Exportar (0) Imprimir
Expandir Tudo
Expandir Minimizar

Como proteger as pessoas de dentro da empresa contra ameaças de engenharia social

Publicado em: 18 de agosto de 2006

Nesta página

Introdução
Ameaças e defesas de engenharia social
Projetando defesas contra ameaças de engenharia social
Implementando defesas contra ameaças de engenharia social
Apêndice 1: Diretiva de segurança para listas de verificação de ameaças de engenharia social
Apêndice 2: Glossário

Introdução

Bem-vindo a este documento da coleção Orientações de segurança para empresas de médio porte. A Microsoft espera que as informações a seguir o ajudem a criar um ambiente de computação mais seguro e produtivo.

Quem deve ler este documento

Este documento fornece informações de gerenciamento de segurança sobre as ameaças representadas pela engenharia social e as defesas disponíveis para ajudar a enfrentar os hackers que se valem da engenharia social. A engenharia social descreve principalmente ameaças não técnicas à segurança da empresa. A natureza vasta dessas ameaças potenciais requer que sejam fornecidas informações sobre ameaças e defesas potenciais para uma faixa variada da equipe gerencial e técnica da empresa, inclusive:

  • Diretoria

  • Gerentes de operações e serviços técnicos

  • Equipe de suporte

  • Equipe de segurança

  • Gerentes comerciais

Visão geral

Para atacar a sua organização, os hackers que se valem da engenharia social exploram a credulidade, a preguiça, as boas maneiras ou até mesmo o entusiasmo de seus funcionários. Portanto, é difícil se defender de um ataque de engenharia social, porque o alvo do ataque pode não perceber que foi enganado, ou pode preferir não admitir esse fato a outras pessoas. As metas de um hacker que se vale da engenharia social – alguém que tenta obter acesso não autorizado aos seus sistemas de computador – são semelhantes às de qualquer outro hacker: eles querem o dinheiro, as informações ou os recursos de TI da sua empresa.

Um hacker que se vale da engenharia social tenta persuadir seus funcionários a fornecer informações que lhe permitam usar os sistemas ou os recursos de sistema. Tradicionalmente, essa abordagem é conhecida como abuso de confiança. Muitas empresas de pequeno e médio porte acreditam que os ataques de hackers são um problema de grandes empresas ou organizações que oferecem a possibilidade de enormes ganhos financeiros. Embora esse tenha sido o caso no passado, o aumento do número de crimes cibernéticos significa que os hackers agora visam todos os setores da comunidade, desde grandes empresas até indivíduos. Os criminosos podem furtar diretamente de uma empresa, desviando fundos ou recursos, mas eles também podem usar a empresa como um ponto de partida para cometer crimes contra outras pessoas. Essa abordagem dificulta para as autoridades rastrear tais criminosos.

Para proteger seus funcionários contra ataques de engenharia social, você precisa saber que tipos de ataque esperar, entender o que o hacker deseja e estimar o valor da perda potencial para a sua organização. Com esse conhecimento, você pode ampliar sua diretiva de segurança de forma a incluir defesas contra a engenharia social. Este documento parte do pressuposto de que você conta com uma diretiva de segurança que estabelece as metas, as práticas e os procedimentos que a empresa reconhece como necessários para proteger seus ativos em informações, recursos e pessoal contra ataques tecnológicos ou físicos. As alterações à diretiva de segurança ajudarão a fornecer orientações aos funcionários sobre como reagir quando se confrontarem com uma pessoa ou aplicativo de computador que tente coagi-los ou persuadi-los a expor recursos comerciais ou divulgar informações de segurança.

Ameaças e defesas de engenharia social

Há cinco vetores de ataque principais usados por um hacker que se vale da engenharia social:

  • Online

  • Telefone

  • Gerenciamento de lixo

  • Abordagens pessoais

  • Engenharia social reversa

Além de reconhecer esses pontos de entrada, você também precisa saber o que o hacker espera conseguir. Suas metas se baseiam nas mesmas necessidades que nos motiva a todos: dinheiro, promoção social e auto-estima. Os hackers querem pegar seu dinheiro ou seus recursos, querem ser reconhecidos pela sociedade ou por seus colegas e querem se sentir bem com relação a si mesmos. Infelizmente, os hackers conseguem isso ilegalmente, por meio de furto ou dano a sistemas de computador. Ataques de qualquer tipo vão lhe custar dinheiro, seja pela perda de receita, recursos, informações, disponibilidade da empresa ou credibilidade da empresa. Quando você projeta suas defesas contra tais ataques, deve estimar o que um ataque pode lhe custar.

Ameaças online

No nosso mundo comercial cada vez mais conectado, os funcionários com freqüência usam e respondem a solicitações e informações que chegam eletronicamente, tanto de dentro quanto de fora da empresa. Essa conectividade permite que os hackers abordem seus funcionários valendo-se do anonimato relativo da Internet. Com freqüência você ouve falar de ataques online nos noticiários, como ataques por email, aplicativos de pop-up e mensagens instantâneas que usam cavalos de Tróia, worms ou vírus – coletivamente denominados malware – para causar danos ou subverter recursos de computador. Você pode começar a ajudar a eliminar muitos desses ataques de malware implementando sólidas defesas antivírus.

Observação   Para obter mais informações sobre defesas antivírus, consulte o Guia de Defesa Profunda com Antivírus em http://www.microsoft.com/brasil/security/guidance/recent/avdind_0.mspx.

O hacker que se vale da engenharia social convence um funcionário a fornecer informações por meio de um estratagema convincente, em vez de infectar um computador com malware por meio de um ataque direto. Um ataque pode fornecer informações que possibilitarão ao hacker fazer o subseqüente ataque de malware, mas esse resultado não se dá em função da engenharia social. Portanto, é preciso informar os funcionários sobre a melhor forma de identificar e evitar ataques de engenharia social online.

Ameaças por email

Muitos membros da equipe recebem dezenas e até mesmo centenas de emails a cada dia, tanto de sistemas de email comerciais quanto particulares. O volume de emails pode dificultar concentrar a atenção total em cada mensagem. Esse fato é muito útil para um hacker que se vale da engenharia social. A maioria dos usuários de email fica satisfeito em lidar com sua correspondência. É o equivalente eletrônico a mover documentos da bandeja de entrada para a de saída. Se o hacker puder fazer uma solicitação simples e fácil de lidar, sua vítima aceitará, sem nem mesmo pensar sobre o que está fazendo.

Um exemplo desse ataque fácil é enviar um email a um funcionário dizendo que o chefe quer que a programação de todos os feriados seja enviada para uma reunião, com cópia para todos na lista de destinatários do email. É simples incluir um nome externo na lista de destinatários a quem uma cópia deve ser enviada e falsificar o nome do remetente para que o email pareça vir de uma fonte interna. A falsificação é especialmente simples se um hacker obtiver acesso ao sistema de computador de uma empresa, porque não há necessidade de abrir caminho pelos firewalls de perímetro. O conhecimento da programação de feriados de um departamento pode não parecer uma ameaça à segurança, mas significa que o hacker sabe quando um funcionário estará ausente. O hacker pode então fazer-se passar por essa pessoa com um risco reduzido de ser descoberto.

O uso de email como uma ferramenta de engenharia social se tornou uma epidemia na última década. O phishing descreve o uso de email para a obtenção de informações pessoais identificáveis ou informações restritas. Os hackers podem enviar mensagens de email que parecem vir de organizações válidas, como bancos ou empresas parceiras.

A figura a seguir mostra um link aparentemente válido para o site de gerenciamento de conta da Contoso.

Figura 1. Hiperlink de phishing em um email

Figura 1. Hiperlink de phishing em um email

No entanto, se você prestar mais atenção, poderá notar duas diferenças:

  • O texto no email afirma que o site é protegido por https, enquanto a dica na tela mostra que na verdade o site usa http.

  • O nome da empresa no email é “Contoso”, mas o link vai para uma empresa chamada “Comtoso”.

Como o termo phishing indica, essas abordagens são tipicamente especulativas, com uma solicitação genérica por informações de um cliente. A camuflagem realista usada nas mensagens de email, com logotipos da empresa, fontes e até mesmo números de telefone aparentemente válidos para ligação gratuita ao suporte técnico, fazem o email parecer mais convincente. Em cada email de phishing há uma solicitação por informações do usuário, geralmente para facilitar uma atualização ou serviço adicional. Uma extensão do phishing é o spear-phishing, em que uma vítima ou grupo departamental explícito é abordado. Essa abordagem é muito mais sofisticada, porque informações pessoais e informações relevantes da empresa são necessárias para tornar a fraude convincente. Ela requer maior conhecimento da vítima, mas pode evocar informações mais específicas e detalhadas.

Um email também pode conter hiperlinks que podem seduzir um funcionário a violar a segurança da empresa. Como mostrado na Figura 1, os links nem sempre levam o usuário para o local esperado ou indicado. Há muitas outras opções para um hacker em um email de phishing, inclusive imagens que são hiperlinks que baixam malware, como vírus ou spyware, ou texto apresentado como uma imagem a fim de ignorar filtros de segurança que detectam hiperlinks.  

A maioria das medidas de segurança ajuda a manter os usuários não autorizados à distância. Um hacker pode driblar muitas defesas se puder enganar um usuário convencendo-o a trazer um cavalo de Tróia, worm ou vírus para a empresa por meio de um link. O hiperlink também pode levar o usuário a um site que use aplicativos de pop-up para solicitar informações ou oferecer ajuda.

Você pode usar uma matriz de vetores de ataque, objetivos de ataque, descrições e custo para a empresa semelhante àquela mostrada na tabela a seguir para ajudá-lo a classificar os ataques e estabelecer seu risco à empresa. Às vezes, uma ameaça representa mais do que um risco. Quando for esse o caso, os exemplos a seguir mostram os riscos principais em negrito.

