A desinformação é o maior aliado daqueles que desejam burlar, invadir ou roubar, seja dinheiro, pessoas, cartões de crédito ou dados. A grande maioria dos crimes está ligado em uma ou mais pessoas que possuam uma informação que irá auxiliar alguém a cometer algum crime ou, no proveito quanto a desinformação ou despreparo dessa pessoa.
A engenharia social é uma das práticas mais antigas na tentativa de descobrir falhas em sistemas e senhas, Kevin Mitnick foi o hacker que teve o maior sucesso na utilização desta técnica que nós conhecemos, é claro. Essa técnica é ainda utilizada por uma série de hackers e empresas que desejam de alguma forma invadir um sistema de uma forma eficaz, já que bem implementada em uma pessoa desinformada ou mal treinada, será possível pegar a senha em poucos minutos de conversa.
Ouço até hoje que a cada minuto nasce 1 idiota no mundo ou que para cada dez espertos temos 1 idiota. Vamos utilizar então a seguinte fórmula: para cada 100 funcionários dentro de uma empresa, você conseguirá a senha facilmente de 1 único funcionário.
Imaginem então uma empresa que possua mais de 5.000 pessoas ou até mesmo, 300.000 pessoas trabalhando. Vejam a quantidade de senhas e sistemas que vocês conseguirão ter acesso, e isso sem muito conhecimento técnico, só imaginação e um bom papo.
Políticas de segurança quanto a troca de senhas mensalmente, utilização de no mínimo 10 caracteres incluindo maiúsculas e caracteres especial, além da utilização de algorítimos limitam em muito a ação e eficácia da engenharia social, mas não resolve.
Um dos maiores problemas que tenho percebido em grandes empresas de prestação de serviços de TI é o compartilhamento de senha de acesso à sistemas e servidores, onde foi criado um único usuário para o acesso a inicialização do serviço.
Quem possuir esse usuário e senha poderá fazer o que quiser com o ambiente. Uma forma de inibir o acesso de pessoas não autorizados aos servidores é com a criação de regras de segurança em firewalls e ou criação de vpns ou proxies que só darão acesso as pessoas autorizadas.
Não existe segurança 100%.
Eu creio que um dos principais problemas relacionados ao combate a Engenharia Social é que não basta apenas blindar os profissionais de TI contra este tipo de ataque pois secretárias, recepcionistas, seguranças e quaisquer outros funcionários não ligados a area são presas fáceis para o Engenheiro Social.
concordo com vc Adilson, mas como esse é um trabalho de conscientização, fica difícil que diferentes pessoas e cargos pensem da mesma forma.
É, acho que em grande parte a culpa é da empresa msm…
Em algumas empresas que trabalhei encarei o compartilhamento de senha por burocracia na criação de novos usuários ou liberação de acesso a esses usuários…
Não é pra menos que muitas delas tiveram problemas posteriores!
Bom artigo.
Obrigado.. Tento continuar com bons artigos e interessantes para vocês que acompanham o blog.