ap tisafe engenharia social

TTéécnicas de Engenharia Socialcnicas de Engenharia Social

www.tisafe.com

Termo de IsenTermo de Isençção de Responsabilidadeão de Responsabilidade

A TI Safe não se responsabiliza pelo mal uso das informações

aqui prestadas

Aproveite esta apresentação para ampliar seus conhecimentos

em Segurança da Informação e usá-los com responsabilidade.

www.tisafe.com

AgendaAgenda

•Engenharia SocialDefinições

O Engenheiro Social

Tipologia dos atacantes

•Riscos à Segurança da Informação

•O Fator Humano

•Por que a Engenharia Social funciona?

•Seqüência de um ataqueLevantamento de dados da vítima

•Tipos de AtaqueAtaques no Mundo Real

Ataques pela Internet

•Defesas contra ataques de Eng. Social

www.tisafe.com

DefiniDefiniççõesões

“Tentativas, com sucesso ou não, de influenciar pessoas em revelar informações ou agir de uma determinada maneira que resulte em acesso não autorizado a, ou uso não autorizado de, ou liberação não autorizada de um sistema, rede ou dados”

CISSP Official Guide

“ A arte de fazer com que pessoas façam coisas que normalmente não fariam para um estranho – e sendo pago para fazer isto”

Kevin D. Mitnick

www.tisafe.com

O Engenheiro SocialO Engenheiro Social

Ataca o lado mais fraco do sistema

Torna-se confiável

Passa-se por um colega de trabalho que nunca foi

visto, secretário de um superior...

Mistura em seu questionário perguntas inofensivas

para não levantar suspeitas (parte do princípio

que para saber, basta perguntar na maioria das

vezes)

Mais do que uma pessoa de tecnologia, é um

mestre nas relações interpessoais

www.tisafe.com

Tipologia dos atacantesTipologia dos atacantes

www.tisafe.com

Quem pode atacar a rede?Quem pode atacar a rede?

www.tisafe.com

AgendaAgenda

Engenharia SocialDefinições

O Engenheiro Social


Riscos à Segurança da Informação

O Fator Humano

Por que a Engenharia Social funciona?

Seqüência de um ataqueLevantamento de dados da vítima

Tipos de AtaqueAtaques no Mundo Real


Defesas contra ataques de Eng. Social

www.tisafe.com

RelatRelatóório do rio do GartnerGartner, 2005, 2005

www.tisafe.com

Impacto das violaImpacto das violaçções de seguranões de seguranççaa

www.tisafe.com

Pesquisa do CSI/FBI 2005Pesquisa do CSI/FBI 2005

www.tisafe.com

Vulnerabilidades de redeVulnerabilidades de rede

www.tisafe.com

AgendaAgenda


O Engenheiro Social



O Fator Humano






www.tisafe.com

Pessoas confiam demais...Pessoas confiam demais...

www.tisafe.com

O elo mais fraco das empresas: o fator humanoO elo mais fraco das empresas: o fator humano

O Fator humano é o elo mais fraco da segurança

Na maioria dos casos, os engenheiros sociais só precisam “pedir” as senhas às pessoas corretas

De nada adiantam investimentos em soluções de segurança se não treinarmos os funcionários contra engenharia social

Objetivo de um engenheiro social: encontrar um modo de enganar um usuário de confiança para que ele revele informações ou...

Enganar alguém importante para que ele forneça o acesso desejado

www.tisafe.com

AgendaAgenda


O Engenheiro Social



O Fator Humano






www.tisafe.com

Por que a Engenharia Social funciona?Por que a Engenharia Social funciona?

