Aula 2 – Riscos e tipos de ataque

Prévia do material em texto

Hedwio Carvalho e Silva, MSc.Hedwio Carvalho e Silva, MSc.
hedwio@gmail.comhedwio@gmail.com
Segurança de RedesSegurança de Redes
Aula 2 – Riscos e tipos de ataqueAula 2 – Riscos e tipos de ataque
BONS FILMES SOBRE ENGENHARIA SOCIAL
PERGUNTA...
• Muro alto
• Cerca elétrica
• Câmeras de monitoramento
• Segurança particular
• Sensores de movimento
• Trancas em todas as portas e janelas
• Cão de Guarda
• Alarme
• Cofre
• Guarita
O PONTO FRACO EM QUALQUER PROCESSO...
“Engenharia Social: Porque não existe patch para a estupidez 
humana.”
(frase retirada da Internet)
ESTRUTURA DO ATAQUE (AMBIENTE CORPORATIVO)
ISE
ENGENHEIRO 
SOCIAL
Foco 
principal!
OE
OE – Organização / Empresa
ISE – Informações Sigilosas da Empresa (Informações internas e confidenciais da 
empresa)
IGD – Informações Gerais Disponíveis (Informações disponíveis na Internet, livros, 
revistas, jornais, ou até mesmo no LIXO)
VA – Vítima Ativa (funcionários da empresa)
VS – Vítima Superficial (parentes e/ou amigos da vítima ativa, ex-funcionários, 
serviços terceirizados, concorrentes) Fonte: PEIXOTO, Mário César Pintaudi. Engenharia Social 
e Segurança da Informação na Gestão Corporativa 
IGD
VA
VS
MÉTODOS DE AÇÃO DE UM ENGENHEIRO SOCIAL
Três maneiras básicas de agir (as 
mais comuns):
Por email ou carta;
Pessoalmente;
Por telefone.
HABILIDADES QUE UM ENGENHEIRO SOCIAL DEVE TER
• Seja profissional: Você não quer que a pessoa desconfie, já 
que está criando uma ilusão. Tente transparecer confiança.
• Fique calmo: Dê a impressão que você pertence àquele 
local.
• Conheça sua marca: Conheça seu inimigo. Saiba 
exatamente como ele irá reagir antes que o faça. 
• Não tente enganar alguém esperto: Isso resultará em 
desastre. Sempre existem pessoas mais ingênuas.
• Planeje uma fuga: Se alguém suspeitou, não entre em 
pânico e corra. Salve a fonte.
• Tente parecer uma mulher: Está provado que as mulheres 
dão mais confiança ao telefone. Use isso como vantagem. 
Use a ajuda de uma mulher se necessário.
• Marcas d´água: Aprenda a fazê-las. São importantes em 
emails e correios falsos.
• Cartões de apresentação e nomes falsos: Use-os para 
impressionar e parecer profissional.
• Use um time se for necessário: Não seja arrogante e 
autoconfiante. Se precisar de ajuda, consiga.
COMO LIDAR COM PESSOAS DIFERENTES
Tipos de 
Pessoas Como reconhecer Como lidar
Nervosos
Parecem cansados e com raiva. 
Inquietos, impacientes. Pisando duro. 
Falam muito e alto e reclamam 
demais.
Paciência, tranquilidade, consideração, educação, 
calma, presteza, agilidade e sangue frio. Empatia, 
atenção redobrada e bom humor. Use o medo se 
necessário
Indecisos
Apreensivos. Querem conversar mais 
sobre o assunto. Receosos de cometer 
erros. Falta-lhes segurança.
Moderação, calma, cortesia, confirme a opinião 
dele próprio. Demonstre conhecimento e 
paciência. Use a simpatia.
Desagradáveis Céticos (descrentes), perguntadores, conversadores, insultantes.
Franqueza, conhecimento, agilidade, cortesia, 
calma. Controle próprio. Também use o temor e 
medo.
Duvidosos Críticos, indiferentes, silenciosos, perguntam demais.
Conhecimento da empresa, tato, perseverança. 
Ser convincente. Citar seu conhecimento de 
normas e seus limites.
Silenciosos
Não têm conhecimento. Podem ser 
pensadores. Podem estar fingindo 
saber. Podem estar infelizes.
Faça-lhes uma pergunta que os leve a responder 
algo que gere mais confiança. Espere pela 
resposta. Esteja atento às deixas. Tenha 
consideração e cortesia.
Dependentes
Tímidos e sensitivos (sensíveis). 
Indecisos. Velhos, surdos e mudos. 
Infantis. Estrangeiros.
Fáceis de convencer. Gentileza, decisão. Use a 
simpatia, pense por eles, ajude-os, seja claro.
De bom senso Agradáveis e inteligentes.
Faça o que eles esperam. Seja eficiente e eficaz. 
Cortesia e consideração. Conquiste-os 
rapidamente e use a curiosidade.
LEVANTAMENTO DE DADOS DA VÍTIMA
Tão importante quanto o ataque, é saber 
como fazê-lo e contra quem!! 
O que procurar?
•Nomes de domínios e endereços IP
•Serviços “disponíveis”
•Arquitetura da rede
•Mecanismos de controle de acesso
•Sistemas de detecção de intrusos (IDSs)
•Listagem de usuários, logins, senhas e permissões
•Mecanismos de autenticações (VPNs, Intranets...)
REDES SOCIAIS E SEUS PERIGOS!
Responsabilidade Legal: se um desconhecido obtiver acesso 
à sua senha e seu perfil, poderá agir em seu nome, enviando 
mensagens, criando comunidades e assim, podendo cometer crimes 
de apologia às drogas, à pedofilia ou ainda crime de racismo e 
muitos outros.