Tabela 1. Ataques por email online e seus custos

Objetivos do ataque

Descrição

Custo

Furto de informações da empresa

O hacker se faz passar por um usuário interno (falsificação) para obter informações da empresa.

Informações confidenciais

Credibilidade da empresa

Furto de informações financeiras

O hacker usa a técnica de phishing (ou spear-phishing) para solicitar informações confidenciais da empresa, como detalhes de contas.

Dinheiro

Informações confidenciais

Credibilidade da empresa

Download de malware

O hacker engana um usuário convencendo-o a clicar em um hiperlink ou abrir um anexo e, assim, infectar a rede da empresa.

Disponibilidade da empresa

Credibilidade da empresa

Download do software do hacker

O hacker engana um usuário convencendo-o a clicar em um hiperlink ou abrir um anexo e, assim, baixar um programa do hacker que usa os recursos de rede da empresa.

Recursos

Credibilidade da empresa

Dinheiro

Como acontece com a maioria dos casos de abuso de confiança, você pode enfrentar os ataques de um hacker que se vale da engenharia social com mais eficácia abordando com ceticismo qualquer mensagem inesperada que chegue à sua Caixa de entrada. Para oferecer suporte a esta abordagem em uma organização, inclua na diretiva de segurança uma orientação específica para a utilização de email que abranja:

  • Anexos em documentos.

  • Hiperlinks em documentos.

  • Solicitações de informações pessoais ou da empresa que venham de dentro da empresa.

  • Solicitações de informações pessoais ou da empresa que venham de fora da empresa.

Além dessas orientações, inclua exemplos de ataques de phishing. Depois que um usuário reconhecer uma trapaça por phishing, terá muito mais facilidade para reconhecer outras.

Aplicativos de pop-up e caixas de diálogo

Não é realista pensar que os funcionários usam o acesso à Internet da empresa somente para atividades de negócios. A maioria dos funcionários acaba por navegar pela Web por motivos pessoais, como compras ou pesquisas online. A navegação pessoal coloca os funcionários e, portanto, os sistemas de computador da empresa, em contato com engenheiros sociais em geral. Ainda que seu alvo não seja especificamente a sua empresa, eles usarão os funcionários em um esforço por obter acesso aos recursos da empresa. Um dos objetivos mais populares é incorporar um mecanismo de email no ambiente do computador através do qual o hacker possa iniciar o phishing ou outros ataques de email a outras empresas ou indivíduos.

A figura a seguir mostra como um hiperlink parece levar a um site de gerenciamento de conta seguro (secure.contosa.com account_id?Amendments), enquanto a barra de status mostra que ele leva ao site do hacker. Dependendo do navegador usado, um hacker pode suprimir ou reformatar as informações na barra de status.

Cc875841.HPISET02(pt-br,TechNet.10).gif

Figura 2. Hiperlink de phishing em uma página da Web

Os dois métodos mais comuns de convencer um usuário a clicar em um botão em uma caixa de diálogo é avisar sobre um problema, como exibir uma mensagem de erro realista de um aplicativo ou do sistema operacional, ou oferecer serviços adicionais como, por exemplo, um download gratuito que faz o computador do usuário trabalhar mais rápido. Para usuários experientes de TI ou da Web, esses métodos podem parecer enganações transparentes. Mas para usuários inexperientes, esses aplicativos de pop-up ou caixas de diálogo podem ser intimidantes ou atraentes.

Tabela 2. Ataques por pop-up e caixa de diálogo online e seus custos

Objetivos do ataque

Descrição

Custo

Furto de informações pessoais

O hacker solicita informações pessoais do funcionário

Informações confidenciais

Dinheiro (funcionário)

Download de malware

O hacker engana um usuário convencendo-o a clicar em um hiperlink ou abrir um anexo.

Disponibilidade da empresa

Credibilidade da empresa

Download do software do hacker

O hacker engana um usuário convencendo-o a clicar em um hiperlink ou abrir um anexo.

Recursos

Credibilidade da empresa

Dinheiro

A proteção dos usuários contra aplicativos de pop-up de engenharia social é principalmente uma questão de conscientização. Para evitar esse problema, você pode definir uma configuração padrão do navegador que bloqueie pop-ups e downloads automáticos, ainda que alguns pop-ups possam burlar as configurações do navegador. É mais eficaz se certificar de que os usuários estejam conscientizados de que não devem clicar em pop-ups, a menos que consultem a equipe de suporte. Portanto, sua equipe comercial precisa estar tranqüila de que a equipe de suporte não será crítica se o usuário estiver navegando pela Web. Esse relacionamento de confiança pode ser influenciado pela diretiva de sua empresa para a navegação pela Internet para fins pessoais.

Mensagens instantâneas

As mensagens instantâneas são um meio de comunicação relativamente novo, mas que ganhou ampla popularidade como uma ferramenta de negócios, e alguns analistas estimam que haverá 200 milhões de usuários de produtos de mensagens instantâneas em 2006. O caráter imediato e familiar das mensagens instantâneas as torna um terreno rico de oportunidades para os ataques de engenharia social, porque os usuários as encaram como um telefone e não as associam às ameaças potenciais de software de computador. Os dois principais ataques que usam as mensagens instantâneas são a distribuição de um link para malware em uma mensagem instantânea e a distribuição de um arquivo propriamente dito. Obviamente, as mensagens instantâneas também representam outra maneira de simplesmente solicitar informações.

Há várias ameaças potenciais inerentes às mensagens instantâneas quando se trata da engenharia social. A primeira é o caráter informal das mensagens instantâneas. A natureza de bate papo das mensagens instantâneas, junto com a opção de atribuir-se um nome falso, significa que não fica realmente claro se você está conversando com quem supõe que esteja conversando, o que aumenta a opção de falsificação informal.

A figura a seguir mostra como a falsificação funciona, tanto para email quanto para mensagens instantâneas.

Figura 3. Falsificação em mensagens instantâneas e email

Figura 3. Falsificação em mensagens instantâneas e email

O hacker (vermelho) se faz passar por outro usuário conhecido e envia um email ou uma mensagem instantânea que a vítima acreditará vir de alguém conhecido. A familiaridade relaxa as defesas do usuário, de modo a aumentar a probabilidade de ele clicar em um link ou abrir um anexo de alguém que conhece – ou pensa que conhece. A maioria dos provedores de mensagens instantâneas permite a identificação dos usuários com base em endereços de email, o que pode permitir a um hacker que tenha identificado um padrão de endereçamento na sua empresa enviar convites de contato por mensagens instantâneas para outras pessoas na organização. Essa funcionalidade não representa uma ameaça, mas significa que o número de vítimas na empresa é grandemente aumentado.

Tabela 3. Ataques por mensagens instantâneas e seus custos

Objetivos do ataque

Descrição

Custo

Solicitação de informações confidenciais da empresa

O hacker usa a falsificação de mensagens instantâneas para se fazer passar por um colega e solicitar informações comerciais.

Informações confidenciais

Credibilidade da empresa

Download de malware

O hacker engana um usuário convencendo-o a clicar em um hiperlink ou abrir um anexo e, assim, infectar a rede da empresa.

Disponibilidade da empresa

Credibilidade da empresa

Download do software do hacker

O hacker engana um usuário convencendo-o a clicar em um hiperlink ou abrir um anexo e, assim, baixar um programa do hacker, como um mecanismo de email, que usa os recursos de rede da empresa.

Recursos

Credibilidade da empresa

Dinheiro

Se você estiver ansioso por aproveitar o caráter imediato e a redução de custos que as mensagens instantâneas podem representar, precisa incluir defesas específicas às mensagens instantâneas em suas diretivas de segurança. Para ajudar a controlar as mensagens instantâneas em sua empresa, estabeleça as cinco regras de utilização a seguir:

  • Padronizar uma única plataforma de mensagens instantâneas. Esta regra minimizará o esforço de suporte e desestimulará os usuários a usar seus próprios provedores pessoais de mensagens instantâneas. Se quiser uma abordagem mais controlada à limitação das opções do usuário, opte por bloquear as portas usadas pelos serviços de mensagens instantâneas mais comuns.

  • Definir configurações de segurança de implantação. Os clientes de mensagens instantâneas oferecem uma variedade de opções de segurança e privacidade, como a verificação de vírus.

  • Definir orientações de contatos. Recomende aos usuários não aceitar novos convites de contato por padrão.

  • Definir padrões de senha. Faça com que suas senhas de mensagens instantâneas estejam em conformidade com os padrões de senhas de alta segurança definidos para as senhas dos hosts.

  • Fornecer orientação sobre o uso. Desenvolva um conjunto de orientações de práticas recomendadas para os usuários, explicando o raciocínio que embasa as recomendações.

Ameaças por telefone

O telefone oferece um vetor de ataque sem igual para hackers que se valem da engenharia social. Ele é um meio de comunicação familiar, mas também é impessoal, porque a vítima não pode ver o hacker. As opções de comunicações da maioria dos sistemas de computador também podem tornar o PBX uma vítima atraente. Um outro ataque bastante básico é furtar números de cartões de crédito ou PINs de cartões telefônicos em telefones públicos. Esse ataque normalmente é cometido contra um indivíduo, mas os cartões de crédito da empresa também podem ser vítimas. A maioria das pessoas sabe que é preciso ser cauteloso com possíveis bisbilhoteiros quando se usa um caixa eletrônico, mas a maioria das pessoas tem menos cuidado quando usa um PIN em um telefone público.

O VoIP (Voice over Internet Protocol) é um mercado em desenvolvimento que oferece benefícios de custos às empresas. Atualmente, devido ao número relativamente restrito de instalações, o hacking de VoIP não é considerado uma grande ameaça. No entanto, à medida que mais empresas adotam essa tecnologia, a falsificação de VoIP está fadada a se tornar tão generalizada quanto a falsificação de email e de mensagens instantâneas de hoje em dia.

