engenharia social
TRANSCRIPT
![Page 1: engenharia social](https://reader038.vdocuments.pub/reader038/viewer/2022100601/5571f9d4497959916990871b/html5/thumbnails/1.jpg)
Engenharia Social
Alex Nogueira
![Page 2: engenharia social](https://reader038.vdocuments.pub/reader038/viewer/2022100601/5571f9d4497959916990871b/html5/thumbnails/2.jpg)
Engenharia Social.
“Eu tinha tanto sucesso nessa linha de ataque que raramente tinha que lançar mão de um ataque técnico...”
“As empresas podem gastar milhões em proteções tecnológicas e isso será um desperdício se as pessoas basicamente puderem ligar para alguém por telefone e
convencê-lo a fazer algo que baixe as defesas do sistema ou que revele as informações que elas estão buscando.”
Kevin Mitnick, citado no livro Secrets & Lies de Bruce Schneier.
![Page 3: engenharia social](https://reader038.vdocuments.pub/reader038/viewer/2022100601/5571f9d4497959916990871b/html5/thumbnails/3.jpg)
Introdução:
– Engenharia Social é o termo utilizado para a obtenção de informações importantes de uma empresa, através de seus usuários e colaboradores.
– É uma técnica baseada no uso de PSICOLOGIA e no relaxamento (ingenuidade e confiança) das defesas dos seres humanos, possibilitando acesso a informações vitais do sistema ou indivíduo.
– Os ataques desta natureza podem ser realizados através de telefonemas, envio de mensagens por correio eletrônico, salas de bate-papo e pessoalmente.
– Envolve uma fase inicial de coleta de informações, antes de um ataque.
Engenharia Social.
![Page 4: engenharia social](https://reader038.vdocuments.pub/reader038/viewer/2022100601/5571f9d4497959916990871b/html5/thumbnails/4.jpg)
Elementos essenciais utilizados:
– Postura convincente.
– Tonalidade de voz.
– Gestos.
– Naturalidade.
– Sedução.
Engenharia Social.
![Page 5: engenharia social](https://reader038.vdocuments.pub/reader038/viewer/2022100601/5571f9d4497959916990871b/html5/thumbnails/5.jpg)
Elementos de influência no envolvimento da vítima:
Responsabilidade e premiação, influenciar a vítima a acreditar que está compartilhando uma responsabilidade ou contribuindo para algum benefício no futuro.
Envolvimento, Pessoas com pouco envolvimento (terceiros, vigias, recepcionistas, etc) e não diretamente afetadas pela ação requerida tendem a ser mais facilmente persuadidas, cedem a argumentos e pressões.
Competências, Pessoas com maior nível de competência ( administradores, analistas de segurança, gerente TI, etc), tendem a não se submeter a pessoas de menor nível de competência.
Engenharia Social.
![Page 6: engenharia social](https://reader038.vdocuments.pub/reader038/viewer/2022100601/5571f9d4497959916990871b/html5/thumbnails/6.jpg)
Coleta de informações:
– Principais fontes: lista de ramais, organogramas, memorandos, e-mail, calendário de eventos e reuniões, férias, listagens (código fonte, usuários), mídias magnéticas e lixo.
– Abordagem Indireta: shoulder surfing, sessões abertas, impressoras, fax, telefones dial-up, acesso físico ao CPD e Telecom (plataforma e fabricante).
– Abordagem Direta, é o meio mais eficaz, mas requer habilidade e prática para interação com a vítima:
» Personificação (técnico de help desk, usuário em apuro, executivo do alto escalão, entregador).
» Chamada direta ao Usuário ( baseado em catálogos, listas e lixo).
Engenharia Social.
![Page 7: engenharia social](https://reader038.vdocuments.pub/reader038/viewer/2022100601/5571f9d4497959916990871b/html5/thumbnails/7.jpg)
Engenharia Social.
• Medidas de defesa:
– Tratamento do lixo:» Utilização de trituradores de papel.
» Inutilização de mídias magnéticas.
» Acesso restrito a sala de lixo.
– Acesso físico não-autorizado:» Acompanhamento de visitantes (entrada à saída).
» Colaboradores comunicarem a área de segurança quanto a serviços.
» Inventariar os equipamentos e inspeção periódica.
» Controle de acesso a CPD e sala de telecom.
– Procedimentos do Help Desk:» Treinar equipe, suspeitar de chamadas solicitando informações.
» Identificar o usuário e call back ao usuário.
» Troca de senhas, solicitação por escrito (procedimento).
![Page 8: engenharia social](https://reader038.vdocuments.pub/reader038/viewer/2022100601/5571f9d4497959916990871b/html5/thumbnails/8.jpg)
• Medidas de defesa:
– Procedimentos do Usuário:» Programa de conscientização e treinamento do usuário.
» Não fornecer informações pessoais e senhas por meios de comunicação( rede, email, telefone,etc).
» Jamais fornecer senhas, inclusive p/ o suporte tecnico.
» Conhecer procedimento de “reset” de senha.
» Caso de suspeitas, trocar imediatamente a senha.
» Não deixar console “logado”.
» Cuidados com documentos sigilosos (fax, mesa, xerox e impressora).
Engenharia Social.