engenharia social -...

ENGENHARIA SOCIAL

O QUE É ?

• É conhecida como a arte de manipular pessoas para que realizem

ações ou divulguem informações confidenciais.

• É algo além da fraude ou engano é o uso das emoções alheias para

se atingir um ganho.

Engenharia Social

É a manipulação da tendência natural humana de confiar

COMO FUNCIONA ?

• Alguém faz uso de informações e da

tecnologia com o intuito de persuadir

determinado individuo para obter

informações que podem ser utilizadas

para ter acesso não autorizado a

computadores ou informações.

Engenharia Social

Podemos nos defender de um ataque, mas somos completamente indefesos a um elogio.

Tipos de ataques

Ataques de engenharia social são basicamente divididos em 2 meios;

• Humano

• Recursos tecnológicos

Engenharia Social - Você está protegido ?

MEIOS DIGITAIS

• Roubo de identidade

• Skimming

• Phishing scam

• Pharming

• Url obfuscation

• Phone attacks

• Malicious USB

Engenharia Social – Tipos de ataques; Meios digitais

• Roubo de identidade

Como são furtadas;

- Shoulder surfing*

- Skimming

- Phishing

- Pharming

- Dumpster diving

- Data Collection ou Coleção de dados abertos (redes sociais e

leaks)

Engenharia Social – Tipos de ataques; Roubo de identidade

• Skimming

Engenharia Social – Tipos de ataques; Skimming

• Phishing scam

Como o nome diz é o ato de “pescar” dados de usuários usando

mensagens aparentemente reais os fazendo executar determinadas

ações para comprometer seu sistema.

Engenharia Social – Tipos de ataques; Phishing scam

• Pharming

Engenharia Social – Tipos de ataques; Pharming

• Url obfuscation

Um truque de usar hyperlink onde o URL real é redirecionado e esconder a

URL real no texto amigável.

Engenharia Social – Tipos de ataques; Url obfuscation

• Phone attacks

Ataque mais comum de engenharia social que é conduzido por um

telefone. Ligando para uma empresa e imitando alguém tem com

objetivo conseguir informações de um usuário ou sistema.

Principal alvo são atendentes de helpdesk.

Engenharia Social – Tipos de ataques; Phone attacks

• Malicious USB

Engenharia Social – Tipos de ataques; Malicious USB

• Dados abertos

Engenharia Social – Tipos de ataques; Data Collection

HUMANO

• Disfarce e Representação

• Tailgating

• Dumpster diving

• Shoulder surfing

• Persuasão

Engenharia Social – Tipos de ataques; Humano

• Disfarce e Representação

Engenharia Social – Tipos de ataques; Disfarce e Representação

• Tailgating

Engenharia Social – Tipos de ataques; Tailgating

• Dumpster diving

Engenharia Social – Tipos de ataques; Dumpster diving

• Shoulder surfing

• Utilizando técnicas de observação direta, como olhando por cima do

ombro de alguém.

Engenharia Social – Tipos de ataques; Shoulder surfing

• Persuasão

• Autoridade

• Medo

• Gratidão / Gratificação

• Curiosidade

• 7 principais fraquezas (Apelo Sexual, Ganância, Vaidade, Confiança,

Preguiça, Compaixão e Urgência)

Engenharia Social – Tipos de ataques; Persuasão

POR QUE FUNCIONA E SEMPRE FUNCIONARÁ ?


• Autoridade

• Medo


• Curiosidade

• 7 principais fraquezas (Apelo Sexual, Ganância, Vaidade, Confiança,

Preguiça, Compaixão e Urgência)


• Autoridade


• Medo


"O horror visível tem menos poder sobre a alma do que o horror

imaginado." - William Shakespeare

• Curiosidade


• 7 principais fraquezas;


Apelo Sexual, Ganância, Vaidade, Confiança,

Preguiça, Compaixão e Urgência

BUFFER OVERFLOW HUMANO


Entendendo como a mente humana reage a certos tipos de

informações é possível fazer uma espécie de fuzzing.

Colocando na prática, a maneira mais rápida de injetar códigos na

mente humana é através de comandos embutidos, ou

subliminares, para isto temos;

• shellcode +=Lei das Expectativas

• shellcode +=Preenchimento Mental

• shellcode +=Códigos embutidos

"Quando você pensa na complexidade de um sistema como

este e dado todo o conhecimento que você tem, não poderia

ajudar –me, porque eu sei tão pouco e sem sombra de dúvida é

fácil para você !"



