Engenharia Social, a arte de hackear pessoas  

•  # id –  Cássio Alexandre Ramos –  Contatos:

•  Email - cassioaramos (at) gmail (dot) com •  http://cassioaramos.blogspot.com •  http://www.facebook.com/cassioaramos

Seminário  em  Segurança  de  Redes  de  Computadores  

Agenda  

•  Introdução  •  Apresentação  do  Cenário  •  Definição  •  Exemplos/Literatura  •  Ferramentas  •  Conclusão  •  Debate  

Seminário  em  Segurança  de  Redes  de  Computadores  

Apresentação  do  Cenário  

Definição  

•  Prá?cas   u?lizadas   para   obter   acesso   a   informações  importantes   ou   sigilosas   em   organizações   ou  sistemas   por   meio   da   enganação   ou   exploração   da  confiança  das  pessoas.  Para   isso,  o  golpista  pode  se  passar   por   outra   pessoa,   assumir   outra  personalidade,   fingir   que   é   um   profissional   de  determinada  área,  etc.  

Seminário  em  Segurança  de  Redes  de  Computadores  

Exemplos  

�Marcelo  Nascimento    da  Rocha�  

Seminário  em  Segurança  de  Redes  de  Computadores  

O  Impostor�  

Coronel  Sampaio  

Literatura  

Seminário  em  Segurança  de  Redes  de  Computadores  

Ferramentas  •  Sites  especializados  –  google,  123people  •  Mídias   sociais   -­‐   LinkedIn,   twiRer,   facebook,  foursquare  

•  Equipamentos  de  espionagem  •  Maltego  •  Social  Engeneering  Toolkit  (SET)  •  Criadores  de  dicionários  •  Spoofing  Phone  Number  

Seminário  em  Segurança  de  Redes  de  Computadores  

Ferramentas  •  Sites  especializados    

–   google    –   123people  –   Etc  

Seminário  em  Segurança  de  Redes  de  Computadores  

Ferramentas  •  Mídias  sociais  

– Obtenção  de  informações  – Ro?na  – Locais  frequentados  – Clonagem  de  perfis  – Fishing    – Email  válido  

Seminário  em  Segurança  de  Redes  de  Computadores  

•  Equipamentos  de  espionagem  

Ferramentas  

Seminário  em  Segurança  de  Redes  de  Computadores  

Filmagem  e  gravação�  

GPS  Tracker  

Bugs  

Pwn  Plug  

Ferramentas  •  Maltego  

– Social  –  Infraestrutura  

•  DEMO  

Seminário  em  Segurança  de  Redes  de  Computadores  

Ferramentas  •  SET  

– Fishing  scam  – Web  aRacks  –  java,  clonning  etc  – Arquivos  contaminados  – Mídias  infectadas  – Fake  AP  – Etc........  

•  DEMO  

Seminário  em  Segurança  de  Redes  de  Computadores  

Ferramentas  •  Dicionários  

–  JTR  •  root@bt4:/pentest/passwords/john/john   -­‐w:/root/wordlist/lista_palavras.txt   -­‐rules   -­‐stdout   >   /root/john.txt  

– CUPP  •  root@bt4:/pentest/passwords/cupp#  ./cupp.py  -­‐i  

– CEWL  •  root@bt4:/pentest/passwords/cewl/cewl.rb   -­‐d   1   -­‐w  pass.txt  hRp://www.alvo.com.br  

•  DEMO   Seminário  em  Segurança  de  Redes  de  Computadores  

Ferramentas  •  Spoofing  Phone  Number  

– www.spoofcard.com  •  Comprar  créditos  no  site  (usar  técnicas  de  anonimato)  •  Ligar  para  o  telefone  de  acesso  •  Inserir  o  PIN  •  Inserir  o  número  a  discar  •  Inserir  o  número  a  aparecer  na  ví?ma  •  Existem  apps  para  isso  

Seminário  em  Segurança  de  Redes  de  Computadores  

Conclusão  

Seminário  em  Segurança  de  Redes  de  Computadores  

DEBATE  !!!  

Seminário  em  Segurança  de  Redes  de  Computadores