Bruno Barbosa apresenta sobre engenharia social, explicando que é possível manipular pessoas para obter informações confidenciais através de técnicas de persuasão como conformidade, autoridade e reciprocidade. Ele descreve casos de sucesso e soluções como treinamentos de conscientização para prevenir esses ataques sociais.
2. #whoami?
Bruno Barbosa – Chucky
- Graduado em Redes de Computadores;
- Pós Graduado em SI;
- Analista/Consultor de SI;
- Professor de Manutenção de Computadores/ Redes /Linux e Segurança;
- Usuário e defensor de Software Livres desde 2009.
- Integrante do Hackerspace SucuriHC
3. - “A mente que se abre a uma nova ideia jamais volta ao seu tamanho
original.” - Albert Einstein.
Atenção!
As informações contidas nesta apresentação são apenas de caráter
informativo. O conhecimento e as técnicas abordadas não visam ensinar
como enganar as pessoas ou obter qualquer tipo de vantagem sobre
outrem.
O objetivo é apenas demonstrar os pontos fracos que existem nas
corporações e sistemas para que seja possível sanar estes.
Brincadeira Senha
Preparativos
6. 3 Pilares da Segurança da
Informação:
● Integridade: informação não seja violada; Metasploit
● Disponibilidade: Informação não retirada do seu
lugar; DoS
● Confidencialidade: Ninguém que não deva, pode
obter conhecimento sobre a mesma; Criptografia
Premissa sobre Invasão:
Já foi, esta sendo ou será.
9. Engenharia Social
“A engenharia social usa a influência e a persuasão para
enganar as pessoas e convencê-las de que o
engenheiro social é alguém que na verdade ele não é,
ou pela manipulação. Como resultado, o engenheiro
social pode aproveitar-se das pessoas para obter as
informações com ou sem o uso da tecnologia”.
Trecho do Livro: “A arte de enganar/ Kevin D. Mitnick”
10. Engenharia Social
- Por que atacar uma pessoa e não um
sistema?
- Onde Entra a ES: Na primeira Etapa
de um Pentest: “Obtenção de Informação.”
11. Engenharia Social
Quem usa Engenharia Social?
- Pentesters;
- Você pedindo aos pais para ir em uma festa;
- Vendedores;
- Namorados e Namoradas;
- Empresas praticando espionagem digital;
- Professores negociando pontos;
- Etc...
12. ES – Sete tipos de persuasão
- Conformidade
“1000 Pessoas não podem estar erradas” (Muito Explorada) todo mundo está
fazendo só ele que não;
- Lógica
Partir de premissas corretas, induz a acreditar, em seguida coloque a informação
falsa (Questionário com perguntas embutidas);
- Necessidade
“Pode me Ajudar”, “estou desesperado”,” meu chefe vai me matar se eu não
conseguir”.( Pessoas tendem a ajudar);
- Autoridade (Explora o Medo)
“Sabe com quem está falando?” Pessoas de Terno (Foi comprovado NetGeo) -
Só precisa citar nomes;
13. ES – Sete tipos de persuasão
- Reciprocidade
Gratidão, algo em troca (Desligar a rede. Herói do dia)/
- Similaridade
“Pessoas tendem à confiar em pessoas do mesmo ramo (Idade, data de
aniversário, quantidade de filhos, mesma situação(Gravida))” Tem uma
estatística que diz que pessoas do sexo oposto e mais altas, são mais confiáveis.
- Informacional
Saber informações sobre o ambiente, cria uma situação confortável, ou seja,
pedir algumas informações a mais, não fará mal. (Empregados Iniciantes são
mais suscetíveis). Onde coletar: Google imagens: “Meu Crachá”, redes sociais,
site da empresa, blogs etc...
14. Engenharia Social
- Confiança não é algo que se dá, é algo que se
conquista. Atenção com a Legislação!
- Carregue sempre uma autorização do pentest
no bolso.
15.
16. Engenharia Social
Cases de Sucesso:
Qual a maneira mais fácil de se Descobrir uma Senha??????
- Evento que Fui – Feira
- Teve uma pessoa que falou a senha de acesso, Alterar alguns
caracteres da senha padrão
- Perigo do WiFi
17.
18.
19.
20.
21. Engenharia Social
Solução:
- Cultura de Informação;
- Capacitação/Conscientização do Usuário: Treinamentos, Palestras,
etc...
Não Adianta criar uma Politica de Senha Forte, tem que explicar o
Por que.(Usuário Obrigado a anotar a Senha).
22. Filmes que todos ES deveriam ver:
- Hackers 2 Operação Takedown – Mitnik;
- Prenda-me Se For Capaz - Frank Abagnale Jr;
- Vips – Histórias reais de um mentiroso
Documentário e Filme – Marcelo Nascimento;
- Golpe Duplo - Will Smith
23. Referências
- http://controlemental.com/ - Ebook Hackeando Mentes
- Palestra: Rafael Jaques: Engenharia Social: A Doce Arte de Hackear Mentes
- Livro: “A arte de enganar/ Kevin D. Mitnick”
- YouTube: The Noite 18/06/14 (parte 1) - Entrevista Marcelo Nascimento
SET - https://www.trustedsec.com/social-engineer-toolkit/
http://www.social-engineer.org/
-Imagens: http://pointinteligencia.blogspot.com, iwifihacked.blogspot.com,