Académique Documents
Professionnel Documents
Culture Documents
www.tisafe.com
Agenda
Engenharia Social
Definies
O Engenheiro Social
Tipologia dos atacantes
Tipos de Ataque
Ataques no Mundo Real
Ataques pela Internet
www.tisafe.com
Definies
Tentativas, com sucesso ou no, de influenciar pessoas em revelar
informaes ou agir de uma determinada maneira que resulte em acesso
no autorizado a, ou uso no autorizado de, ou liberao no autorizada
de um sistema, rede ou dados
CISSP Official Guide
A arte de fazer com que pessoas faam coisas que normalmente no fariam
para um estranho e sendo pago para fazer isto
Kevin D. Mitnick
www.tisafe.com
O Engenheiro Social
Ataca o lado mais fraco do sistema
Torna-se confivel
Passa-se por um colega de trabalho que nunca foi
visto, secretrio de um superior...
Mistura em seu questionrio perguntas inofensivas
para no levantar suspeitas (parte do princpio
que para saber, basta perguntar na maioria das
vezes)
Mais do que uma pessoa de tecnologia, um
mestre nas relaes interpessoais
www.tisafe.com
www.tisafe.com
www.tisafe.com
Agenda
Engenharia Social
Definies
O Engenheiro Social
Tipologia dos atacantes
Tipos de Ataque
Ataques no Mundo Real
Ataques pela Internet
www.tisafe.com
www.tisafe.com
www.tisafe.com
www.tisafe.com
Vulnerabilidades de rede
www.tisafe.com
Agenda
Engenharia Social
Definies
O Engenheiro Social
Tipologia dos atacantes
Tipos de Ataque
Ataques no Mundo Real
Ataques pela Internet
www.tisafe.com
www.tisafe.com
www.tisafe.com
Agenda
Engenharia Social
Definies
O Engenheiro Social
Tipologia dos atacantes
Tipos de Ataque
Ataques no Mundo Real
Ataques pela Internet
www.tisafe.com
www.tisafe.com
Natureza Humana
Pessoas confiam e cooperam por natureza
Quase toda pessoa pode ser influenciada a agir de uma maneira
especfica e divulgar informaes
Pessoas que possuem autoridade (ou aparentam possuir)
intimidam outras pessoas
www.tisafe.com
Ambiente de Trabalho
Constantes fuses e aquisies de empresas e avanos na
tecnologia facilitam a engenharia social nas empresas
Hoje pessoas trabalham em cooperao com outras que nunca
viram pessoalmente atravs de SKYPE, MSN e outros
www.tisafe.com
Agenda
Engenharia Social
Definies
O Engenheiro Social
Tipologia dos atacantes
Tipos de Ataque
Ataques no Mundo Real
Ataques pela Internet
www.tisafe.com
Sequncia de um ataque
www.tisafe.com
Selecionando Alvos
www.tisafe.com
www.tisafe.com
whois
Cadastro dos registros de endereos eletrnicos
D as seguintes informaes do registrado:
Nome do domnio
Razo social ou nome
Registro (CNPJ, CPF...)
Endereo completo
Telefone
Status do servidor DNS
Contato do administrador
www.registro.br
www.arin.net/whois*
www.tisafe.com
www.tisafe.com
www.tisafe.com
www.tisafe.com
www.tisafe.com
Orkut
www.tisafe.com
Orkut
www.tisafe.com
Perigos do Orkut
Responsabilidade Legal: se um desconhecido obtiver acesso sua
senha e seu perfil, poder agir em seu nome, enviando mensagens,
criando comunidades e assim, podendo cometer crimes de apologia
s drogas, pedofilia ou ainda crime de racismo e muitos outros.
Roubo de Identidade: sem a existncia de processos fortes de
identificao e autenticao de novos usurios quando da criao de
novos perfis e comunidades, nada impede que algum crie um novo
perfil copiando e utilizando suas fotos, seu nome, seus dados
pessoais e detalhes de sua vida acessveis atravs do perfil
verdadeiro.
