engenharia social
TRANSCRIPT
Engenharia Social, a arte de hackear pessoas
• # id – Cássio Alexandre Ramos – Contatos:
• Email - cassioaramos (at) gmail (dot) com • http://cassioaramos.blogspot.com • http://www.facebook.com/cassioaramos
Seminário em Segurança de Redes de Computadores
Agenda
• Introdução • Apresentação do Cenário • Definição • Exemplos/Literatura • Ferramentas • Conclusão • Debate
Seminário em Segurança de Redes de Computadores
Apresentação do Cenário
Definição
• Prá?cas u?lizadas para obter acesso a informações importantes ou sigilosas em organizações ou sistemas por meio da enganação ou exploração da confiança das pessoas. Para isso, o golpista pode se passar por outra pessoa, assumir outra personalidade, fingir que é um profissional de determinada área, etc.
Seminário em Segurança de Redes de Computadores
Exemplos
�Marcelo Nascimento da Rocha�
Seminário em Segurança de Redes de Computadores
O Impostor�
Coronel Sampaio
Literatura
Seminário em Segurança de Redes de Computadores
Ferramentas • Sites especializados – google, 123people • Mídias sociais -‐ LinkedIn, twiRer, facebook, foursquare
• Equipamentos de espionagem • Maltego • Social Engeneering Toolkit (SET) • Criadores de dicionários • Spoofing Phone Number
Seminário em Segurança de Redes de Computadores
Ferramentas • Sites especializados
– google – 123people – Etc
Seminário em Segurança de Redes de Computadores
Ferramentas • Mídias sociais
– Obtenção de informações – Ro?na – Locais frequentados – Clonagem de perfis – Fishing – Email válido
Seminário em Segurança de Redes de Computadores
• Equipamentos de espionagem
Ferramentas
Seminário em Segurança de Redes de Computadores
Filmagem e gravação�
GPS Tracker
Bugs
Pwn Plug
Ferramentas • Maltego
– Social – Infraestrutura
• DEMO
Seminário em Segurança de Redes de Computadores
Ferramentas • SET
– Fishing scam – Web aRacks – java, clonning etc – Arquivos contaminados – Mídias infectadas – Fake AP – Etc........
• DEMO
Seminário em Segurança de Redes de Computadores
Ferramentas • Dicionários
– JTR • root@bt4:/pentest/passwords/john/john -‐w:/root/wordlist/lista_palavras.txt -‐rules -‐stdout > /root/john.txt
– CUPP • root@bt4:/pentest/passwords/cupp# ./cupp.py -‐i
– CEWL • root@bt4:/pentest/passwords/cewl/cewl.rb -‐d 1 -‐w pass.txt hRp://www.alvo.com.br
• DEMO Seminário em Segurança de Redes de Computadores
Ferramentas • Spoofing Phone Number
– www.spoofcard.com • Comprar créditos no site (usar técnicas de anonimato) • Ligar para o telefone de acesso • Inserir o PIN • Inserir o número a discar • Inserir o número a aparecer na ví?ma • Existem apps para isso
Seminário em Segurança de Redes de Computadores
Conclusão
Seminário em Segurança de Redes de Computadores
DEBATE !!!
Seminário em Segurança de Redes de Computadores