Aula_06 (2)

Prévia do material em texto

*
*
ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL, TIPOS,
FERRAMENTAS E ARTIMANHAS
*
*
ENGENHARIA SOCIAL: TIPOS, FERRAMENTAS
 E ARTIMANHAS
OBJETIVO
Recordar a importância da segurança da informação
Recordar o conceito de engenharia social
Identificar os pilares básicos da SI
Relacionar os objetivos de um engenheiro social
Relacionar as fraquezas humanas e
Reconhecer artimanhas e ferramentas da Engenharia Social
*
*
Qualquer pessoa é sujeita a ser manipulada em algum momento, em algum lugar, em relação a algum assunto!!!
Um engenheiro social tece situações, prevendo possíveis questionamentos e se preparando para responder no ato, com segurança. Não demonstra insegurança, não gagueja, não parece estar mentindo, para que a vítima não desconfie.
ARTIMANHAS DA ENGENHARIA SOCIAL
PREMISSAS BÁSICAS
*
*
Um engenheiro social pode utilizar artimanhas já conhecidas ou buscar um caminho inovador, para atingir os objetivos a que se propôs. 
Neste sentido, há necessidade de tentarmos imaginar que artifícios diferentes do tradicional podem estar sendo aplicados, para que não sejamos alvos fáceis de armadilhas.
ARTIMANHAS DA ENGENHARIA SOCIAL
PREMISSAS BÁSICAS 
*
*
“O engenheiro social emprega as mesmas técnicas persuasivas que usamos no dia a dia. Assumimos papéis. Tentamos obter credibilidade. Cobramos obrigações recíprocas. Mas o engenheiro social aplica essas técnicas de uma maneira manipuladora, enganosa, altamente antiética, frequentemente com efeito devastador.” 
Psicólogo social Dr. Brad. Bagarin
 
ARTIMANHAS DA ENGENHARIA SOCIAL
*
*
 
PREPARAR
RESPOSTAS
CRIAR CONFIANÇA
TENTAR AJUDAR
OU
PEDIR INFORMAÇÃO
OU
PEDIR AJUDA
DISPOSIÇÃO DE AJUDAR!
Coletar informações
Finalizar ataque
ARTIMANHAS DA ENGENHARIA SOCIAL
PASSOS – 
(1º)
(0)
(2º)
*
*
 
