Aula -2 - oque é Social Engenharia social

Prévia do material em texto

Engenharia Social
Infosec - Thyago Monteiro
Conselho de mãe!
•não falar com estranhos 

•não deixar a porta de casa aberta 

• Decore seu nome e o endereço de casa!
LOW PROFILE
O comportamento defensivo é muito importante na 
preservação do indivíduo. 
Seguro morreu de velho! (SERÁ?!?)
•
WEAK TIE
A principal ameaça para qualquer segurança é sem dúvida o 
ser humano, pois todo processo de segurança se inicia e 
termina no usuário do sistema. 
• Coisa boa ou coisa ruim?!? 
• https://www.youtube.com/watch?v=V5kb3THKw90
Engenharia + social
Engenharia: Arte de aplicar conhecimentos científicos, 
empíricos e certas habilitações específicas à criação de 
estruturas, dispositivos e processos que se utilizam para 
converter recursos naturais em formas adequadas ao 
atendimento das necessidades humanas; 
Social: Da sociedade, ou relativo a ela. Sociável. Que 
interessa à sociedade. 
Engenharia Social
Engenharia Social é a ciência que estuda como o 
conhecimento do comportamento humano pode ser 
utilizado para induzir uma pessoa a atuar segundo seu 
desejo. 
Não se trata de hipnose ou controle da mente, as técnicas 
de Engenharia Social são amplamente utilizadas por 
detetives (para obter informação) e magistrados (para 
comprovar se um declarante fala a verdade). 
•
Ideias de Mitnik
O mais importante é demonstrar que todo mundo é vulnerável e 
pode ser manipulado, principalmente os que se julgam mais 
inteligentes. 
•Em vez de ficar se descabelando para encontrar uma falha no 
sistema, o hacker pode largar no banheiro um disquete 
infectado, com o logotipo da empresa e uma etiqueta bem 
sugestiva: 'Informações Confidenciais. Histórico Salarial 2003' 

•É provável que alguém o encontre e insira na máquina 

•
Manipulação de 
sentimentos
Persuasão

• Recompensa

• Curiosidade 
• Confiança 
• Simpatia 
 • Culpa 

• Remorso 
• Medo 
•
Metodo de persuasão
•Caso a vítima-alvo acredite que todos estão fazendo o ato, é provável que ela também faça 1. 

•Olá, meu nome é David, sou do suporte da sua provedora de internet... 

•Eu realizei a atualização da rede de todos os computadores na região nordeste. A maioria dos clientes ficou 
bastante satisfeito com o aumento de velocidade da sua internet. 

•O que eu tenho que fazer? 

•Eu sou capaz de fazer tudo remotamente mas para isso eu preciso 

acessar seu nome de usuário e senha para entrar no sistema. 

•É jdoe, e minha senha é letmein. 

•Ótimo, nossa manutenção de rotina deve demorar apenas alguns 

minutos. 

•
Uma pesquisa realizada pelos organizadores da Conferência Infosec Europe 
2003 com trabalhadores de escritórios, que distribuía um brinde de baixo 
valor (caneta) aos entrevistados. 
•Uma das perguntas foi a seguinte: “Qual é a sua senha?” 

• Três em cada quatro (75%) revelaram suas senhas de 

imediato. 

•Os demais 15% disseram as suas senhas com perguntas adicionais. Dos 
remanescentes: 

• 12% a senha era “password” (senha em inglês). • 16% a senha era o 
próprio nome. 

• 11% a senha era o time de futebol.

• 8% a data de aniversário. 

•
A arte de enganar
• http://lelivros.love/book/baixar-livro-
a-arte-de-enganar-kevin-d-mitnick-
em-pdf-epub-e-mobi/
Phishing 
O ato consiste em um fraudador se fazer passar por uma pessoa ou 
empresa confiável enviando uma comunicação eletrônica oficial.
 • Phishing (pescaria), como o próprio nome sugere, não possui um 
alvo predefinido, em regra geral. 
• Ao contrário da Engenharia Social de Mitnick, o alvo não é 
previamente estudado, em regra geral.å
Um estelionatário envia e-mails falsos forjando a identidade 
de entidades populares consideradas confiáveis, tais como:
 • Sites de entretenimento.
 • Bancos. 
• Empresas de cartão de crédito.
 • Lojas.
 • Órgãos governamentais.
Concursos
Julgue os itens que se seguem, referentes a Internet e 
segurança da informação. O phishing é um procedimento 
que possibilita a obtenção de dados sigilosos de usuários da 
Internet, em geral, por meio de falsas mensagens de email.
 � Certo. � Errado.
Ano: 2015. Banca: CESPE. Órgão: Fundação Universidade de Brasília. Prova: Administrador
Anti-phishing
• Whoscall¹ é um aplicativo Android.
 • Whoscall contém uma lista negra quanto a números: 
• Passadores de trote;
 • Ligações de cobranças; 
• Golpes (Phishing); 
• Telemarketing; 
• Whoscall dá a possibilidade de bloqueio desses ligações 
indesejadas.
Se protegendo
Jogo online e sites pornôs são dois grandes meios de 
disseminação de malwares como: 
• Worms. 
• cavalos de troia. 
• Vírus. 
• dentre outros perigos que se escondem por trás dos 
envolventes jogos, ou diversões oferecidas. 
• Evite jogos online e sites pornôs em ambiente de 
trabalho. 
•