AP Tisafe Engenharia Social

Tcnicas de Engenharia Social
Termo de Iseno de Responsabilidade
A TI Safe no se responsabiliza pelo mal uso das informaes

aqui prestadas
Aproveite esta apresentao para ampliar seus conhecimentos
em Segurana da Informao e us-los com responsabilidade.
www.tisafe.com
Agenda
Engenharia Social
Definies
O Engenheiro Social
Tipologia dos atacantes
Riscos Segurana da Informao

O Fator Humano
Por que a Engenharia Social funciona?
Seqncia de um ataque
Levantamento de dados da vtima
Tipos de Ataque
Ataques no Mundo Real
Ataques pela Internet
Defesas contra ataques de Eng. Social
www.tisafe.com
Definies
Tentativas, com sucesso ou no, de influenciar pessoas em revelar
informaes ou agir de uma determinada maneira que resulte em acesso
no autorizado a, ou uso no autorizado de, ou liberao no autorizada
de um sistema, rede ou dados
CISSP Official Guide
A arte de fazer com que pessoas faam coisas que normalmente no fariam
para um estranho e sendo pago para fazer isto
Kevin D. Mitnick
www.tisafe.com
O Engenheiro Social
Ataca o lado mais fraco do sistema
Torna-se confivel
Passa-se por um colega de trabalho que nunca foi
visto, secretrio de um superior...
Mistura em seu questionrio perguntas inofensivas
para no levantar suspeitas (parte do princpio
que para saber, basta perguntar na maioria das
vezes)
Mais do que uma pessoa de tecnologia, um
mestre nas relaes interpessoais
www.tisafe.com
www.tisafe.com
Quem pode atacar a rede?
www.tisafe.com
Agenda
Engenharia Social
Definies
O Engenheiro Social

O Fator Humano
Tipos de Ataque
www.tisafe.com
Relatrio do Gartner, 2005
www.tisafe.com
Impacto das violaes de segurana
www.tisafe.com
Pesquisa do CSI/FBI 2005
www.tisafe.com
Vulnerabilidades de rede
www.tisafe.com
Agenda
Engenharia Social
Definies
O Engenheiro Social

O Fator Humano
Tipos de Ataque
www.tisafe.com
Pessoas confiam demais...
www.tisafe.com
O elo mais fraco das empresas: o fator humano
O Fator humano o elo mais fraco da segurana

Na maioria dos casos, os engenheiros sociais s precisam pedir as
senhas s pessoas corretas
De nada adiantam investimentos em solues de segurana se no
treinarmos os funcionrios contra engenharia social
Objetivo de um engenheiro social: encontrar um modo de enganar um
usurio de confiana para que ele revele informaes ou...
Enganar algum importante para que ele fornea o acesso desejado
www.tisafe.com
Agenda
Engenharia Social
Definies
O Engenheiro Social

O Fator Humano
Tipos de Ataque
www.tisafe.com

Natureza Humana
Ambiente de Trabalho
www.tisafe.com
Natureza Humana
Pessoas confiam e cooperam por natureza
Quase toda pessoa pode ser influenciada a agir de uma maneira
especfica e divulgar informaes
Pessoas que possuem autoridade (ou aparentam possuir)
intimidam outras pessoas
www.tisafe.com
Ambiente de Trabalho
Constantes fuses e aquisies de empresas e avanos na
tecnologia facilitam a engenharia social nas empresas
Hoje pessoas trabalham em cooperao com outras que nunca
viram pessoalmente atravs de SKYPE, MSN e outros
www.tisafe.com
Agenda
Engenharia Social
Definies
O Engenheiro Social

O Fator Humano
Tipos de Ataque
www.tisafe.com
Sequncia de um ataque
www.tisafe.com
Selecionando Alvos
www.tisafe.com

