Document details

Nos nossos dias, a informação é um recurso de vital importância. Com a necessidade de protegerem esse activo, as empresas implementam mecanismos com o objectivo de garantirem a integridade, confidencialidade e a disponibilidade da informação. Na dificuldade em ultrapassarem as barreiras tecnológicas de segurança, os ataques têm sido incrementalmente direccionados ao elemento humano – o utilizador, principalmente, pese embora técnicos possam também ser o alvo destes. Os atacantes, através da aplicação de técnicas e da exploração das vulnerabilidades do ser humano, entre as quais a ingenuidade, a curiosidade e a confiança, concretizam os seus objectivos. Deste modo, e tendo em conta a relevância do problema, surge este trabalho que tem como objectivo:  identificar o nível de conhecimento dos utilizadores e dos responsáveis de TI em relação à problemática da engenharia social em Portugal,  identificar as medidas de segurança adoptadas,  identificar as técnicas mais usadas,  identificar o principal objectivo dos ataques,  identificar a preocupação com a formação,  Apresentar uma nova classificação dos ataques de engenharia social. A investigação envolveu 393 utilizadores que frequentam as redes sociais e 41 responsáveis por sistemas de informação. Tendo em vista a prossecução dos objectivos analisaram-se as respostas aos questionários. A análise dos dados revelou:  que o nível de conhecimento sobre a problemática da engenharia social é reduzido;  em relação às medidas de segurança, verifica-se que a instalação do antivírus e a utilização de uma firewall são as mais aplicadas.  em relação às técnicas de ataque constatou-se que o Phishing e o Spam-mail são as mais usadas;  que a principal motivação dos ataques é o roubo de informação.  a preocupação com a formação dos colaboradores não é uma prioridade, entre as empresas inquiridas, apenas 23% promovem acções de formação. Com o objectivo de auxiliarmos os responsáveis de segurança no desenvolvimento de políticas e controlos, foi proposta uma nova forma de abordar os ataques de engenharia social, através da classificação dos ataques com base no tipo de abordagem, entre a vítima e o atacante, directa ou indirecta. Na abordagem directa não existe a necessidade de utilização de qualquer meio de comunicação, o contacto é presencial. A abordagem indirecta é realizada através da utilização dos meios de comunicação. Na proposta realizada, as técnicas de ataque foram analisadas com base na relação de dependência entre as diversas técnicas e na identificação da relação entre as técnicas e as ameaças.

Nowadays, information is a resource of vital importance. With the need to protect that asset, companies implement mechanisms aimed at ensuring the integrity, confidentiality and information availability. Due to the difficulty of overcoming the technological barriers of security, the attacks have been directed to the human element. The attackers, by applying attack techniques and exploiting human vulnerabilities, among which ingenuity, curiosity and confidence, achieve their objectives. Thus, taking into account the relevance of the problem, this work aims to:  identify the level of knowledge of users and IT managers concerning the problem of social engineering in Portugal,  as well as the security measures,  the mostly used techniques,  the main aim of the attacks,  concern about training,  and finally present a new classification of social engineering attacks. The research involved 393 users who use social networks and 41 information system managers. In order to achieve the objective, the answers to the questionnaires were analysed. Data analysis revealed that:  the level of knowledge about the problem of social engineering is low,  regarding security measures, it appears that antivirus installation and use of a firewall are the most applied,  regarding the attack techniques we found that Phishing and spam-email are the most used,  and that the main motive of the attacks is the theft of information,  the concern with employee training is not a priority among the companies surveyed, with only 23% promoting training workshops. In order to support the security managers in the development of security policies, we propose a new way of approaching social engineering attacks through the classification of attacks based on the type of approach, between the victim and attacker, direct or indirect. In the direct approach there is no need to use any means of communication, the contact is in person. The indirect approach is accomplished through the use of communication media. In this study, the attack techniques were analysed based on the interdependence between the various techniques, and on the identification of the relationship between techniques and threats.