SlideShare uma empresa Scribd logo

Engenharia Social e-book: tipos de ataques e como se proteger

Miguel Reis
Miguel Reis

O documento discute vários tipos de engenharia social, incluindo phishing, spear phishing, pretexting e uso indevido de informações de redes sociais. A principal mensagem é que a engenharia social explora vulnerabilidades humanas para obter informações confidenciais e que é importante estar ciente dessas técnicas para evitar cair em ataques.

Tecnologia
1 de 10
Baixar para ler offline
engenharia socialebook
o queé engenharia social? Quando a gente pensa em hackers, cibercrime, vazamento de informação, amea- ças digitais, é bem provável que a primeira imagem que venha a cabeça seja de uma pessoa encapuzada em um quarto escuro, de frente para o computador, inva- dindo redes e computadores com programas que nem conseguiríamos imaginar o funcionamento. Isso não é 100% verdade. É claro que o cenário de pessoas que tentam invadir re- des e computadores usando apenas tecnologias e vulnerabilidades desconhecidas é real. Mas não é a forma mais fácil de se fazer, hoje nós temos processos e tecnolo- gias que partem do uso de inteligência artificial e correlação de dados que dificultam bastante a vida dessas pessoas. Então como ainda existe vazamentos e roubos de informação? A maneira mais fácil é manipulando pessoas. Mais especificamente, usuários negligentes que não sa- bem boas práticas de Segurança da Informação. Esse usuário pode ser manipulado por diferentes estímulos a fim de que esse des- respeite práticas de segurança padrão, assim fornecendo informações sensíveis para um atacante. Isso é o que chamamos de Engenharia Social. Qualquer estratégia que explore vulnerabilidades e falhas humanas para iludir o usu- ário a fim de que esse desrespeite práticas de segurança padrão. E essas estraté- gias são as mais variáveis possíveis, vão desde abrir um e-mail Phishing a esquecer documentos na impressora, falar sobre informações sensíveis em espaço público até aceitar serviços de desconhecidos. Esse tipo de ataque é difícil de evitar pois não existe antivírus, firewall ou tecno- logia que projeta as empresas e pessoas de ataques de Engenharia Social. Essas tecnologias impedem, na medida do possível, que algumas ameaças cheguem até as pessoas, porém nem sempre elas são eficientes e conseguem ser abrangentes para diferentes técnicas de Engenharia Social. Sendo assim, a principal forma de se proteger desse tipo de ataque é estando cons- ciente de como a Engenharia Social funciona e saber categorizar informações que possam ser sensíveis a fim de não as divulgar de forma inconsciente.
tiposdeataques Como foi dito antes, não existe tecnologia que faça com que pessoas não cliquem em e-mails de Phishing ou passem informações sensíveis sem saber por telefone, mas existe pessoas bem informadas de boas práticas de segurança da informação e de como Engenharia Social funciona. As vulnerabilidades humanas que a Engenharia Social explora, como curiosidade e ingenuidade, podem ser superadas a partir do entendimento de como essas técni- cas funcionam. O atacante abandona um pendrive infectado com um malware em algum lugar onde possa ser encontrada pelo usuário, na esperança de aguçar a curiosidade humana a ponto do usuário plugar o dispositivo em sua máquina. O pendrive no caso funciona com uma isca (bait), assim sendo uma das características essenciais para identifi- car um Baiting. Imagine agora, que você chegou ao estacionamento onde trabalha e encontrou um pen-drive. Curioso você o pegou e o levou para o escritório da empresa para inserir em seu computador, esta mídia estava infectada e dessa maneira um invasor conse- guiu acesso ao seu computador e a rede do seu trabalho. Uma forma de evitar esse tipo de ataque é seguindo algumas boas práticas como: • Não inserir nenhum tipo de mídia removível (pendrive, CD, HD externo) desconheci- da em qualquer computador, seja do trabalho ou de casa. Um ataque de quid pro quo ocorre quando um hacker requer informações privadas de alguém em troca de algo. “Quid pro quo” basicamente significa “isso por aquilo”, em que o cibercriminoso oferece algo à vítima em troca de informações sensíveis. A tática mais comum envolve se passar por alguém da TI e abordar diversas vítimas com fim de encontrar alguém com um problema real de TI. Sob instruções do hacker, a vítima então dá acesso a códigos, desabilita programas vitais e instala malwares achando que conseguirá resolver seu problema. Outra tática bastante usada é a de simular uma pesquisa em que funcionários