To importante quanto o ataque saber como faz-lo e contra quem
O que procurar?
Nomes de domnios e endereos IP
Servios disponveis
Arquitetura da rede
Mecanismos de controle de acesso
Sistemas de deteco de intrusos (IDSs)
Listagem de usurios, logins, senhas e permisses
Mecanismos de autenticaes (VPNs, Intranets...)
www.tisafe.com
whois
Cadastro dos registros de endereos eletrnicos
D as seguintes informaes do registrado:
Nome do domnio
Razo social ou nome
Registro (CNPJ, CPF...)
Endereo completo
Telefone
Status do servidor DNS
Contato do administrador
www.registro.br
www.arin.net/whois*
www.tisafe.com
Telelistas e 102 Telemar
www.tisafe.com
www.tisafe.com
www.tisafe.com
www.tisafe.com
Orkut
www.tisafe.com
Orkut
www.tisafe.com
Perigos do Orkut
Responsabilidade Legal: se um desconhecido obtiver acesso sua
senha e seu perfil, poder agir em seu nome, enviando mensagens,
criando comunidades e assim, podendo cometer crimes de apologia
s drogas, pedofilia ou ainda crime de racismo e muitos outros.
Roubo de Identidade: sem a existncia de processos fortes de
identificao e autenticao de novos usurios quando da criao de
novos perfis e comunidades, nada impede que algum crie um novo
perfil copiando e utilizando suas fotos, seu nome, seus dados
pessoais e detalhes de sua vida acessveis atravs do perfil
verdadeiro.
Crime Contra a Honra: ainda de posse de acesso edio de seu
perfil, o fraudador pode se inserir em comunidades que indiquem
distrbios de comportamento, opes sexuais, gostos duvidosos e
assim, associar voc a interesses que influenciem no julgamento que
seus amigos fazem de voc e de sua honra.
www.tisafe.com
Perigos do Orkut (cont.)

Chantagem: expondo detalhes demais de sua vida e de sua famlia, voc pode
estar potencializando os golpes de chantagem, seqestro falso ou qualquer
outro em que conhecer o nome de seus familiares ou simplesmente onde
passou suas ltimas frias, poder faz-lo acreditar na veracidade do golpe
e assim, ser alvo fcil.
Fraude Financeira: em funo do conceito primrio da rede de herana de
confiana entre amigos, onde o amigo de um grande amigo seu passa a ter,
supostamente, a sua confiana, voc poder ser levado a acreditar
cegamente nele, sem, no entanto se lembrar de que no existe nenhum
critrio srio de avaliao e aceitao de amigos na rede. Desta forma,
pedidos falsos de ajuda financeira, caridade ou qualquer outro passam a ter
grandes ndices de aceitao.
Phishing: a rede de relacionamentos pode at nem ser o ambiente de um
golpe, mas sim uma fonte de informaes valiosas para viabilizar outros
golpes como o phising via email. Um email de phishing com um link falso
mencionando dados e fatos pessoais ser sem dvida muito mais eficaz ao
persuadi-lo.
www.tisafe.com
Sites com baixa proteo a dados de usurios
www.tisafe.com
Pesquisa por Currculos
www.tisafe.com
Dados completamente expostos...
www.tisafe.com
Agenda
Engenharia Social
Definies
O Engenheiro Social

O Fator Humano
Tipos de Ataque
www.tisafe.com
Ataques de Engenharia Social
www.tisafe.com
Ataques no mundo real

Ataques por Ego
Ataques por Simpatia
Ataques por Intimidao
Anlise do Lixo
Invaso de Instalaes
www.tisafe.com
Ataques por Ego

O atacante apela para as caractersticas humanas mais bsicas, o
ego e a vaidade
O atacante se coloca como um receptivo ouvinte que as vtimas
possuem para mostrar o quanto sabem
As vtimas normalmente so pessoas que se sentem
desvalorizadas na empresa
Na maioria dos casos, as vtimas no tem idia de que fizeram
algo errado
www.tisafe.com
Estudo de caso: O Caa Promoes

O Invasor entra numa empresa dizendo ter uma reunio
marcada com um funcionrio (que ele j sabe o nome,
pesquisado anteriormente)
Elogia o trabalho da secretria que o recebeu e a faz perceber o
quanto til
Se aproveitando deste elogio, pede secretria para usar a
Internet da sala de reunio
A secretria permite e, em menos de 15 minutos, ele j havia
roubado os dados da empresa que precisava
www.tisafe.com
Ataques por Simpatia