Natureza Humana

Ambiente de Trabalho

www.tisafe.com

Natureza HumanaNatureza Humana

Pessoas confiam e cooperam por natureza

Quase toda pessoa pode ser influenciada a agir de uma maneira específica e divulgar informações

Pessoas que possuem autoridade (ou aparentam possuir) intimidam outras pessoas

www.tisafe.com

Ambiente de TrabalhoAmbiente de Trabalho

Constantes fusões e aquisições de empresas e avanços na tecnologia facilitam a engenharia social nas empresas

Hoje pessoas trabalham em cooperação com outras que nunca viram pessoalmente através de SKYPE, MSN e outros

www.tisafe.com

AgendaAgenda


O Engenheiro Social



O Fator Humano






www.tisafe.com

SequênciaSequência de um ataquede um ataque

www.tisafe.com

Selecionando AlvosSelecionando Alvos

www.tisafe.com

Levantamento de dados da vLevantamento de dados da víítimatima

Tão importante quanto o ataque é saber como fazê-lo e contra quem

O que procurar?

•Nomes de domínios e endereços IP

•Serviços “disponíveis”

•Arquitetura da rede

•Mecanismos de controle de acesso

•Sistemas de detecção de intrusos (IDSs)

•Listagem de usuários, logins, senhas e permissões

•Mecanismos de autenticações (VPNs, Intranets...)

www.tisafe.com

whoiswhois

Cadastro dos registros de endereços eletrônicos

Dá as seguintes informações do registrado:

– Nome do domínio

– Razão social ou nome

– Registro (CNPJ, CPF...)

– Endereço completo

– Telefone

– Status do servidor DNS

– Contato do administrador

www.registro.brwww.arin.net/whois*

www.tisafe.com

TelelistasTelelistas e 102 e 102 TelemarTelemar

www.tisafe.com

OrkutOrkut

www.tisafe.com

Perigos do Perigos do OrkutOrkut

Responsabilidade Legal: se um desconhecido obtiver acesso à suasenha e seu perfil, poderá agir em seu nome, enviando mensagens, criando comunidades e assim, podendo cometer crimes de apologia às drogas, à pedofilia ou ainda crime de racismo e muitos outros.

Roubo de Identidade: sem a existência de processos fortes de identificação e autenticação de novos usuários quando da criação de novos perfis e comunidades, nada impede que alguém crie um novo perfil copiando e utilizando suas fotos, seu nome, seus dados pessoais e detalhes de sua vida acessíveis através do perfilverdadeiro.

Crime Contra a Honra: ainda de posse de acesso à edição de seuperfil, o fraudador pode se inserir em comunidades que indiquemdistúrbios de comportamento, opções sexuais, gostos duvidosos e assim, associar você a interesses que influenciem no julgamento queseus amigos fazem de você e de sua honra.

www.tisafe.com

Perigos do Perigos do OrkutOrkut (cont.)(cont.)

Chantagem: expondo detalhes demais de sua vida e de sua família, você podeestar potencializando os golpes de chantagem, seqüestro falso ou qualqueroutro em que conhecer o nome de seus familiares ou simplesmente ondepassou suas últimas férias, poderá fazê-lo acreditar na veracidade do golpee assim, ser alvo fácil.

Fraude Financeira: em função do conceito primário da rede de herança de confiança entre amigos, onde o amigo de um grande amigo seu passa a ter, supostamente, a sua confiança, você poderá ser levado a acreditarcegamente nele, sem, no entanto se lembrar de que não existe nenhumcritério sério de avaliação e aceitação de amigos na rede. Desta forma, pedidos falsos de ajuda financeira, caridade ou qualquer outro passam a tergrandes índices de aceitação.

Phishing: a rede de relacionamentos pode até nem ser o ambiente de um golpe, mas sim uma fonte de informações valiosas para viabilizar outrosgolpes como o phising via email. Um email de phishing com um link falsomencionando dados e fatos pessoais será sem dúvida muito mais eficaz aopersuadi-lo.

www.tisafe.com

Sites com baixa proteSites com baixa proteçção a dados de usuão a dados de usuááriosrios

www.tisafe.com

Pesquisa por CurrPesquisa por Curríículosculos

www.tisafe.com

Dados completamente expostos...Dados completamente expostos...