Roubo de Identidade: sem a existência de processos fortes 
de identificação e autenticação de novos usuários quando da 
criação de novos perfis e comunidades, nada impede que alguém 
crie um novo perfil copiando e utilizando suas fotos, seu nome, seus 
dados pessoais e detalhes de sua vida acessíveis através do perfil 
verdadeiro.
Crime Contra a Honra: ainda de posse de acesso à edição de 
seu perfil, o fraudador pode se inserir em comunidades que 
indiquem distúrbios de comportamento, opções sexuais, gostos 
duvidosos e assim, associar você a interesses que influenciem no 
julgamento que
seus amigos fazem de você e de sua honra.
Chantagem: expondo detalhes demais de sua vida e de sua família, 
você pode estar potencializando os golpes de chantagem, seqüestro falso 
ou qualquer outro em que conhecer o nome de seus familiares ou 
simplesmente onde passou suas últimas férias, poderá fazê-lo acreditar na 
veracidade do golpe e assim, ser alvo fácil.
Fraude Financeira: em função do conceito primário da rede de 
herança de confiança entre amigos, onde o amigo de um grande amigo 
seu passa a ter, supostamente, a sua confiança, você poderá ser levado a 
acreditar cegamente nele, sem, no entanto se lembrar de que não existe 
nenhum critério sério de avaliação e aceitação de amigos na rede. Desta 
forma, pedidos falsos de ajuda financeira, caridade ou qualquer outro 
passam a ter grandes índices de aceitação.
Phishing: a rede de relacionamentos pode até nem ser o ambiente 
de um golpe, mas sim uma fonte de informações valiosas para viabilizar 
outros golpes como o phising via email. Um email de phishing com um link 
falso mencionando dados e fatos pessoais será sem dúvida muito mais 
eficaz ao persuadi-lo.
REDES SOCIAIS E SEUS PERIGOS! (Cont.)
EXEMPLO DE EMAIL FAKE
EXEMPLO DE EMAIL FAKE
EXEMPLO DE EMAIL FAKE
MÃO NA MASSA!!!!
ESTRUTURANDO UM ATAQUE COM ENGENHARIA SOCIAL
Qual nosso alvo?
ESTRUTURANDO UM ATAQUE COM ENGENHARIA SOCIAL
Localização da empresa no mapa
ESTRUTURANDO UM ATAQUE COM ENGENHARIA SOCIAL
Informações sobre a empresa na 
Internet
ESTRUTURANDO UM ATAQUE COM ENGENHARIA SOCIAL
Algumas informações iniciais...
ESTRUTURANDO UM ATAQUE COM ENGENHARIA SOCIAL
Mais informações...
ESTRUTURANDO UM ATAQUE COM ENGENHARIA SOCIAL
Mais informações...
ESTRUTURANDO UM ATAQUE COM ENGENHARIA SOCIAL
E mais...
ESTRUTURANDO UM ATAQUE COM ENGENHARIA SOCIAL
E mais...
ESTRUTURANDO UM ATAQUE COM ENGENHARIA SOCIAL
E mais...
ESTRUTURANDO UM ATAQUE COM ENGENHARIA SOCIAL
E mais...
ESTRUTURANDO UM ATAQUE COM ENGENHARIA SOCIAL
E mais...
Razão Social: Maqpol Indústria e Comércio de Máquinas Texteis Ltda 
Endereço: Rua Luiza Lucas, 395 – Blumenau – Santa Catarina - Brazil
CNPJ: 007.977.486/0001-61
Contato do Administrador: Sebastião P. de Freitas 
Outros contatos: 
•Paulo Alexandre da Silva (xcorpps@gmail.com) 
•Ricardo de Freitas (ricardo.maqpol@hotmail.com)
Dados pessoais dos envolvidos: Slide 21
Telefone da empresa: (47) 3334 6145
Emails da empresa: maqpol@maqpoltextil.com.br / 
vendas@maqpoltextil.com.br
Endereço IP: 200.234.213.203Localização servidor WEB: 
•Av. Pres Juscelino Kubitschek, 1830, São Paulo - SP, 04543-000, 
11 3073-1721
Versão Sistema Operacional: Windows 2003 Server SP2
Versão Banco de Dados: Microsoft SQL Server 2000 SP4
Versão Servidor WEB: Microsoft IIS 6.0
Portas abertas para Internet: ftp, http, mssql, pop3, etc...
ESTRUTURANDO UM ATAQUE COM ENGENHARIA SOCIAL
E finalmente... Algumas informações para 
iniciar um ataque de Engenharia Social
PARA PENSAR...
“O computador mais seguro do mundo 
teria de estar guardado num cofre, 
desligado, no fundo do oceano... 
Guardado por tubarões, exércitos e 
porta-aviões... E mesmo assim seria 
possível convencer alguém que o 
estivesse guardando a ligá-lo....”
Kevin Mitnick
ENGENHARIA SOCIAL
• PEIXOTO, Mário César Pintaudi. Engenharia Social e 
Segurança da Informação na Gestão Corporativa. Rio de 
Janeiro: Brasport, 
Bibliografia
	Slide 2
	Slide 3
	Slide 4
	Slide 5
	Slide 6
	Slide 7
	Slide 8
	Slide 9
	Slide 10
	Slide 11
	Slide 12
	Slide 13
	Slide 14
	Slide 15
	Slide 16
	Slide 17
	Slide 18
	Slide 19
	Slide 20
	Slide 21
	Slide 22
	Slide 23
	Slide 24
	Slide 25
	Slide 26
	Slide 27
	Slide 28
	Slide 29