ARTIMANHAS DA ENGENHARIA SOCIAL
$$
... ?
1º PASSO: Criar confiança
*
*
Segredo: Confiança não é transferível.
A responsabilidade primeira é do custodiante da informação, que foi o primeiro que contou o que não deveria.
ARTIMANHAS DA ENGENHARIA SOCIAL
1º PASSO: Criar confiança
Melhor amigo – 
Todo mundo tem um melhor amigo. Quem é o melhor amigo do seu melhor amigo?
CASO:
*
*
2.1: Simulando tentar ajudar.
			OU
2.2 Pedindo informação, tão somente
			OU.
2.3 Pedindo ajuda
ARTIMANHAS DA ENGENHARIA SOCIAL
2º PASSO: (opções)
*
*
ARTIMANHAS DA ENGENHARIA SOCIAL
2º PASSO: 2.1: Simulando tentar ajudar
Some people just act like they are trying to help you.
*
*
ARTIMANHAS DA ENGENHARIA SOCIAL
2º PASSO: 2.2: Pedindo a informação, tão somente.
*
*
ARTIMANHAS DA ENGENHARIA SOCIAL
2º PASSO: 2.3: Pedindo ajuda.
*
*
FERRAMENTAS DA ENGENHARIA SOCIAL 
O engenheiro social utiliza diversas ferramentas e artimanhas para aproximação e ataque. 
É importante observar que nem todas são ferramentas tecnológicas.
E também que pode haver uso de mais de um recurso para uma invasão.
Alguns tipos (em ordem alfabética). É uma quantidade considerável de ferramentas...
*
*
FERRAMENTAS DA ENGENHARIA SOCIAL 
Cartas / correspondência: Recurso poderoso, que alcança fortemente pessoas com mais idade, pouco conhecimento ou com aversão a tecnologia;
Chats (bate papo): Mais fácil utilização. Canais de bate-papo favorecer a implantação de mensagens e imagens falsas. Exemplos: Messenger, ICQ, IRC, entre outros; 
e-mail: Fakemail, e-mails falsos, os famosos phishing scam;
FAX: Cada vez menos disponível/utilizado.
*
*
FERRAMENTAS DA ENGENHARIA SOCIAL 
- e-mail: Fakemail, e-mails falsos, os famosos phishing scam;
*
*
FERRAMENTAS DA ENGENHARIA SOCIAL 
- e-mail: Fakemail, e-mails falsos, os famosos phishing scam;
*
*
FERRAMENTAS DA ENGENHARIA SOCIAL 
http://www.fraudes.org/clipread.asp?CdClip=21737
19/04/2011 – INFO: Brasileiros são os que mais sofrem phishing 																 Por: 
															Monica Campi
*
*
FERRAMENTAS DA ENGENHARIA SOCIAL 
Internet: Coleta de informações, por exemplo, em sites que fornecem id e passwords default, sites clonados ou via FTP, google, Orkut, registro.br, entre outros;
Intranet: Acesso remoto a informações reservadas;
Pessoalmente: Poder de persuasão, habilidade em saber conversar. Tipo de ataque mais raro. O engenheiro social faz-se passar por alguém que na verdade ele não é. Premedita uma atuação e faz uma encenação para manipular a vítima de forma convincente; Costuma utilizar informações restritas / confidenciais obtidas previamente, para envolver o alvo.
*
*
FERRAMENTAS DA ENGENHARIA SOCIAL 
Spyware: Software “espião” usado para monitorar de modo invasivo e oculto as atividades executadas no computador de destino (alvo);
Telefone ou VoIP (voz sobre IP): Passar-se por outra pessoa é um dos ataques comuns em engenharia social;
Mergulho no lixo (“Dumpster diving”): Muitas vezes, há descarte inadequado de informações essenciais, foco de um suposto engenheiro social.
*
*
FERRAMENTAS DA ENGENHARIA SOCIAL 
Surfar sobre os ombros: É o ato de observar “displicentemente” a interação de um terceiro com o computador, celular ou outro recurso tecnológico para obter senha ou outras informações de usuário. 
P2P (Peer-toPeer): Tecnologia empregada para estabelecer comunicação em uma rede, com inúmeros computadores, onde cada estação possui capacidades e responsabilidades equivalentes. Aplicações conhecidas, como, por exemplo, E-Mule e KaZaa, disponibilizam informações na rede, como envio de mensagens, informações de IP´s ou DSN’s. O estabelecimento deste tipo de comunicação é considerado um fator favorável ao Engenheiro Social. 
*
*
FERRAMENTAS DA ENGENHARIA SOCIAL 
Exemplo 1: (imagem do email) Você recebe uma mensagem e-mail, onde o remetente se identifica como sendo o gerente ou alguém em nome do departamento de suporte do seu banco. Na mensagem ele diz que o serviço de Internet Banking está apresentando algum problema e que tal problema pode ser corrigido se você executar o aplicativo, que já está anexado à mensagem. A execução deste aplicativo apresenta uma tela análoga àquela que você utiliza para ter acesso a conta bancária, onde, usualmente, você digita sua senha. Entretanto, na verdade, este aplicativo está preparado para furtar sua senha de acesso a conta bancária e enviá-la para o atacante.
e-mail (fakemail, e-mails falsos, os famosos phishing scam)
*
*
FERRAMENTAS DA ENGENHARIA SOCIAL 
Exemplo 2: Você recebe uma mensagem de e-mail, informando que seu computador está infectado por um vírus. A mensagem sugere que você instale uma ferramenta disponível na internet, para eliminá-lo. Na verdade, a real função desta ferramenta não é eliminar um vírus, mas sim permitir que alguém tenha acesso ao seu computador e a todos os dados nele armazenados.
e-mail (fakemail, e-mails falsos, os famosos phishing scam)
*
*
FERRAMENTAS DA ENGENHARIA SOCIAL 
Exemplo 3: Um desconhecido liga para a sua casa e diz ser do suporte técnico do seu provedor de internet. Nesta ligação, ele diz que sua conexão com a internet está apresentando um problema e, então, pede sua senha para corrigi-lo. Caso você entregue sua senha, este suposto técnico poderá realizar inúmeras atividades maliciosas, utilizando a sua conta de acesso a internet e, portanto, relacionando tais atividades a você. 
Telefone ou VoIP (voz sobre IP)
*
*
FERRAMENTAS DA ENGENHARIA SOCIAL 
Os discursos apresentados nos exemplos ilustram bem como são os ataques típicos de engenharia social. Observe que em cada caso a seguir, o engenheiro social procura induzir o usuário a realizar alguma tarefa e o sucesso do ataque depende única e exclusivamente da decisão do usuário em fornecer informações sensíveis ou executar programas.
*
*
APRENDA MAIS
Segurança da Informação - STJ
https://www.youtube.com/watch?v=nVmRHtHJKfw
Conhecendo os potenciais atacantes
http://pt.slideshare.net/khaotikuz/segurana-da-informao-com-windows-server?related=1Publicado em 26 de fev de 2014
JAQUES, R. ENGENHARIA SOCIAL - A doce arte de hackear mentes. FISL13. URL https://www.youtube.com/watch?v=6a9qDpXmfuw . Julho, 2012.
*
*
*
*
 
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*