Existem formas de proteo que evitam os ataques de phishing. As pessoas em geral se preocupam apenas com os softwares de antivrus se esquecendo de outro componente bsico de segurana, softwares relacionados proteo em rede como: o Firewall. No teste laboratorial realizado, softwares antivrus testados como o Avira 2011 e o AVG Anti-Virus Free no foram suficientes para detectar o ataque deixando o mesmo se realizar com sucesso, softwares de Firewall pessoal e solues que incorporem proteo rede, detectam o ataque emitindo alertas conforme Figura 14:

40

Figura 14 Alerta ESET

Fonte: Print do sistema. A figura 14 uma mensagem de alerta do ESET Smart Security da categoria de softwares de proteo contemporneo que envolve protees relacionadas a vrus locais e vulnerabilidades de rede que so tratados por mdulos de firewall. O alerta acionado avisando de inconformidades que esto ocorrendo na tentativa de alterao da tabela ou cache ARP. Alm do uso de ferramentas adequadas de proteo deve-se manter os browsers ou navegadores sempre atualizados, tomar ateno nos hyperlinks antes de serem clicados uma verificao bsica e essencial, os navegadores de Internet ou browsers, sempre revelam o endereo do hyperlink conforme exemplo da figura 12, onde o Windows Internet Explorer 9 mostra em forma de pop-up no canto inferior esquerdo o endereo real do boto Entrar. Assim tambm como deve ser feita a verificao da URL em si verificando a sua legitimidade. Tecnicamente a pesquisa realizada pelo comando arp a, conforme demonstrado na figura 9 uma verificao que pode ser feita e muito til na identificao de entradas da tabela ARP adulteradas. Assim como o comando Ping demonstrado anteriormente.

41

APLICANDO SEGURANA Aps anlise do ambiente vulnervel e de outras tcnicas de ataque se torna

necessrio aplicar formas de proteo que envolve desde procedimentos bsicos de segurana, criao de polticas de segurana assim como uso de ferramentas de proteo. A fim de garantir uma relativa segurana para as informaes. 5.1 Conscientizao e Preveno Em relao s empresas, as mdias sociais tambm devem ser motivos para se preocupar, pois ataques empresa podem comear nas mdias sociais, no conceito geral, mesmo com os maiores investimentos em tecnologia e treinamento de pessoal, uma corporao no est completamente segura em relao a ataques de engenharia social, como afirma Mitnick & Simon (2003, p. 3).

Uma empresa pode ter adquirido as melhores tecnologias de segurana que o dinheiro pode comprar, pode ter treinado seu pessoal to bem que eles trancam todos os segredos antes de ir embora e pode ter contratado guardas para o prdio na melhor empresa de segurana que existe. Mesmo assim essa empresa ainda estar vulnervel.

necessrio muito mais do que treinamento e uma poltica de segurana bem elaborada para cargos de alto nvel como de gerncia, assistncia pessoal da diretoria, assessores diretos, entre outros. A tendncia que funcionrios com cargos de confiana sejam um pouco mais cautelosos ao passar informaes para outras pessoas. Porm, nem sempre o engenheiro social busca informaes com estas pessoas, a menos que seja realmente necessrio. O engenheiro social pode atacar todos os setores da empresa, cada pessoa de cada setor est exposta e, portanto, deve receber as devidas instrues. Assim como Alves (2010), recomenda que Segurana da Informao seja uma prioridade na cultura corporativa, realizando treinamento aos funcionrios assim que os mesmos so admitidos, garantindo assim que, o funcionrio ao receber o acesso a um microcomputador tenha conscientizao adequada. Instrues e modos de agir necessitam ser repassados com frequncia constante Mitnick & Simon (2003), citam que o processo de reciclagem deve ser em torno de um ano pela grande variedade de novos mtodos, o ideal que o aprendizado seja adquirido e aplicado com treinamento contnuo e no, como

42

tradicionalmente, apenas uma palestra de apresentao da poltica de segurana da empresa. Ainda sobre o treinamento Mitnick & Simon (2003, p. 28), conscientiza sobre o pblico alvo.
O treinamento de segurana com relao poltica da empresa criada para proteger o ativo de informaes precisa ser aplicado a todos que trabalham na empresa, e no apenas ao empregado que tem acesso eletrnico ou fsico ao ativo de TI da empresa.