www.tisafe.com

AgendaAgenda


O Engenheiro Social



O Fator Humano






www.tisafe.com

Ataques de Engenharia SocialAtaques de Engenharia Social

www.tisafe.com

Ataques no mundo realAtaques no mundo real

Ataques por Ego

Ataques por Simpatia

Ataques por Intimidação

Análise do Lixo

Invasão de Instalações

www.tisafe.com

Ataques por EgoAtaques por Ego

O atacante apela para as características humanas mais básicas, o ego e a vaidade

O atacante se coloca como um receptivo ouvinte que as vítimas possuem para mostrar o quanto sabem

As vítimas normalmente são pessoas que se sentem desvalorizadas na empresa

Na maioria dos casos, as vítimas não tem idéia de que fizeram algo errado

www.tisafe.com

Estudo de caso: O CaEstudo de caso: O Caçça Promoa Promoççõesões

O Invasor entra numa empresa dizendo ter uma reunião marcada com um funcionário (que ele já sabe o nome, pesquisado anteriormente)

Elogia o trabalho da secretária que o recebeu e a faz perceber o quanto é útil

Se aproveitando deste elogio, pede à secretária para usar a Internet da sala de reunião

A secretária permite e, em menos de 15 minutos, ele já havia roubado os dados da empresa que precisava

www.tisafe.com

Ataques por SimpatiaAtaques por Simpatia

O atacante finge ser um funcionário camarada (usualmente um recém-contratado), um tercerizado, ou um novo empregado de um parceiro estratégico da empresa, que aparenta estar com um problema real e precisa de ajuda imediata para tarefas que tem que ser realizadas com urgência.

O senso de urgência é normalmente parte do cenário pois isto fornece a desculpa para que os procedimentos corretos de segurança sejam burlados por seus “amigos”de trabalho.

www.tisafe.com

Estudo de caso: Obtendo o nEstudo de caso: Obtendo o núúmero do cartãomero do cartão

O Invasor liga para a vítima pedindo ajuda e dizendo ser um amigo da outra filial da mesma empresa

Repete os pedidos de ajuda por várias vezes, sempre sendo muito amistoso e agradável

Inventa um acidente que deixou sua empresa sem Internet e acesso ao banco de dados de clientes

Pede para que a amiga da outra loja verifique os dados de um cliente específico (a vítima) e ela lhe passa todos os dados, inclusive o número do cartão de crédito

www.tisafe.com

Ataques por IntimidaAtaques por Intimidaççãoão

O atacante finge ser uma pessoa com autoridade na empresa, ou uma pessoa influente na organização ou, em alguns casos, um agente da lei

O Atacante cria razões plausíveis para fazer algum tipo de pedido como reinicialização de senha, alterações em contas de usuários, acesso a sistemas ou a informações sensíveis

Se o atacante for encarado com resistência pela vítima, ele tentará intimidá-lo com sanções contra ela, seja a demissão ou a prisão.

www.tisafe.com

Estudo de caso: O Sr. BIGG quer isso!Estudo de caso: O Sr. BIGG quer isso!

O Invasor liga para um funcionário da empresa-alvo dizendo ser de uma empresa de consultoria subcontratada

O Invasor pede ao funcionário o envio, com máxima urgência, de um relatório sigiloso, e informa que este é um pedido do CEO da empresa

O Funcionário, com medo de não atender a um pedido do CEO, entrega o relatório pedido

www.tisafe.com

AnAnáálise do Lixolise do Lixo

A Maioria das pessoas não dá atenção para aquilo que estão descartando

Relatórios, contas pessoais, senhas, anotações de tarefas e relacionadas com o trabalho, tudo é descartado

Os empregados tem que ter consciência que invasores olham o lixo para obter informações com as quais possam se beneficiar

www.tisafe.com

O Lixo de uma empresa pode guardar documentos com informações sensíveis. No caso foi encontrado papel

com usuário e senha anotados

AnAnáálise do Lixolise do Lixo

www.tisafe.com

Caso real: AnCaso real: Anáálise de Lixolise de Lixo

www.tisafe.com

Senhas anotadasSenhas anotadas

www.tisafe.com

1/3 dos funcion1/3 dos funcionáários anotam senhasrios anotam senhas

www.tisafe.com

Invasão de instalaInvasão de instalaççõesões

É possível usar truques da engenharia social para invadir instalações físicas de empresas

