Quer receber mais conteúdo? Siga nossas redes!

▲ Índice 1
 Quer receber mais conteúdo? Siga nossas redes!

Índice
Introdução 03

O que é Engenharia Social 04

A anatomia de um ataque da Engenharia Social 05

Sentimentos explorados pela Engenharia Social 06

A Engenharia Social antes da internet 07

O perfil do Engenheiro Social 09

O perfil da vítima da Engenharia Social 10

Linha de tempo | Maiores ataques dos últimos 10 anos 11

A chegada da LGPD 13

Os principais ataques da Engenharia Social 15

Os ataques no-hacking 18

Como preparar seus funcionários 20

Conclusão 21

A Compugraf 22

▲ Índice 2
 Quer receber mais conteúdo? Siga nossas redes!

INTRODUÇÃO

Sua empresa investe em

segurança da informação?
Quando falamos em ameaças para a segurança de dados, é possível
separá-las em duas categorias: tecnológicas e humanas.

A primeira, é mais complexa e exige um conhecimento maior por parte

do criminoso, envolvendo arquivos maliciosos que causarão algum tipo
de dano ou acompanharão as ações realizadas no dispositivo de destino.

Já as ameaças humanas envolvem habilidades sociais. Através da

persuasão, atingida em um ciclo que pode envolver diferentes emoções,
qualquer ser humano está vulnerável a ela.

Uma ameaça tão antiga quanto os próprios computadores

Enquanto uma ameaça tecnológica exige habilidades técnicas, sua

contraparte envolve habilidades sociais. Através da persuasão, atingida
em um ciclo que pode envolver diferentes emoções, qualquer ser humano
está vulnerável a ela.

Será que diante de uma situação de risco seus funcionários estariam

preparados para proteger os próprios dados e os da organização?

Em muitos casos, isto pode estar longe de ser realidade.

A exploração do fator humano é mais complexa do que parece e hoje, é

um equívoco pensar que o investimento em segurança da informação é
baseado apenas nos melhores softwares de segurança.

Além de investir nas camadas de proteção digital, é essencial trabalhar

com toda a equipe para que possam desenvolver maior percepção em
situações de risco para que a falha humana seja reduzida.

▲ Índice 3
 Quer receber mais conteúdo? Siga nossas redes!

O que é Engenharia Social

A Engenharia Social é uma área de conhecimento dedicada ao
uso de diferentes técnicas para a obtenção de dados privados.

Diferente de um vírus ou ataque hacker, a principal habilidade

utilizada dentro da engenharia social é a persuasão, que resulta
na cooperação da vítima ao realizar alguma ação ou compartilhar
dados que não deveria.

Sendo assim, um ataque de engenharia social precisa de dois

elementos: a interação humana e a habilidade de manipulação
para que o criminoso obtenha acesso a áreas restritas ou
informações confidenciais.

Embora seja mais antiga do que isso, a popularização da

engenharia social como estudo foi impulsionada com o
surgimento da internet.

Curiosidade: A Origem do Termo

O termo Engenharia Social teve diferentes conotações
ao passar pelos estudos da sociologia e psicologia
até ser popularizado, nos anos 90, por Kevin Mitnick,
hacker mundialmente conhecido que formalizou o
uso do termo na segurança da informação em seu livro
“The Art of Deception: Controlling the Human Element
of Security”

▲ Índice 4
 Quer receber mais conteúdo? Siga nossas redes!

A anatomia de um ataque
de engenharia social
Agora que já foi esclarecido o significado do termo engenharia
social, é preciso entender seu mecanismo.

Existem diferentes tipos de ataques que podem ser realizados

através da Engenharia Social, mas todos seguem um ciclo
de funcionamento muito parecido ao se aproveitarem da
vulnerabilidade psicológica do alvo para serem aplicados.

Ciclo da Engenharia Social

Coletar
Informações

Utilizar as
USUÁRIOS Planejar
informações
DO SISTEMA o ataque
obtidas

Obter as
Ataque
ferramentas

▲ Índice 5
 Quer receber mais conteúdo? Siga nossas redes!