PBX

São três os principais objetivos de um hacker que ataca um PBX:

  • Solicitar informações, geralmente imitando um usuário legítimo, seja para acessar o sistema telefônico propriamente dito ou para obter acesso remoto a sistemas de computador.

  • Obter acesso ao uso “gratuito” do telefone.

  • Obter acesso à rede de comunicações.

Cada um desses objetivos é uma variação de um mesmo tema, com o hacker ligando para a empresa e tentando obter números de telefone que forneçam acesso diretamente a um PBX ou através de um PBX para a rede telefônica pública. O termo usado pelos hackers para isso é phreaking. A abordagem mais comum é o hacker fingir ser um técnico de telefonia e solicitar uma linha externa ou uma senha para analisar e resolver os problemas relatados no sistema interno de telefonia, conforme mostrado na figura a seguir.

Figura 4. Ataques a PBX de telefonia

Figura 4. Ataques a PBX de telefonia

Solicitações de informações ou acesso pelo telefone são uma forma de ataque relativamente livre de riscos. Se a vítima suspeitar de algo ou se recusar a acatar uma solicitação, o hacker pode simplesmente desligar. Mas perceba que esses ataques são mais sofisticados do que o hacker simplesmente ligar para uma empresa e pedir uma identificação de usuário e senha. O hacker normalmente apresenta um cenário, pedindo ou oferecendo ajuda, antes de fazer a solicitação de informações pessoais ou comerciais, quase como uma reflexão posterior.

Tabela 4. Ataques a PBX e seus custos

Objetivos do ataque

Descrição

Custo

Solicitar informações da empresa

O hacker se faz passar por um usuário legítimo para obter informações confidenciais.

Informações confidenciais

Credibilidade da empresa

Solicitar informações telefônicas

O hacker se faz passar por um técnico de telefonia para obter acesso ao PBX a fim de fazer chamadas externas.

Recursos

Dinheiro

Usar o PBX para acessar sistemas de computador

O hacker viola o sistema de computador, pelo PBX, para furtar ou manipular informações, infectar com malware ou usar recursos.

 

A maioria dos usuários não tem nenhum conhecimento do sistema telefônico interno além do telefone propriamente dito. Essa é a defesa mais importante a ser incluída na diretiva de segurança. É incomum para os hackers abordar usuários em geral dessa maneira. As vítimas mais comuns são recepcionistas e telefonistas. É preciso determinar que somente a central de atendimento está autorizada a prestar assistência a fornecedores de telefonia. Dessa forma, todo o pessoal autorizado lida com todas as chamadas de suporte de engenharia. Essa abordagem permite ao pessoal visado redirecionar essas consultas de maneira eficiente e rápida para um membro da equipe qualificada.

Central de atendimento

A central de atendimento – ou Suporte técnico – é um dos principais sustentáculos da defesa contra hackers, mas ela é, por outro lado, uma vítima de hackers que se valem da engenharia social. Ainda que com freqüência a equipe de suporte esteja ciente da ameaça de hacking, ela também é treinada para ajudar e prestar suporte àqueles que telefonam, oferecendo a eles conselhos e solucionando seus problemas. Às vezes, o entusiasmo demonstrado pela equipe de suporte técnico ao fornecer uma solução sobrepuja seu compromisso com a adesão aos procedimentos de segurança e apresenta um dilema à equipe da central de atendimento: Se eles fizerem cumprir rigorosos padrões de segurança, solicitando provas que validem que a solicitação ou pergunta vem de um usuário autorizado, podem parecer pouco solícitos e até mesmo contraproducentes. A equipe de produção ou de vendas e marketing que sente que o departamento de TI não está fornecendo o serviço imediato necessário pode reclamar, e os gerentes sêniores de quem é solicitada prova de identidade tendem a ser pouco compreensivos com o cuidado da equipe de suporte.

Tabela 5. Ataques telefônicos à central de atendimento e seus custos

Objetivos do ataque

Descrição

Custo

Solicitar informações

O hacker se faz passar por um usuário legítimo para obter informações comerciais.

Informações confidenciais

Solicitar acesso

O hacker se faz passar por um usuário legítimo para obter acesso de segurança a sistemas comerciais.

Informações confidenciais

Credibilidade da empresa

Disponibilidade da empresa

Recursos

Dinheiro

A central de atendimento precisa equilibrar segurança e eficiência comercial e, portanto, as diretivas e os procedimentos de segurança precisam oferecer o devido suporte. É razoável um analista da central de atendimento solicitar uma comprovação de identidade, como o fornecimento do número de funcionário, do departamento e do nome do gerente, visto que todos sabem essas informações. Mas essa comprovação pode não ser completamente segura, já que um hacker pode ter furtado essas informações. No entanto, é um começo realista. Na verdade, a única maneira 99,99% exata de identificação é um teste de DNA, que obviamente não é realista.

É mais difícil defender o analista da central de atendimento contra um hacker interno ou empreiteiro. Tal hacker terá um bom conhecimento prático dos procedimentos internos e terá tempo de certificar-se de ter todas as informações necessárias antes de fazer uma chamada para a central de atendimento. Os procedimentos de segurança devem se prestar a uma função dupla nesta situação:

  • O analista da central de atendimento deve se assegurar de que haja uma trilha de auditoria de todas as ações. Se um hacker conseguir obter acesso não autorizado a informações ou recursos por meio de uma chamada à central de atendimento, a central de atendimento precisa registrar todas as atividades para poder retificar ou limitar rapidamente qualquer dano ou perda. Se cada chamada acionar um email automático ou manual que declara o problema ou solicitação, também será mais fácil para um funcionário que tenha sido vítima de furto de identidade perceber o que aconteceu e chamar a central de atendimento.

  • O analista da central de atendimento precisa ter um procedimento bem estruturado para lidar com diferentes tipos de chamada. Por exemplo, se for preciso que o gerente do funcionário faça solicitações de alteração do acesso por email, não poderá haver alterações não autorizadas ou informais dos níveis de segurança.

Se os usuários estiverem cientes dessas regras e a gerência oferecer suporte à sua implementação, será muito mais difícil para os hackers serem bem-sucedidos ou permanecerem não detectados. A trilha de auditoria de 360º é a ferramenta mais valiosa para se impedir e descobrir ações ilegítimas.

Ameaças de gerenciamento de lixo

A análise ilícita do lixo – ou mergulho na lixeira, como é denominada – é uma atividade valiosa para os hackers. Os cestos de lixo das empresas podem conter informações que podem proporcionar benefícios imediatos a um hacker, como números de conta e identificações de usuário descartados, ou que podem servir como informações gerais, como, por exemplo, listas telefônicas e organogramas. Esse último tipo de informação tem um valor inestimável para um hacker que se vale da engenharia social, porque o torna mais convincente durante o ataque. Por exemplo, se um hacker parece ter um bom conhecimento prático do pessoal em um departamento da empresa, ele provavelmente será mais bem-sucedido ao abordar a empresa. A maioria dos funcionários partirá do pressuposto de que alguém que sabe tanto sobre a empresa deve ser um funcionário legítimo.

A mídia eletrônica pode ser ainda mais útil. Se as empresas não tiverem regras para o gerenciamento de lixo que incluam a eliminação de mídia redundante, será possível localizar todo tipo de informações em discos rígidos, CDs e DVDs eliminados. A natureza robusta da mídia fixa e removível significa que os responsáveis pela segurança de TI precisam estipular diretivas de gerenciamento de mídia que incluam instruções de eliminação ou destruição.

Tabela 6: Ataques de gerenciamento de lixo e seus custos

Objetivos do ataque

Descrição

Custo

Cestas de lixo em recipientes externos

O hacker pega papéis em lixeiras alojadas externamente para furtar informações relevantes da empresa.

Informações confidenciais

Credibilidade da empresa

Cestas de lixo em recipientes internos

O hacker pega papéis em recipientes internos do escritório, burlando quaisquer orientações de gerenciamento do papel eliminado externamente.

Informações confidenciais

Credibilidade da empresa

Lixo em mídia eletrônica

O hacker furta informações e aplicativos de mídia eletrônica descartada. O hacker também furta a mídia propriamente dita.

Informações confidenciais

Recursos

Credibilidade da empresa

Seus funcionários devem compreender completamente as implicações de se descartar papéis usados ou mídia eletrônica em uma lixeira. Depois que o lixo é levado para fora do edifício, sua propriedade pode se tornar uma questão legal dúbia. O mergulho na lixeira pode não ser considerado ilegal em todas as circunstâncias, sendo preciso instruir os funcionários quanto a como lidar com o lixo. Triture sempre os papéis usados ou destrua a mídia magnética. Se algum lixo for grande ou resistente demais para o triturador de papéis, como uma lista telefônica, ou se sua destruição estiver além da capacidade do usuário, será preciso desenvolver um protocolo específico de eliminação. Os recipientes de lixo também devem ser mantidos em uma área segura inacessível ao público.

Ao projetar uma diretiva de gerenciamento de lixo, é importante assegurar o cumprimento de regras locais com relação a saúde e segurança. Também pode ser socialmente válido adotar estratégias de gerenciamento de lixo ecologicamente indicadas.

Além do gerenciamento do lixo externo – o papel ou a mídia eletrônica que pode ser disponibilizada às pessoas de fora da empresa – também é preciso gerenciar o lixo interno. Diretivas de segurança tendem a negligenciar essa questão, porque com freqüência se parte do pressuposto de que qualquer pessoa a quem tenha sido concedido o acesso à empresa deve ser confiável. Logicamente, esse não é sempre o caso. Uma das medidas mais eficazes no gerenciamento dos papéis usados é a especificação de uma classificação de dados. Você define diferentes categorias de informações baseadas em papel e especifica como os funcionários deverão gerenciar sua eliminação. Exemplos de categorias podem incluir:

  • Confidencial da empresa. Triture todos os documentos confidenciais da empresa antes de eliminá-los em qualquer lixeira.