Neste caso o invasor se faz passar por um funcionário da empresa de forma tão convincente que até mesmo as pessoas que se preocupam com segurança são enganadas

Ex-funcionários podem guardar credenciais que os permitam entrar de novo na empresa

A Invasão também pode ser feita através de empresas terceiras (limpeza, consultores, etc)

www.tisafe.com

Caso real: Invasão de InstalaCaso real: Invasão de Instalaççõesões

www.tisafe.com

Ataques pela InternetAtaques pela Internet

Ataques por Vírus

Ataques por SCAM

Ataques por Chat

Ataques pelo Orkut

www.tisafe.com

Ataques por VAtaques por Víírusrus

Normalmente feitos através de e-mail ou via serviço de troca instantâneade mensagens (MSN, Skype, etc)

O texto da mensagem procura atrair a atenção, seja por curiosidade, porcaridade ou pela possibilidade de obter alguma vantagem(normalmente financeira)

O texto da mensagem também pode indicar que a não execução dos procedimentos descritos acarretarão conseqüências mais sérias, como, a inclusão do nome no SPC/SERASA, o cancelamento de um cadastro, da conta bancária ou do cartão de crédito, etc.

A mensagem, então, procura induzir a vítima a clicar em um link, parabaixar e abrir/executar um arquivo que instalará o vírus ou keyloggerem seu computador.

A maioria dos ataques por vírus faz uso de uma técnica comum entre hackers que visa embutir arquivos dentro de outros, o Additional Data Stream

www.tisafe.com

TTéécnica cnica AdditionalAdditional Data Data StreamStream (ADS)(ADS)

• As Additional Data Streams são também conhecidas como AlternateData Streams e Multiple Data Streams.

• Elas foram criadas originalmente para que dados para a descrição dos arquivos [Meta Data] pudessem ser inseridos facilmente no disco.

• Elas estão disponíveis em qualquer disco formatado com o NTFS, destemodo nada do que está aqui se aplica para FAT ou para Windows 9x/ME.

• Cada arquivo ou pasta, que está presente na Stream principal, podepossuir várias streams ‘adicionais’.

•Cada stream adicional tem um nome, que pode ser qualquer coisa.

www.tisafe.com

ADS no WindowsADS no Windows

O Windows cria ADS quandovocê insere dados de descrição no arquivo.

Clique com o botão direito emqualquer arquivo, então clique em Propriedades e procure pela aba Resumo.

www.tisafe.com

ADS na PrADS na Prááticatica

Crie uma pasta com o nome de Streams na sua unidade C:\. Agora abra um Prompt de Comandoe digite o seguinte:

CD C:\streams Depois de cada comando, aperte a tecla ENTER para confirmar. Você deve estar agora na pasta C:\streams>. Digite o seguinte comando:

echo conteudo normal > ads.txtAgora abra o arquivo C:\streams\ads.txt no Bloco de Notas. Você deve ver o ‘conteudo normal’ na

tela. Feche o Bloco de Notas e volte para o Prompt de Comando e digite: dir

Temos o ads.txt com 18 bytes

www.tisafe.com

ADS na PrADS na Práática (Cont.)tica (Cont.)

Agora digite o seguinte comando no Prompt: echo conteudo em ads > ads.txt:simples

Os dois pontos separam o nome do arquivo do nome da ADS. No nosso caso, criamos uma stream adicional com o nome de simples. Agora o arquivoads.txt possui uma stream chamada ’simples’ ligada a ele. Abra novamenteo arquivo no Bloco de Notas e você deve ver somente o “conteudo normal”ainda. Digite novamente o comando dir:

dir

Sim, 18 bytes. O tamanho do arquivoainda não foi modificado.

www.tisafe.com

ADS na PrADS na Práática (Cont.)tica (Cont.)