Ficar atento dever de todos e ter cincia de qu informaes podem parecer inofensivas, mas ao desenrolar de um ataque, podem ser muito valiosas para o engenheiro social que normalmente assume uma personalidade diferente para cada vtima. E por mais que a segurana seja de responsabilidade de todos, um estmulo para que ela continue a fazer parte da responsabilidade de todos, seria promovendo gratificaes aos funcionrios que se atentem nos aspectos de segurana. Existem algumas recomendaes iniciais feitas por Fonseca (2009), que tem como princpio, bases da Segurana da Informao, o no repdio uma delas. recomendado que fosse feita uma verificao da identidade de quem realiza alguma solicitao, independente de quem essa pessoa diz ser, j que o informante no caso, no reconhece o solicitante pela voz no caso de autenticaes via telefone. E mesmo aps a identificao do solicitante necessrio verificar se aquela informao est autorizada a ser transmitida ao solicitante. Em alguns casos, mesmo o solicitante sendo um funcionrio da empresa ou algum consultor, a informao confidencial para aquele nvel. 5.2 Senhas Fortes As senhas so utilizadas para autenticar um usurio a determinado acesso, portanto trata-se tambm de uma propriedade da Segurana da Informao, a autenticidade, a senha pessoal e intransfervel, no podendo ser informada a terceiros, conforme Cert.br (2012), no fascculo senhas Se uma outra pessoa souber a sua conta de usurio e tiver acesso sua senha, ela poder us-las para se passar por voc na Internet e realizar aes em seu nome. Na Internet, diversos cadastros so realizados, sejam eles para participar de uma rede social, para criar uma caixa de e-mail, para possuir uma conta em alguma

43

loja online, ou para acessar contedo de informaes diversas. E ao realizar um cadastro, so solicitadas algumas informaes pessoais como nome, nmero de telefone, endereo de e-mail, um nome de usurio para aquele determinado site e uma senha. Pela criao excessiva de cadastros, nome de usurios e logins, o Cert.br (2012), recomenda que no seja utilizado a mesma senha para diversas contas eletrnicas e que seja utilizado senhas diferentes para cada cadastro, claro que isso dificulta a memorizao mas preserva os dados pessoais j que um atacante malicioso pode obter a senha de algum servio, porm apenas dele. Recentemente em um estudo relacionado a hbitos de utilizao de senhas feita pela empresa de deteco de fraudes CSID (2012), foi constatado que 90% dos consumidores se sentem seguros com a sua senha atual e que 61% reutilizam a senha em mltiplos websites, o estudo diz que uma senha comprometida como a de um e-mail pode ser a mesma que a pessoa usa em outro site qualquer por isso altamente perigoso quando senhas vazam na Internet, elas podem estar associadas ao mesmo login em outro site semelhante. Sendo assim, senhas eletrnicas devem ser criadas com alguns parmetros, sendo levados em considerao de acordo tambm com as instrues do fascculo Cert.br (2012), pontos como: No utilizar dados pessoais como nome, sobrenome e datas; No utilizar dados como nome dos pais, filhos, data de aniversrio de pais, filhos e cnjuges, nome do animal de estimao; Utilizar senhas realmente longas com mais de 10 dgitos, mesclando maisculas e minsculas com nmeros e caracteres especiais como: %, #, &, @ etc. Em considerao a estes parmetros de senhas eletrnicas, atualmente, muitos sites no ato do cadastro realizam anlise de senhas classificando-as como fraca, mdia e forte, e com esta avaliao, indica ao usurio o quo vulnervel ele est ao optar pelo uso da senha classificada como fraca. E alguns sites at mesmo foram o usurio a utilizar, ao menos, letras e nmeros.

