engenhariasocial2012-120728073956-phpapp01

Prévia do material em texto

ENGENHARIA
SOCIAL
	A DOCE ARTE DE HACKEAR MENTES
Rafael Jaques
@rafajaques
#FISL13
	28.07.2012
“Se algum de vocês tem falta de
	sabedoria, peça-a a Deus, que a
	todos dá livremente, de boa
vontade; e lhe será concedida.”
Tiago 1.5
Atenção!
As informações contidas nesta apresentação são apenas de caráter
informativo. O conhecimento e as técnicas abordadas não visam ensinar
como enganar as pessoas ou obter qualquer tipo de vantagem sobre
outrem.
O objetivo é apenas demonstrar os pontos fracos que existem nas
corporações e sistemas para que seja possível sanar estas debilidades.
Antes de começar é necessário
saber algumas coisas...
SIM!
Vai falar de casos extremos?
SIM!
Vou sair daqui paranoico?
Não é a ideia...
Posso usar essas técnicas para o mal?
Todos prontos? Então vamos lá!
60%
Admitem ter roubado
algum tipo de informação
ao sair do emprego.
2
10
em cada
têm acesso às informações
	após sair da empresa.
Safados!
PESSOAS
Hoje em dia os
e não mais sistemas.
ALVOS
são as
1. O que é Engenharia Social?
O que é Engenharia Social?
A hábil manipulação da
tendência humana
natural de confiar.
Mas por que atacar uma pessoa
e não um sistema?
Mas como atacar utilizando
Engenharia Social?
Conquistar a confiança do alvo
Fazer sentir-se seguro
Mesclar as perguntas
Sensação de dever cumprido
Quem usa Engenharia Social?
Mas por que Engenharia Social funciona?
Diante de uma larga frente de batalha,
procure o ponto mais fraco, e, ali,
ataque com a sua maior força.
Sun Tzu - A Arte da Guerra
E qual é o ponto mais fraco?
PESSOAS!
Pessoas tendem a acreditar
Pessoas querem ajudar
Pessoas são complacentes
... e impacientes também!
Engenheiros sociais são bons com emoções!
Algumas estatísticas da terra do Tio Sam...
Só no ano de 2009...
11 milhões
de pessoas foram vítimas
de roubo de identidade.
Só no ano de 2009...
US$ 54 bilhões
O total de fraudes
movimentou aproximadamente
	Só no ano de 2009...
As vítimas gastaram em média
	21
U$373
	horas
		e
resolvendo o crime!
13%
das fraudes de identidade
	foram cometidas por alguém
que a vítima conhecia.
2. Características de um Engenheiro Social
Bem apresentável
Bom observador
Aproveita-se da inocência
Comunica-se bem
Usa bem a voz
Faz a vítima entregar o ouro voluntariamente
Kevin D. Mitnick
Vamos aprender um pouco com
a história dele!
Hackers 2:
Operation Takedown
http://youtu.be/nVPV5dzM0yY
Se ficar com vontade de assistir,
tem o filme todo no YouTube!
3. Como se Manifesta a Engenharia Social?
E-mails
Telefone
	Tem um Fusca
gelo na frente
		da tua casa?
Carta
Pessoalmente
4. Técnicas de Engenharia Social
Dumpster Diving
Shoulder Surfing
Impersonate
http://www.silicon.com/technology/hardware/2007/12/10/criminals-posing-as-police-burgle-
verizon-data-centre-39169416/
Rush/No Authentication
Phone Phising
Data Collection
Phishing/SCAM
74%
...dos SPAMs relatados em 2010
eram de produtos farmacêuticos.
VIAGRA!
Como identificar?
Se o link terminar em “.php”,
então é vírus. :P (brincadeira)
http://fidelidade.promocaoscielo.com
http://info.abril.com.br/noticias/seguranca/brasilieiros-sao-os-que-mais-sofrem-phishing-19042011-30.shl
A técnica do CD-R
Trecho demonstrando algumas
Hackers 2:
Operation Takedown
técnicas em ação!
5. Objetivos da Engenharia Social
Fugir de problemas
Ganhar dinheiro roubando ou
vendendo dados da vítima
Espionagem industrial
Satisfação pessoal
Pura sacanagem
Fatores de Risco
6. Fatores de Risco
Você anota suas senhas?