O atacante finge ser um funcionrio camarada (usualmente
um recm-contratado), um tercerizado, ou um novo
empregado de um parceiro estratgico da empresa, que
aparenta estar com um problema real e precisa de ajuda
imediata para tarefas que tem que ser realizadas com
urgncia.
O senso de urgncia normalmente parte do cenrio pois
isto fornece a desculpa para que os procedimentos
corretos de segurana sejam burlados por seus amigos
de trabalho.
www.tisafe.com
Estudo de caso: Obtendo o nmero do carto

O Invasor liga para a vtima pedindo ajuda e dizendo ser um
amigo da outra filial da mesma empresa
Repete os pedidos de ajuda por vrias vezes, sempre sendo
muito amistoso e agradvel
Inventa um acidente que deixou sua empresa sem Internet e
acesso ao banco de dados de clientes
Pede para que a amiga da outra loja verifique os dados de
um cliente especfico (a vtima) e ela lhe passa todos os
dados, inclusive o nmero do carto de crdito
www.tisafe.com
Ataques por Intimidao

O atacante finge ser uma pessoa com autoridade na
empresa, ou uma pessoa influente na organizao ou, em
alguns casos, um agente da lei
O Atacante cria razes plausveis para fazer algum tipo de
pedido como reinicializao de senha, alteraes em
contas de usurios, acesso a sistemas ou a informaes
sensveis
Se o atacante for encarado com resistncia pela vtima, ele
tentar intimid-lo com sanes contra ela, seja a
demisso ou a priso.
www.tisafe.com
Estudo de caso: O Sr. BIGG quer isso!

O Invasor liga para um funcionrio da empresa-alvo dizendo
ser de uma empresa de consultoria subcontratada
O Invasor pede ao funcionrio o envio, com mxima urgncia,
de um relatrio sigiloso, e informa que este um pedido do
CEO da empresa
O Funcionrio, com medo de no atender a um pedido do
CEO, entrega o relatrio pedido
www.tisafe.com
Anlise do Lixo
A Maioria das pessoas no d ateno para aquilo que esto
descartando
Relatrios, contas pessoais, senhas, anotaes de tarefas e
relacionadas com o trabalho, tudo descartado
Os empregados tem que ter conscincia que invasores olham
o lixo para obter informaes com as quais possam se
beneficiar
www.tisafe.com
Anlise do Lixo
O Lixo de uma empresa pode guardar documentos com

informaes sensveis. No caso foi encontrado papel
com usurio e senha anotados
www.tisafe.com
Caso real: Anlise de Lixo
www.tisafe.com
Senhas anotadas
www.tisafe.com
1/3 dos funcionrios anotam senhas
www.tisafe.com
Invaso de instalaes
possvel usar truques da engenharia social para invadir
instalaes fsicas de empresas
Neste caso o invasor se faz passar por um funcionrio da
empresa de forma to convincente que at mesmo as
pessoas que se preocupam com segurana so
enganadas
Ex-funcionrios podem guardar credenciais que os
permitam entrar de novo na empresa
A Invaso tambm pode ser feita atravs de empresas
terceiras (limpeza, consultores, etc)
www.tisafe.com
Caso real: Invaso de Instalaes
www.tisafe.com

Ataques por Vrus
Ataques por SCAM
Ataques por Chat
Ataques pelo Orkut
www.tisafe.com
Ataques por Vrus

Normalmente feitos atravs de e-mail ou via servio de troca instantnea
de mensagens (MSN, Skype, etc)
O texto da mensagem procura atrair a ateno, seja por curiosidade, por
caridade ou pela possibilidade de obter alguma vantagem
(normalmente financeira)
O texto da mensagem tambm pode indicar que a no execuo dos
procedimentos descritos acarretaro conseqncias mais srias, como,
a incluso do nome no SPC/SERASA, o cancelamento de um cadastro,
da conta bancria ou do carto de crdito, etc.
A mensagem, ento, procura induzir a vtima a clicar em um link, para
baixar e abrir/executar um arquivo que instalar o vrus ou keylogger
em seu computador.
A maioria dos ataques por vrus faz uso de uma tcnica comum entre
hackers que visa embutir arquivos dentro de outros, o Additional Data
Stream
www.tisafe.com
Tcnica Additional Data Stream (ADS)

