Captulo 5 Levantamento de Informaes - 72

Captulo 6 Entendendo a Engenharia Social e o No-Tech Hacking

6.1. Objetivos
Entender o que Engenharia Social Entender o Dumpster Diving Entender os riscos associados Engenharia Social Entender as tcnicas de No-Tech Hacking

Captulo 6 Entendendo a Engenharia Social e o No-Tech Hacking - 73

6.2. O que Engenharia Social?

Podemos considerar a engenharia social como a arte de enganar pessoas para conseguir informaes, as quais no deviam ter acesso. Muitas vezes empregados de uma empresa deixam escapar informaes sigilosas atravs de um contato via telefone ou mesmo conversando em locais pblicos como: corredores, elevadores e bares. Uma empresa pode ter os melhores produtos de segurana que o dinheiro pode proporcionar. Porm, o fator humano , em geral, o ponto mais fraco da segurana. No existe Patch para a burrice humana

6.3. Tipos de Engenharia Social 6.3.1. Baseada em pessoas

As tcnicas de engenharia social baseada em pessoas possuem diversas caractersticas que so utilizadas para que o atacante consiga as informaes que deseja, dentre elas podemos citar: Disfarces Representaes Uso de cargos de alto nvel Ataques ao servio de Helpdesk Observaes

6.3.2. Baseada em computadores

Esses ataques so caracterizados por utilizarem tcnicas de ataque baseadas no desconhecimento do usurio com relao ao uso correto da informtica.

Captulo 6 Entendendo a Engenharia Social e o No-Tech Hacking - 74 Exemplos: Cavalos de Tria anexados a e-mails E-mails falsos WebSites falsos

6.4. Formas de ataque 6.4.1. Insider Attacks

Insiders so pessoas de dentro da prpria organizao. O objetivos por detrs dos ataques de insiders podem ser vrios, desde descobrir quanto o colega do lado ganha, at conseguir acesso a informaes confidenciais de um projeto novo para vender ao concorrente de seu empregador.

6.4.2. Roubo de identidade

Atualmente, quando algum cria uma nova identidade baseando-se em informaes de outra pessoa, essa identidade chamada de laranja. Dentro de empresas, o roubo de credenciais, para acessar informaes que no esto acessveis a todos, um fato corriqueiro, que pode passar pelo simples shoulder surfing clonagem de ID Card.

6.4.3. Phishing Scam

uma forma de fraude eletrnica, caracterizada por tentativas de adquirir informaes sigilosas, ou instalar programas maliciosos na mquina alvo. Na prtica do Phishing surgem artimanhas cada vez mais sofisticadas para "pescar" (do ingls fish) as informaes sigilosas dos usurios.

Captulo 6 Entendendo a Engenharia Social e o No-Tech Hacking - 75

6.4.4. URL Obfuscation

Tcnica utilizada para diminuir o tamanho de URL's muito grandes. Exemplos de servios: migre.me okm.me digi.to Isso pode ser utilizado para ocultar URL com parmetros ou tags maliciosos, como tags de javascript para ataques de XSS, por exemplo.

6.4.5. Dumpster Diving

o ato de vasculhar lixeiras em busca de informaes. Todos os dias so jogados no lixo de empresas vrios documentos por terem perdido sua utilidade. Os atacantes podem aproveitar essas informaes e us-las para um ataque.

6.4.6. Persuaso
Os prprios hackers vem a engenharia social de um ponto de vista psicolgico, enfatizando como criar o ambiente psicolgico perfeito para um ataque. Os mtodos bsicos de persuaso so: personificao, insinuao, conformidade, difuso de responsabilidade e a velha amizade. Independente do mtodo usado, o objetivo principal convencer a pessoa que dar a informao, de que o engenheiro social de fato uma pessoa a quem ela pode confiar as informaes prestadas. Outro fator importante nunca pedir muita informao de uma s vez e sim perguntar aos poucos e para pessoas diferentes, a fim de manter a aparncia de uma relao confortvel.

Captulo 6 Entendendo a Engenharia Social e o No-Tech Hacking - 76

6.5. Engenharia Social Reversa

Um mtodo mais avanado de conseguir informaes ilcitas com a engenharia social reversa. Isto ocorre quando o atacante cria uma personalidade que aparece numa posio de autoridade, de modo que todos os usurios lhe pediro informao. Se pesquisados, planejados e bem executados, os ataques de engenharia social reversa permitem extrair dos funcionrios informaes muito valiosas; entretanto, isto requer muita preparao e pesquisa. Os trs mtodos de ataques de engenharia social reversa so, sabotagem, propaganda e ajuda. Na sabotagem, o hacker causa problemas na rede, ento divulga que possui a soluo para este, e se prope a solucion-lo. Na expectativa de ver a falha corrigida, os funcionrios passam para o hacker todas as informaes por ele solicitadas. Aps atingir o seu objetivo, o hacker elimina a falha e a rede volta funcionar normalmente. Resolvido o problema os funcionrios sentem-se satisfeitos e jamais desconfiaro que foram alvos de um hacker. A melhor referncia que atualmente temos sobre engenharia social, o site do projeto Social Engineering Framework. Para maiores informaes acessem: http://www.social-engineer.org/framework/Social_Engineering_Framework

6.6. No Tech Hacking

Todo e qualquer tipo de ataque que no tenha necessidade de aparatos tecnolgicos, nem computadores, so considerados no tech hackings. Esse mtodo normalmente utilizado para testar a segurana fsica de uma empresa ou organizao, englobando inclusive a engenharia social. Podemos citar como tipos de ataques no tech: dumpster diving

Captulo 6 Entendendo a Engenharia Social e o No-Tech Hacking - 77 shoulder surfing lock picking tailgating

6.7. Contramedidas
Mantenha protegido, no trabalhe em assuntos privados em locais pblicos. Faa o descarte seguro de documentos. Utilize fechaduras e trancas de boa qualidade e comprovado nvel de segurana. Mantenha bolsas e documentos pessoais em segurana. Teste constantemente seus dispositivos de segurana, cmeras e detectores de movimento. Tenha cuidado com Shoulder Surfer's. Bloqueie o tailgating. Mantenha-se atento aos engenheiros sociais. D treinamento adequado aos funcionrios, principalmente os da rea de segurana.

6.8. Exerccio terico

Elabore abaixo um script de ataque de engenharia social para conseguir a senha de um usurio. __________________________________________________________________________

Captulo 6 Entendendo a Engenharia Social e o No-Tech Hacking - 78 __________________________________________________________________________ __________________________________________________________________________ __________________________________________________________________________ __________________________________________________________________________ __________________________________________________________________________ __________________________________________________________________________ __________________________________________________________________________ __________________________________________________________________________