Este documento apresenta uma palestra sobre engenharia social, que é o uso da influência e persuasão para obter informações de pessoas. A palestra discute como a engenharia social é uma das primeiras etapas de um teste de penetração e como sete tipos de persuasão, como conformidade, necessidade e autoridade, podem ser usados para enganar as pessoas. Também fornece exemplos de casos de sucesso e soluções como treinamentos de conscientização para proteger contra a engenharia social.
Mini-Curso: Introdução à Big Data e Data Science - Aula 12 - Sessão de pergun...
Hackeando Mentes - Engenharia Social
1. O MAIOR EVENTO BRASILEIRO DE
HACKING, SEGURANÇA E TECNOLOGIA
2. #whoami?
Bruno Barbosa – Chucky
- Graduado em Redes de Computadores;
- Pós Graduado em SI;
- Analista/Consultor de SI;
- Professor de Manutenção de Micros/Redes de
Computadores/Linux/Segurança;
- Usuário e defensor de Software Livres desde 2009.
- Integrante do Hackerspace SucuriHC
28/03/2015 2
Agradecimentos
3. Preparativos
- “A mente que se abre a uma nova ideia jamais volta ao seu tamanho
original.” - Albert Einstein.
Atenção!
As informações contidas nesta apresentação são apenas de caráter
informativo. O conhecimento e as técnicas abordadas não visam ensinar
como enganar as pessoas ou obter qualquer tipo de vantagem sobre
outrem.
O objetivo é apenas demonstrar os pontos fracos que existem nas
corporações e sistemas para que seja possível sanar estes. Brincadeira Senha
28/03/2015 3
8. Engenharia Social
“A engenharia social usa a influência e a
persuasão para enganar as pessoas e convencê-
las de que o engenheiro social é alguém que na
verdade ele não é, ou pela manipulação. Como
resultado, o engenheiro social pode
aproveitar-se das pessoas para obter as
informações com ou sem o uso da tecnologia”.
Trecho do Livro: “A arte de enganar/ Kevin D. Mitnick”
28/03/2015 8
9. Engenharia Social
- Por que atacar uma pessoa e não um sistema?
- Onde Entra a ES: Na primeira Etapa
de um Pentest: “Obtenção de Informação.”
28/03/2015 9
10. Engenharia Social
Quem usa Engenharia Social?
Pentesters;
Você pedindo aos pais para ir em uma festa;
Vendedores;
Empresas praticando espionagem digital;
Professores convencendo alunos a estarem no ROADSEC;
28/03/2015 10
11. ES – Sete tipos de persuasão
- Conformidade
“1000 Pessoas não podem estar erradas” (Muito Explorada) todo mundo está fazendo só
ele que não;
- Lógica
Partir de premissas corretas, induz a acreditar, em seguida coloque a informação falsa
(Questionário com perguntas embutidas);
- Necessidade
“Pode me Ajudar”, “estou desesperado”,” meu chefe vai me matar se eu não
conseguir”.( Pessoas tendem a ajudar);
- Autoridade (Explora o Medo)
“Sabe com quem está falando?” Pessoas de Terno (Foi comprovado NetGeo) - Só
precisa citar nomes;
28/03/2015 11
12. ES – Sete tipos de persuasão
- Reciprocidade
Gratidão, algo em troca (Desligar a rede. Herói do dia)/
- Similaridade
“Pessoas tendem à confiar em pessoas do mesmo ramo (Idade, data de aniversário,
quantidade de filhos, mesma situação(Gravida))” Tem uma estatística que diz que
pessoas do sexo oposto e mais altas, são mais confiáveis.
- Informacional
Saber informações sobre o ambiente, cria uma situação confortável, ou seja, pedir
algumas informações a mais, não fará mal. (Empregados Iniciantes são mais
suscetíveis). Onde coletar: Google imagens: “Meu Crachá”, redes sociais, site da
empresa, blogs etc...
28/03/2015 12
13. Engenharia Social
Confiança não é algo que se dá, é algo que se conquista.
Atenção com a Legislação!
Carregue sempre uma autorização do pentest no bolso.
28/03/2015 13
15. Engenharia Social
Cases de Sucesso:
Qual a maneira mais fácil de se Descobrir uma Senha??????
- Evento que Fui - Feira
- Teve uma pessoa que falou a senha de acesso a UNIDERP, Alterar alguns caracteres
da senha padrão
- Perigo do WiFi
28/03/2015 15
20. Engenharia Social
Solução:
- Cultura de Informação;
- Capacitação/Conscientização do Usuário: Treinamentos, Palestras, etc...
Não Adianta criar uma Politica de Senha Forte, tem que explicar o Por
que.(Usuário Obrigado a anotar a Senha).
28/03/2015 20
21. Referências
- http://controlemental.com/ - Ebook Hackeando Mentes
- Palestra: Rafael Jaques: Engenharia Social: A Doce Arte
de Hackear Mentes
- Livro: “A arte de enganar/ Kevin D. Mitnick”
- YouTube: The Noite 18/06/14 (parte 1) - Entrevista
Marcelo Nascimento
SET - https://www.trustedsec.com/social-engineer-toolkit/
http://www.social-engineer.org/
-Imagens: http://pointinteligencia.blogspot.com,
iwifihacked.blogspot.com,
28/03/2015 21
22. Filmes que todos ES deveriam
ver:
- Hackers 2 Operação Takedown – Mitnik;
- Prenda-me Se For Capaz - Frank Abagnale
Jr;
- Vips – Histórias reais de um mentiroso
Documentário e Filme – Marcelo Nascimento;
- Golpe Duplo - Will Smith
28/03/2015 22