Engenharia Social

Walter Andriola

Dataprev

Uso de técnicas de persuasão,

influência e manipulação para induzir

pessoas a executar alguma ação.

Engenharia social

1

Olá, eu gostaria de adicioná-lo a minha rede profissional no Linkedin.

Engenharia social

2

Swing States

3

10 milhões de usuários americanos

consumiram publicidade comprada

pelos russos antes e depois das

eleições

Eleições Americanas e Facebook

4

Eleições Americanas e Facebook Ads

5

Eleições Americanas e Facebook Ads

5

Eleições Americanas e Facebook Ads

5

Who's Better At Phishing Twitter, Me Or Artificial Intelligence?

Revista Forbes

Inteligência Artificial

6

Mídia Brasileira - Relatório Reuters/Oxford 2017

7

Mídia Social como fonte - Relatório Reuters/Oxford 2017

7

Confiança na Mídia - Relatório Reuters/Oxford 2017

7

Compartilhamentos - Relatório Reuters/Oxford 2017

7

Principal Fonte - Relatório Reuters/Oxford 2017

7

Business E-mail Compromise (BEC)

11

Criminosos

invadem conta

de e-mail de

funcionário

A conta invadida é

usada para enviar

cobrança aos clientes

Pagamentos são

transferidos para a conta

bancária dos criminosos

Criminosos recebem

o pagamento

12

Fiasco da Equifax

14

Fiasco da Equifax

14

2003

Senhas devem ser alteradas periodicamente (como a cada 90

dias)

As senhas fortes possuem as seguintes características:

• Contém maiúsculas e minúsculas (por exemplo, a-z, A-Z)

• Tem dígitos e caracteres de pontuação, bem como letras,

p.ex.: 0-9,! @ # $% ^ & * () _ + | ~ - = \ `{} []:"; '<>?,. /)

• Tem ao menos 10 caracteres alfanuméricos

• Não são uma palavra em qualquer idioma, gíria, dialeto,

jargão, etc.

• Não são baseados em informações pessoais, nomes da

família, etc.

• As senhas nunca devem ser gravadas ou armazenadas on-

line. Tente criar senhas que possam ser facilmente

lembradas...

NIST SP 800-63 - Electronic Authentication Guideline

15

Revisão das recomendações 2017.

Recomendações de Usabilidade.

NIST SP 800-63 - Digital Identity Guidelines

16

Bruce Schneier

Regras de senha foram tentativas falhadas para

consertar o usuário. Melhor consertar os sistemas de

segurança.

17

Uma boa ferramenta é uma ferramenta invisível. Por

invisível, quero dizer que a ferramenta não se

intromete em sua consciência; você se concentra na

tarefa, não na ferramenta. Os óculos são uma boa

ferramenta - você olha o mundo, não os óculos.

Mark Weiser

18

18

• Operação Patrik: esquema movimentou

R$250 milhões a partir de investimentos

de cerca de 40 mil vítimas

• Uma das vítimas aplicou quase R$ 200 mil

sem retorno

• Promessa de rendimento de 1% ao dia

• Bônus de 10% por pessoa cooptada

Kriptacoin

13

Stranger Things

19

House of Cards

20

The Ranch

19

How Accenture is trying to bring programmatic product

placement to Netflix

21

Bruce Schneier

A complexidade é o pior inimigo da segurança

Como combater a engenharia social

1. Políticas de segurança

Concisão, clareza e boa divulgação

2. Treinamento e conscientização

3. Controle de acesso físico e lógico

4. Cultura questionadora

5. Usabilidade

• Agente-duplo atuou na Segunda Guerra Mundial

• Codinome Garbo

• Proveu desinformação à Alemanha nazista

• Criou uma rede fictícia que chegou a ter 28 subagentes

• Desempenhou um papel fundamental na Operação Fortitude

Juan Pujol García

8

2013

Imprensa brasileira por anos divulgou que ela:

• fundou a empresa americana Lemon;

• tinha cinco graduações no MIT - engenharia

elétrica, ciências da computação,

administração, economia e matemática.