Sempre as mesmas senhas?
Minha senha
é 123!
Fala por telefone?
Deixa logado quando sai?
Ameaças Internas
7. Quer Ver o Quanto Você se Expõe?
Como você se
comporta nas redes
sociais?
E no mundo real?
8. Engenharia Social e as Redes Sociais
Recheadas de dados
Não necessita de grandes habilidades
As informações são públicas
Autenticação falsa
Fácil influenciar
9. Aprenda a se Proteger!
	Torne-se familiar
com as técnicas!
Eduque quem
está ao seu redor.
Formalize os procedimentos
de acesso a dados.
AS
7
FRAQUEZAS
	MORTAIS
		by Cisco
1. Sex Appeal
2. Ganância
3. Vaidade
4. Confiança
5. Preguiça
6. Compaixão
7. Urgência
Mas e agora...
Onde aprendo mais?
Livros
Social Engineering Framework (en_US)
http://www.social-engineer.org/framework/
Symantec Security Articles (en_US)
http://www.symantec.com/connect/security/articles
Social Engineering Toolkit (pt_PT)
http://ptcoresec.eu/SET.pdf
Sites
Dúvidas?
Nem entendi
nada!
Obrigado!
Rafael Jaques
rafa@php.net
phpit.com.br
@rafajaques
slideshare.net/rafajaques
Referências
+ Fontes consultadas
- Palestras
Entendendo a Engenharia Social :Daniel Marques :http://www.slideshare.net/danielcmarques/entendendo-a-engenharia-social
Engenharia Social :Marcelo Lau :http://www.slideshare.net/datasecurity1/engenharia-social
Social Engineering - Exploiting the HumanWeakness :Wasim Halani :http://www.slideshare.net/washal/social-engineeringcase-
study
Social engineering & social networks :Sharon Conheady :http://www.slideshare.net/infosec10/social-engineering-social-
networks-public-version
- Sites
http://www.us-cert.gov/cas/tips/ST04-014.html
http://www.cisco.com/web/about/security/intelligence/mysdn-social-engineering.html
http://www.social-engineer.org/framework/Social_Engineers:_Disgruntled_Employees#Statistics
http://www.fraudes.org/showpage1.asp?pg=7
http://www.symantec.com/business/threatreport/topic.jsp?id=highlights
http://www.massachusettsnoncompetelaw.com /
http://en.wikipedia.org/wiki/Social_engineering_(security )
http://www.spendonlife.com/blog/2010-identity-theft-statistics
http://mashable.com/2011/01/20/black-hat-hacking-stats/
http://www.consumerfraudreporting.org/internet_scam_statistics.htm
http://informatica.terra.com.br/virusecia/spam/interna/0,,OI126626-EI2403,00.html
http://press.pandasecurity.com/wp-content/uploads/2011/01/The-Cyber-Crime-Black-Market.pdf
http://monografias.brasilescola.com/computacao/seguranca-informacao-vs-engenharia-social-como-se-proteger.htm
http://www.iwar.org.uk/comsec/resources/sa-tools/Social-Engineering.pdf
http://www.esha.be/fileadmin/esha_files/documents/SHERPA/Report_on_mechanism_of_social_engineering.pdf
http://www.cisco.com/en/US/prod/vpndevc/annual_security_report.html
http://www.securingthehuman.org/blog/2011/01/22/social-engineering-deadly-weaknesses
http://info.abril.com.br/noticias/seguranca/brasilieiros-sao-os-que-mais-sofrem-phishing-19042011-30.shl
http://www.infosectoday.com/Norwich/GI532/Social_Engineering.htm
http://www.pcworld.com/article/182180/top_5_social_engineering_exploit_techniques.html
http://info.abril.com.br/noticias/seguranca/brasilieiros-sao-os-que-mais-sofrem-phishing-19042011-30.shl
http://www.symantec.com/connect/articles/social-engineering-fundamentals-part-i-hacker-tactics
Mídias
Images:
Capa - Master of Puppets - http://www.flickr.com/photos/50417132@N00/2178362181
Person Icon http://edge-img.datpiff.com/ma336d2d/DeeZee_Too_Be_Continued_-back-large.jpg
