Engenharia Social

A engenharia social usa a influncia e a persuaso para enganar as pessoas e convenc-las de que o engenheiro social algum que na verdade ele no e, ou pela manipulao. Como resultado, o engenheiro social pode aproveitar-se das pessoas para obter as informaes com ou sem o uso da tecnologia. Kevin Mitnick A Arte de Enganar

O elo mais fraco da segurana: o fator humano

Uma empresa pode ter adquirido as melhores tecnologias de segurana que o dinheiro pode comprar, pode ter treinado seu pessoal to bem que eles trancam todos os segredos antes de ir embora e pode ter contratado guardas para o prdio na melhor empresa de segurana que existe. Mesmo assim essa empresa ainda estar vulnervel. Os indivduos podem seguir cada uma das melhores prticas de segurana recomendadas pelos especialistas, podem instalar cada produto de segurana recomendado e vigiar muito bem a configurao adequada do sistema e a aplicao das correes de segurana. Esses indivduos ainda estaro completamente vulnerveis.

O Engenheiro Social

Ataca o lado mais fraco do sistema Torna-se confivel Passa-se por um colega de trabalho que nunca foi visto, secretrio de um superior... Mistura em seu questionrio perguntas inofensivas para no levantar suspeitas (parte do princpio que para saber, basta perguntar na maioria das vezes) Mais do que uma pessoa de tecnologia, um mestre nas relaes interpessoais

Tipologia dos atacantes

Quem pode atacar a rede?

Quem pode atacar a rede?

Por que a Engenharia Social funciona?

Natureza Humana

Pessoas confiam e cooperam por natureza Quase toda pessoa pode ser influenciada a agir de uma maneira especfica e divulgar informaes Pessoas que possuem autoridade (ou aparentam possuir) intimidam outras pessoas

Por que a Engenharia Social funciona?

Ambiente de Trabalho Constantes fuses e aquisies de empresas e avanos na tecnologia facilitam a engenharia social nas empresas Hoje pessoas trabalham em cooperao com outras que nunca viram pessoalmente atravs de SKYPE e outros

Impacto das violaes de segurana

Para que fazer isso?

Espionagem industrial; Obter informaes confidenciais para cometer alguma fraude;

Roubo de identidade;
Interromper servios e redes; Diverso _O/ \O/

Como executar este ataque?

De uma forma bem simples: ENGANANDO algum; Coletando informaes;

Telefones, e-mails, correspondncias;

Vrus e phishing; Influncias e amizades; Falta de ateno; Boatos; Espionagem; Inteligncia e lgica.

Como se prevenir?

Desconfie sempre; Use o bom senso; Verifique as informaes contidas antes de prosseguir; Verifique as informaes solicitadas (Seu banco solicita sua senha do carto por e-mail?); Mantenha-se sempre informado;

Cases

Boletos maliciosos Registro.br

Cases

E-mails maliciosos

Cases

Cases

Cases

O Caa Promoes

O Invasor entra numa empresa dizendo ter uma reunio marcada com um funcionrio (que ele j sabe o nome, pesquisado anteriormente) Elogia o trabalho da secretria que o recebeu e a faz perceber o quanto til Se aproveitando deste elogio, pede secretria para usar a Internet da sala de reunio

A secretria permite e, em menos de 15 minutos, ele j havia roubado os dados da empresa que precisava

Cases

Obtendo o nmero do carto

O Invasor liga para a vtima pedindo ajuda e dizendo ser um amigo da outra filial da mesma empresa Repete os pedidos de ajuda por vrias vezes, sempre sendo muito amistoso e agradvel Inventa um acidente que deixou sua empresa sem Internet e acesso ao banco de dados de clientes

Pede para que a amiga da outra loja verifique os dados de um cliente especfico (a vtima) e ela lhe passa todos os dados, inclusive o nmero do carto de crdito

Cases

O Sr. X quer isso!

O Invasor liga para um funcionrio da empresaalvo dizendo ser de uma empresa de consultoria subcontratada O Invasor pede ao funcionrio o envio, com mxima urgncia, de um relatrio sigiloso, e informa que este um pedido do CEO da empresa O Funcionrio, com medo de no atender a um pedido do CEO, entrega o relatrio pedido

Referncias

Apresentao TI Safe disponvel no link: http://www.slideshare.net/tisafe/pal-engenhariasocialtisafe