As Additional Data Streams so tambm conhecidas como Alternate
Data Streams e Multiple Data Streams.
Elas foram criadas originalmente para que dados para a descrio dos
arquivos [Meta Data] pudessem ser inseridos facilmente no disco.
Elas esto disponveis em qualquer disco formatado com o NTFS, deste
modo nada do que est aqui se aplica para FAT ou para Windows 9x/ME.
Cada arquivo ou pasta, que est presente na Stream principal, pode
possuir vrias streams adicionais.
Cada stream adicional tem um nome, que pode ser qualquer coisa.
www.tisafe.com
ADS no Windows
O Windows cria ADS quando
voc insere dados de
descrio no arquivo.
Clique com o boto direito em
qualquer arquivo, ento clique
em Propriedades e procure
pela aba Resumo.
www.tisafe.com
ADS na Prtica
Crie uma pasta com o nome de Streams na sua unidade C:\. Agora abra um Prompt de Comando
e digite o seguinte:
CD C:\streams
Depois de cada comando, aperte a tecla ENTER para confirmar.
Voc deve estar agora na pasta C:\streams>. Digite o seguinte comando:
echo conteudo normal > ads.txt
Agora abra o arquivo C:\streams\ads.txt no Bloco de Notas. Voc deve ver o conteudo normal na
tela. Feche o Bloco de Notas e volte para o Prompt de Comando e digite:
dir
Temos o ads.txt com 18 bytes
www.tisafe.com
ADS na Prtica (Cont.)

Agora digite o seguinte comando no Prompt:
echo conteudo em ads > ads.txt:simples
Os dois pontos separam o nome do arquivo do nome da ADS. No nosso caso,
criamos uma stream adicional com o nome de simples. Agora o arquivo
ads.txt possui uma stream chamada simples ligada a ele. Abra novamente
o arquivo no Bloco de Notas e voc deve ver somente o conteudo normal
ainda. Digite novamente o comando dir:
dir
Sim, 18 bytes.
O tamanho do arquivo
ainda no foi modificado.
www.tisafe.com
ADS na Prtica (Cont.)

Agora tente o seguinte comando no Prompt:
more < ads.txt:simples
Isso mesmo! Voc tem o contedo da sua ADS, simples, na tela. Se voc olhar
no Windows Explorer no poder ver qualquer diferena se o arquivo possui
ou no um ADS, sendo necessrio apagar o ads.txt para remover a stream.
www.tisafe.com
ADS na Prtica (Final)

Note que as ADS podem possuir mais do que texto, inclusive, cdigo
executvel (programas).
Como o Windows no possui nenhum programa para lidar com ADS,
trojans comearam a utilizar ADS para dificultar sua remoo,
assim se adicionando como ADS em arquivos cruciais ao
Windows.
Desta forma no basta apenas remover o arquivo infectado,
necessrio o uso de ferramentas adicionais, o que aumenta o
trabalho e o tempo gastos para a resoluo do problema.
www.tisafe.com
Caso real de ataque por Vrus
www.tisafe.com
Ataques por SCAM

O scam (ou "golpe")
qualquer esquema ou
ao enganosa e/ou
fraudulenta que,
normalmente, tem como
finalidade obter
vantagens financeiras.
O Atacante faz uso de
ferramentas de fake mail,
ou contas de usurios
falsos
www.tisafe.com
Fake Mail
a tcnica de se enviar e-mails falsos se fazendo passar por
outra pessoa.
Pode ser realizado por clientes instalados na mquina ou
atravs de web sites
Geralmente, o servidor de envio de e-mails de um provedor
(SMTP) faz algumas checagens antes de enviar um e-mail.
Checa se o endereo IP realmente pertence ao provedor e
se a pessoa que est mandando a mensagem est
conectada ali ( raro servidores de envio de e-mail
suportarem relay, que permitir que pessoas de fora do
provedor consigam mandar mensagens).
Existem servidores SMTP que permitem relay, e ainda garantem
o anonimato. uma questo de pesquisar.
www.tisafe.com
Fraude de antecipao de pagamentos (FAP)