Agora tente o seguinte comando no Prompt: more < ads.txt:simples

Isso mesmo! Você tem o conteúdo da sua ADS, simples, na tela. Se você olharno Windows Explorer não poderá ver qualquer diferença se o arquivo possuiou não um ADS, sendo necessário apagar o ads.txt para remover a stream.

www.tisafe.com

ADS na PrADS na Práática (Final)tica (Final)

Note que as ADS podem possuir mais do que texto, inclusive, códigoexecutável (programas).

Como o Windows não possui nenhum programa para lidar com ADS, trojans começaram a utilizar ADS para dificultar sua remoção, assim se adicionando como ADS em arquivos cruciais aoWindows.

Desta forma não basta apenas remover o arquivo infectado, énecessário o uso de ferramentas adicionais, o que aumenta o trabalho e o tempo gastos para a resolução do problema.

www.tisafe.com

Caso real de ataque por VCaso real de ataque por Víírusrus

www.tisafe.com

Ataques por SCAMAtaques por SCAM

O scam (ou "golpe") équalquer esquema ouação enganosa e/oufraudulenta que, normalmente, tem comofinalidade obtervantagens financeiras.

O Atacante faz uso de ferramentas de fake mail, ou contas de usuários falsos

www.tisafe.com

FakeFake MailMail

É a técnica de se enviar e-mails “falsos” se fazendo passar poroutra pessoa.

Pode ser realizado por clientes instalados na máquina ouatravés de web sites

Geralmente, o servidor de envio de e-mails de um provedor(SMTP) faz algumas checagens antes de enviar um e-mail. Checa se o endereço IP realmente pertence ao provedor e se a pessoa que está mandando a mensagem estáconectada ali (é raro servidores de envio de e-mail suportarem relay, que é permitir que pessoas de fora do provedor consigam mandar mensagens).

Existem servidores SMTP que permitem relay, e ainda garantemo anonimato. É uma questão de pesquisar.

www.tisafe.com

Fraude de antecipaFraude de antecipaçção de pagamentos (FAP)ão de pagamentos (FAP)

Neste ataque, a vítima recebe um e-mail em nome de umainstituição governamental (por exemplo, o Banco Central) de um país distante

Neste email é solicitado que a vítima atue como intermediárioem uma transferência internacional de fundos

O valor mencionado na mensagem normalmente correspondea dezenas ou centenas de milhões de dólares

Como recompensa, a vítima terá direito de ficar com umaporcentagem (normalmente alta) do valor mencionado

Para completar a transação é solicitado que seja pagoantecipadamente uma quantia para arcar com taxas de transferência de fundos e custos com advogados

www.tisafe.com

Exemplo de FAP IExemplo de FAP I

www.tisafe.com

Exemplo de FAP IIExemplo de FAP II

www.tisafe.com

FAP por cartaFAP por carta

Nova vertente do ataque de FAP

A vítima recebe uma carta com instruções para acesso à site na Web e depósito do dinheiro

www.tisafe.com

Levantamento de dados por Levantamento de dados por AutoAuto--ReplyReply

www.tisafe.com

Ataques por CHATAtaques por CHAT

www.tisafe.com

Ataques pelo Ataques pelo OrkutOrkut

Ataques via Orkut são cada dia mais frequentes

Criminosos usam a ingenuidade e simpatia do Brasileiro para prática de fraudes

Mensagens falsas com links para sites com vírus e malwares são colocadas como scraps no Orkut das vítimas

www.tisafe.com

AgendaAgenda


O Engenheiro Social



O Fator Humano






www.tisafe.com

Defesas contra ataques de Engenharia SocialDefesas contra ataques de Engenharia Social

Mecanismos de defesas são divididos em 3 categorias:

Segurança Física

Segurança Lógica

Segurança Administrativa

www.tisafe.com

SeguranSegurançça Fa Fíísicasica

Os componentes físicos da segurança são osmais fáceis de compreender e também osmais fáceis de executar