44

5.3

Mdias Sociais Os riscos dentro das mdias sociais so muitos, e o Cert.br (2012), alerta

sobre eles em um fascculo direcionado as redes sociais, com os cuidados que j foram descritos anteriormente relacionados ao vazamento de informao. O Cert.br (2012), recomenda o uso adequado das privacidades oferecidas pelos sites, possuir cuidado com o uso de recursos ligados a geo-tagging e ao realizar check-in em locais que sejam pblicos. Todos os usurios prezam por privacidade, portanto ao publicar fotos ou postagens de outros amigos tenha certeza que aquilo no est desrespeitando a privacidade deles. Ao constatar perfis falsos ou imagens abusivas denuncie aos responsveis pela rede social. Alm de informaes pessoais, o Cert.br (2012), tambm atenta ao uso das informaes profissionais. Prezar pela imagem profissional, prezar pelos trabalhos e contratos j realizados ou trabalhos e contratos futuros que a organizao patrocina. A preocupao com as informaes pessoais, informaes de carter profissional e informaes da organizao so realmente valiosas e merecem o devido valor e proteo, uma proteo ainda maior deve ser aplicada s crianas, afinal elas no possuem conhecimento suficiente para julgar contedo e nem mesmo pessoas com condutas maliciosas e muitas vezes as mesmas tem acesso livremente Internet. O Cert.br (2012), faz alertas, como por exemplo, respeitar os limites de idade estipulados pelos sites, instruir as crianas quanto a divulgao das informaes de hbitos familiares e de localizao, alm de acompanhar a navegao das crianas instruindo para um uso seguro. 5.3.1 Outras Formas de Proteo Existem muitas precaues a serem tomadas, como por exemplo, manter sempre o sistema operacional, navegador, antivrus e firewall tanto do computador pessoal, profissional e dispositivos mveis atualizados. Existem algumas verificaes bsicas que devem ser realizadas ao navegar pela Internet. As organizaes se previnem ao utilizar o modo HTTPS, porm em alguns navegadores e websites ao simplesmente digitar www.gmail.com no assumido o HTTPS como protocolo padro, para garantir que as informaes esto trafegando de modo criptografado, devido a este risco necessrio conferir sempre se o site digitado est com HTTPS caso ele fornea tal recurso, basta digitar a letra

45

S na frente do HTTP dentro da URL para uma navegao mais segura. Uma das formas de constatao de uso do HTTPS a garantia de existncia do certificado digital utilizado pela tecnologia. Informaes contidas no cone de cadeado conforme comparativo da Figura 15. Figura 15 HTTP - HTTPS

Fonte: Print do sistema. Dependendo do tempo empregado no ataque e em seus requintes em geral as pginas falsas so bem parecidas com as verdadeiras e pode confundir at mesmo pessoas da rea acostumadas com esse tipo de fraude, h testes bsicos que podem ser realizados. O objetivo das pginas falsas apenas um, capturar qualquer dado inserido, sem fazer constatao se as informaes do campo so verdadeiras ou falsas, o atacante parte do pressuposto que o usurio ir digitar as informaes verdadeiras a princpio. Ento, como uma possvel medida de checagem para testar a pgina acessada insira qualquer dado no campo de login e senha e tente o acesso, caso seja informado de erro de acesso semelhante, por exemplo, Pgina no encontrada. significa que possivelmente, se trate de uma pgina de phishing e os dados incorretos inseridos como teste foram registrados. Inserindo os dados para obter como resultado uma pgina de senha ou login incorretos e de acordo com anlise da pgina de resposta com maiores informaes sobre o login informado, como o Facebook, por exemplo, que traz uma pgina contendo uma foto referente ao login digitado, provavelmente ocorreu uma consulta no banco de dados real com os dados que foram inseridos, ento assim identificando o site verdadeiro. Outra simples conferncia no navegador pode salvar acessos indevidos, ao ter a inteno de clicar em algum hyperlink basta colocar o ponteiro do mouse sobre o mesmo que em alguns navegadores, ir surgir um pequeno pop-up localizado no canto inferior esquerdo conforme ilustra Figura 12 e nele ser exibido o endereo