Sentimentos explorados
pela engenharia social
A Engenharia Social explora as vulnerabilidades emocionais da
vítima e usa como isca assuntos atuais, promoções imperdíveis
ou até mesmo falsas premiações, que resultam na ação da vítima
ao despertar sentimentos como:

CURIOSIDADE PREGUIÇA COMOÇÃO

VAIDADE ANSIEDADE

Em ambientes corporativos, as ações muitas vezes ocorrem em

momentos de tensão.

Por exemplo, um funcionário ansioso pode responder uma

falsa demanda de seu supervisor sem pensar muito sobre a
autenticidade da mensagem.

Mas em momentos de descontração, isso também pode ocorrer.

Imagine a comoção de um colaborador generoso ao receber o
convite para participar de uma campanha de doação para uma
instituição de caridade?

Sensação de Urgência!
Além de despertar diversas emoções em suas vítimas,
a persuasão do engenheiro social pressiona para que
a ação solicitada seja realizada imediatamente, pois só
assim ele garante que a reação seja emocional e não
racional.

▲ Índice 6
 Quer receber mais conteúdo? Siga nossas redes!

A engenharia social antes

da internet
Embora o estudo da engenharia social só tenha ganhado nome
ao longo do tempo, a aplicação de seus fundamentos pode ser
percebida em épocas diferentes, incluindo momentos prévios a
criação do primeiro computador.

• Na mitologia grega
A história diz que Ulysses, líder do exército grego, fingiu render-
se em plena guerra contra Troia e ofereceu a sua realeza um
grande cavalo de madeira como pedido de desculpas. No
entanto, quando todo o exército troiano estava desarmado e os
cidadãos descansando, descobriu-se que o cavalo comportava
os soldados gregos, que diante da situação, os derrotaram.

Cavalo de Troia
Assim como na mitologia, o malware conhecido como
cavalo de troia envolve um arquivo disfarçado, que ao
ser executado, ataca o dispositivo da vítima.

▲ Índice 7
 Quer receber mais conteúdo? Siga nossas redes!

• No livro de gênesis
A primeira bíblia – cristã e judaica, afirma que o pecado mais
conhecido do mundo foi resultado da persuasão do Diabo,
que em forma de uma cobra, pode despertar o sentimento de
ganância em Eva, fazendo-a crer que Deus proibia-os de consumir
a maçã – também conhecido como fruto proibido, porque queria
os poderes somente para ele.

• Nos anos 60
Um dos impostores americanos mais conhecidos dos anos 60,
Frank Abagnale, fingiu ser diversas pessoas até seu auge, quando
enganou a tripulação da maior companhia aérea estadunidense
da época, a extinta Pan American World Airways (Pan Am)
de que era um piloto. Com isso, além do acesso privilegiado a
informações e locais da equipe, também pode fraudar diversos
cheques bancários.

▲ Índice 8
 Quer receber mais conteúdo? Siga nossas redes!

PERFIL

Quem são os
Engenheiros Sociais
Apesar do nome, um engenheiro social não é realmente um
profissional especialista formal com o título de engenheiro, até
porque a formação ainda não existe.

O engenheiro social é uma pessoa que possui as seguintes

habilidades:

· Capacidade de contar uma boa história de maneira

convincente;
· Capacidade de manipular através de suas histórias;
· Capacidade em utilizar as informações coletadas a seu favor;
· Capacidade de persuadir para conseguir que as ações sejam
voluntárias;
· Capacidade em estudar o alvo ou público-alvo.

▲ Índice 9
 Quer receber mais conteúdo? Siga nossas redes!

PERFIL

Quem são as vítimas da

Engenharia Social
A engenharia social está presente em todo lugar, qualquer sinal
ou ação pode ser o suficiente para que alguém obtenha alguma
informação da vítima.

Por ser tão abrangente, torna-se um perigo universal.

E seu impacto prova que a maior vulnerabilidade das empresas

não é a tecnologia, e sim, a fragilidade emocional de todo ser
humano.

Qualquer funcionário pode ser alvo da engenharia social –

independentemente do cargo exercido na empresa que esteja
em condições como:

· Quando estão desatentos – em modo “automático” na

realização de suas tarefas.

· Quando não verificam a autenticidade das mensagens

recebidas.

· Quando passam por algum problema pessoal e a mensagem

soa como a oportunidade de melhorar as coisas.