Crime Contra a Honra: ainda de posse de acesso edio de seu
perfil, o fraudador pode se inserir em comunidades que indiquem
distrbios de comportamento, opes sexuais, gostos duvidosos e
assim, associar voc a interesses que influenciem no julgamento que
seus amigos fazem de voc e de sua honra.
www.tisafe.com
www.tisafe.com
www.tisafe.com
www.tisafe.com
www.tisafe.com
Agenda
Engenharia Social
Definies
O Engenheiro Social
Tipologia dos atacantes
Tipos de Ataque
Ataques no Mundo Real
Ataques pela Internet
www.tisafe.com
www.tisafe.com
www.tisafe.com
www.tisafe.com
www.tisafe.com
www.tisafe.com
www.tisafe.com
www.tisafe.com
www.tisafe.com
Anlise do Lixo
A Maioria das pessoas no d ateno para aquilo que esto
descartando
Relatrios, contas pessoais, senhas, anotaes de tarefas e
relacionadas com o trabalho, tudo descartado
Os empregados tem que ter conscincia que invasores olham
o lixo para obter informaes com as quais possam se
beneficiar
www.tisafe.com
Anlise do Lixo
www.tisafe.com
www.tisafe.com
Senhas anotadas
www.tisafe.com
www.tisafe.com
Invaso de instalaes
possvel usar truques da engenharia social para invadir
instalaes fsicas de empresas
Neste caso o invasor se faz passar por um funcionrio da
empresa de forma to convincente que at mesmo as
pessoas que se preocupam com segurana so
enganadas
Ex-funcionrios podem guardar credenciais que os
permitam entrar de novo na empresa
A Invaso tambm pode ser feita atravs de empresas
terceiras (limpeza, consultores, etc)
www.tisafe.com
www.tisafe.com
www.tisafe.com
www.tisafe.com
Cada stream adicional tem um nome, que pode ser qualquer coisa.
www.tisafe.com
ADS no Windows
O Windows cria ADS quando
voc insere dados de
descrio no arquivo.
Clique com o boto direito em
qualquer arquivo, ento clique
em Propriedades e procure
pela aba Resumo.
www.tisafe.com
ADS na Prtica
Crie uma pasta com o nome de Streams na sua unidade C:\. Agora abra um Prompt de Comando
e digite o seguinte:
CD C:\streams
Depois de cada comando, aperte a tecla ENTER para confirmar.
Voc deve estar agora na pasta C:\streams>. Digite o seguinte comando:
echo conteudo normal > ads.txt
Agora abra o arquivo C:\streams\ads.txt no Bloco de Notas. Voc deve ver o conteudo normal na
tela. Feche o Bloco de Notas e volte para o Prompt de Comando e digite:
dir
www.tisafe.com
Sim, 18 bytes.
O tamanho do arquivo
ainda no foi modificado.
www.tisafe.com
Isso mesmo! Voc tem o contedo da sua ADS, simples, na tela. Se voc olhar
no Windows Explorer no poder ver qualquer diferena se o arquivo possui
ou no um ADS, sendo necessrio apagar o ads.txt para remover a stream.
www.tisafe.com
www.tisafe.com
www.tisafe.com
www.tisafe.com
Fake Mail
a tcnica de se enviar e-mails falsos se fazendo passar por
outra pessoa.
Pode ser realizado por clientes instalados na mquina ou
atravs de web sites
Geralmente, o servidor de envio de e-mails de um provedor
(SMTP) faz algumas checagens antes de enviar um e-mail.
Checa se o endereo IP realmente pertence ao provedor e
se a pessoa que est mandando a mensagem est
conectada ali ( raro servidores de envio de e-mail
suportarem relay, que permitir que pessoas de fora do
provedor consigam mandar mensagens).
Existem servidores SMTP que permitem relay, e ainda garantem
o anonimato. uma questo de pesquisar.
