Engenharia social

8.624 visualizações

Publicada em

Publicada em: Tecnologia
0 comentários
3 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
8.624
No SlideShare
0
A partir de incorporações
0
Número de incorporações
3.903
Ações
Compartilhamentos
0
Downloads
260
Comentários
0
Gostaram
3
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Engenharia social

  1. 1. Engenharia SocialComo hackear a mente humana Luiz Vieira
  2. 2. Quem sou eu?
  3. 3. Definição “Não existe Patch para a burrice humana”• Engenharia Social é conhecida comumente como a arte de manipular pessoas para que realizem ações ou divulguem informações confidenciais.• Embora seja similar à um truque ou fraude, o termo aplica-se normalmente a engodos ou enganos com o propósito de obter informações, fraude ou acesso a sistemas computacionais; na maioria dos casos o atacante nunca fica cara-a-cara com a vítima.
  4. 4. Pontos vulneráveis
  5. 5. Tipos de Engenharia Social• Baseado em pessoas: – Disfarces – Representações – Uso de cargos de alto nível – Ataques ao serviço de Helpdesk – Observações
  6. 6. Tipos de Engenharia Social• Baseado em computadores: – Cavalos de Tróia anexados a e-mails – E-mails falsos – WebSites falsos
  7. 7. Formas de ataque• Insiders Attacks• Roubo de Identidade• Phishing Scam• URL Obfuscation• Dumpster Diving• Shoulder Surfing• Tailgating• Persuasão
  8. 8. EngSoc + PNL• A Programação Neurolinguística (ou simplesmente PNL) é um conjunto de modelos, estratégias e crenças que seus praticantes utilizam visando principalmente ao desenvolvimento pessoal e profissional.• É baseada na idéia de que a mente, o corpo e a linguagem interagem para criar a percepção que cada indivíduo tem do mundo, e tal percepção pode ser alterada pela aplicação de uma variedade de técnicas.• A fonte que embasa tais técnicas, chamada de "modelagem", envolve a reprodução cuidadosa dos comportamentos e crenças daqueles que atingiram o "sucesso".
  9. 9. Princípios da PNL• As pessoas respondem a sua experiência, não à realidade em si.• Ter uma escolha ou opção é melhor do que não ter uma escolha ou opção.• As pessoas fazem a melhor escolha que podem no momento.• As pessoas funcionam perfeitamente.• Todas as ações têm um propósito.• Todo comportamento possui intenção positiva.• A mente inconsciente contrabalança a consciente; ela não é maliciosa.• O significado da comunicação não é simplesmente aquilo que você pretende, mas também a resposta que obtém.• Já temos todos os recursos de que necessitamos ou então podemos criá- los.• Mente e corpo formam um sistema. São expressões diferentes da mesma pessoa.• Processamos todas as informações através de nossos sentidos.• Modelar desempenho bem-sucedido leva à excelência.• Se quiser compreender, aja.
  10. 10. Meta-modelo de Linguagem
  11. 11. Buffer Overflow Humano• Assim como programas para fuzzing, onde através de diferentes tipos e tamanhos de dados fazemos com que um sistema dê um crash, precisamo entender como a mente humana reage a certos tipos de informações.• A maneira mais rápida de injetar códigos na mente humana é através de comandos embutidos.
  12. 12. Regras para Comandos Embutidos• Normalmente os comandos são curtos – 3 a 4 palavras• Uma leve ênfase é necessária para torná-los eficazes• Ocultá-los em frases normais tornam seu uso mais efetivo• Nossa expressão facial e corporal devem ser coerentes com os comandos• Ex: “Quando você adquire um produto como este vindo de alguém como eu, quais características são mais importantes para você?"
  13. 13. SET – Social Engineering Toolkit
  14. 14. Utilizando o SET• svn co http://svn.thepentest.com/social_engineering_toolkit/ SET/• Para iniciar o SET: ./set• Escolher a opção número 2 (Website Attack Vectors)• Nesta fase iremos usar o Site Cloner, opção número 2.• Aqui iremos escolher o tipo de ataque, iremos utiliza o Metasploit Browser Exploit• Adicione o seu Número IP, onde irá rodar o seu servidor Web• Neste ponto temos que escolher qual o tipo de exploit que iremos usar, no exemplo iremos reproduzir a falha conhecida como "Aurora" (MS10-002).• Nosso payload, neste caso será o Windows Bind Shell• A opção URIPATH, temos que alterar para qualquer endereço, exemplo /teste• E utilize o comando exploit para iniciar o ataque e o servidor.
  15. 15. Contatos Luiz Vieira http://hackproofing.blogspot.com http://www.oys.com.br luizwt@gmail.com luiz.vieira@oys.com.brluiz_vieira.BSI@petrobras.com.br

×