O QUE É ?
• É conhecida como a arte de manipular pessoas para que realizem
ações ou divulguem informações confidenciais.
• É algo além da fraude ou engano é o uso das emoções alheias para
se atingir um ganho.
Engenharia Social
É a manipulação da tendência natural humana de confiar
COMO FUNCIONA ?
• Alguém faz uso de informações e da
tecnologia com o intuito de persuadir
determinado individuo para obter
informações que podem ser utilizadas
para ter acesso não autorizado a
computadores ou informações.
Engenharia Social
Podemos nos defender de um ataque, mas somos completamente indefesos a um elogio.
Tipos de ataques
Ataques de engenharia social são basicamente divididos em 2 meios;
• Humano
• Recursos tecnológicos
Engenharia Social - Você está protegido ?
MEIOS DIGITAIS
• Roubo de identidade
• Skimming
• Phishing scam
• Pharming
• Url obfuscation
• Phone attacks
• Malicious USB
Engenharia Social – Tipos de ataques; Meios digitais
• Roubo de identidade
Como são furtadas;
- Shoulder surfing*
- Skimming
- Phishing
- Pharming
- Dumpster diving
- Data Collection ou Coleção de dados abertos (redes sociais e
leaks)
Engenharia Social – Tipos de ataques; Roubo de identidade
• Phishing scam
Como o nome diz é o ato de “pescar” dados de usuários usando
mensagens aparentemente reais os fazendo executar determinadas
ações para comprometer seu sistema.
Engenharia Social – Tipos de ataques; Phishing scam
• Url obfuscation
Um truque de usar hyperlink onde o URL real é redirecionado e esconder a
URL real no texto amigável.
Engenharia Social – Tipos de ataques; Url obfuscation
• Phone attacks
Ataque mais comum de engenharia social que é conduzido por um
telefone. Ligando para uma empresa e imitando alguém tem com
objetivo conseguir informações de um usuário ou sistema.
Principal alvo são atendentes de helpdesk.
Engenharia Social – Tipos de ataques; Phone attacks
HUMANO
• Disfarce e Representação
• Tailgating
• Dumpster diving
• Shoulder surfing
• Persuasão
Engenharia Social – Tipos de ataques; Humano
• Shoulder surfing
• Utilizando técnicas de observação direta, como olhando por cima do
ombro de alguém.
Engenharia Social – Tipos de ataques; Shoulder surfing
• Persuasão
• Autoridade
• Medo
• Gratidão / Gratificação
• Curiosidade
• 7 principais fraquezas (Apelo Sexual, Ganância, Vaidade, Confiança,
Preguiça, Compaixão e Urgência)
Engenharia Social – Tipos de ataques; Persuasão
• Autoridade
• Medo
• Gratidão / Gratificação
• Curiosidade
• 7 principais fraquezas (Apelo Sexual, Ganância, Vaidade, Confiança,
Preguiça, Compaixão e Urgência)
Engenharia Social – Tipos de ataques; Persuasão
• Medo
Engenharia Social – Tipos de ataques; Persuasão
"O horror visível tem menos poder sobre a alma do que o horror
imaginado." - William Shakespeare
• 7 principais fraquezas;
Engenharia Social – Tipos de ataques; Persuasão
Apelo Sexual, Ganância, Vaidade, Confiança,
Preguiça, Compaixão e Urgência
BUFFER OVERFLOW HUMANO
Engenharia Social – Tipos de ataques; Persuasão
Entendendo como a mente humana reage a certos tipos de
informações é possível fazer uma espécie de fuzzing.
Colocando na prática, a maneira mais rápida de injetar códigos na
mente humana é através de comandos embutidos, ou
subliminares, para isto temos;
• shellcode +=Lei das Expectativas
• shellcode +=Preenchimento Mental
• shellcode +=Códigos embutidos
"Quando você pensa na complexidade de um sistema como
este e dado todo o conhecimento que você tem, não poderia
ajudar –me, porque eu sei tão pouco e sem sombra de dúvida é
fácil para você !"
BUFFER OVERFLOW HUMANO
Engenharia Social – Tipos de ataques; Persuasão
Lei das Expectativas
Pais, superiores, pessoas próximas (cônjuge, empregados,
colegas trabalho ) e si mesmo.
BUFFER OVERFLOW HUMANO
Engenharia Social – Tipos de ataques; Persuasão
Códigos embutidos e Preenchimento Mentais
• Quebra de resistência inicial pela negação
Eu não lhe diria para me mandar seu login, porque já sabe que é a solução
mais rápida para resolvermos seu problema.