46

completo daquele hyperlink, deve ser observado se o endereo condiz com o que voc deseja solicitar. 5.4 Polticas de Segurana As polticas de segurana relacionadas engenharia social no ambiente corporativo so fundamentais devido necessidade das empresas estarem cada vez mais buscando contato e respondendo expectativas do seu consumidor final, os recursos das mdias sociais so usados pelas corporaes e esto cada vez mais interligados a sua estrutura interna. Instrues claras que fornecem as orientaes de comportamento do funcionrio para guardar as informaes da organizao, formando um conjunto de elementos fundamentais no desenvolvimento de controles efetivos para contraatacar as possveis ameaas segurana da informao definem o que so polticas de segurana na viso de Mitnick & Simon (2003). A ABNT NBR ISO/IEC 27002:2006, afirma que a informao um ativo que, como qualquer outro ativo importante, essencial para os negcios de uma organizao e consequentemente necessita ser adequadamente protegida. Informao como, a lista de ramais de uma organizao ou o nome de usurio, tambm so considerados ativos e devem ser protegidos. Afinal, com posse dessas informaes aparentemente sem importncia que o engenheiro social aplica seu ataque. A norma ainda enfatiza na seo de ponto de partida, a criao de um documento de poltica de segurana, atribuio de responsabilidade,

conscientizao e treinamento em segurana da informao. Geralmente o treinamento e o documento da poltica de segurana da informao so elaborados pelo departamento de Segurana da Informao, sediado dentro do departamento de TI da organizao e de acordo com Fonseca (2009), no pode haver jarges tcnicos, pois nem todos os funcionrios dominam este tipo de linguagem, portanto, o treinamento e o documento devem ser muito bem avaliados por responsveis de outros departamentos a fim de se avaliar o tipo de linguagem utilizada e ento adapt-la sempre que necessrio. Fonseca (2009), ainda recomenda que haja dois documentos de poltica de segurana, um com a poltica de segurana em si e outro com os procedimentos, pois os procedimentos para implementar as polticas podem mudar com mais frequncia do que a poltica em si.

47

O contedo do documento de poltica de segurana deve documentar, segundo Fonseca (2009), uma descrio do modo como os atacantes usam as habilidades da engenharia social para enganar as pessoas, em caso de suspeita de ataque deve documentar qual o procedimento para o tratamento nestas ocasies e tambm a quem relatar as tentativas de ataque de engenharia social ou mesmo, nos piores casos, de ataques bem sucedidos. No caso de dvida quanto solicitao, Mitnick & Simon (2003), recomendam que cada setor possua um responsvel para avaliar se a informao solicitada deve ser ou no transmitida. Assim, a organizao minimiza os riscos, cabendo a apenas uma nica pessoa muito bem treinada, a deciso de transmitir a informao, seja ela qual for e seja quem for o solicitante devidamente identificado. Este documento deve conter ainda uma seo dedicada ao comportamento do funcionrio na Internet, pelo uso contnuo de mdias sociais dentro da prpria organizao. A organizao deve deixar bastante clara as atitudes do funcionrio perante anexos suspeitos, contatos suspeitos, spam e o prprio comportamento dentro de rede social no que diz respeito s informaes internas. Com o documento de poltica de segurana pronto a organizao deve elaborar treinamentos para que o documento no seja apenas folhas com normas e recomendaes descritas sobre segurana da informao. O investimento de treinamento e conscientizao, de acordo com Mitnick & Simon (2003), deve ser de 40% do total de investimento em segurana. E para aquelas empresas que no tem recursos para desenvolver um programa interno, existem diversas empresas que oferecem servios de treinamento e conscientizao sobre segurana da informao. A recomendao dada por Mitnick & Simon (2003), que o documento e o treinamento da poltica de segurana da informao devem ser renovados a cada ano, porm, as ameaas surgem com maior frequncia e, portanto devem estar sempre atualizadas tanto no documento de procedimento como mencionado anteriormente por Fonseca (2009) quanto no treinamento. Por ameaas serem identificadas com maior frequncia recomendada a aplicao de treinamentos contnuos em curtos perodos por conta destas atualizaes, porm em uma verso do que diz Mitnick & Simon (2003), no to