A segurança física engloba a proteção contra roubo, vandalismo, catástrofes, danosnaturais, desastres (deliberados ouacidentais), condições ambientais instáveistais como a elétrica, a temperatura, a umidade, e outras

www.tisafe.com

SeguranSegurançça La Lóógicagica

As medidas de segurança lógicas sãoaquelas que empregam uma soluçãotécnica para proteger a informação

Exemplos: firewall, controle do acesso, sistemas da senha, IDS e criptografia

Controles eficazes mas confiam em um elemento humano ou em umainteração para funcionar com sucesso

www.tisafe.com

SeguranSegurançça Administrativaa Administrativa

Os controles de segurançaadministrativa são aqueles queenvolvem políticas, procedimentos, boas práticas, etc

Exemplos: políticas da segurança da informação, programas da conscientização, e verificaçõesprofundas para novosfuncionários, etc

www.tisafe.com

ContramedidasContramedidas

Como a engenharia social ataca o elemento humano, as medidas protetoras necessitam ser concentradas nas de segurança administrativa

As contramedidas eficazes devem ter políticas detalhadas de segurança da informação que são comunicadas através de sua organização

Um plano contínuo de conscientização é muito importante

A Intranet da empresa pode ser um poderoso veículo para divulgação de boas práticas de segurança

www.tisafe.com

Boas Boas prprááticasticas de de seguranseguranççaa

As boas práticas dos slides a seguir são sugestões a todos os funcionários de qualquer empresa

Não são uma política de segurança completa, pois esta possui diretrizes detalhadas e segmentadas por departamento

As boas práticas a seguir são divididas em: de uso geral, de uso do computador, de uso do correio eletrônico, de uso do telefone, de uso do fax, voice mail, senhas e orkut

www.tisafe.com

GeraisGerais

Sempre relatar ligações suspeitas

Documentar as ligações suspeitas

Nunca divulgar números para acesso discado à empresa

Sempre usar crachás de identificação

Questionar pessoas desconhecidas sem crachá

Nunca permitir que entre e nem abrir a porta para nenhum desconhecido

Destruir documentos sigilosos usando trituradora

Usar identificadores pessoais para validar empregados

Nunca divulgar organogramas da empresa

Nunca divulgar informações particulares de empregados

www.tisafe.com

Para uso do computadorPara uso do computador

Funcionários nunca devem inserir comandos em um computador sob solicitação de outra pessoa, a menos que o solicitante tenha sido previamente verificado

Funcionários não devem divulgar nomes internos de sistemas ou bancos de dados sem que o solicitante tenha sido previamente verificado

Funcionários não devem executar nenhum aplicativo ou programa sob solicitação de outra pessoa, a menos que o solicitante tenha sido previamente verificado

Funcionários nunca devem fazer download ou instalar software sob solicitação de outra pessoa, a menos que o solicitante tenha sido previamente verificado

www.tisafe.com

Para uso do computador (cont.)Para uso do computador (cont.)

As senhas não devem ser enviadas por correio eletrônico, a menos que estejam criptografadas

Funcionários nunca devem remover ou desativar antivírus, firewall ou outro software relacionado à segurança sem prévia autorização do departamento de TI

Nenhum modem pode estar conectado a nenhum computador sem prévia autorização do departamento de TI

Todos os desktops com modems aprovados pelo TI devem ter o recurso de resposta automática desativado

Funcionários não devem fazer o download nem usar ferramentas de software criadas para anular os mecanismos de proteção de software

www.tisafe.com

Empregados não devem divulgar nenhum detalhe relativo ao Hardware ou Software da empresa em newsgrouppúblicos, fóruns ou bulletin boards

Se uma mídia qualquer, tal como disquetes e CD-ROMs for deixada na sua mesa e tenha origem desconhecida, ela não deve ser inserida em nenhum computador

Antes de descartar mídia eletrônica que já conteve informações sigilosas, esta mídia deverá ser destruída