Neste ataque, a vtima recebe um e-mail em nome de uma
instituio governamental (por exemplo, o Banco Central)
de um pas distante
Neste email solicitado que a vtima atue como intermedirio
em uma transferncia internacional de fundos
O valor mencionado na mensagem normalmente corresponde
a dezenas ou centenas de milhes de dlares
Como recompensa, a vtima ter direito de ficar com uma
porcentagem (normalmente alta) do valor mencionado
Para completar a transao solicitado que seja pago
antecipadamente uma quantia para arcar com taxas de
transferncia de fundos e custos com advogados
www.tisafe.com
Exemplo de FAP I
www.tisafe.com
Exemplo de FAP II
www.tisafe.com
FAP por carta

Nova vertente do ataque de FAP
A vtima recebe uma carta com
instrues para acesso site
na Web e depsito do dinheiro
www.tisafe.com
Levantamento de dados por Auto-Reply
www.tisafe.com
Ataques por CHAT
www.tisafe.com
Ataques pelo Orkut

Ataques via Orkut so cada dia
mais frequentes
Criminosos usam a ingenuidade e
simpatia do Brasileiro para
prtica de fraudes
Mensagens falsas com links para
sites com vrus e malwares so
colocadas como scraps no
Orkut das vtimas
www.tisafe.com
Agenda
Engenharia Social
Definies
O Engenheiro Social

O Fator Humano
Tipos de Ataque
www.tisafe.com
Defesas contra ataques de Engenharia Social

Mecanismos de defesas so divididos em 3 categorias:
Segurana Fsica
Segurana Lgica
Segurana Administrativa
www.tisafe.com
Segurana Fsica
Os componentes fsicos da segurana so os
mais fceis de compreender e tambm os
mais fceis de executar
A segurana fsica engloba a proteo contra
roubo, vandalismo, catstrofes, danos
naturais, desastres (deliberados ou
acidentais), condies ambientais instveis
tais como a eltrica, a temperatura, a
umidade, e outras
www.tisafe.com
Segurana Lgica
As medidas de segurana lgicas so
aquelas que empregam uma soluo
tcnica para proteger a informao
Exemplos: firewall, controle do acesso,
sistemas da senha, IDS e criptografia
Controles eficazes mas confiam em um
elemento humano ou em uma
interao para funcionar com sucesso
www.tisafe.com
Segurana Administrativa
Os controles de segurana
administrativa so aqueles que
envolvem polticas,
procedimentos, boas prticas, etc
Exemplos: polticas da segurana da
informao, programas da
conscientizao, e verificaes
profundas para novos
funcionrios, etc
www.tisafe.com
Contramedidas
Como a engenharia social ataca o elemento humano, as
medidas protetoras necessitam ser concentradas nas de
segurana administrativa
As contramedidas eficazes devem ter polticas detalhadas de
segurana da informao que so comunicadas atravs de
sua organizao
Um plano contnuo de conscientizao muito importante
A Intranet da empresa pode ser um poderoso veculo para
divulgao de boas prticas de segurana
www.tisafe.com
Boas prticas de segurana

As boas prticas dos slides a seguir so sugestes a todos os
funcionrios de qualquer empresa
No so uma poltica de segurana completa, pois esta possui
diretrizes detalhadas e segmentadas por departamento
As boas prticas a seguir so divididas em: de uso geral, de uso
do computador, de uso do correio eletrnico, de uso do
telefone, de uso do fax, voice mail, senhas e orkut
www.tisafe.com
Gerais
Sempre relatar ligaes suspeitas
Documentar as ligaes suspeitas
Nunca divulgar nmeros para acesso discado empresa
Sempre usar crachs de identificao
Questionar pessoas desconhecidas sem crach
Nunca permitir que entre e nem abrir a porta para nenhum
desconhecido
Destruir documentos sigilosos usando trituradora
Usar identificadores pessoais para validar empregados
Nunca divulgar organogramas da empresa
Nunca divulgar informaes particulares de empregados
www.tisafe.com
Para uso do computador