  • Particular. Triture todos os documentos particulares antes de eliminá-los em qualquer lixeira.

  • Departamental. Triture todos os documentos departamentais antes de eliminá-los em depósitos de lixo públicos.

  • Público. Elimine documentos públicos em qualquer lixeira ou recicle o papel.

Para obter mais informações sobre o desenvolvimento de classificações de dados, consulte a SMF de Gerenciamento de Segurança, no Microsoft® TechNet, em http://go.microsoft.com/fwlink/?linkid=37696.

Abordagens pessoais

A maneira mais simples e barata para um hacker conseguir informações é pedi-las diretamente. Esta abordagem pode parecer básica e óbvia, mas vem sendo a base do abuso de confiança desde o início dos tempos. Quatro abordagens principais são bem-sucedidas entre os engenheiros sociais:

  • Intimidação. Esta abordagem pode envolver fazer-se passar por uma figura de autoridade para coagir a vítima a acatar a solicitação.

  • Persuasão. As formas mais comuns de persuasão incluem lisonja e menção de nomes de pessoas importantes.

  • Bajulação. Esta abordagem é geralmente um esquema a longo prazo, em que um subordinado ou colega constrói um relacionamento para ganhar a confiança e, finalmente, as informações da vítima.

  • Assistência. Nesta abordagem, o hacker se oferece para ajudar a vítima. A ajuda finalmente fará com que a vítima divulgue informações pessoais que permitirão ao hacker furtar a identidade da vítima.

A maioria das pessoas parte do pressuposto de que aqueles que as abordam dizem a verdade, o que é interessante, visto que é fato que a maioria das pessoas admite mentir. (The Lying Ape: An Honest Guide to a World of Deception, Brian King, Icon Books Limited). A confiança sem questionamentos é uma das metas de um hacker que se vale da engenharia social.

É muito difícil defender os usuários contra esse tipo de abordagem pessoal. Alguns usuários são naturalmente susceptíveis à engenharia social por meio de um desses quatro ataques. A defesa contra um ataque por intimidação é o desenvolvimento de uma cultura “sem medo” na empresa. Se o comportamento normal for a cortesia, o sucesso da intimidação fica reduzido, porque é maior a probabilidade de cada funcionário escalonar as situações onde exista confronto. Uma atitude de apoio entre os gerentes e supervisores ao escalonamento dos problemas e da tomada de decisões é a pior coisa que pode acontecer para um hacker que se vale da engenharia social. O objetivo do hacker é induzir a vítima a tomar uma decisão rápida. Com o problema escalonado para uma autoridade superior, ele tem menor probabilidade de alcançar esse objetivo.

A persuasão sempre foi um importante método de conquista de objetivos pessoais. Não há como excluir isso da sua força de trabalho, mas é possível fornecer orientações rigorosas sobre o que um indivíduo deve ou não fazer. O hacker sempre perguntará ou fabricará uma situação em que um usuário fornece informações restritas voluntariamente. Campanhas contínuas de conscientização e orientações básicas que abranjam dispositivos de segurança, como senhas, são a melhor defesa.

Os hackers precisam de tempo para ganhar a confiança dos usuários. O hacker precisará estar em contato regular, provavelmente assumindo o papel de um colega de trabalho. Para a maioria das empresas de médio porte, a principal ameaça entre colegas de trabalho vem de pessoal contratado e prestadores de serviços. O grupo de RH precisa ser tão cuidadoso com a triagem de segurança do pessoal terceirizado quanto é com relação aos funcionários efetivados. Você pode delegar a maior parte desse trabalho para o fornecedor terceirizado. Para certificar-se de que o fornecedor faça um trabalho eficaz, peça a ele que acate as diretivas de triagem que sua empresa usa com os funcionários efetivados. Se um hacker que se vale da engenharia social se tornar um funcionário efetivado da sua empresa, a melhor defesa é a conscientização do pessoal e sua adesão às regras da diretiva de segurança sobre a segurança das informações.

Finalmente, os ataques de assistência podem ser minimizados se você tiver uma central de atendimento eficaz. O assistente interno é com freqüência o resultado do descontentamento com os serviços de suporte existentes na empresa. Você precisa garantir dois elementos a fim de se certificar de que os funcionários contatem a central de atendimento em vez de um especialista interno não autorizado ou, o que é pior, um especialista de fora da empresa:

  • Especifique em sua diretiva de segurança que a central de atendimento é o único ponto a que os usuários devem relatar problemas.

  • Assegure-se de que a central de atendimento tenha um processo de resposta de acordo com o contrato de nível de serviço do departamento. Faça uma auditoria regular do desempenho da central de atendimento para certificar-se de que os usuários recebam o nível correto de resposta e solução.

Não subestime a importância da central de atendimento no fornecimento de uma defesa de primeiro nível contra ataques de engenharia social.

Abordagens virtuais

Os hackers que se valem da engenharia social precisam estabelecer o contato com suas vítimas para fazer seus ataques. Mais comumente, isso acontece por alguma mídia eletrônica, como um email ou uma janela pop-up. O volume de lixo eletrônico e spam que chega na maioria das caixas de correio pessoais reduziu a probabilidade de sucesso desse método de ataque, à medida que os usuários se tornam mais céticos com relação a emails de “correntes” e solicitações conspiratórias para participar de transações financeiras “legais” e lucrativas. Apesar disso, o volume de tais emails e o uso de mecanismos de email com cavalos de Tróia significa que ele permanece atraente para alguns hackers, com somente uma taxa mínima de sucesso. A maioria desses ataques é pessoal e tem como objetivo descobrir informações sobre a identidade da vítima. No entanto, o abuso generalizado dos sistemas da empresa, como computadores e acesso à Internet para uso pessoal, significa que os hackers podem entrar na rede corporativa.

Os telefones oferecem um método de abordagem mais pessoal, com menor volume. O risco limitado de prisão significa que alguns hackers usam o telefone como meio de abordagem, mas essa abordagem é principalmente para ataques de PBX e central de atendimento. A maioria dos usuários suspeitaria de uma chamada de alguém que não conhece pessoalmente solicitando informações.

Abordagens físicas

Menos comum, mas mais eficaz para o hacker, é o contato pessoal direto com a vítima. Somente o funcionário mais desconfiado suspeitaria da legitimidade de alguém que se apresenta e pergunta alguma coisa ou se oferece para ajudar com um sistema de computador. Embora essas abordagens impliquem em riscos maiores para o criminoso, as vantagens são óbvias. O hacker pode obter acesso irrestrito a sistemas de computador na empresa, dentro de todas as defesas de perímetro tecnológico existentes.

O aumento do uso de tecnologias móveis, que permitem aos usuários se conectar a redes corporativas enquanto estão em trânsito ou em casa, representa outra grande ameaça aos recursos de TI da empresa. Os ataques possíveis nesse caso incluem desde o mais simples ataque de observação, em que o hacker espia sobre os ombros de um usuário de computador móvel na tentativa de ver sua identificação de usuário e senha, até ataques mais sofisticados, em que um leitor de cartão ou atualização de roteador é entregue e instalado por um engenheiro de manutenção muito solícito, que obtém acesso à rede da empresa pedindo sua identificação de usuário, sua senha e talvez até uma xícara de café. Um hacker mais meticuloso obteria inclusive uma assinatura de autorização do usuário. Agora ele tem também uma assinatura do usuário! Entre esses tipos de ataque, há a ameaça de vizinhos que usam a largura de banda paga pela empresa para acessar a Internet por meio de uma LAN sem fio desprotegida.

Ainda que as empresas de grande porte contem com infra-estruturas de segurança de site altamente desenvolvidas, escritórios menores, de porte médio, podem ser mais relaxados quando ao acesso ao edifício. Seguir muito de perto, quando uma pessoa não autorizada segue alguém com um passe para um escritório, é um ataque de engenharia social bastante simples. O intruso abre a porta, pela qual passa o usuário autorizado, e então puxa conversa sobre o tempo ou o futebol no fim de semana enquanto eles passam juntos pela área da recepção. Esta abordagem não funcionaria em uma empresa de grande porte, onde cada indivíduo pode precisar passar o cartão em uma catraca, ou em uma pequena empresa, onde todos se conhecem. Entretanto, ela se ajusta perfeitamente a uma empresa com mil funcionários, onde acontece de um funcionário não conhecer todo mundo. Se o impostor tiver obtido acesso previamente a informações da empresa, como nomes de departamento, nomes de funcionários ou informações de memorandos internos, a conversa para provocar a distração será mais convincente.

A segurança das pessoas que trabalham em casa se limita à tecnologia. A diretiva de segurança precisa exigir firewalls para garantir que hackers externos não obtenham acesso às redes. Além dessa exigência, a maioria das empresas de médio porte permite que seus funcionários que trabalham em casa gerenciem sua própria segurança, e até mesmo seus backups.

Tabela 7. Ataques de acesso físico e seus custos

Objetivos do ataque

Descrição

Custo

Furto de identidade de usuário móvel

O hacker observa o usuário legítimo digitar as informações de logon, entre outras, no computador. Isso pode antecipar-se ao furto de equipamentos físicos de computador.

Informações confidenciais

Furto de identidade de usuário de pessoas que trabalham em casa

O hacker se faz passar por um funcionário de suporte de TI ou parceiro de manutenção para obter acesso à rede da pessoa que trabalha em casa, solicitando a identificação de usuário e a senha para testar o sucesso de uma atualização.

Informações confidenciais

Contato direto com a rede pela rede da pessoa que trabalha em casa

O hacker acessa a rede da empresa via rede da pessoa que trabalha em casa, fazendo-se passar por um engenheiro de suporte. O hacker tem acesso irrestrito à rede e aos recursos da empresa.

Informações confidenciais

Credibilidade da empresa

Disponibilidade da empresa

Recursos

Dinheiro

Acesso contínuo à rede da pessoa que trabalha em casa

O hacker ou o usuário local obtém acesso à banda larga para acesso à Internet por meio de uma rede doméstica desprotegida.

