Engenharia Social
16
Engenharia Social Felipe Munhoz SENAC-TI/SC – Março 2010
-
Upload
felipe-munhoz -
Category
Education
-
view
2.449 -
download
3
description
Apresentação sobre as práticas utilizadas pelos crackers para obter informações sigilosas
Transcript of Engenharia Social
Engenharia Social
Felipe Munhoz
SENAC-TI/SC – Março 2010
Sumário
1. Introdução
2. Fator Humano
3. A quem se Destinam
4. Técnicas Utilizadas
5. Métodos de ataque
6. Como se defender
7. Considerações Finais
8. Referências Bibliográficas
9. Exercício
SENAC-TI/SC – Março 20102
Introdução
A engenharia social pode ser vista como uma série de
técnicas e práticas utilizadas por alguém mal intencionado
para obter informações sigilosas de um sistema de
informações ou de uma companhia.
As instituições cada vez mais voltam suas atenções para a
proteção de informações confidenciais e estratégicas
investindo boa parte do seu capital em tecnologia.
SENAC-TI/SC – Março 20103
Fator Humano
Entretanto, nem sempre estão atentas aos aspectos extra
tecnológicos desta questão, ou seja os fatores sociais.
A engenharia social explora estas falhas através da
persuasão de pessoas desatentas ou mesmo ingênuas,
para obter informações sigilosas.
SENAC-TI/SC – Março 20104
A quem se Destinam
Os ataques sociais se destinam basicamente aos colaboradores da instituição alvo, e são independentes do cargo, podendo ser aplicados tanto a pessoas do setor de limpeza e manutenção até a gerentes e diretores.
SENAC-TI/SC – Março 20105
O grau do nível de informação obtido irá depender tanto
da capacidade de persuasão do atacante quanto da
ingenuidade da pessoa atacada.
Técnicas Utilizadas
Podem ser analisadas sob dois aspectos:
Ataques físicos que incluem utilização de telefone, o lixo,
emails e websites.
Ataques psicológicos que focam na persuasão e na
ingenuidade das pessoas
SENAC-TI/SC – Março 20106
Ataques Físicos
SENAC-TI/SC – Março 2010
Telefone
Pode ser aplicado tanto através de ligações para colaboradores,
quanto grampo telefônico.
On-line
Pouco cuidado na definição de senhas fortes e até mesmo responder
emails que solicitam informações.
Lixo
O atacante busca no lixo da instituição informações sigilosas como
relatórios ou anotações.
7
Ataques Psicológicos
SENAC-TI/SC – Março 2010
Os ataques com aspecto psicológico são baseados
principalmente na persuasão.
O atacante busca mostrar-se amigável e confiável,
influenciando a pessoa atacada a fornecer as informações
que ele necessita.
8
Métodos de ataque - Phishing
Prática utilizada por crackers com o objetivo de obter
informações sigilosas.
Inicialmente os ataques ocorriam através dos serviços de
email, enviando milhões de mensagens indesejadas com o
objetivo de “pescar” os desatentos.
SENAC-TI/SC – Março 20109
SENAC-TI/SC – Março 201010
SENAC-TI/SC – Março 201011
Métodos de ataque - Phishing
SENAC-TI/SC – Março 201012
Com o passar do tempo a técnica se propagou para os mais
variados meios eletrônicos, como serviços de mensagem
instantânea MSN e Skype e redes sociais como Orkut e
Facebook.
Atualmente não é necessário ser nenhum expert no assunto
para realizar os ataques, já que existem diversas ferramentas
prontas para uso.
Como se defender
A maneira mais eficaz de proteção contra os ataques de
engenharia social é o treinamento dos usuários,
mostrando como o mesmo deve se comportar frente a
estes tipos de ataque.
Existem também ferramentas de detecção, entretanto,
nem sempre são eficazes devido a grande criatividade dos
crackers.
SENAC-TI/SC – Março 201013
Considerações Finais
A área de segurança da informação é bastante ampla e
complexa. Não basta que sejam feitos investimentos
pesados em tecnologia para prevenção de ataques, sem
que haja também um grande cuidado com o fator social.
Na internet, assim como ocorre fora dela, as políticas de
segurança tem forte influência humana e devem ser
consideradas juntamente com as decisões tecnológicas do
tema, a fim de manter as informações longe do alcance
de pessoas mal intencionadas.
SENAC-TI/SC – Março 201014
Referências Bibliográficas
SENAC-TI/SC – Março 201015
POPPER, M.; BRIGNOLI, J. Engenharia Social Um Perigo Eminente. Disponível em:
http://www.icpg.com.br/artigos/rev03-05.pdf
BERNZ. The Complete Social Engineering FAQ!, 1996. Disponível em:
http://web.archive.org/web/20030201210004/http://packetstorm.decepticons.org/docs/social-engineering/socialen.txt
Social Engineering: Exploiting HumanVulnerabilities. Disponível em: http://www.social-
engineer.org/framework/Social_Engineering_Framework
Malicious PDF Email Attack. Disponível em: http://www.social-engineer.org/resources/Social-Engineering-
Email-Attack-using-SET/Social-Engineering-Email-Attack-using-SET.html
Fraudes identificadas e divulgadas pelo CAIS. Disponível em:
http://www.rnp.br/cais/fraudes.php
Exercício
SENAC-TI/SC – Março 201016
Procure e faça um resumo de uma ferramenta automatizada que aplique
técnicas de engenharia social.
Apresentação disponível em:
http://www.slideshare.net/fnmunhoz
Utilize as referências como base para o
exercício
![[Semana da Segurança CS] Engenharia Social (Juliano Borba)](https://static.fdocumentos.com/doc/165x107/58cf6f641a28abe6688b4e7f/semana-da-seguranca-cs-engenharia-social-juliano-borba.jpg)