Calling http://www.flickr.com/photos/37475356@N00/5740461432
Suit andTie http://www.flickr.com/photos/55046645@N00/475680145Pierce Brosnan http://osolimpianos.files.wordpress.com/2009/05/jamesbond.jpg
Computer Geek http://www.flickr.com/photos/18519023@N00/3498738259
Seller http://www.flickr.com/photos/larskflem/93753458/in/photostream/
Multiple Faces http://www.flickr.com/photos/56695083@N00/4470486685/
Drunk Guys http://www.flickr.com/photos/82605142@N00/86601569
Puss in Boots http://www.jpegwallpapers.com/images/wallpapers/Puss-In-Boots-Shrek-497126.jpeg
Mother http://www.flickr.com/photos/brandoncwarren/5088547448/in/photostream/
Dumpster Diving http://www.flickr.com/photos/75054419@N00/460133621
Distrustful http://www.flickr.com/photos/37354253@N00/388468654
Climb on giant tubes http://www.flickr.com/photos/squeakywheel/379078841/in/photostream/
ShangTsung http://www.umk3.net/images/portrait/shang_tsung.gif
Shoulder Surfing http://www.flickr.com/photos/16258917@N00/2785190754
Fisherman http://www.flickr.com/photos/41346951@N05/5187103981
RedTelephone http://www.flickr.com/photos/pulpolux/151179802/
Spam http://www.ciromota.net/wp-content/uploads/2008/10/spam.jpg
Setting Up EmailAccount http://www.flickr.com/photos/pieterouwerkerk/698618765/in/photostream/
Viagra http://www.n24.de/media/_fotos/bildergalerien/002011/valentinstag_1/7611575.jpg
Pic of Email Screen (SPAM) http://www.fastactiontraining.com/wp-content/uploads/2010/10/Pic-of-Email-Screen.jpg
Jornal Hoje http://4.bp.blogspot.com/_OZcgbN6AowE/S7uYcZuhbqI/AAAAAAAAAWQ/SKOM0o-_mIQ/s1600/jornal
+hoje_globoc%C3%B3pia.jpg
Baby at Computer http://www.flickr.com/photos/65315936@N00/5511409574
Impressed http://www.flickr.com/photos/64114868@N00/1019654125
Security Guy http://www.flickr.com/photos/51035555243@N01/268524287
Head in Hand http://www.flickr.com/photos/34120957@N04/4199675334
White Ninja http://www.flickr.com/photos/cverdier/3893327741/
Lady Cat http://sweettater.files.wordpress.com/2010/03/cimg3458.jpg
God ofWar http://wallpapers.freewallpapers.im/images/2011/02/1024x600/god-of-war-2-game-1935.jpg
Maísa e Sílvio http://4.bp.blogspot.com/__UIUXK-sJhk/TOpBsG7XJwI/AAAAAAAABKM/DPuyUeFuTXk/s1600/maisa-e-
silvio.jpg
Engineer atWork http://www.flickr.com/photos/hammershaug/4494291610/
Password Security http://www.getadvanced.net/images/uploads/Computer_Password_-_Security_Breach.jpg
Bum Shot http://www.flickr.com/photos/63423942@N00/497052735
Written Password http://www.flickr.com/photos/22871132@N00/4051530414
Japanese Guys http://img23.imageshack.us/img23/4451/1304026587.jpg
Talk at Phone http://www.flickr.com/photos/colorblindpicaso/2717409111
Call From Home http://www.flickr.com/photos/91672050@N00/257496969
Handshake http://www.flickr.com/photos/65484951@N00/252924532
Uncle Sam http://pslawnet.files.wordpress.com/2011/04/uncle-sam.jpg
Mr.Box Man http://www.flickr.com/photos/ollesvensson/3686050837/
Mails http://www.flickr.com/photos/comedynose/5666793668/
V forVendetta http://www.flickr.com/photos/edans/5400848923/
Thinking http://www.flickr.com/photos/jakecaptive/3205277810/
Soldiers http://www.flickr.com/photos/19743256@N00/2223783127
Pés pra cima http://www.flickr.com/photos/81785266@N00/125463026
Chat http://www.flickr.com/photos/62597560@N00/258434606
Why you Meme http://clipartsy.com/FAVS/FAVICONIC.NET/April/y_u_no_guy_y_u_no-1331px.png