pas- sam uma série de informações sensíveis em troca de brindes e descontos. Para evitar ataques no qual o atacante finge ser outra pessoa: • Suspeite de pedidos que não foram avisados anteriormente. • Cheque com os envolvidos se aquele contato/pedido é verídico. • Não utilize de serviços que não sejam contratados pela empresa. Nessa vertente de ataque, os hackers criam circunstâncias falsas para coagir a ví- tima e conseguir acesso às informações e sistemas. Nesse caso, os hackers criam um pretexto (“pretexting) e assumem uma nova identidade para fingir que são al- guém de confiança da vítima. Pense, agora, que você recebeu um e-mail do CEO da empresa onde trabalha pedin- do para que você se encarregue de uma operação sigilosa que envolve uma série de baiting quidproquo pretexting
pagamentos e que você tem autorização total para proceder com os pagamentos necessários. E para finalizar, pede que esse assunto seja mantido em segredo para o bem da organização. Você pode achar que esse e-mail é verídico, mas é na verdade um ataque de enge- nharia social. O invasor conseguiu plagiar o e-mail do CEO, te fazendo acreditar que se tratava de uma operação legítima. O Pretexting também pode ser por uma ligação telefônica, por exemplo. O atacante interpreta a identidade de um fornecedor ou terceirizado para conseguir alguma in- formação de um funcionário ou cliente. Por isso, nesses casos antes de prosseguir com as instruções, é de extrema importância: • Se certificar com uma segunda pessoa que tenha ligação com a atividade se o con- teúdo da mensagem, seja e-mail ou telefone, é verídico. • Verificar a autenticidade da pessoa que entrou em contato. É um tipo de situação que pode ser evitada perguntando para pessoas envolvidas que possam ter conhecimento, pode ser chefe, gerente, coordenador ou até algum amigo de trabalho, antes de passar a informação. O Tailgating é uma técnica física de engenharia social que ocorre quando indivíduos não autorizados seguem indivíduos autorizados até localizações não permitidas a todos. Imagine que para entrar no prédio no qual você trabalha, é preciso usar um cartão de acesso, e assim que você está entrando no prédio, alguém pede para que você segure a porta porque esqueceu seu próprio cartão. Assim como um desconhecido entrar no prédio junto com você, já que é comum quando as pessoas estão em grupo apenas uma pessoa destravar a porta. Ao perceber alguma movimentação suspeita de pessoas desconhecidas, é importante averiguar quem é a pessoa e o que ela está fazendo no ambiente e não deixar a pes- soa entrar antes de uma identificação. O e-mail de Phishing é uma das técnicas mais comuns de engenharia social pelo alto nível de eficiência. O Phishing ocorre quando um hacker produz comunicações frau- dulentas que podem ser interpretadas como legítimas pela vítima por alegarem vir de fontes confiáveis. Em um ataque de Phishing, os usuários podem instalar um malware baixando um arqui- vo anexado no e-mail ou compartilhar informações pessoais, como credenciais, a partir de páginas falsas de serviços legítimos. Apesar de o e-mail ser o modo mais tradicional para o envio de Phishing, esse tipo de ataque também pode vir na forma de um contato telefônico, SMS ou até mesmo uma mensagem no Whatsapp, por exemplo. Alguns e-mails de Phishing são incrivelmente fáceis de identificar, no entanto, há os que são extremamente convincentes, simulando, por exemplo, comunicações do banco e empresas de cartão de crédito e comunicados oficiais da própria empresa pedindo para que os funcionários façam download de um novo software de segurança corporativa. Enquanto o Phishing trabalha com uma dinâmica de campanhas com um escopo maior e genérico, seria como pescar com uma rede, tendo em vista que o sucesso da ação está relacionado com o tamanho da rede (base com milhares de endereços de e-mails) e o volume de peixes pescados (número de vítimas). O Spear-Phishing atua de uma forma mais direcionada, com alvos e objetivos espe- cíficos. O modo de pescar nessa modalidade não está preocupado em pegar um car- dume de sardinha, por exemplo, o foco está em pescar um salmão de forma certeira.O significado de Spear-Phishing articula as palavras em inglês de spear (lança) e phishing (pescar), o pescar com lança representa justamente essa especificidade dos alvos. O atacante “estuda” sua vítima de modo que o Spear-Phishing pode tomar diferentes formas: desde um e-mail falso de um outro colaborador ou fornecedor pedindo alguma informação ou enviando algum arquivo malicioso para a vítima abrir, até de uma empre- sa da qual você já comprou alguma coisa. tailgating phishing