· Quando se sensibiliza com a mensagem recebida e tem

intenções de ajudar.

· Quando precisa de ajuda e não possui muitas

habilidades técnicas.

▲ Índice 10
 Quer receber mais conteúdo? Siga nossas redes!

LINHA DO TEMPO

Maiores ataques dos

últimos 10 anos
2010 | Netflix
Devido a um ataque, a empresa forneceu aos participantes
de um concurso o acesso aos dados de mais 480.000 assinantes.

2011 | Sony PSN

O marketplace Sony PSN, do console PlayStation, deu acesso
aos dados de mais de 1,6 milhões de clientes aos participantes
de um concurso, incluindo cartões de crédito, endereços, datas
de aniversário, senhas e respostas para perguntas de segurança.

2012 | LinkedIn
Em 2012, o LinkedIn teve um vazamento de dados de mais
de 167 milhões de usuários, sendo a maioria e-mails, senhas
e endereços.

2013 | Yahoo
Mais de 3 bilhões de dados do Yahoo foram expostos em 2013,
incluindo e-mails, endereços, datas de nascimento e respostas
para as perguntas de segurança dos usuários.

O vazamento só foi descoberto 3 anos depois, no final de 2016.

2014 | Sony Pictures Entertainment

Em 2014, a Sony Pictures Entertainment sof reu com o
vazamento de dados de cerca de 47 mil usuários. Os criminosos
tiveram acesso aos e-mails particulares, filmes não lançados
e ao dados de contato de celebridades.

▲ Índice 11
 Quer receber mais conteúdo? Siga nossas redes!

2015 | Ashley Madison

A plataforma de relacionamentos extraconjugais teve mais de
37 milhões de dados vazados, incluindo o cartão de crédito,
endereço e número de telefone dos usuários.

2016 | Comitê Nacional Democrático

O Comitê Nacional Democrático dos Estados Unidos teve
muitas informações publicamente expostas, incluindo a de
políticos como Hillary Clinton e o atual presidente do país,
Donald Trump.

2017 | Equifax
Mais de 143 milhões de norte-americanos tiveram
documentos, cartão de crédito, nome e endereço expostos
após um vazamento da Equifax, uma das maiores empresas
de crédito do país.

2018 | Facebook
O Facebook sofreu com ao menos 2 vazamentos de dados
ao longo de 2018. Em setembro, foram mais de 50 milhões,
e em outubro, 30 milhões, totalizando ao menos 80 milhões
de dados expostos.

2019 | OxyData.Io e People Data Labs

Mais de 1.2 bilhões de usuários tiveram dados como e-mail,
contas em redes sociais e telefone expostos em 2019, fato que
tornou-se o maior vazamento da história, partindo da mesma
fonte que, no caso, envolve um banco de dados compartilhado
entre duas empresas agregadoras de dados: OxyData.Io e
People Data Labs.

▲ Índice 12
 Quer receber mais conteúdo? Siga nossas redes!

A chegada da LGPD
Após todos esses ataques envolvendo a exposição de dados não
autorizados para terceiros, diversos países criaram medidas
para que a responsabilidade e consequência do vazamento de
dados seja maior para as empresas atacadas.

Com multas que podem custar muito mais do as medidas de

proteção, empresas são induzidas a investir na proteção de dados
de seus usuários.

Enquanto a lei de referência é a europeia, conhecida como

General Data Protection Regulation (GDPR), o Brasil
trabalhou em sua própria versão, a Lei Geral de Proteção de
Dados (LGPD), que busca regulamentar o uso de dados no
meio corporativo no país.

Guia de Implementação da LGPD

Quer saber como sua empresa pode se preparar para a
LPGD? Preparamos um material completo sobre a Lei
Geral de Proteção de Dados.

QUERO BAIXAR O GUIA!

▲ Índice 13
 Quer receber mais conteúdo? Siga nossas redes!

Para que a Lei 13.709/2018 entre em vigor em agosto deste

ano, foi criada também a ANPD (ou Autoridade Nacional de
Proteção de Dados), que terá como principais funções:

• Estabelecer diretrizes e padrões técnicos do processo.

• Elaboração de relatórios sobre a aplicação da Lei.