Funcionrios nunca devem inserir comandos em um
computador sob solicitao de outra pessoa, a menos que o
solicitante tenha sido previamente verificado
Funcionrios no devem divulgar nomes internos de sistemas
ou bancos de dados sem que o solicitante tenha sido
previamente verificado
Funcionrios no devem executar nenhum aplicativo ou
programa sob solicitao de outra pessoa, a menos que o
solicitante tenha sido previamente verificado
Funcionrios nunca devem fazer download ou instalar software
sob solicitao de outra pessoa, a menos que o solicitante
tenha sido previamente verificado
www.tisafe.com
Para uso do computador (cont.)

As senhas no devem ser enviadas por correio eletrnico, a
menos que estejam criptografadas
Funcionrios nunca devem remover ou desativar antivrus,
firewall ou outro software relacionado segurana sem
prvia autorizao do departamento de TI
Nenhum modem pode estar conectado a nenhum
computador sem prvia autorizao do departamento de TI
Todos os desktops com modems aprovados pelo TI devem ter
o recurso de resposta automtica desativado
Funcionrios no devem fazer o download nem usar
ferramentas de software criadas para anular os mecanismos
de proteo de software
www.tisafe.com
Para uso do computador (cont.)

Empregados no devem divulgar nenhum detalhe relativo ao
Hardware ou Software da empresa em newsgroup
pblicos, fruns ou bulletin boards
Se uma mdia qualquer, tal como disquetes e CD-ROMs for
deixada na sua mesa e tenha origem desconhecida, ela no
deve ser inserida em nenhum computador
Antes de descartar mdia eletrnica que j conteve
informaes sigilosas, esta mdia dever ser destruda
Todos os usurios devem possuir senhas para proteo de tela
e limite de inatividade para bloqueio do computador aps
tempo sem uso
Todos os empregados devem assinar um contrato de
confidencialidade com a empresa
www.tisafe.com
Para uso do correio eletrnico

Os anexos de correio eletrnico no devem ser abertos, a menos
que seja esperado ou tenha sido enviado por uma pessoa de
confiana
Deve ser proibido o encaminhamento automtico de mensagens
recebidas por correio eletrnico para um endereo de correio
eletrnico externo
Toda solicitao de uma pessoa no verificada para transferir
uma mensagem de correio eletrnico para outra pessoa no
verificada exige a confirmao da identidade do solicitante
www.tisafe.com
Para uso do telefone

Os empregados no devem participar de pesquisas nem
responder perguntas de qualquer organizao ou pessoa
estranha. Estas solicitaes devem ser encaminhadas para o
departamento de relaes pblicas ou para uma pessoa
designada na empresa
Se uma pessoa no verificada pedir a um empregado o seu
nmero de telefone, ele deve primeiro determinar se a
divulgao do telefone necessria para a conduo dos
negcios da empresa
proibido deixar mensagens que contenham informaes de
senha na caixa postal do voice mail de algum
www.tisafe.com
Para uso do FAX

Nenhum fax deve ser recebido e encaminhado para outra parte
sem verificao da identidade do solicitante
Antes de executar instrues pedidas por fax, o remetente deve
ser confirmado como empregado ou pessoa de confiana
Sempre deve-se tomar cuidado ao enviar fax para uma rea
pblica da empresa e incluir pgina de rosto com informaes
do destinatrio.
Senhas nunca podem ser enviadas por fax
www.tisafe.com
Para uso do Voice Mail

As senhas de voice mail nunca devem ser divulgadas e devem ser
sempre alteradas a cada 90 dias
Os usurios de voice mail no devem usar a mesma senha em
outro telefone ou sistema de computador
Os usurios e administradores devem criar senhas de voice mail
que sejam difceis de adivinhar
Se alguma mensagem de voice mail que ainda no foi ouvida no
estiverem marcadas como nova, o administrador do voice
mail dever ser notificado
Informaes confidenciais ou particulares no devem ser
divulgadas em uma mensagem de voice mail
www.tisafe.com
Para uso de senhas