Phishing e suas variações, como Spear Phishing e SMShing, também são problemas que envolvem diretamente o fator humano. Por mais que faça uso de uma tecnologia (e-mail), a vulnerabilidade explorada é exclusivamente humana, pois o fato de cair em um Phishing depende apenas do usuário tomar a decisão de clicar no e-mail e seguir os passos determinados pelo atacante. Para identificar um e-mail Phishing, nós temos algumas dicas: Troque a sua senha de acesso Service Desk <service.desk@brazilcenter.com> bit.ly/servicedesk-proof Caro, colaborador. Sua senha de acesso ao Service Desk acaba de espirar. Para renovar a sua credencial clique aqui. Caso a renovação não seja feita, a conta será suspensa por tempo indeterminado. Atenciosamente, Suporte Interno VEJA O ENDEREÇO DE E-MAIL DO REMETENTE PRESTE ATENÇÃO NOS LINKSERROS ORTOGRÁFICOS ANALISE COMO A MENSAGEM SE DIRIGE A VOCÊ O E-MAIL NÃO POSSUI ANEXOS NÃO SOLICITADOS DESCONFIE DE EMAILS COM URGÊNCIA OU TOM DE AMEAÇA NO ASSUNTO A ASSINATURA PODE DIZER MUITO SOBRE A INTENÇÃO DO EMAIL E-MAIL NÃO PEDE INFORMAÇÃO PESSOAL Nos casos de e-mail, além de saber identificar um ataque de Phishing é importante tam- bém saber reportar para que o time de segurança da informação tome as providências necessárias para mitigar esse tipo de incidente. Para isso, encaminhe o e-mail identifica- do como Phishing para phishing@proof.com.br
dumpster diving Dumpster Driving, ou Trash Surfing, é um termo inglês que utilizado para descrever al- guém que revira lixo. Na Engenharia Social, revirar o lixo é uma excelente forma de en- contrar informações confidenciais através de materiais e recursos que foram descarta- dos de forma indevida, como por exemplo um pendrive não formatado, um CD que não foi inutilizado ou contratos e relatórios confidenciais que não foram triturados e jogadas em lixos separados. A melhor maneira de evitar que informações confidenciais possam ser facilmente en- contrada no lixo é dando o descarte apropriado para cada tipo de mídia que contenha informações com esse tipo de classificação. •Nocasodepapéis,contratoserelatóriosporexemplo,ecartõesmagnéticos,comocartão de banco e crachás, triturar ou rasgar e jogar em lixos separados é o mais recomendado. • Inutilize pendrives quebrando-os ao meio. • Em relação a CD-ROMs, risque a parte do leitor com algum material pontiagudo, como uma faca ou caneta, e depois quebre. A ideia do Visual Hacking é bem simples, o seu conceito se refere ao roubo de informa- ções sigilosas apenas pelo recurso visual, ou seja, olhando para tela de algum compu- tador (shoulder surfing), documentos esquecidos em cima da mesa, em salas de reunião ou até mesmo na impressora. O Visual Hacking é rápido e imperceptível, segundo o Ponemon Institute, essa técnica demora menos de 15 minutos para ser executada (2016 Global Visual Hacking Experi- ment). Não só pela agilidade, porém na maioria das vezes as vítimas estão expostas tanto no ambiente de trabalho quanto em espaços públicos e não confrontam quando estão sendo observadas. Para evitar incidentes de Visua Hacking: • Mantenha a estação de trabalho organizada, evite deixar papéis importantes em cima da mesa, assim informações sigilosas não ficam ao alcance dos olhos das pessoas que passam perto da sua estação. • Não deixe documentos na impressora, ao imprimir vá direto buscar, não deixando bre- cha para que outra pessoa pegue o seus papeis ou veja alguma informação que deveria ser sigilosa. • Quando estiver trabalhando com informações sensíveis, preste atenção quem está em sua volta. Caso haja alguém, espere a pessoa sair ou peça para se retirar. visual hacking
&engenharia social redes sociais Nós falamos quase de sete técnicas diferentes, algumas que envolvem mais questões de relacionadas a ambientes físicos, como o Tailgating e o Visual Hacking, outras uti- lizam da tecnologia como um vetor para manipular os usuários negligentes, como o Phishing por exemplo. Um ponto que é bastante negligenciado quando se trata de Engenharia Social são as re- des sociais. Nós estamos sempre postando informações sobre nossos cotidianos, vida pessoal e profissional e esses posts podem servir de insumos para a Engenharia Social. Um bom exemplo que de ataque que faz uso de insumos vindos de redes sociais é o Spear Phishing, para uma personalização e construção de uma veracidade, o atacan- te precisa entender algumas práticas de consumo e comportamento da sua vítima. E como essas informações são obtidas? Elas estão todas distribuídas pela