S.I: Engenharia Social

#whoami?

Bruno Barbosa – Chucky

- Graduado em Redes de Computadores;

- Pós Graduado em SI;

- Analista/Consultor de SI;

- Professor de Manutenção de Computadores/ Redes /Linux e Segurança;

- Usuário e defensor de Software Livres desde 2009.

- Integrante do Hackerspace SucuriHC

- “A mente que se abre a uma nova ideia jamais volta ao seu tamanho

original.” - Albert Einstein.

Atenção!As informações contidas nesta apresentação são apenas de caráter

informativo. O conhecimento e as técnicas abordadas não visam ensinar

como enganar as pessoas ou obter qualquer tipo de vantagem sobre

outrem.

O objetivo é apenas demonstrar os pontos fracos que existem nas

corporações e sistemas para que seja possível sanar estes. Brincadeira Senha

Preparativos

“Pessoas são extremamente mais fáceisde Hackear do que Computadores”

Por que estar nesta palestra?

Em casa

3 Pilares da Segurança da

Informação:

● Integridade: informação não seja violada; Metasploit

● Disponibilidade: Informação não retirada do seu

lugar; DoS

● Confidencialidade: Ninguém que não deva, pode

obter conhecimento sobre a mesma; Criptografia

Premissa sobre Invasão:

Já foi, esta sendo ou será.

S.I: Pentest

e Engenharia Social

Engenharia Social

“A engenharia social usa a influência e a persuasão para enganar as pessoas e convencê-las de que o engenheiro social é alguém que na verdade ele não é, ou pela manipulação. Como resultado, o engenheiro social pode aproveitar-se das pessoas para obter as informações com ou sem o uso da tecnologia”.

Trecho do Livro: “A arte de enganar/ Kevin D. Mitnick”

Engenharia Social

- Por que atacar uma pessoa e não um sistema?

- Onde Entra a ES: Na primeira Etapa

de um Pentest: “Obtenção de Informação.”

Engenharia Social

Quem usa Engenharia Social?

- Pentesters;

- Você pedindo aos pais para ir em uma festa;

- Vendedores;

- Namorados e Namoradas;

- Empresas praticando espionagem digital;

- Professores negociando pontos;

- Etc...

ES – Sete tipos de persuasão

- Conformidade

“1000 Pessoas não podem estar erradas” (Muito Explorada) todo mundo está

fazendo só ele que não;

- Lógica

Partir de premissas corretas, induz a acreditar, em seguida coloque a informação

falsa (Questionário com perguntas embutidas);

- Necessidade

“Pode me Ajudar”, “estou desesperado”,” meu chefe vai me matar se eu não

conseguir”.( Pessoas tendem a ajudar);

- Autoridade (Explora o Medo)

“Sabe com quem está falando?” Pessoas de Terno (Foi comprovado NetGeo) -

Só precisa citar nomes;

ES – Sete tipos de persuasão

- Reciprocidade

Gratidão, algo em troca (Desligar a rede. Herói do dia)/

- Similaridade

“Pessoas tendem à confiar em pessoas do mesmo ramo (Idade, data de

aniversário, quantidade de filhos, mesma situação(Gravida))” Tem uma

estatística que diz que pessoas do sexo oposto e mais altas, são mais confiáveis.

- Informacional

Saber informações sobre o ambiente, cria uma situação confortável, ou seja,

pedir algumas informações a mais, não fará mal. (Empregados Iniciantes são

mais suscetíveis). Onde coletar: Google imagens: “Meu Crachá”, redes sociais,

site da empresa, blogs etc...

Engenharia Social

- Confiança não é algo que se dá, é algo que se

conquista. Atenção com a Legislação!

- Carregue sempre uma autorização do pentest

no bolso.

Engenharia Social

Cases de Sucesso:

Qual a maneira mais fácil de se Descobrir uma Senha??????

- Evento que Fui – Feira

- Teve uma pessoa que falou a senha de acesso, Alterar alguns caracteres da senha padrão

- Perigo do WiFi

Engenharia Social

Solução:

- Cultura de Informação;

- Capacitação/Conscientização do Usuário: Treinamentos, Palestras, etc...

Não Adianta criar uma Politica de Senha Forte, tem que explicar o Por que.(Usuário Obrigado a anotar a Senha).

Filmes que todos ES deveriam ver:

- Hackers 2 Operação Takedown – Mitnik;

- Prenda-me Se For Capaz - Frank Abagnale Jr;

- Vips – Histórias reais de um mentiroso Documentário e Filme – Marcelo Nascimento;

- Golpe Duplo - Will Smith

Referências

- http://controlemental.com/ - Ebook Hackeando Mentes

- Palestra: Rafael Jaques: Engenharia Social: A Doce Arte de Hackear Mentes

- Livro: “A arte de enganar/ Kevin D. Mitnick”

- YouTube: The Noite 18/06/14 (parte 1) - Entrevista Marcelo Nascimento

SET - https://www.trustedsec.com/social-engineer-toolkit/

http://www.social-engineer.org/

-Imagens: http://pointinteligencia.blogspot.com, iwifihacked.blogspot.com,

Contatos

E-mail: chucky.infotec@gmail.com

Facebook: chucky.infotec

Twitter: @chucky_infotec

Skype: chucky.infotec

Linkedin: /chucky.infotec

PDF da palestra disponível em:

http://www.slideshare.net/BrunoAlexandre1

Valewww!!!