48

curtos que possam ser entediantes e repetitivos e no to distantes para que no possam ser esquecidos. interessante aplicar nos treinamentos, mensagens curtas e cenrios aplicados ao dia-a-dia dos funcionrios em treinamento, alm de aprimorar o funcionrio, custa menos para a organizao. Mitnick & Simon (2003, p. 113) cita um exemplo destas situaes como obedincia cega, onde a pessoa no sabe o motivo para realizar tal procedimento e ento dificilmente se lembrar de realizar o procedimento correto.

Quando se rouba bens ou dinheiro, algum vai notar que desapareceu, quando voc rouba informao, na maior parte do tempo ningum notar, porque as informaes ainda esto em seu poder.

Sendo assim a verdade de qualquer pessoa ou organizao e por esta verdade que toda e qualquer informao merece o devido valor e proteo por todas as pessoas que a detm. 5.5 Procedimentos Bsicos de Segurana Analisando os cenrios demonstrados ao longo do trabalho se torna importante apresentar alguns procedimentos bsicos de proteo com regras de uso, em base nos fascculos do Cert.br (2012) e de pginas de segurana das prprias redes sociais como Facebook (2012), com o exerccio dos procedimentos possvel garantir uma segurana mnima na utilizao de mdias sociais. Utilizao de senha forte com mais de 10 dgitos contendo letras maisculas, minsculas, nmeros e caracteres especiais. Ainda de acordo com o fascculo de senhas Cert.br (2012), Escolha uma frase longa, que seja fcil de ser memorizada e que, se possvel, tenha diferentes tipos de caracteres, por exemplo, 1 dia ainda verei os aneis de Saturno!!! Trocar a sua senha em um curto perodo de tempo. Se possvel configurar na rede social dois e-mails no registro e manter ambos com senhas diferentes para casos de sequestro e respectiva troca de senha, ento possvel recuperar a conta pelo outro e-mail. Assim como cadastro de nmero de telefone e pergunta de segurana.

49

Mensurar qual contedo deseja tornar disponvel para o pblico mundial e quais restritos, configurado geralmente na rea de privacidade nas opes gerais.

Sempre dar logout na conta antes de clicar no boto de fechar do browser ou caso queira navegar em outro site, ou seja, clicar no boto especfico para Sair quando no for utilizar a mdia social.

Evitar selecionar opes semelhantes a manter dados de conexes por longos perodos seja a partir de navegadores com opes de salvar senha ou pelas prprias opes das mdias sociais como Mantenha-me conectado etc.

Manter nos locais de acesso sempre um antivrus e firewall atualizados, assim como o sistema operacional e navegador. Utilizao de conexo HTTPS, preferindo conexes https://www.site.com.br. Verificaes de URL ou endereo de acesso assim como os hyperlinks clicados. Navegar e utilizar dados de acesso apenas em redes seguras. Manter uma poltica de segurana atualizada e escrita de forma clara. Possibilidade de utilizao de verificaes tcnicas a partir de linha de comando como o comando arp -a.