Recursos

Acesso desacompanhado a escritórios da empresa

O hacker segue de perto um funcionário autorizado na entrada do escritório da empresa.

Informações confidenciais

Credibilidade da empresa

Disponibilidade da empresa

Dinheiro

Recursos

Acesso a um escritório da empresa

O hacker obtém acesso a um escritório onde ele pode tentar usar equipamentos de computador ou recursos de papel, como fichários.

Informações confidenciais

Recursos

Dinheiro

Defesas contra essas ameaças dependem essencialmente da implementação de práticas recomendadas pelos usuários, com base em uma diretiva de segurança eficaz da empresa, que aborde as três áreas a seguir:

  • Local da empresa

  • Casa

  • Trabalho móvel

Deveria ser impossível entrar no prédio ou local de uma empresa sem a devida autorização. O pessoal da recepção deve ser cortês, mas firme ao lidar com funcionários, prestadores de serviços e visitantes. Algumas condições simples na diretiva de segurança da empresa tornarão quase impossível um ataque físico de engenharia social dentro do prédio. Essas condições podem incluir o uso de:

  • Crachás com identificação fotográfica, exibidos sempre que um funcionário entra ou sai do prédio.

  • Um livro de visitantes, assinado pelo visitante e rubricado pelo funcionário visitado, tanto na chegada quanto na saída.

  • Crachás de visitante datados e visíveis a todo momento e devolvidos na recepção na saída.

  • Um livro de prestadores de serviço assinado pelo prestador de serviço e rubricado pelo funcionário que autorizou o serviço, tanto na chegada quanto na saída.

  • Crachás de prestadores de serviço datados e visíveis a todo momento e devolvidos na recepção na saída.

Para se certificar de que todos se apresentem na recepção, a empresa precisa construir barreiras para garantir que o visitante precise passar diretamente pela recepção e apresentar suas credenciais ou registrar-se. Essas barreiras não precisam ser catracas ou barreiras pelas quais seja preciso se espremer.

Por exemplo, uma área de recepção pode usar algo tão ameno quanto um sofá para direcionar as pessoas a passarem pela recepção, como ilustram os dois exemplos na figura a seguir.

Figura 5. Planejamento da recepção

Figura 5. Planejamento da recepção

A área da recepção à esquerda permite que um visitante não autorizado siga de perto um funcionário legítimo, escondendo-se atrás dele. O exemplo à direita exige que todo visitante passe em frente à recepção. A posição do terminal de computador não obstrui a visão da recepcionista. A folga precisa ser grande o suficiente para permitir que qualquer pessoa passe confortavelmente, inclusive em cadeiras de rodas. É essencial que a equipe da recepção seja bem treinada e consistente ao dar as boas-vindas e verificar cada pessoa. Cada entrada no prédio deve estar em conformidade com esses padrões, e os funcionários devem usar exclusivamente as entradas e saídas autorizadas do prédio, não podendo haver portas dos fundos.

Ao construir qualquer forma de barreira ou sistema de gerenciamento de porta, certifique-se de estar em conformidade com requisitos da regulamentação de saúde, segurança e acessibilidade.

Em casa, não é realista autorizar cada visitante ou negociante. Na verdade, a maioria das pessoas é muito mais cuidadosa com relação a visitantes em casa do que no escritório. E o mais importante: é preciso assegurar-se de que um ataque não permita o acesso aos recursos da empresa. Um protocolo sobre os serviços de TI fora do local precisa incluir regras que estipulem as seguintes condições:

  • Cada ação do suporte técnico, seja um conserto no local ou uma atualização, precisa ser planejada e autorizada pela equipe de suporte.

  • Prestadores de serviço e funcionários internos que realizam a manutenção ou instalação no local precisam ter uma identificação, de preferência que inclua uma fotografia.

  • O usuário deve entrar em contato com o departamento de suporte de TI para informá-lo quando o engenheiro chegar e quando o trabalho for concluído.

  • Cada trabalho tem uma folha de trabalho validada pelo usuário.

  • O usuário não deve nunca fornecer informações de acesso pessoais ou fazer logon no computador para fornecer acesso a um engenheiro.

Este último ponto é crucial. É obrigação do grupo de serviços de TI certificar-se de que qualquer engenheiro fora do local tenha acesso pessoal suficiente para realizar o trabalho. Se o engenheiro não tiver acesso de usuário suficiente para completar uma tarefa, ele precisa entrar em contato com a central de atendimento. Este requisito é essencial, porque trabalhar como um humilde engenheiro para uma empresa de serviços de computador é um dos empregos mais rentáveis que um hacker em potencial pode conseguir. Ele concede ao hacker tanto autoridade técnica quanto a oportunidade de oferecer ajuda.

Trabalhadores móveis com freqüência usam seus computadores em ambientes cheios de gente, como em um trem ou em estações, aeroportos e restaurantes. Logicamente, é quase impossível ter certeza de que ninguém esteja olhando enquanto você digita em um ambiente desse tipo, mas a diretiva de segurança da empresa precisa oferecer orientações sobre como minimizar os riscos para as informações pessoais e comerciais. Se os funcionários usarem PDAs (assistentes digitais pessoais), inclua informações sobre o gerenciamento da segurança e a sincronização.

Engenharia social reversa

A engenharia social reversa descreve uma situação em que a vítima aborda o hacker e oferece a ele as informações que ele deseja. Essa situação pode parecer improvável, mas figuras de autoridades – especialmente técnicas ou sociais – geralmente recebem informações pessoais vitais, como identificações de usuário e senhas, porque estão acima de qualquer suspeita. Por exemplo, nenhum funcionário do Suporte técnico deve pedir a identificação de usuário e a senha de alguém que o contate por telefone. Eles resolvem problemas sem essas informações. Muitos usuários que têm problemas de TI oferecem esses elementos vitais à segurança voluntariamente para tentar agilizar uma solução. O hacker nem precisa pedir. Os ataques de engenharia social não são reativos, como este cenário sugere.

Um ataque de engenharia social cria uma situação, propõe uma solução e fornece assistência quando solicitada, talvez de forma tão simples como no seguinte cenário:

Um colega de trabalho que é hacker renomeia ou move um arquivo de forma que a vítima acredite que o arquivo não existe mais. O hacker se propõe a conseguir o arquivo de volta. A vítima, ansiosa por prosseguir com seu trabalho ou preocupada com o fato de a perda das informações ser sua própria culpa, aceita rapidamente a oferta. O hacker informa que só poderá resolver o problema se fizer logon com as credenciais da vítima. Ele pode até dizer que a diretiva da empresa proíbe isso. A vítima implorará ao hacker que faça logon com suas credenciais e recupere o arquivo. Relutante, o hacker concorda, recupera o arquivo original e furta a identificação de usuário e a senha da vítima. Ainda por cima, o hacker conquista uma reputação tal que faz com que ele receba solicitações para ajudar outros colegas. Esta abordagem pode burlar os canais normais de suporte de TI e ajudar o hacker a passar despercebido.

Nem sempre é necessário estar familiarizado com uma vítima ou mesmo conhecê-la para usar a engenharia social reversa. Imitar problemas usando caixas de diálogo pode ser eficaz em um ataque não específico de engenharia social reversa. A caixa de diálogo informa que há um problema ou que uma atualização é necessária para continuar. A caixa de diálogo oferece um download para resolver o problema. Quando o download é concluído, o problema fabricado desaparece, e o usuário continua trabalhando, alheio ao fato de ter violado a segurança e baixado um programa de malware.

Tabela 8. Ataques de engenharia social reversa e seus custos

Objetivos do ataque

Descrição

Custo

Furto de identidade

O hacker recebe a identificação de usuário e a senha de um usuário autorizado.

Informações confidenciais

Credibilidade da empresa

Disponibilidade da empresa

Dinheiro

Recursos

Furto de informações

O hacker usa uma identificação de usuário e senha autorizadas para obter acesso aos arquivos da empresa.

Informações confidenciais

Dinheiro

Recursos

Credibilidade da empresa

Disponibilidade da empresa

Download de malware

O hacker engana um usuário convencendo-o a clicar em um hiperlink ou abrir um anexo e, assim, infectar a rede da empresa.

Disponibilidade da empresa

Credibilidade da empresa

Download do software do hacker

O hacker engana um usuário convencendo-o a clicar em um hiperlink ou abrir um anexo e, assim, baixar um programa do hacker, como um mecanismo de email, que usa os recursos de rede da empresa.

Recursos

Credibilidade da empresa

Dinheiro

Defender-se da engenharia social reversa é provavelmente o mais difícil dos desafios. A vítima não tem motivo para suspeitar do hacker, porque sente que está no comando da situação. A principal defesa é a estipulação na diretiva de segurança de que todos os problemas precisam ser resolvidos pela central de atendimento. Se os membros da equipe da central de atendimento forem eficientes, corteses e objetivos, outros funcionários os abordarão, em vez de pedir ajuda a funcionários não autorizados ou a conhecidos.

Projetando defesas contra ameaças de engenharia social

Depois que se compreende a grande variedade de ameaças que existe, três etapas são necessárias para se projetar uma defesa contra ameaças de engenharia social voltadas aos funcionários da empresa. A eficácia da defesa depende do planejamento. Com freqüência, as defesas são reativas – você descobre um ataque bem-sucedido e constrói uma barreira para garantir que o problema não volte a ocorrer. Ainda que essa abordagem demonstre um nível de conscientização, a solução chega tarde demais se o problema for grande ou dispendioso. Para antecipar esse cenário, siga as três etapas a seguir:

  • Desenvolva uma estrutura de gerenciamento da segurança. É preciso definir um conjunto de objetivos da segurança contra engenharia social e um grupo de funcionários responsáveis pelo cumprimento desses objetivos.

