S.I: Engenharia Social
#whoami?
Bruno Barbosa – Chucky
- Graduado em Redes de Computadores;
- Pós Graduado em SI;
- Analista/Consultor de SI;
- Professor de Manutenção de Computadores/ Redes /Linux e Segurança;
- Usuário e defensor de Software Livres desde 2009.
- Integrante do Hackerspace SucuriHC
- “A mente que se abre a uma nova ideia jamais volta ao seu tamanho
original.” - Albert Einstein.
Atenção!As informações contidas nesta apresentação são apenas de caráter
informativo. O conhecimento e as técnicas abordadas não visam ensinar
como enganar as pessoas ou obter qualquer tipo de vantagem sobre
outrem.
O objetivo é apenas demonstrar os pontos fracos que existem nas
corporações e sistemas para que seja possível sanar estes. Brincadeira Senha
Preparativos
“Pessoas são extremamente mais fáceisde Hackear do que Computadores”
Por que estar nesta palestra?
Em casa
3 Pilares da Segurança da
Informação:
● Integridade: informação não seja violada; Metasploit
● Disponibilidade: Informação não retirada do seu
lugar; DoS
● Confidencialidade: Ninguém que não deva, pode
obter conhecimento sobre a mesma; Criptografia
Premissa sobre Invasão:
Já foi, esta sendo ou será.
S.I: Pentest
e Engenharia Social
Engenharia Social
“A engenharia social usa a influência e a persuasão para enganar as pessoas e convencê-las de que o engenheiro social é alguém que na verdade ele não é, ou pela manipulação. Como resultado, o engenheiro social pode aproveitar-se das pessoas para obter as informações com ou sem o uso da tecnologia”.
Trecho do Livro: “A arte de enganar/ Kevin D. Mitnick”
Engenharia Social
- Por que atacar uma pessoa e não um sistema?
- Onde Entra a ES: Na primeira Etapa
de um Pentest: “Obtenção de Informação.”
Engenharia Social
Quem usa Engenharia Social?
- Pentesters;
- Você pedindo aos pais para ir em uma festa;
- Vendedores;
- Namorados e Namoradas;
- Empresas praticando espionagem digital;
- Professores negociando pontos;
- Etc...
ES – Sete tipos de persuasão
- Conformidade
“1000 Pessoas não podem estar erradas” (Muito Explorada) todo mundo está
fazendo só ele que não;
- Lógica
Partir de premissas corretas, induz a acreditar, em seguida coloque a informação
falsa (Questionário com perguntas embutidas);
- Necessidade
“Pode me Ajudar”, “estou desesperado”,” meu chefe vai me matar se eu não
conseguir”.( Pessoas tendem a ajudar);
- Autoridade (Explora o Medo)
“Sabe com quem está falando?” Pessoas de Terno (Foi comprovado NetGeo) -
Só precisa citar nomes;
ES – Sete tipos de persuasão
- Reciprocidade
Gratidão, algo em troca (Desligar a rede. Herói do dia)/
- Similaridade
“Pessoas tendem à confiar em pessoas do mesmo ramo (Idade, data de
aniversário, quantidade de filhos, mesma situação(Gravida))” Tem uma
estatística que diz que pessoas do sexo oposto e mais altas, são mais confiáveis.
- Informacional
Saber informações sobre o ambiente, cria uma situação confortável, ou seja,
pedir algumas informações a mais, não fará mal. (Empregados Iniciantes são
mais suscetíveis). Onde coletar: Google imagens: “Meu Crachá”, redes sociais,
site da empresa, blogs etc...
Engenharia Social
- Confiança não é algo que se dá, é algo que se
conquista. Atenção com a Legislação!
- Carregue sempre uma autorização do pentest
no bolso.
Engenharia Social
Cases de Sucesso:
Qual a maneira mais fácil de se Descobrir uma Senha??????
- Evento que Fui – Feira
- Teve uma pessoa que falou a senha de acesso, Alterar alguns caracteres da senha padrão
- Perigo do WiFi
Engenharia Social
Solução:
- Cultura de Informação;
- Capacitação/Conscientização do Usuário: Treinamentos, Palestras, etc...
Não Adianta criar uma Politica de Senha Forte, tem que explicar o Por que.(Usuário Obrigado a anotar a Senha).
Filmes que todos ES deveriam ver:
- Hackers 2 Operação Takedown – Mitnik;
- Prenda-me Se For Capaz - Frank Abagnale Jr;
- Vips – Histórias reais de um mentiroso Documentário e Filme – Marcelo Nascimento;
- Golpe Duplo - Will Smith
Referências
- http://controlemental.com/ - Ebook Hackeando Mentes
- Palestra: Rafael Jaques: Engenharia Social: A Doce Arte de Hackear Mentes
- Livro: “A arte de enganar/ Kevin D. Mitnick”
- YouTube: The Noite 18/06/14 (parte 1) - Entrevista Marcelo Nascimento
SET - https://www.trustedsec.com/social-engineer-toolkit/
http://www.social-engineer.org/
-Imagens: http://pointinteligencia.blogspot.com, iwifihacked.blogspot.com,
Contatos
E-mail: [email protected]
Facebook: chucky.infotec
Twitter: @chucky_infotec
Skype: chucky.infotec
Linkedin: /chucky.infotec
PDF da palestra disponível em:
http://www.slideshare.net/BrunoAlexandre1
Valewww!!!
Top Related