50

ANLISE DE RESULTADOS Com a realizao deste trabalho foi possvel identificar alguns pontos

importantes para anlise, sobre cenrios de ambientes vulnerveis e propor alguma forma de mitigao das vulnerabilidades, conforme tabela 1, elaborada pelo autor deste trabalho, tendo como base boas prticas levantadas em cartilha de segurana na internet e fascculos Cert.br (2012), pginas de segurana dos sites de redes sociais como o Twitter (2012) e Facebook (2012). Tabela 1 - Confronto de cenrios Ambiente vulnervel Protocolo HTTP Manter a mesma senha por um longo perodo de tempo. Senha fraca: senha Apenas Antivrus Navegador e sistema operacional desatualizado. Ignorar o uso de opes de segurana como a Pergunta Secreta. Senha forte: Sen#4f0rT3 Antivrus + Firewall Navegador e sistema operacional atualizados em sua ltima verso estvel. Cadastro com 2 e-mails de contato e cadastro de nmero de celular alm da Pergunta Secreta. Uso da mesma senha para vrios sites diferentes. Salvar a sua senha no navegador ou em opo no site como Lembrar-me Apenas clicar no boto fechar do navegador. Uso de senhas nicas para cada servio como e-mail, redes sociais etc. No utilizar recursos de salvar a senha automaticamente. Sair corretamente do servio dando logout, ou seja, clicando no boto Sair antes de fechar o navegador. Verificao de URL: http://www.twiiter.com Rede pblica. Falta de informaes sobre Segurana da Informao. Rede privada e segura. Realizao de treinamento, procedimentos e poltica de segurana. Fonte: Tabela nossa URL correta: https://www.twitter.com Proteo aplicada Conexo segura com protocolo HTTPS Trocar de senha periodicamente.

51

Consideraes Finais Existe uma necessidade real de proteo na utilizao de mdias sociais, pois os usurios possuem uma falsa sensao de segurana e de estarem protegidos, mas pode-se identificar possveis vulnerabilidades tais como, captura de informaes confidenciais e dados pessoais que podem ser interceptados em conjunto com o uso de senhas de segurana potencialmente fracas. Com a realizao deste trabalho foi possvel apresentar tcnicas e procedimentos para proteo, relevantes para a realizao de uma navegao segura em mdias sociais e conseguir assim reduzir a eficcia de aes suspeitas. A proteo bsica j pode ser realizada, porm o usurio precisa adquirir mais cultura e hbitos sobre Segurana da Informao. Nessa rea, a atualizao e busca de melhorias so necessrias, seja com os sites, meios de comunicao, que empregam tecnologias atualizadas e tentam dificultar a ao de invasores implementando protocolos e algoritmos mais seguros, paralelamente, no lado dos usurios tambm se torna necessrio cuidado com a prpria segurana e informaes, considerando que parte dos ataques tecnolgicos explora o elo mais fraco: o ser humano, que constantemente se expe sem preocupaes sobre aspectos essenciais de segurana e proteo. As regras de uso em conjunto com conhecimento bsico em Segurana da Informao podem ajudar as pessoas a se prevenirem e se defenderem de certos ataques e prticas fraudulentas, condio elementar no cenrio atual da comunicao mundial. A partir de treinamentos, boas prticas e polticas de segurana que possam ser compreendidos e aplicados junto com procedimentos para proteo. Como sugestes para trabalhos futuros pode-se analisar o cenrio de phishing direcionado em larga escala e anlise de resposta dos browsers de navegao e a interceptao de pacotes de dados em redes remotas e propor respectivas solues de segurana.