Hand in hand http://www.flickr.com/photos/26993091@N08/4718225577
Police Car in the Snow http://www.flickr.com/photos/64844023@N00/4198908464
Friends http://www.flickr.com/photos/43081986@N00/115112704
Impatient http://www.flickr.com/photos/45842803@N00/4795997639
Thinking http://www.flickr.com/photos/7320299@N08/3283431745
Social Media http://2.bp.blogspot.com/_m5OYm6Jx05Q/TVK1A53STtI/AAAAAAAAAZk/2iuw4Io838k/s1600/
social_networks.jpg
Band of Brothers http://www.flickr.com/photos/17149966@N00/460670492
Weakest Link http://www.flickr.com/photos/53611153@N00/465459020
Crowd http://www.flickr.com/photos/84856173@N00/3786725982
Lazy http://www.flickr.com/photos/superfantastic/3010891914/
Coins http://www.flickr.com/photos/restlessglobetrotter/3824486278/
Wireless Fail http://www.flickr.com/photos/bnilsen/2880929094/
TheThinker http://www.flickr.com/photos/53611153@N00/5827849044
My Files http://www.flickr.com/photos/84172943@N00/5352825299
CD-R http://www.flickr.com/photos/45382171@N00/1515739697
Inside Outside http://www.flickr.com/photos/followtheseinstructions/5571697149/
Pole Dance http://www.flickr.com/photos/46854683@N04/4547706741
Seller http://www.flickr.com/photos/17768970@N00/4485455723
Thumbs up http://www.flickr.com/photos/37961843@N00/6265449
Greed http://www.flickr.com/photos/calliope/2207307656/
DressTable http://www.flickr.com/photos/centralasian/5968327542/
Trust http://www.flickr.com/photos/43132185@N00/196015953
Sloth http://www.flickr.com/photos/28442702@N00/279470157
Compassion http://www.flickr.com/photos/29553188@N07/3573969837/
Running http://www.flickr.com/photos/51035555243@N01/287666827
Files http://www.flickr.com/photos/juniorvelo/3267647833/
Goofy http://www.flickr.com/photos/42dreams/73838574/
Library http://www.flickr.com/photos/51035555243@N01/85441961
Talking Business http://www.flickr.com/photos/brymo/272834885/
Mask http://www.flickr.com/photos/18548550@N00/5313987
Young Gentleman http://www.flickr.com/photos/64031910@N00/422547724
GoombaVS Mario andYoshi http://www.flickr.com/photos/77161041@N00/2266201047
Mother http://www.flickr.com/photos/54304913@N00/17647469
Private Place http://www.flickr.com/photos/76151808@N00/6100020538
Kevin David Mitnick http://www.starnostar.com/data/images/who-is-Kevin-Mitnick-is-star-or-no-star-Kevin-David-Mitnick-
celebrity-vote.jpg
The Jersey Devil http://www.flickr.com/photos/79874304@N00/285367520
A little better than the last group http://www.flickr.com/photos/81881849@N00/3222035439
OperationTakedown http://filmescomlegenda.net/wp-content/uploads/2009/03/operation-takeodown-300x422.jpg
I HaveYou Now http://www.fotopedia.com/items/flickr-3500989490
SpyingTurquoise http://www.flickr.com/photos/jdhancock/7439564750/
Office Prank http://www.sprichie.com/wp-content/uploads/2012/01/office_pranks_05.jpg
Crachás (sinto muito se sentiram-se ofendidos):
http://farm4.static.flickr.com/3289/2295308772_cecfd160ea.jpg
http://i279.photobucket.com/albums/kk160/lukstuning/DSC04358.jpg?t=1282497031
http://2.bp.blogspot.com/_mKoEIJZM0sk/SCDHHKtX2qI/AAAAAAAAAdU/OXDvNt9iqqU/s320/Foto-0336.jpg
Backgrounds:
Azul http://wallshq.com/wp-content/uploads/original/2011_06/80_blue-abstract-background_WallsHQ.com_.jpg
Verde http://srv4.imghost.ge/out.php/i212027_greenabstractbackground.jpg
Laranja http://wallpapers.free-review.net/wallpapers/19/Orange_abstract_wallpaper.jpg
Videos:
Jedi MindTrick http://www.youtube.com/watch?v=bJiqrVWLfdw