www.tisafe.com
www.tisafe.com
Exemplo de FAP I
www.tisafe.com
Exemplo de FAP II
www.tisafe.com
www.tisafe.com
www.tisafe.com
www.tisafe.com
www.tisafe.com
Agenda
Engenharia Social
Definies
O Engenheiro Social
Tipologia dos atacantes
Tipos de Ataque
Ataques no Mundo Real
Ataques pela Internet
www.tisafe.com
www.tisafe.com
Segurana Fsica
Os componentes fsicos da segurana so os
mais fceis de compreender e tambm os
mais fceis de executar
A segurana fsica engloba a proteo contra
roubo, vandalismo, catstrofes, danos
naturais, desastres (deliberados ou
acidentais), condies ambientais instveis
tais como a eltrica, a temperatura, a
umidade, e outras
www.tisafe.com
Segurana Lgica
As medidas de segurana lgicas so
aquelas que empregam uma soluo
tcnica para proteger a informao
Exemplos: firewall, controle do acesso,
sistemas da senha, IDS e criptografia
Controles eficazes mas confiam em um
elemento humano ou em uma
interao para funcionar com sucesso
www.tisafe.com
Segurana Administrativa
Os controles de segurana
administrativa so aqueles que
envolvem polticas,
procedimentos, boas prticas, etc
Exemplos: polticas da segurana da
informao, programas da
conscientizao, e verificaes
profundas para novos
funcionrios, etc
www.tisafe.com
Contramedidas
Como a engenharia social ataca o elemento humano, as
medidas protetoras necessitam ser concentradas nas de
segurana administrativa
As contramedidas eficazes devem ter polticas detalhadas de
segurana da informao que so comunicadas atravs de
sua organizao
Um plano contnuo de conscientizao muito importante
A Intranet da empresa pode ser um poderoso veculo para
divulgao de boas prticas de segurana
www.tisafe.com
www.tisafe.com
Gerais
Sempre relatar ligaes suspeitas
Documentar as ligaes suspeitas
Nunca divulgar nmeros para acesso discado empresa
Sempre usar crachs de identificao
Questionar pessoas desconhecidas sem crach
Nunca permitir que entre e nem abrir a porta para nenhum
desconhecido
Destruir documentos sigilosos usando trituradora
Usar identificadores pessoais para validar empregados
Nunca divulgar organogramas da empresa
Nunca divulgar informaes particulares de empregados
www.tisafe.com
www.tisafe.com
www.tisafe.com
www.tisafe.com
www.tisafe.com
www.tisafe.com
www.tisafe.com
www.tisafe.com
www.tisafe.com
1.
2.
3.
4.
5.
6.
Evite autorizar pessoas desconhecidas, mesmo que lhe paream familiar ou lhe
tenham enviado uma mensagem de solicitao. Lembre-se do conceito de
herana de confiana, isso poder representar uma ameaa aos seus amigos.
7.
www.tisafe.com
Evite utilizar fotografias em seu perfil que simbolizem algo muito diferente do que voc realmente
. Desta forma, evitar atrair pessoas mal intencionadas ou compatveis com o simbolismo
equivocado transmitido pela imagem.
9.
Habilite o recurso de identificao do visitante. uma boa forma de conhecer o perfil de quem tem
se interessado em conhecer voc e assim, lhe permitir identificar possveis equvocos na
definio do seu perfil e na escolha das fotografias.
10.
11.
12.
www.tisafe.com
Agenda
Engenharia Social
Definies
O Engenheiro Social
Tipologia dos atacantes
Tipos de Ataque
Ataques no Mundo Real
Ataques pela Internet
www.tisafe.com
Concluso
A Engenharia Social explora vulnerabilidades humanas;
Pode ou no utilizar tecnologia;
Na maior parte das vezes a vtima no percebe que est sendo
manipulada;
Os ataques de Engenharia Social so reais e acontecem no diaa-dia;
A maioria dos ataques de Engenharia Social tiram proveito de
factores psicolgicos que inibem uma resposta adequada;
possvel minorar os efeitos de Engenharia Social atravs de
contnuo treinamento, conscientizao e implementao de
regras de segurana;
www.tisafe.com
Para pensar...
O computador mais seguro do mundo
teria de estar guardado num cofre,
desligado, no fundo do oceano...
Guardado por tubares, exrcitos e
porta-avies... E mesmo assim seria
possvel convencer algum que o
estivesse guardando a lig-lo....
Kevin Mitnick
www.tisafe.com
Referncias
Livro A Arte de Enganar
Autores: Kevin D. Mitnick & William L. Simon
Editora: Makron Books
Livro Official (ISC)2 Guide to the CISSP Exam
Autores: Susan Hansche, John Berti & Chris Hare
Editora: Auerbach
Livro O Pirata Eletrnico e o Samurai - A Verdadeira Histria de
Kevin Mitnick e do Homem que o Caou na Estrada Digital
Autor: Jeff GOODELL
Editora Campus, 1996
www.tisafe.com
Referncias - Filmes
www.tisafe.com
www.tisafe.com
Lmina promocional
Dvidas?
www.tisafe.com
Obrigado!
contato@tisafe.com
www.tisafe.com