  • Avalie o gerenciamento do risco. Ameaças semelhantes não apresentam o mesmo nível de risco a empresas distintas. É preciso analisar cada uma das ameaças da engenharia social e avaliar o perigo que representa para a sua organização.

  • Implemente defesas contra engenharia social em sua diretiva de segurança. Desenvolva um conjunto de diretivas e procedimentos por escrito que estipulem como os funcionários devem lidar com situações que possam ser ataques de engenharia social. Esta etapa parte do pressuposto da existência de uma diretiva de segurança, independentemente da ameaça apresentada pela engenharia social. Se você não tiver uma diretiva de segurança, precisa desenvolver uma. Os elementos identificados pela avaliação do risco da engenharia social serão um início, mas será preciso avaliar outras ameaças potenciais.

    Para obter mais informações sobre diretivas de segurança, consulte o site Microsoft Segurança em www.microsoft.com/brasil/security/default.mspx.

Desenvolvendo uma estrutura de gerenciamento da segurança

Uma estrutura de gerenciamento da segurança define uma visão geral das possíveis ameaças da engenharia social à organização e aloca funções nomeadas responsáveis pelo desenvolvimento de diretivas e procedimentos para atenuar essas ameaças. Essa abordagem não significa que você precisa empregar funcionários cuja única função seja garantir a segurança dos ativos da empresa. Ainda que essa abordagem possa ser uma opção em organizações de grande porte, é raramente viável ou desejável contar com essas funções em organizações de médio porte. O requisito é certificar-se de que um grupo de pessoas assuma as principais responsabilidades pelas seguintes funções de segurança:

  • Patrocinador de segurança. Um gerente sênior, provavelmente no nível do conselho, que possa oferecer a autoridade necessária para garantir que todos os funcionários levem a questão da segurança a sério.

  • Gerente de segurança. Um funcionário de nível de gerência que seja responsável por orquestrar o desenvolvimento e a manutenção de uma diretiva de segurança.

  • Diretor de segurança de TI. Um membro da equipe técnica que seja responsável pelo desenvolvimento da infra-estrutura de TI e de diretivas e procedimentos operacionais de segurança.

  • Diretor de segurança nas instalações. Um membro da equipe das instalações que seja responsável pelo desenvolvimento de diretivas e procedimentos operacionais de segurança do local.

  • Diretor de conscientização da segurança. Um funcionário no nível de gerência – geralmente do departamento de recursos humanos ou de desenvolvimento do pessoal – que seja responsável pelo desenvolvimento e pela execução de campanhas de conscientização de segurança.

Este grupo – o Comitê de orientação de segurança – representa os facilitadores dentro da empresa. Como o defensor de segurança selecionado, o Comitê de orientação de segurança precisa estabelecer os objetivos centrais da estrutura de gerenciamento da segurança. Sem um conjunto de objetivos definíveis, fica difícil estimular a participação de outros funcionários ou medir o sucesso do projeto. A tarefa inicial do Comitê de orientação de segurança é identificar as vulnerabilidades de engenharia social existentes na empresa. Uma simples tabela como esta apresentada a seguir permite ter uma noção dos vetores de ataque.

Tabela 9. Vulnerabilidades a vetores de ataque de engenharia social da empresa

Vetor de ataque

Descrever uso pela empresa

Comentários

Online

 

 

Email

Todos os usuários têm o Microsoft Outlook® nos computadores desktop.

 

Internet

Os usuários móveis têm o Outlook Web Access (OWA), além do acesso de cliente do Outlook.

 

Aplicativos de pop-up

 

Não há barreiras tecnológicas implementadas no momento contra pop-ups.

Mensagens instantâneas

A empresa permite o uso não gerenciado de uma variedade de produtos para mensagens instantâneas.

 

Telefone

 

 

PBX

 

 

Central de atendimento

No momento, a “central de atendimento” é uma função de suporte informal desempenhada pelo departamento de TI.

Precisamos estender o fornecimento de suporte para além da área de TI.

Gerenciamento de lixo

 

 

Interno

Todos os departamentos gerenciam sua própria eliminação de lixo.

 

Externo

Os recipientes de lixo são colocados fora do local da empresa. A coleta de lixo acontece na quinta-feira.

No momento, não temos nenhum espaço para os recipientes de lixo dentro do local.

Abordagens pessoais

 

 

Segurança física

 

 

Segurança do escritório

Todos os escritórios ficam destrancados durante o dia.    

Vinte e cinco por cento dos funcionários trabalham em casa.    Não temos padrões de segurança por escrito para as pessoas que trabalham em casa.

Pessoas que trabalham em casa

Não temos protocolos para manutenção no local de pessoas que trabalham em casa.

 

Outro/Específico à empresa

 

 

Franqueados internos

Todas as refeições são gerenciadas por uma franquia.

Não sabemos nada sobre esse pessoal, e não há uma diretiva de segurança para eles.

Quando o Comitê de orientação de segurança tiver uma boa noção das vulnerabilidades, poderá desenvolver uma tabela de Vulnerabilidades por vetores de ataque de engenharia social da empresa (mostrada no exemplo anterior). A tabela descreve os protocolos da empresa em áreas potencialmente vulneráveis. O conhecimento das vulnerabilidades permite ao comitê desenvolver um esquema dos requisitos potenciais de diretiva.

O Comitê de orientação de segurança precisa primeiro identificar as áreas que podem representar um risco à empresa. Esse processo deve incluir todos os vetores de ataque identificados neste documento e elementos específicos à empresa, como o uso de terminais públicos ou procedimentos de gerenciamento do escritório.

Avaliação de riscos

Toda segurança requer a avaliação do nível de risco que um ataque apresenta para a empresa. Embora a avaliação do risco precise ser minuciosa, ela não precisa ser muito demorada. Com base no trabalho feito na identificação dos elementos centrais da estrutura de gerenciamento da segurança pelo Comitê de orientação de segurança, é possível categorizar e priorizar os riscos. As categorias de riscos incluem:

  • Informações confidenciais

  • Credibilidade da empresa

  • Disponibilidade da empresa

  • Recursos

  • Dinheiro

Você define prioridades por meio da identificação do risco e do cálculo do custo de atenuação do risco. Se a atenuação for mais cara do que a ocorrência do risco, ela pode não ser justificável. Essa fase de avaliação do risco pode ser muito útil no desenvolvimento final da diretiva de segurança.

Por exemplo, o Comitê de orientação de segurança pode destacar o perigo da segurança relativa a visitantes na recepção. Para uma empresa que espera não mais de 20 visitantes por hora, não é preciso considerar o emprego de nada mais sofisticado do que uma recepcionista, um livro de registro e alguns crachás de visitante numerados. Mas para um empresa que espera 150 visitantes por hora, podem ser necessários mais funcionários na recepção ou terminais de registro de auto-atendimento. Enquanto a empresa menor não poderia justificar os custos com terminais de registro de auto-atendimento, a maior não poderia justificar o custo da perda de negócios devido a longas esperas.

Como alternativa, uma empresa que nunca tem visitantes ou prestadores de serviço pode sentir que é mínimo o risco de deixar materiais impressos em um local central enquanto aguardam a coleta. No entanto, uma empresa com um grande número de pessoas que não sejam funcionários pode considerar que a única forma de contornar o risco comercial representado por informações potencialmente confidenciais que ficam na impressora é instalar recursos de impressão local em cada mesa. A empresa pode se precaver contra esse risco estipulando que um funcionário acompanhe o visitante durante toda a visita. Esta solução é bem menos cara, a não ser, talvez, em termos do tempo dos funcionários.

Com base na avaliação comercial da matriz de vulnerabilidades de vetor de ataque de engenharia social da empresa, o Comitê de orientação de segurança pode definir os requisitos da diretiva, os tipos de risco e os níveis de risco para a empresa, conforme mostrado na tabela a seguir.

Tabela 10. Matriz de riscos e requisitos de segurança do Comitê de orientação

Vetor de ataque

Requisito possível da diretiva

Risco Tipo Informações confidenciais Credibilidade da empresa Disponibilidade da empresa Recursos Dinheiro

Nível de risco Alto = 5 Baixo = 1

Ação

 

Conjunto por escrito de diretivas de segurança relativas a engenharia social

 

 

 

 

Alterações para tornar a conformidade com a diretiva uma parte do contrato padrão com os funcionários

 

 

 

 

Alterações para tornar a conformidade com a diretiva uma parte do contrato padrão com os prestadores de serviço

 

 

 

Online

 

 

 

 

Email

Diretiva sobre tipos de anexos e como gerenciá-los

 

 

 

Internet

Diretiva de uso da Internet

 

 

 

Aplicativos de pop-up

Diretiva para uso da Internet, com foco específico em o que fazer com caixas de diálogo inesperadas

 

 

 

Mensagens instantâneas

Diretiva sobre clientes de mensagens instantâneas compatíveis e permitidos

 

 

 

Telefone

 

 

 

 

PBX

Diretiva para gerenciamento do suporte do PBX

 

 

 

Central de atendimento

Diretiva para o fornecimento de acesso a dados

 

 

 

Gerenciamento de lixo

 

 

 

 

Papel

Diretiva para gerenciamento de papéis usados

 

 

 

 

Orientações para gerenciamento de recipientes de lixo

 

 

 

Eletrônico

Diretiva para gerenciamento da eliminação de materiais em mídia eletrônica

 

 

 

Abordagens pessoais

 

 

 

 

Segurança física

Diretiva para gerenciamento de visitantes

 

 

 

Segurança do escritório

Diretiva para gerenciamento de identificação de usuário e senha – por exemplo, não anotar senhas em lembretes adesivos colocados no monitor

 

 

 

Pessoas que trabalham em casa

Diretiva para uso de computadores móveis fora da empresa

 

 

 

Outro/
Específico à empresa

 

 

 

 

Franqueados internos

Diretiva para triagem de funcionários de franquias internas

 

 

 

O Comitê de orientação de segurança deve chegar a um consenso sobre a importância de um risco. Cada grupo de negócios terá uma perspectiva diferente sobre os riscos apresentados por diferentes ameaças.