Bel Pesce

9

2016

10

Referências

1. Eleições Americanas e Facebook

https://www.forbes.com/sites/kathleenchaykowski/2017/09/21/facebook-to-

give-details-of-thousands-of-russian-election-ads-to-

congress/#155a2a8e2b53

2. How Accenture is trying to bring programmatic product placement to Netflix

http://www.thedrum.com/news/2017/08/09/how-accenture-trying-bring-

programmatic-product-placement-netflix

3. Facebook and Google were conned out of $100m in phishing scheme

https://www.theguardian.com/technology/2017/apr/28/facebook-google-

conned-100m-phishing-scheme

4. How Accenture is trying to bring programmatic product placement to Netflix

http://www.thedrum.com/news/2017/08/09/how-accenture-trying-bring-

programmatic-product-placement-netflix

5. Who's Better At Phishing Twitter, Me Or Artificial Intelligence?

https://www.forbes.com/sites/thomasbrewster/2016/07/25/artificial-

intelligence-phishing-twitter-bots/

6. Digital News Report 2017 - Reuters/Oxford

http://www.digitalnewsreport.org/

7. SP 800-63 Ver. 1.0 - Electronic Authentication Guideline

https://csrc.nist.gov/publications/detail/sp/800-63/ver-10/archive/2004-06-30

8. Operação que combate pirâmide financeira que usa moeda digital prende

11 pessoas

http://agenciabrasil.ebc.com.br/geral/noticia/2017-09/operacao-que-

combate-piramide-financeira-que-usa-moeda-digital-prende-11

9. Juan Pujol García

https://pt.wikipedia.org/wiki/Juan_Pujol_Garc%C3%ADa

10. Bel Pesce

https://exame.abril.com.br/blog/silvio-genesini/bel-pesce-a-menina-do-vale-

virou-geni/

Referências das imagens

1. https://boingboing.net/2015/09/22/hello-id-like-to-add-you.html

2. https://upload.wikimedia.org/wikipedia/commons/3/30/Cyclogram_Gastev_T

SIT.jpg

3. https://en.wikipedia.org/wiki/Swing_state

4. http://abcnews.go.com/Technology/make-dislike-button-work-

facebook/story?id=27554635

5. Arquivo Pessoal

6. https://www.forbes.com/sites/thomasbrewster/2016/07/25/artificial-

intelligence-phishing-twitter-bots/

7. http://www.digitalnewsreport.org

8. https://pt.wikipedia.org/wiki/Juan_Pujol_Garc%C3%ADa

9. http://people.csail.mit.edu/vganesh/summerschool/mit_logo.jpg

10. https://economia.uol.com.br/empreendedorismo/noticias/redacao/2016/09/0

4/ceo-agora-diz-que-pesce-nao-comecou-lemon-mas-pode-ser-chamada-

cofundadora.htm

11. https://documents.trendmicro.com/images/TEx/articles/BEC-Pred17-

Diagram.jpg

12. https://www.theguardian.com/technology/2017/apr/28/facebook-google-

conned-100m-phishing-scheme

13. http://kriptacoin.com/

14. https://www.dailydot.com/debug/equifax-fake-phishing-site/ e

http://twitter.com

15. http://cccbdb.nist.gov/images/nistident_fleft_150ppi.jpg

16. NIST Special Publication 800-118 (Draft) - Guide to Enterprise Password

Managementhttps://csrc.nist.gov/csrc/media/publications/sp/800-

118/archive/2009-04-21/documents/draft-sp800-118.pdf

17. http://g1.globo.com/planeta-bizarro/noticia/2012/02/sinalizacao-de-transito-

confunde-motorista-por-excesso-de-informacao.html

18. https://krausefx.com/blog/ios-privacy-stealpassword-easily-get-the-users-

apple-id-password-just-by-asking

19. http://passarelamkt.com.br/productplacementnetflix/

20. https://www.cnbc.com/2017/07/27/bill-gates-ben-does-product-placement-

in-netflix-and-amazon-shows.html

21. https://www.broadcastnow.co.uk/c4-in-digital-product-placement-first-with-

pg-tips/5045048.article

Dúvidas?

walter.andriola@dataprev.gov.br