• A f iscalização das empresas, além da aplicação de novas

sanções e programas informativos sobre o tema.

• Def inir até quando as empresas poderão se preparar

para aplicação da LGPD

▲ Índice 14
 Quer receber mais conteúdo? Siga nossas redes!

Os principais ataques
da engenharia social
• Phishing
Um dos métodos mais populares de ataque por engenharia
social. Consiste na obtenção de dados privados ao “fisgar” a vítima
com algum gatilho que o envolva emocionalmente. Possui várias
subcategorias, como: Vishing, Smishing, e a mais conhecida,
Spear Phishing.

Através de e-mails, SMS, entre outros canais, os cibercriminosos

atraem as vítimas para cópia de páginas idênticas a de sites de
credenciamento, como o da própria empresa ou algum serviço,
como a Netflix.

Aumento de 231,5%
Segundo relatório “Atividade Criminosa On-line no
Brasil” da Axur, entre fevereiro e dezembro de 2019, o
Brasil teve um aumento de 231,5% na recorrência de
ataques por Phishing. O país já tinha sido considerado
o principal alvo do mundo no primeiro trimestre do
mesmo ano segundo pesquisa da Kaspersky Lab.

Como proteger sua equipe:

· Crie mecanismos internos para que mensagens importantes

possam ser autenticadas.

· Disponibilize ambientes para que funcionários não se

sobrecarreguem com emoções cotidianas como o stress e
ansiedade, resultando em mais atenção durante o expediente.

▲ Índice 15
 Quer receber mais conteúdo? Siga nossas redes!

• Pretexting
O pretexting ocorre quando uma pessoa se passa por uma outra a fim
de exercer sua autoridade para demandar ações, solicitar informações
ou simplesmente usufruir de seus benefícios. Esse ataque pode ocorrer
via e-mail, telefone, SMS e até mesmo pessoalmente.

Como proteger sua equipe:

· Defina canais de comunicação alternativos para discutir diferentes

assuntos.

· Incentive a comunicação multiplataforma, possibilitando a

confirmação de informações a partir de canais diferentes.

• Quid pro Quo

O Quid pro Quo ocorre no processo de troca. Não envolve bens
financeiros e nem sempre é algo claro para todas as partes.

Pode ser uma simples ajuda técnica – que em troca da desinformação

do alvo o criminoso social obtém acesso a todos os dados do usuário,
ou uma pesquisa em que as vítimas respondem e devem assinar
com seus dados pessoais para validação.

Por exemplo, alguém do suporte técnico pode acionar aleatoriamente

alguns funcionários da empresa e eventualmente encontrar alguém
que precise de ajuda, mas mesmo solucionando o problema primário,
ele pode instalar componentes maliciosos na máquina da vítima, que
irá achar que está recebendo um auxílio legítimo.

Como proteger sua equipe:

· Crie processos para que funcionários solicitem ajuda de maneira

organizada, como um sistema de chamados, por exemplo.

· Desaconselhe o auxílio informal quando envolver o acesso ou

compartilhamento de algum dado pessoal ou empresarial.

▲ Índice 16
 Quer receber mais conteúdo? Siga nossas redes!

• Sextorsão
A sextorsão (sexo + extorsão) é um crime virtual em que a vítima
é forçada a realizar ações ou algum pagamento caso não deseje
que fotos ou vídeos íntimos sejam publicamente divulgados.

Como proteger sua equipe:

· Conscientize os colaboradores a não acessarem arquivos

pessoais no ambiente corporativo por qualquer dispositivo
conectado à rede de trabalho.

• Criar um canal aberto e considerar até mesmo o anonimato

para denúncias em casos graves ou que possam constranger
a vítima.

Vale para todos

Mais consciência das informações que estão
sendo compartilhadas - Isso vale para momentos
de comunicação verbal (fora e dentro do trabalho)
e também para redes sociais ou ferramentas de
comunicação interna.

Defina as informações mais importantes da sua

empresa que possam despertar o interesse de outras
pessoas. Dê prioridade na segurança desses dados, pois
o criminoso irá observar o valor deles e não da empresa
como um todo.

Estimule a cultura de sentimento de dono para que

todos os funcionários sintam-se responsáveis pelas
informações e segurança da empresa de maneira
autêntica.