Lei das Expectativas

Pais, superiores, pessoas próximas (cônjuge, empregados,

colegas trabalho ) e si mesmo.



Códigos embutidos e Preenchimento Mentais

• Quebra de resistência inicial pela negação

Eu não lhe diria para me mandar seu login, porque já sabe que é a solução

mais rápida para resolvermos seu problema.

• Inevitabilidade facilitando comandos embutidos

Mais cedo ou mais tarde, você vai se perguntar: “Porque eu não mandei

esse email antes ?”

• Comunicar evitando objeções

Eu poderia lhe dizer que nesse blog você terá acesso as melhores

estratégias para você elevar a sua persuasão, mas, prefiro que você

descubra por si mesmo.



Além dos comandos embutidos, preenchimento mentais e Lei das

Expectativas temos também;

• pressupostos

• marcação analógica

• perguntas incorporadas

• comandos negativos

• postulados conversacionais

• Ambigüidades (fonológico, sintático, escopo, pontuação)

E agora ? Como me proteger ?

Proteção efetiva existe ? O que realmente deve ser protegido ?

• Contra-medidas

• Proteção


• Contra-medidas – Realizar uma análise de risco adaptada

Análise de risco/casos

Identificação de serviços e pessoas vulneráveis

Identificação de fatores de exposição da organização


“Antecipar ações hostis, considerando ameaças reais e

potenciais”

• Contra-medidas – Treinamento de pessoal

Treinamento de conscientização de segurança

Treinar todos os funcionários

Conhecimento de ameaça

Identificação de ataques

Análise de comportamento suspeito

Acompanhamento com Psicólogos



Treinamento de conscientização/cultura de segurança

Implementar uma consciência de segurança e política de treinamento

formalmente documentada.

Ética profissional.

Desenvolver a cultura de compartimentação de informação.

Criar exercícios/simulações para fins educacionais.



Treinar todos os funcionários

Mesmo os que não possuem conhecimento de informações

confidenciais.

É extremamente importante que todas as pessoas dentro de uma

organização entendam as ameaças potenciais, procedimentos

básicos de segurança e política de segurança da organização, a fim

de proteger as informações.



Conhecimento de ameaça

Fornecer informações específicas de formação de segurança do

sistema para os indivíduos identificados como tendo funções e

responsabilidades de segurança significativa dos Sistemas de

Informação

Analise de comportamentos suspeitos

Acompanhamento com Psicólogos


• Contra-medidas – Segurança no acesso a internet pela empresa

Data Loss Prevention

Recursos computacionais com informações sensíveis Off-line


• Proteção – O que proteger ?

Avaliar informações sensíveis

Classificada é toda informação submetida a qualquer grau de sigilo

(reservado, secreto e ultra-secreto)

Sigilosa é toda informação com restrição de acesso por classificação

ou por hipótese legal de sigilo de acordo com (artigo 22 da Lei

12.527, de novembro de 2011), como informações bancárias,

pessoais, etc.


“Toda informação classificada é sigilosa, porém nem toda

informação sigilosa é classificada”.

• Proteção – Como se proteger ?

Reduzir e dividir o acesso (compartimentação)

Classificar as informações

Identificar informações sensíveis/sigilosas e as proteger




• Proteção – Quanto tempo para se proteger ?

Enquanto a informação existir

Avaliar sempre a maturidade da segurança

Procedimento de desclassificação




• Agora como eu me protejo ?

Questione tudo e pense antes de tomar qualquer decisão importante.

Não aceite o obvio, pesquise os fatos.

Analisar pedidos/ofertas de ajuda ofertas de ajuda de desconhecidos.

Reveja os links.

Monitore seus emails.

Proteja os seus dispositivos.

Desconfiar é essencial mas ser paranóico sem ser anti-social é crucial.


SEJA HUMILDE E RECONHEÇA QUE VOCÊ É TÃO MANIPULÁVEL QUANTO QUALQUER OUTRA

PESSOA.

Engenharia Social

Obrigado por não se deixar induzir !

engenharia social -...

Documents