52

Referncias ALI, S.; HERIYANTO, T. BackTrack 4: Assuring Security by Penetration Testing. Olton: Pack Publishing, 2011, 392p. ALVES, C. B. Segurana da Informao VS. Engenharia Social. 2010. 64f. Dissertao (Graduado em Sistemas da Informao) Centro Universitrio do Distrito Federal, Braslia, 2010. ASSOCIAO BRASILEIRA DE NORMAS TCNICAS ABNT. NBR ISO/IEC 27002: tecnologia da informao tcnicas de segurana cdigo de prtica para a gesto da segurana da informao. Rio de Janeiro: ABNT, 2006. BACKTRACK LINUX. Penetration Testing Distribution. 2012. Disponvel em: <http://www.backtrack-linux.org/> Acesso em 30 out. 2012. CENTRO DE ESTUDOS, RESPOSTAS E TRATAMENTO DE INCIDENTES DE SEGURANA DA INFORMAO Cert.br. Cartilha de Segurana para Internet Fascculo Redes Sociais. 2012. Disponvel em: <http://cartilha.cert.br/fascculos/> Acesso em 12 set. 2. ________________. Cartilha de Segurana para Internet Fascculo Senhas. 2012. Disponvel em: < http://cartilha.cert.br/fascculos/> Acesso em 27 out. 2012. ________________. Cartilha de Segurana para Internet Segurana em dispositivos mveis. 2012. Disponvel em: <http://cartilha.cert.br/dispositivosmoveis/> Acesso em 08 set. 2012. ________________. Cartilha de Segurana para Internet Segurana na Internet. 2012. Disponvel em: <http://cartilha.cert.br/seguranca/> Acesso em 27 out. 2012. COMMTOUCH Internet Threats Trend Report. 2012. Disponvel em: < http://www.openfind.com/taiwan/download/report/2012Q1_report.pdf> Acesso em 14 set. 2012. CSID. Consumer Survey Password Habits. 2012. Disponvel em: <http://www.csid.com/2012/09/consumer-password-habits-unveiled/> Acesso em 13 out. 2012. EMPTYAGE. Yes, I was hacked. Hard. 2012. Disponvel em: < http://www.emptyage.com/post/28679875595/yes-i-was-hacked-hard> Acesso em 14 set. 2012.

53

FACEBOOK. Security. 2012. Disponvel <http://www.facebook.com/safety/tools/> Acesso em 12 out. 2012.

em:

FONSECA, P. F. Gesto da Segurana da Informao: O Fator Humano. 2009. 16f. Artigo acadmico (Ps-Graduao em Redes e Segurana de Computadores) Pontifcia Universidade Catlica do Paran, Curitiba, 2009. FONTOURA, W. Ministrio da Cultura. Secretaria da Cultura. A hora e a vez das mdias sociais. 2008. Disponvel em: < http://www.cultura.gov.br/site/2008/02/29/ahora-e-a-vez-das-midias-sociais/> Acesso em 08 set. 2012. GOOGLE Gmail. Suporte para Gmail. 2012. Disponvel <http://support.google.com/mail/?hl=pt> Acesso em 12 out. 2012. INTERNATIONAL BUSINESS MACHINES (IBM). The Understanding & Preventing Phishing Attacks. 2007. Phishing em:

Guide

IDG NOW. Retrospectiva 2011: os maiores ciberataques. 2011. Disponvel em: <http://idgnow.uol.com.br/seguranca/2011/12/20/retrospectiva-2011-os-maioresciberataques/> Acesso em 07 set. 2012. ISO/IEC 13335-1:2004, Information technology - Security techniques - Management of information and communications technology security - Part 1: Concepts and models for information and communications technology security management KRCMA Pavel. Criminosos Virtuais tm vida fcil no Brasil, alerta AVG. 2012. Disponvel em: <http://olhardigital.uol.com.br/negocios/digital_news/noticias/criminosos-virtuais-temvida-facil-no-brasil,-alerta-avg> Acesso em 09 set. 2012. LINKEDIN BLOG. An Update on Linkedin Member Passwords Compromissed. 2012. Disponvel em: <http://blog.linkedin.com/2012/06/06/linkedin-member-passwordscompromised/> Acesso em 08 set. 2012. MCAFEE. McAfee Reveals Emma Watson as 2012s Most Dangerous Cyber Celebrity. 2012. Disponvel em: <http://www.mcafee.com/us/about/news/2012/q3/20120910-01.aspx?cid=110907> Acesso em 14 set. 2012. MITNICK K. D.; SIMON W. L. A Arte de Enganar. Trad. Ktia Aparecida Roque. So Paulo: Pearson Makron Books, 2003 304p. MOREIRA, Nilton. S. Segurana Mnima. Rio de Janeiro: Axcel Books, 2011. 276p.