Nunca divulgar senhas por telefone
Nunca divulgar sua senha de acesso rede para ningum,
exceto sob pedido escrito de seu chefe
Nunca usar senha de acesso Internet igual senha de seu
login na empresa
Nunca usar senha igual ou semelhante em mais de um sistema
da empresa
Nunca manter a mesma senha por mais de 18 meses
Usar senhas fortes (mnimo de 8 caracteres, letras maisculas e
minsculas, nmeros e caracteres especiais)
www.tisafe.com
Para uso do Orkut

NO TENHA ORKUT. Mas se voc quiser insistir, observe as medidas preventivas abaixo:
1.
Evite utilizar senhas bvias ou fceis demais e sempre a substitua com

regularidade ou sempre que desconfiar de sua confidencialidade.
2.
Evite publicar informaes muito pessoais, que em geral, s sua famlia ou

pessoas muito prximas deveriam ou poderiam saber.
3.
Evite informar telefones de contato e endereos fsicos, a no ser que exista um

interesse comercial no uso do servio.
4.
Evite exibir fotografias que exponham detalhes de sua residncia ou trabalho, ou

ainda, fotografias que permitam dupla interpretao.
5.
Evite publicar fotografias que exponham outras pessoas de seu convvio,

especialmente familiares, a menos que previamente autorizadas.
6.
Evite autorizar pessoas desconhecidas, mesmo que lhe paream familiar ou lhe
tenham enviado uma mensagem de solicitao. Lembre-se do conceito de
herana de confiana, isso poder representar uma ameaa aos seus amigos.
7.
Evite criar e entrar em comunidades de gosto duvidoso ou simplesmente com

ttulo e descrio que so sejam inteiramente alinhadas ao seu perfil. Voc pode
ser mal interpretado.
www.tisafe.com
Para uso do Orkut (cont.)

8.
Evite utilizar fotografias em seu perfil que simbolizem algo muito diferente do que voc realmente
. Desta forma, evitar atrair pessoas mal intencionadas ou compatveis com o simbolismo
equivocado transmitido pela imagem.
9.
Habilite o recurso de identificao do visitante. uma boa forma de conhecer o perfil de quem tem
se interessado em conhecer voc e assim, lhe permitir identificar possveis equvocos na
definio do seu perfil e na escolha das fotografias.
10.
No clique em links enviados atravs da rede de relacionamentos, pois alm de no haver

qualquer razo aparente para se usar este recurso, esses tm sido alvos de ataques de phising.
11.
Nunca confie inteiramente no que escrito e disponibilizado na rede de relacionamentos. A

fragilidade dos processos de identificao no garante a autenticidade dos usurios e a
integridade das mensagens.
12.
No haja como se a Internet e o prprio ambiente da rede de relacionamentos fossem um

playground onde tudo brincadeira. Tome cuidado ao criar e entrar em comunidades que ferem
direitos, que tenham qualquer associao ao crime ou representem gostos duvidosos.A sua
escolha reflete uma vontade e um pensamento e voc poder, mesmo que inconscientemente, ser
confundido.
www.tisafe.com
Agenda
Engenharia Social
Definies
O Engenheiro Social

O Fator Humano
Tipos de Ataque
www.tisafe.com
Concluso
A Engenharia Social explora vulnerabilidades humanas;
Pode ou no utilizar tecnologia;
Na maior parte das vezes a vtima no percebe que est sendo
manipulada;
Os ataques de Engenharia Social so reais e acontecem no diaa-dia;
A maioria dos ataques de Engenharia Social tiram proveito de
factores psicolgicos que inibem uma resposta adequada;
possvel minorar os efeitos de Engenharia Social atravs de
contnuo treinamento, conscientizao e implementao de
regras de segurana;
www.tisafe.com
Para pensar...
O computador mais seguro do mundo
teria de estar guardado num cofre,
desligado, no fundo do oceano...
Guardado por tubares, exrcitos e
porta-avies... E mesmo assim seria
possvel convencer algum que o
estivesse guardando a lig-lo....
Kevin Mitnick
www.tisafe.com
Referncias
Livro A Arte de Enganar
Autores: Kevin D. Mitnick & William L. Simon
Editora: Makron Books
Livro Official (ISC)2 Guide to the CISSP Exam
Autores: Susan Hansche, John Berti & Chris Hare
Editora: Auerbach
Livro O Pirata Eletrnico e o Samurai - A Verdadeira Histria de
Kevin Mitnick e do Homem que o Caou na Estrada Digital
Autor: Jeff GOODELL
Editora Campus, 1996
www.tisafe.com
Referncias - Filmes
Filme baseado na estria real

