engenharia social
8
Click here to load reader
-
Upload
vinicius-carneiro -
Category
Documents
-
view
135 -
download
1
Transcript of engenharia social
Engenharia Social
Alex Nogueira
Engenharia Social.
“Eu tinha tanto sucesso nessa linha de ataque que raramente tinha que lançar mão de um ataque técnico...”
“As empresas podem gastar milhões em proteções tecnológicas e isso será um desperdício se as pessoas basicamente puderem ligar para alguém por telefone e
convencê-lo a fazer algo que baixe as defesas do sistema ou que revele as informações que elas estão buscando.”
Kevin Mitnick, citado no livro Secrets & Lies de Bruce Schneier.
Introdução:
– Engenharia Social é o termo utilizado para a obtenção de informações importantes de uma empresa, através de seus usuários e colaboradores.
– É uma técnica baseada no uso de PSICOLOGIA e no relaxamento (ingenuidade e confiança) das defesas dos seres humanos, possibilitando acesso a informações vitais do sistema ou indivíduo.
– Os ataques desta natureza podem ser realizados através de telefonemas, envio de mensagens por correio eletrônico, salas de bate-papo e pessoalmente.
– Envolve uma fase inicial de coleta de informações, antes de um ataque.
Engenharia Social.
Elementos essenciais utilizados:
– Postura convincente.
– Tonalidade de voz.
– Gestos.
– Naturalidade.
– Sedução.
Engenharia Social.
Elementos de influência no envolvimento da vítima:
Responsabilidade e premiação, influenciar a vítima a acreditar que está compartilhando uma responsabilidade ou contribuindo para algum benefício no futuro.
Envolvimento, Pessoas com pouco envolvimento (terceiros, vigias, recepcionistas, etc) e não diretamente afetadas pela ação requerida tendem a ser mais facilmente persuadidas, cedem a argumentos e pressões.
Competências, Pessoas com maior nível de competência ( administradores, analistas de segurança, gerente TI, etc), tendem a não se submeter a pessoas de menor nível de competência.
Engenharia Social.
Coleta de informações:
– Principais fontes: lista de ramais, organogramas, memorandos, e-mail, calendário de eventos e reuniões, férias, listagens (código fonte, usuários), mídias magnéticas e lixo.
– Abordagem Indireta: shoulder surfing, sessões abertas, impressoras, fax, telefones dial-up, acesso físico ao CPD e Telecom (plataforma e fabricante).
– Abordagem Direta, é o meio mais eficaz, mas requer habilidade e prática para interação com a vítima:
» Personificação (técnico de help desk, usuário em apuro, executivo do alto escalão, entregador).
» Chamada direta ao Usuário ( baseado em catálogos, listas e lixo).
Engenharia Social.
Engenharia Social.
• Medidas de defesa:
– Tratamento do lixo:» Utilização de trituradores de papel.
» Inutilização de mídias magnéticas.
» Acesso restrito a sala de lixo.
– Acesso físico não-autorizado:» Acompanhamento de visitantes (entrada à saída).
» Colaboradores comunicarem a área de segurança quanto a serviços.
» Inventariar os equipamentos e inspeção periódica.
» Controle de acesso a CPD e sala de telecom.
– Procedimentos do Help Desk:» Treinar equipe, suspeitar de chamadas solicitando informações.
» Identificar o usuário e call back ao usuário.
» Troca de senhas, solicitação por escrito (procedimento).
• Medidas de defesa:
– Procedimentos do Usuário:» Programa de conscientização e treinamento do usuário.
» Não fornecer informações pessoais e senhas por meios de comunicação( rede, email, telefone,etc).
» Jamais fornecer senhas, inclusive p/ o suporte tecnico.
» Conhecer procedimento de “reset” de senha.
» Caso de suspeitas, trocar imediatamente a senha.
» Não deixar console “logado”.
» Cuidados com documentos sigilosos (fax, mesa, xerox e impressora).
Engenharia Social.
![[Semana da Segurança CS] Engenharia Social (Juliano Borba)](https://static.fdocumentos.tips/doc/165x107/58cf6f641a28abe6688b4e7f/semana-da-seguranca-cs-engenharia-social-juliano-borba.jpg)