Para obter mais informações sobre metodologias e ferramentas de avaliação de riscos, consulte o Guia de Gerenciamento de Riscos de Segurança em http://go.microsoft.com/fwlink/?linkid=30794.

Engenharia social na diretiva de segurança

A gerência e a equipe de TI de uma empresa precisam desenvolver e ajudar a implementar uma diretiva de segurança eficaz na organização. Às vezes, o foco de uma diretiva de segurança é o uso de controles tecnológicos que ajudarão a proteger contra ameaças tecnológicas, como vírus e worms. Controles tecnológicos ajudam a proteger tecnologias, como arquivos de dados, arquivos de programa e sistemas operacionais. As defesas contra a engenharia social precisam ajudar a prevenir ataques genéricos de engenharia social contra os funcionários.

O Comitê de orientação de segurança tem as áreas de segurança fundamental e avaliação de riscos para as quais deve atribuir o desenvolvimento de procedimentos, processos e documentação comercial. A tabela a seguir mostra como o Comitê de orientação de segurança, com a ajuda de grupos especializados, pode definir a documentação necessária para oferecer suporte à diretiva de segurança.

Tabela 11. Requisitos de procedimento e documento do Comitê de orientação

Requisito da diretiva

Requisito de procedimento/documento

Ação em / data

Conjunto por escrito de diretivas de segurança relativas a engenharia social

Nenhum

 

Alterações para tornar a conformidade com a diretiva uma parte do contrato padrão com os funcionários

  1. Redação dos novos requisitos do contrato (Jurídico)

  2. Novo formato para o contrato dos prestadores de serviço

 

Alterações para tornar a conformidade com a diretiva uma parte do contrato padrão com os prestadores de serviço

  1. Redação dos novos requisitos do contrato (Jurídico)

  2. Novo formato para o contrato dos prestadores de serviço

 

Diretiva para gerenciamento de visitantes

  1. Procedimento para registro de entrada e saída de visitantes

  2. Procedimento para acompanhamento de visitantes

 

Orientações para gerenciamento de recipientes de lixo

  1. Procedimento para eliminação de papéis usados (consulte Dados)

  2. Procedimento para eliminação de mídia eletrônica (consulte Dados)

 

Diretiva para o fornecimento de acesso a dados

 

 

Diretiva para gerenciamento de papéis usados

 

 

Diretiva para gerenciamento da eliminação de materiais em mídia eletrônica

 

 

Diretiva para uso da Internet, com foco específico em o que fazer com caixas de diálogo inesperadas

 

 

Diretiva para gerenciamento de identificação de usuário e senha – não anotar senhas em lembretes adesivos colocados no monitor, etc.

 

 

Diretiva para uso de computadores móveis fora da empresa

 

 

Diretiva para gerenciamento de problemas relativos à conexão com aplicativos de parceiros (bancos, finanças, compras, gerenciamento de estoques)

 

 

Como você pode ver, esta lista pode se tornar muito longa. Você pode optar por contratar ajuda especializada para acelerar este elemento do processo. O Comitê de orientação de segurança deve concentrar seu foco em áreas que considera de alto valor, com base no processo de avaliação do risco.

Implementando defesas contra ameaças de engenharia social

Depois de redigir e entrar em um acordo quanto à diretiva de segurança, é preciso disponibilizá-la aos funcionários e fazer com que estes a acatem. Ainda que você possa implementar controles técnicos sem o conhecimento de seus funcionários, você precisa conquistar o apoio deles se desejar implementar defesas contra a engenharia social de maneira bem-sucedida. Para oferecer apoio à implementação, é preciso desenvolver protocolos de resposta a incidentes para a equipe da central de atendimento.

Conscientização

Não há nenhum substituto para uma boa campanha de conscientização quando se implementam elementos de engenharia social na diretiva de segurança. A implementação é, logicamente, uma forma de engenharia social, e você precisa treinar seus funcionários para que conheçam a diretiva, entendam sua finalidade e saibam como devem reagir a uma suspeita de ataque. O principal elemento de um ataque de engenharia social é a confiança – a vítima confia no hacker. Para resistir a essa forma de ataque, você precisa estimular um ceticismo saudável entre seus funcionários com relação a qualquer coisa fora do comum e desenvolver a confiança dos funcionários na infra-estrutura de suporte de TI da empresa.

Os elementos de uma campanha de conscientização dependem de como você comunica informações para os funcionários na empresa. Você pode optar pelo treinamento estruturado, reuniões menos formais, campanhas na forma de pôsteres ou outros eventos para divulgar as diretivas de segurança. Quanto mais você reforçar as mensagens nas diretivas, mais bem-sucedida será sua implementação. Ainda que você possa lançar a conscientização da segurança com um grande evento, é de igual importância manter a segurança em evidência na pauta da gerência e dos funcionários. A segurança é uma atitude mental da empresa, e assim você deve garantir que todos na empresa ofereçam sugestões sobre como manter a conscientização quanto à segurança. Obtenha opiniões de todos os departamentos comerciais e de diferentes tipos de usuários, especialmente daqueles que trabalham fora do ambiente do escritório.

Gerenciando incidentes

Quando ocorre um ataque de engenharia social, certifique-se de que a equipe da central de atendimento saiba como gerenciar o incidente. Deve haver protocolos reativos nos procedimentos associados à diretiva de segurança, mas o gerenciamento de incidentes significa que você usa o ataque para iniciar uma análise mais a fundo da segurança. Mais do que um destino, a segurança é uma jornada, porque os vetores de ataque mudam.

Cada incidente fornece novas informações para uma análise contínua da segurança no modelo de resposta a incidentes, mostrado na figura a seguir.

Figura 6. Modelo de resposta a incidente

Figura 6. Modelo de resposta a incidente

À medida que novos incidentes ocorrem, o Comitê de orientação de segurança analisa se eles representam um risco novo ou alterado à empresa e cria ou renova diretivas e procedimentos baseados em seus achados. Toda correção às diretivas de segurança deve acatar os padrões de gerenciamento de alterações da empresa.

Para gerenciar um incidente, a equipe da central de atendimento deve contar com um protocolo sólido de relato de incidentes que registre as seguintes informações:

  • Nome da vítima

  • Departamento visado

  • Data

  • Vetor de ataque

  • Descrição do ataque

  • Resultado do ataque

  • Efeito do ataque

  • Recomendações

O registro dos incidentes possibilita a identificação de padrões e, possivelmente, a prevenção de ataques futuros. Um modelo de formulário de relatório de incidente está disponível no Apêndice 1, no final deste documento.

Considerações operacionais

Quando se analisa a segurança, é possível acabar reagindo exageradamente às inúmeras ameaças potenciais contra a empresa. A diretiva de segurança deve ter em mente que a sua empresa existe para fazer negócios. Se as propostas de segurança prejudicam a rentabilidade ou a agilidade comercial da organização, talvez seja preciso reavaliar os riscos. É preciso atingir um equilíbrio entre segurança e praticidade operacional.

Também é importante levar em consideração que a reputação de uma empresa preocupada com a segurança pode ter vantagens comerciais. Isso não somente desestimulará os hackers, mas também elevará o perfil comercial da empresa mediante clientes e parceiros.

Engenharia social e o modelo de camadas da defesa em profundidade

O modelo de camadas da defesa em profundidade categoriza as soluções de segurança contra vetores de ataque – os pontos fracos – que os hackers podem usar para ameaçar o ambiente computacional. Esses vetores de ataque incluem:

  • Diretivas, procedimentos e conscientização. As regras por escrito desenvolvidas para gerenciar todas as áreas da segurança, e o programa de educação montado para ajudar a garantir que os funcionários conheçam, compreendam e implementem essas regras.

  • Segurança física. As barreiras que gerenciam o acesso às instalações e recursos. É importante lembrar desse último elemento. Se você colocar recipientes de lixo fora da empresa, por exemplo, eles estarão fora da segurança física da empresa.

  • Dados. Informações da empresa – detalhes de contas, correspondência e assim por diante. Quando se consideram as ameaças da engenharia social, é preciso incluir tanto materiais impressos quanto em formato eletrônico no planejamento da segurança dos dados.

  • Aplicativo. Os programas executados pelos usuários. É preciso analisar como os hackers que se valem da engenharia social podem subverter os aplicativos, como email ou mensagens instantâneas.

  • Host. Os servidores e computadores clientes usados na organização. Ajude a garantir a proteção dos usuários contra ataques diretos nesses computadores definindo orientações rigorosas sobre os softwares a serem usados em computadores da empresa e como gerenciar dispositivos de segurança, como identificações de usuários e senhas.

  • Rede interna. A rede através da qual o sistema de computadores se comunica. Ela pode ser local, sem fio ou de longa distância (WAN). A rede interna se tornou menos “interna” nos últimos anos, com o aumento da popularidade do trabalho em casa ou móvel. Assim, é preciso certificar-se de que os usuários compreendam o que devem fazer para trabalhar com segurança em todos os ambientes da rede.

  • Perímetro. O ponto de contato entre as redes internas e redes externas, como a Internet ou redes que pertencem aos parceiros da empresa, talvez como parte de uma extranet. Os ataques de engenharia social com freqüência tentam violar o perímetro para iniciar ataques sobre os dados, aplicativos e hosts através da rede interna.

Figura 7. Modelo de segurança de defesa em profundidade

Figura 7. Modelo de segurança de defesa em profundidade

Quando se projetam as defesas, o modelo de defesa em profundidade ajuda a visualizar as áreas ameaçadas da empresa. O modelo não é específico a ameaças de engenharia social, mas cada camada deve contar com defesas de engenharia social.