• Inevitabilidade facilitando comandos embutidos
Mais cedo ou mais tarde, você vai se perguntar: “Porque eu não mandei
esse email antes ?”
• Comunicar evitando objeções
Eu poderia lhe dizer que nesse blog você terá acesso as melhores
estratégias para você elevar a sua persuasão, mas, prefiro que você
descubra por si mesmo.
BUFFER OVERFLOW HUMANO
Engenharia Social – Tipos de ataques; Persuasão
Além dos comandos embutidos, preenchimento mentais e Lei das
Expectativas temos também;
• pressupostos
• marcação analógica
• perguntas incorporadas
• comandos negativos
• postulados conversacionais
• Ambigüidades (fonológico, sintático, escopo, pontuação)
E agora ? Como me proteger ?
Proteção efetiva existe ? O que realmente deve ser protegido ?
• Contra-medidas
• Proteção
Engenharia Social - Você está protegido ?
• Contra-medidas – Realizar uma análise de risco adaptada
Análise de risco/casos
Identificação de serviços e pessoas vulneráveis
Identificação de fatores de exposição da organização
Engenharia Social - Você está protegido ?
“Antecipar ações hostis, considerando ameaças reais e
potenciais”
• Contra-medidas – Treinamento de pessoal
Treinamento de conscientização de segurança
Treinar todos os funcionários
Conhecimento de ameaça
Identificação de ataques
Análise de comportamento suspeito
Acompanhamento com Psicólogos
Engenharia Social - Você está protegido ?
• Contra-medidas – Treinamento de pessoal
Treinamento de conscientização/cultura de segurança
Implementar uma consciência de segurança e política de treinamento
formalmente documentada.
Ética profissional.
Desenvolver a cultura de compartimentação de informação.
Criar exercícios/simulações para fins educacionais.
Engenharia Social - Você está protegido ?
• Contra-medidas – Treinamento de pessoal
Treinar todos os funcionários
Mesmo os que não possuem conhecimento de informações
confidenciais.
É extremamente importante que todas as pessoas dentro de uma
organização entendam as ameaças potenciais, procedimentos
básicos de segurança e política de segurança da organização, a fim
de proteger as informações.
Engenharia Social - Você está protegido ?
• Contra-medidas – Treinamento de pessoal
Conhecimento de ameaça
Fornecer informações específicas de formação de segurança do
sistema para os indivíduos identificados como tendo funções e
responsabilidades de segurança significativa dos Sistemas de
Informação
Analise de comportamentos suspeitos
Acompanhamento com Psicólogos
Engenharia Social - Você está protegido ?
• Contra-medidas – Segurança no acesso a internet pela empresa
Data Loss Prevention
Recursos computacionais com informações sensíveis Off-line
Engenharia Social - Você está protegido ?
• Proteção – O que proteger ?
Avaliar informações sensíveis
Classificada é toda informação submetida a qualquer grau de sigilo
(reservado, secreto e ultra-secreto)
Sigilosa é toda informação com restrição de acesso por classificação
ou por hipótese legal de sigilo de acordo com (artigo 22 da Lei
12.527, de novembro de 2011), como informações bancárias,
pessoais, etc.
Engenharia Social - Você está protegido ?
“Toda informação classificada é sigilosa, porém nem toda
informação sigilosa é classificada”.
• Proteção – Como se proteger ?
Reduzir e dividir o acesso (compartimentação)
Classificar as informações
Identificar informações sensíveis/sigilosas e as proteger
Engenharia Social - Você está protegido ?
“Toda informação classificada é sigilosa, porém nem toda
informação sigilosa é classificada”.
• Proteção – Quanto tempo para se proteger ?
Enquanto a informação existir
Avaliar sempre a maturidade da segurança
Procedimento de desclassificação
Engenharia Social - Você está protegido ?
“Toda informação classificada é sigilosa, porém nem toda
informação sigilosa é classificada”.
• Agora como eu me protejo ?
Questione tudo e pense antes de tomar qualquer decisão importante.
Não aceite o obvio, pesquise os fatos.
Analisar pedidos/ofertas de ajuda ofertas de ajuda de desconhecidos.
Reveja os links.
Monitore seus emails.
Proteja os seus dispositivos.
Desconfiar é essencial mas ser paranóico sem ser anti-social é crucial.
Engenharia Social - Você está protegido ?