54

MORESCO, M.C.; IKENO, V. L. As Mdias Sociais no Processo de Gesto de Relacionamentos Corporativos. 2011. 11f. Artigo acadmico (Graduado em Comunicao Social) Universidade Estadual de Londrina, Londrina, 2011. NEWS. Taliban using Facebook to lure Aussie soldier. 2012. Disponvel em: <http://www.news.com.au/national/taliban-using-facebook-to-lure-aussiesoldier/story-fndo4bst-1226468094586> Acesso em 14 set. 2012. OFFENSIVE SECURITY. SET Credential Harvester Attack. Disponvel em: <http://www.offensive-security.com/metasploitunleashed/SET_Credential_Harvester_Attack> Acesso em 14 set. 2012. RGV BLOG. A Histria das Redes Sociais Parte 1. 2012. Disponvel em: <http://rgvdigital.com.br/blog/?p=16> Acesso em 06 set. 2012. ________________. A Histria das Redes Sociais Parte 2. 2012. Disponvel em: <http://rgvdigital.com.br/blog/?p=19> Acesso em 06 set. 2012. SMOLA, Marcos Gesto da Segurana da Informao: Uma viso executiva. So Paulo: Elsevier, 2003. 184p. STAZAUSKAS, G. Comunicao interna versus mdias sociais. 2011, 188p. Monografia (Especialista em Comunicao Jornalstica) Pontifcia Universidade Catlica de So Paulo, So Paulo, 2011. TANENBAUM, Andrew S. Redes de Computadores. Traduo de Vanderberg D. de Souza. 4. ed. Rio de Janeiro: Elsevier, 2003, 968p. TEC MUNDO. A histria do email. 2009. Disponvel em: <http://www.tecmundo.com.br/web/2763-a-historia-do-email> Acesso em 07 set. 2012. TRUSTEDSEC. Social-Engineer Toolkit. 2012. Disponvel em: < https://www.trustedsec.com/downloads/social-engineer-toolkit/> Acesso em 07 set. 2012. TWITTER. Security. 2012. Disponvel em: <https://twitter.com/about/security> Acesso em 12 out. 2012. VIVA O LINUX. ARP Poisoning: compreenda os princpios e defenda-se. 2003. Disponvel em: <http://www.vivaolinux.com.br/artigo/ARP-Poisoning-compreenda-osprincipios-e-defendase> Acesso em 14 set. 2012.

55

WIRED GADGET LAB. After Eric Hack, Apple Suspends Over-the-Phone AppleID Password Resets. 2012. Disponvel em: < http://www.wired.com/gadgetlab/2012/08/apple-icloud-password-freeze/> Acesso em 14 set. 2012. ________________. How Apple and Amazon Security Flaws Led to My Epic Hacking. 2012. Disponvel em: < http://www.wired.com/gadgetlab/2012/08/appleamazon-mat-honan-hacking/all/> Acesso em 14 set. 2012.

56

Referncia relativa figura 2: MCAFEE. Celebrities Are Lures For Scammers. 2012. Disponvel em: < http://blogs.mcafee.com/consumer/celebrities-are-lures-for-scammers> Acesso em 08 set. 2012. Referncia relativa figura 4: COMMTOUCH Internet Threats Trend Report. 2012 15p. Disponvel em: < http://www.openfind.com/taiwan/download/report/2012Q1_report.pdf> Acesso em 14 set. 2012.