Questione mais.

▲ Índice 17
 Quer receber mais conteúdo? Siga nossas redes!

Os ataques no-hacking
Alguns dos principais ataques da engenharia social não
envolvem nem mesmo a utilização de algum dispositivo digital
por parte do criminoso.

Em empesas com um grande fluxo de pessoas, a prática é

favorecida, pois o anonimato do criminoso torna-se mais fácil.

• Dumpster Diving
O dumpster diving (mergulhando na lixeira, em uma tradução
livre), é uma das práticas mais populares da categoria. Trata-
se do ato de vasculhar o lixo alheio para coletar algum bem
descartado pela vítima, mas que esteja em boas condições, ou
em condições suficientes para obter dados como o número de
cartões de crédito.

• Shoulder Surfing
O Shoulder Surfing consiste na prática de observar as ações que
uma pessoa está realizando em dispositivos como celulares ou
computadores. Pode ocorrer por uma simples curiosidade ou
resultar na memorização de uma senha, por exemplo.

• Tailgating
O tailgating ocorre quando o criminoso tem acesso a lugares
restritos de maneira fraudulenta, utilizando-se de uma
comunicação convincente que pode resultar até mesmo na
ajuda inocente de uma pessoa credenciada para isso.

▲ Índice 18
 Quer receber mais conteúdo? Siga nossas redes!

Para impedir os ataques da

Engenharia Social é preciso
que as empresas invistam, com
certa regularidade, em planos
preventivos de conscientização
para todos os seus funcionários,
ao invés de esperar a primeira
ocorrência.

Alex Feitosa
Consultor S.I. da Compugraf

▲ Índice 19
 Quer receber mais conteúdo? Siga nossas redes!

Como preparar seus

funcionários
Em ataques de engenharia social que não envolvem a
tecnologia como primeira ponte, as medidas de proteção
devem ser preventivas para manter as pessoas alertas em
relação a situações comuns, como por exemplo:

• Manter gavetas e armários fechados – evitando assim

a visualização ou até mesmo furto de documentos
guardados;

• Minimizar softwares ou sites com dados conf idenciais

quando não estiver utilizando – impedindo a
visualização não autorizada;

• Não compartilhar dados de acesso – nem mesmo

o setor técnico deve saber das credenciais de outros
funcionários;

• Encerrar a sessão ou desligar o computador quando

estiver ausente da sua mesa – nenhum dispositivo
deve estar desbloqueado sem que o usuário esteja
próximo;

• Fragmentar documentos antes de dispensá-los para

garantir sua inutilidade – assim ninguém mais terá
acesso ao conteúdo;

• Coletar documentos impressos logo em seguida

– impressoras compartilhadas devem ter seus
documentos coletados rapidamente para evitar
a visualização por outros funcionários.

▲ Índice 20
 Quer receber mais conteúdo? Siga nossas redes!

Sua empresa está

protegida para impedir
os ataques da Engenharia
Social?
Com os ataques de Engenharia Social tornando-se cada
vez mais complexos ao longo dos anos, o investimento para
combatê-los deve crescer na mesma proporção.

Diferente de ameaças com funcionalidades baseadas em

tecnologia, as empresas devem investir em seu maior ativo
para garantir a proteção: o fator humano.

Somente uma equipe bem informada e alerta pode evitar que

práticas como essas sejam a porta de entrada para pessoas
mal-intencionadas.

Sua empresa está preparada?

Saiba como proteger sua empresa. Fale com nossos

especialistas em segurança da informação. Seus funcionários
podem estar protegidos até mesmo durante o trabalho
remoto.

QUERO FALAR COM UM ESPECIALISTA!

▲ Índice 21
 Quer receber mais conteúdo? Siga nossas redes!

No mercado de soluções tecnológicas desde 1982, a Compugraf,

empresa 100% brasileira, possui mais de 300 clientes ativos em
nível nacional.

Nosso objetivo é sempre satisfazer nossos clientes com soluções

avançadas, buscando melhorar continuamente nossos processos
e equipe para fornecer produtos de alta tecnologia e excelência
de serviços profissionais.

Parceira 5 estrelas Check Point. Conheça mais sobre nossas

soluções em www.compugraf.com.br

▲ Índice 22