Todos os usuários devem possuir senhas para proteção de tela e limite de inatividade para bloqueio do computador após tempo sem uso

Todos os empregados devem assinar um contrato de confidencialidade com a empresa

Para uso do computador (cont.)Para uso do computador (cont.)

www.tisafe.com

Para uso do correio eletrônicoPara uso do correio eletrônico

Os anexos de correio eletrônico não devem ser abertos, a menos que seja esperado ou tenha sido enviado por uma pessoa de confiança

Deve ser proibido o encaminhamento automático de mensagens recebidas por correio eletrônico para um endereço de correio eletrônico externo

Toda solicitação de uma pessoa não verificada para transferir uma mensagem de correio eletrônico para outra pessoa não verificada exige a confirmação da identidade do solicitante

www.tisafe.com

Para uso do telefonePara uso do telefone

Os empregados não devem participar de pesquisas nem responder perguntas de qualquer organização ou pessoa estranha. Estas solicitações devem ser encaminhadas para o departamento de relações públicas ou para uma pessoa designada na empresa

Se uma pessoa não verificada pedir a um empregado o seu número de telefone, ele deve primeiro determinar se a divulgação do telefone é necessária para a condução dos negócios da empresa

É proibido deixar mensagens que contenham informações de senha na caixa postal do voice mail de alguém

www.tisafe.com

Para uso do FAXPara uso do FAX

Nenhum fax deve ser recebido e encaminhado para outra parte sem verificação da identidade do solicitante

Antes de executar instruções pedidas por fax, o remetente deve ser confirmado como empregado ou pessoa de confiança

Sempre deve-se tomar cuidado ao enviar fax para uma área pública da empresa e incluir página de rosto com informações do destinatário.

Senhas nunca podem ser enviadas por fax

www.tisafe.com

Para uso do Para uso do VoiceVoice MailMail

As senhas de voice mail nunca devem ser divulgadas e devem ser sempre alteradas a cada 90 dias

Os usuários de voice mail não devem usar a mesma senha em outro telefone ou sistema de computador

Os usuários e administradores devem criar senhas de voice mailque sejam difíceis de adivinhar

Se alguma mensagem de voice mail que ainda não foi ouvida não estiverem marcadas como “nova”, o administrador do voicemail deverá ser notificado

Informações confidenciais ou particulares não devem ser divulgadas em uma mensagem de voice mail

www.tisafe.com

Para uso de senhasPara uso de senhas

Nunca divulgar senhas por telefone

Nunca divulgar sua senha de acesso à rede para ninguém, exceto sob pedido escrito de seu chefe

Nunca usar senha de acesso à Internet igual à senha de seu login na empresa

Nunca usar senha igual ou semelhante em mais de um sistema da empresa

Nunca manter a mesma senha por mais de 18 meses

Usar senhas fortes (mínimo de 8 caracteres, letras maiúsculas e minúsculas, números e caracteres especiais)

www.tisafe.com

Para uso do Para uso do OrkutOrkutNÃO TENHA ORKUT. Mas se você quiser insistir, observe as medidas preventivas abaixo:

1. Evite utilizar senhas óbvias ou fáceis demais e sempre a substitua com regularidade ou sempre que desconfiar de sua confidencialidade.

2. Evite publicar informações muito pessoais, que em geral, só sua família oupessoas muito próximas deveriam ou poderiam saber.

3. Evite informar telefones de contato e endereços físicos, a não ser que exista um interesse comercial no uso do serviço.

4. Evite exibir fotografias que exponham detalhes de sua residência ou trabalho, ouainda, fotografias que permitam dupla interpretação.

5. Evite publicar fotografias que exponham outras pessoas de seu convívio, especialmente familiares, a menos que previamente autorizadas.

6. Evite autorizar pessoas desconhecidas, mesmo que lhe pareçam familiar ou lhetenham enviado uma mensagem de solicitação. Lembre-se do conceito de herança de confiança, isso poderá representar uma ameaça aos seus amigos.