da captura de Kevin Mitnick
www.tisafe.com
Curso de Formao de Analistas de Segurana

Curso com o objetivo de formar analistas de segurana da
informao
Compreende todos os 7 domnios que compoem o SSCP uma
das melhores certificaes internacional de segurana da
informao
Dividido em 3 macromdulos, de 24 horas cada, mais um
mdulo final com um simulado de preparao para o SSCP com
durao de 8 horas
Curso 100% desenvolvido pela TI Safe
J implementado (verso 80 horas com preparatrio para a
certificao SSCP) no Instituto Infnet detalhes em
http://www.infnet.edu.br/formacao/analista_seg.htm
CFAS Rpido - Verso em 40 horas

(1 semana) em horrio comercial
para empresas, ministrado on site
www.tisafe.com
Lmina promocional
Dvidas?
www.tisafe.com
Obrigado!
contato@tisafe.com
www.tisafe.com

AP Tisafe Engenharia Social

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

AP Tisafe Engenharia Social

Transféré par

Droits d'auteur :

Formats disponibles

Tcnicas de Engenharia Social

Termo de Iseno de Responsabilidade

A TI Safe no se responsabiliza pelo mal uso das informaes

Riscos Segurana da Informao

Defesas contra ataques de Eng. Social

Tipologia dos atacantes

Quem pode atacar a rede?

Riscos Segurana da Informao

Defesas contra ataques de Eng. Social

Relatrio do Gartner, 2005

Impacto das violaes de segurana

Pesquisa do CSI/FBI 2005

Riscos Segurana da Informao

Defesas contra ataques de Eng. Social

Pessoas confiam demais...

O elo mais fraco das empresas: o fator humano

O Fator humano o elo mais fraco da segurana

Riscos Segurana da Informao

Defesas contra ataques de Eng. Social

Por que a Engenharia Social funciona?

Riscos Segurana da Informao

Defesas contra ataques de Eng. Social

Levantamento de dados da vtima

Telelistas e 102 Telemar

Telelistas e 102 Telemar

Telelistas e 102 Telemar

Telelistas e 102 Telemar

Perigos do Orkut (cont.)

Sites com baixa proteo a dados de usurios

Pesquisa por Currculos

Dados completamente expostos...

Riscos Segurana da Informao

Defesas contra ataques de Eng. Social

Ataques de Engenharia Social

Ataques no mundo real

Ataques por Ego

Estudo de caso: O Caa Promoes

Ataques por Simpatia

Estudo de caso: Obtendo o nmero do carto

Ataques por Intimidao

Estudo de caso: O Sr. BIGG quer isso!

O Lixo de uma empresa pode guardar documentos com

Caso real: Anlise de Lixo

1/3 dos funcionrios anotam senhas

Caso real: Invaso de Instalaes

Ataques pela Internet

Ataques por Vrus

Tcnica Additional Data Stream (ADS)

Temos o ads.txt com 18 bytes

ADS na Prtica (Cont.)

ADS na Prtica (Cont.)

ADS na Prtica (Final)

Caso real de ataque por Vrus

Ataques por SCAM

Fraude de antecipao de pagamentos (FAP)

FAP por carta

Levantamento de dados por Auto-Reply

Ataques por CHAT

Ataques pelo Orkut

Riscos Segurana da Informao

Defesas contra ataques de Eng. Social

Defesas contra ataques de Engenharia Social

Boas prticas de segurana

Para uso do computador