As defesas dominantes no modelo são diretivas de segurança, procedimentos e conscientização. Esses elementos se destinam a funcionários na organização, explicando o que deve ser feito, quando, por que e por quem. As camadas restantes podem aperfeiçoar as defesas, mas a proteção essencial advém de se contar com um conjunto de regras bem estruturado e conhecido que protejam o ambiente de TI.

Para obter mais informações sobre o modelo de segurança de defesa em profundidade, consulte a SMF de Gerenciamento de Segurança no Microsoft TechNet, em http://go.microsoft.com/fwlink/?linkid=37696.

Apêndice 1: Diretiva de segurança para listas de verificação de ameaças de engenharia social

Você viu diversas tabelas usadas para apreender vulnerabilidades e requisitos de diretivas de defesa de engenharia social nestes documentos. Existem versões de modelo disponíveis no apêndice para cópia e preenchimento.

Vulnerabilidades de vetor de ataque de engenharia social da empresa

Vetor de ataque

Descrever uso pela empresa

Comentários

Online

 

 

Email

 

 

Internet

 

 

Aplicativos de pop-up

 

 

Mensagens instantâneas

 

 

Telefone

 

 

PBX

 

 

Central de atendimento

 

 

Gerenciamento de lixo

 

 

Interno

 

 

Externo

 

 

Abordagens pessoais

 

 

Segurança física

 

 

Segurança do escritório

 

 

Outro/Específico à empresa

 

 

 

 

 

Matriz de riscos e requisitos de segurança do Comitê de orientação

Vetor de ataque

Requisito possível da diretiva

Risco Tipo Informações confidenciais Credibilidade da empresa Disponibilidade da empresa Recursos Dinheiro

Nível de risco Alto = 5 Baixo = 1

Ação

Online

 

 

 

 

 

 

 

 

 

Telefone

 

 

 

 

 

 

 

 

 

Gerenciamento de lixo

 

 

 

 

 

 

 

 

 

Abordagens pessoais

 

 

 

 

 

 

 

 

 

Outro/
Específico à empresa

 

 

 

 

 

 

 

 

 

Requisitos de procedimento e documento do Comitê de orientação

Requisito da diretiva

Requisito de procedimento/documento

Ação em / data

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Lista de verificação de implementação de diretiva de segurança

Ação

Descrição

Ação em / data

Desenvolver diretivas de segurança online

 

 

Desenvolver diretivas de segurança física

 

 

Desenvolver diretivas de segurança de telefonia

 

 

Desenvolver diretivas de segurança de gerenciamento de lixo

 

 

Desenvolver diretivas de gerenciamento de segurança da central de atendimento

 

 

Desenvolver um modelo de resposta a incidentes

 

 

Desenvolver uma campanha de conscientização

 

 

...

 

 

Relatório de incidente

Representante da central de atendimento

                     

Nome da vítima

 

Departamento visado

 

Data

 

Vetor de ataque

 

Descrição do ataque

 

Resultado do ataque

 

Efeito do ataque

 

Recomendações

 

Apêndice 2: Glossário

Termo

Definição

acesso

Quanto à privacidade, a capacidade de um indivíduo de exibir, modificar e contestar a precisão e a inteireza de informações pessoais identificáveis coletadas sobre ele. O acesso é um elemento das Fair Information Practices (práticas legais de informação).

software antivírus

Um programa de computador projetado para detectar e responder a softwares mal-intencionados, como vírus e worms. As respostas podem incluir o bloqueio do acesso do usuário aos arquivos infectados, a limpeza dos arquivos ou computadores infectados ou a informação ao usuário de que um programa infectado foi detectado.

ataque

Uma tentativa deliberada de comprometer a segurança de um sistema de computador ou impedir que outros usem o sistema.

autenticação

O processo de validação das credenciais de uma pessoa, processo computacional ou dispositivo. A autenticação requer que a pessoa, o processo ou o dispositivo que fez a solicitação forneça uma credencial comprovando sua identidade. As formas mais comuns de credenciais são assinaturas digitais, cartões inteligentes, dados biométricos e uma combinação de nomes de usuário e senhas.

autorização

O processo de conceder acesso a uma pessoa, processo computacional ou dispositivo a determinadas informações, serviços ou funcionalidades. A autorização é derivada da identidade da pessoa, processo computacional ou dispositivo que solicitou o acesso, sendo verificada através de autenticação.

gerenciamento de alterações

A prática de incorporar alterações com a ajuda de métodos e técnicas testados a fim de se evitar novos erros e minimizar o impacto das alterações.

segurança de computadores

A proteção de ativos de informação por meio de tecnologia, processos e treinamento.

cracker

Um transgressor que invade um sistema de computador usando estratégias tecnológicas, em vez da engenharia social.

download

Transferir uma cópia de um arquivo de um computador remoto para um computador solicitante por meio de um modem ou rede.

extranet

Uma extensão da intranet de uma organização usada para facilitar a comunicação com os parceiros de confiança da empresa. Uma extranet permite que esses parceiros de confiança obtenham acesso limitado aos dados comerciais internos da organização.

firewall

Uma solução de segurança que separa uma parte da rede de outra, permitindo somente o fluxo de tráfego de rede autorizado segundo regras de filtragem de tráfego.

malware

Software que se presta deliberadamente às intenções prejudiciais de um invasor quando executado. Por exemplo, vírus, worms e cavalos de Tróia são códigos mal-intencionados.

logon de rede

O processo de logon em um computador por meio de uma rede. Normalmente, um usuário primeiro faz logon interativamente em um computador local e, então, fornece credenciais de logon para outro computador na rede, como um servidor, que ele esteja autorizado a usar.

senha

Uma seqüência de caracteres inseridos pelo usuário para verificação de sua identidade em uma rede ou computador local. Consulte também senha de alta segurança.

permissões

Autorização para executar operações associadas a um recurso compartilhado específico, como um arquivo, um diretório ou uma impressora. As permissões precisam ser concedidas pelo administrador do sistema a contas de usuário individuais ou grupos administrativos.

número de identificação pessoal (PIN)

Um código de identificação secreto semelhante a uma senha que é atribuído a um usuário autorizado. Um PIN é usado em combinação com um cartão para caixa eletrônico ou cartão inteligente, por exemplo, para desbloquear uma funcionalidade autorizada, como o acesso a uma conta bancária.

informações pessoais identificáveis

Quaisquer informações relativas a um indivíduo identificado ou identificável. Essas informações podem incluir nome, país, endereço, endereço de email, número de cartão de crédito, número de documentos de identificação, número de identificação governamental, endereço IP ou qualquer identificador exclusivo associado a informações pessoais identificáveis em outro sistema. Também conhecidas como informações pessoais ou dados pessoais.

informações pessoais

Consulte informações pessoais identificáveis

phreaker

Um usuário mal-intencionado que faz uso não autorizado dos recursos de PBX para fazer chamadas telefônicas.

golpista

Um usuário ou site mal-intencionado que engana as pessoas convencendo-as a revelar informações pessoais, como senhas de contas e números de cartões de crédito. Um golpista normalmente usa mensagens de email enganosas ou propaganda online como engodo para atrair usuários inocentes a sites fraudulentos, onde os usuários são então convencidos a fornecer informações pessoais.

vulnerabilidade física

Falha no fornecimento de segurança física para um computador, como deixar uma estação de trabalho destravada em execução em um espaço de trabalho acessível a usuários não autorizados.

privacidade

O controle que os clientes têm da coleta, uso e distribuição de suas informações pessoais.

vulnerabilidade de segurança

Uma vulnerabilidade em um software tratada por uma atualização de segurança ou um boletim de segurança da Microsoft ou por um service pack.

spam

Email comercial não solicitado. Também conhecido como lixo eletrônico.

falsificação

Fazer com que uma transmissão pareça vir de outro usuário, e não do usuário que realmente executou a ação.

spyware

Software que pode exibir anúncios (como anúncios em pop-ups), recolher informações sobre você ou alterar as configurações do seu computador, geralmente sem obter seu consentimento de forma devida.

senha de alta segurança

Uma senha que fornece uma defesa eficaz contra o acesso não autorizado a um recurso. Uma senha de alta segurança tem pelo menos seis caracteres, não contém todo o nome da conta do usuário ou parte dele e contém pelo menos três das quatro seguintes categorias de caracteres: letras maiúsculas, letras minúsculas, dígitos decimais e símbolos encontrados no teclado, como !, @ e #.

cavalo de Tróia

Um programa que parece útil ou inofensivo, mas que contém códigos ocultos desenvolvidos para explorar ou danificar o computador no qual é executado. Os cavalos de Tróia geralmente chegam aos usuários através de mensagens de email que disfarçam a finalidade e a função do programa. Também chamado de código de Tróia.

atualização

Um pacote de software que substitui uma versão instalada por uma nova versão do mesmo software. O processo de atualização normalmente deixa os dados do cliente e suas preferências intactos enquanto substitui o software existente pela versão mais nova.

identificação do usuário

Um nome exclusivo com o qual um usuário pode fazer logon em um sistema de computador.

vírus

Código escrito com a intenção explícita de se autoduplicar. Um vírus tenta se alastrar de computador para computador incorporando-se a um programa hospedeiro. Ele pode danificar o hardware, o software ou os dados. Compare com worm. Consulte também a definição fornecida pela Virus Info Alliance (f-secure.com).

vulnerabilidade

Qualquer ponto fraco, processo ou ato administrativo ou exposição física que torne um computador suscetível a exploração por uma ameaça.

worm

Código mal-intencionado autopropagável que pode se distribuir automaticamente de um computador para outro através das conexões de rede. Um worm pode desempenhar ações nocivas, como consumir recursos da rede ou do sistema local, possivelmente causando um ataque de negação de serviço. Compare com vírus.

Download

Obtenha o documento Como proteger as pessoas de dentro da empresa contra ameaças de engenharia social



Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
Mostrar:
© 2014 Microsoft