7. Evite criar e entrar em comunidades de gosto duvidoso ou simplesmente com título e descrição que são sejam inteiramente alinhadas ao seu perfil. Você podeser mal interpretado.

www.tisafe.com

Para uso do Para uso do OrkutOrkut (cont.)(cont.)

8. Evite utilizar fotografias em seu perfil que simbolizem algo muito diferente do que você realmenteé. Desta forma, evitará atrair pessoas mal intencionadas ou compatíveis com o simbolismoequivocado transmitido pela imagem.

9. Habilite o recurso de identificação do visitante. É uma boa forma de conhecer o perfil de quem tem se interessado em conhecer você e assim, lhe permitirá identificar possíveis equívocos nadefinição do seu perfil e na escolha das fotografias.

10. Não clique em links enviados através da rede de relacionamentos, pois além de não haverqualquer razão aparente para se usar este recurso, esses têm sido alvos de ataques de phising.

11. Nunca confie inteiramente no que é escrito e disponibilizado na rede de relacionamentos. A fragilidade dos processos de identificação não garante a autenticidade dos usuários e a integridade das mensagens.

12. Não haja como se a Internet e o próprio ambiente da rede de relacionamentos fossem um playground onde tudo é brincadeira. Tome cuidado ao criar e entrar em comunidades que feremdireitos, que tenham qualquer associação ao crime ou representem gostos duvidosos.A suaescolha reflete uma vontade e um pensamento e você poderá, mesmo que inconscientemente, ser confundido.

www.tisafe.com

AgendaAgenda


O Engenheiro Social



O Fator Humano






www.tisafe.com

ConclusãoConclusão

A Engenharia Social explora vulnerabilidades humanas;

Pode ou não utilizar tecnologia;

Na maior parte das vezes a vítima não percebe que está sendomanipulada;

Os ataques de Engenharia Social são reais e acontecem no dia-a-dia;

A maioria dos ataques de Engenharia Social tiram proveito de factores psicológicos que inibem uma resposta adequada;

É possível minorar os efeitos de Engenharia Social através de contínuo treinamento, conscientização e implementação de regras de segurança;

www.tisafe.com

Para pensar...Para pensar...

“O computador mais seguro do mundo teria de estar guardado num cofre, desligado, no fundo do oceano...

Guardado por tubarões, exércitos e porta-aviões... E mesmo assim seria possível convencer alguém que o estivesse guardando a ligá-lo....”

Kevin Mitnick

www.tisafe.com

ReferênciasReferências

Livro “A Arte de Enganar”

Autores: Kevin D. Mitnick & William L. Simon

Editora: Makron Books

Livro “Official (ISC)2 Guide to the CISSP Exam”

Autores: Susan Hansche, John Berti & Chris Hare

Editora: Auerbach

Livro “O Pirata Eletrônico e o Samurai - A Verdadeira História de Kevin Mitnick e do Homem que o Caçou na Estrada Digital”

Autor: Jeff GOODELL

Editora Campus, 1996

www.tisafe.com

Referências Referências -- FilmesFilmes

Filme baseado na estória real

da captura de Kevin Mitnick

www.tisafe.com

Curso de FormaCurso de Formaçção de Analistas de Seguranão de Analistas de Seguranççaa

Curso com o objetivo de formar analistas de segurança da informação

Compreende todos os 7 domínios que compoem o SSCP umadas melhores certificações internacional de segurança da informação

Dividido em 3 macromódulos, de 24 horas cada, mais um módulo final com um simulado de preparação para o SSCP com duração de 8 horas

Curso 100% desenvolvido pela TI Safe

Já implementado (versão 80 horas com preparatório para a certificação SSCP) no Instituto Infnet – detalhes em http://www.infnet.edu.br/formacao/analista_seg.htm

Lâmina promocional

CFAS Rápido - Versão em 40 horas (1 semana) em horário comercial para empresas, ministrado on site

www.tisafe.com

DDúúvidas?vidas?

www.tisafe.com

[email protected]

Obrigado!

ap tisafe engenharia social

Documents