internet. Uma forma fácil de descobrir credenciais ou informações sobre uma empresa pode ser a partir das fotos que os funcionários postam em suas redes sociais. O atacante consegue achar quem trabalha em uma empresa através de marcações de localização nas fotos ou então por redes sociais voltadas para mercado de trabalho. Seguindo as práticas de Phishing, Engenheiros Sociais criam sites com a mesma interfa- ce do serviço original com o intuito de conseguir dados como usuário e senha a partir da distração da vítima. Contudo, descobrir se a site que você está acessando é verdadeiro ou não pode parecer mais simples que parece. O primeiro indício que verifica essa legitimidade está na URL da página. Sites como Fa- cebook, Instagram e Twitter possuem a sigla HTTPS antes do seu endereço. HTTPS significa Hyper Text Transfer Protocol Secure (Protocolo de transferência de hipertexto seguro), ou seja, que a conexão entre os servidores da rede social e o computador do usuário estão seguros. Além do HTTPS, ainda na barra de endereço, é importante checar qual é o domínio da URL. As principais redes sociais que temos hoje em dia são “.com”. Então se você ver um facebook.net, pode já ficar desconfiado. fotos em ambientede trabalhoe perfisaberto siteseperfisfalsos Localizando as fotos com as marcações, as possibilidades são grandes, desde fotos com crachá até número de serial de equipamentos e identificação de máquinas presen- tes no local, por exemplo. Essa dinâmica funciona de forma semelhante ao Visual Hacking, porém o atacante não precisa se locomover até o ambiente que ele quer atacar. Uma forma simples de se co- letar insumos para Pretexting é descobrir qual pessoa está ausente do trabalho, seja de férias ou viajando a negócios. Ter um perfil aberto permite que pessoas que não te conhecem saibam onde você está, que tipo de serviços e produtos você consome, quais eventos sociais e profissionais par- ticipa e com quais pessoas você se relaciona diretamente. Essas informações são uma boa base para se construir uma veracidade para ataques de Spear Phishing e Pretexting.
O último ponto sobre a URL é a ortografia. Por mais que as empresas que administram essas redes sociais tentam bloquear a criação de domínios falsos como “facebook.net”, os atacantes partem para variações que podem passar despercebidas, como “faace- book.com” ou “faceboook.com”. O mesmo acontece para páginas ou perfis falsos de empresas oferecendo algum tipo de promoção. Geralmente essas promoções são links que redirecionam para um site falso, no qual para a validação de um desconto, por exemplo, é necessário um cadastro ou o download de algum arquivo malicioso. Uma segunda forma de verificar a legitimidade do site é colocando informações aleató- rias nos campos de login e senha. Se o site for legítimo, uma mensagem de erro como “Login e senha inválidos” aparecerá após a tentativa de login, pois o banco de dados do site não reconhece aquele tipo de registro. Em sites falsos a dinâmica é diferente, o login com informações aleatórias levará o usuário a uma página não existente, uma tela em branco ou as conhecidas “404 Page not found”. O roubo de credenciais e informações sensíveis podem ter diversos fins, desde falsida- de ideológica, passando pelo uso indevido de crédito bancário, roubo de seguro desem- prego até criação de bots para redes sociais. Uma das maiores facilidades que existe hoje em dia aplicativos ou sites é poder utilizar a sua conta do Facebook ou do Google para se cadastrar. Porém, alguns detalhes as vezes passam batidos como as permissões de acesso a informação que essas redes já possuem de você. Uma boa prática nesse caso é checar quais as informações suas esses serviços ou site está pedindo para ter do Facebook, Google ou até mesmo do seu celular. Desconfie se o cadastro pedir mais que nome, e-mail e data de nascimento. Questione a finalidade daquele acesso para a funcionalidade da aplicação. Há alguns casos que o aplicativo pode precisar da sua localização geográfica para funcionar, mas não há necessidade ter acesso ao seu histórico de conversas. Esse ponto também vale para aplicativos de celular que ao instalados podem pedir au- torização a informações que não são tão essenciais para a sua funcionalidade final, por exemplo, um aplicativo de transporte particular que pede acesso ao microfone do seu aparelho ou a câmera. Além de sites falsos, também é preciso ter uma atenção redobrada para perfis falsos de produtos e serviços. Geralmente esses perfis se passam por perfis legítimos com fo- tos e propagandas reais, porém não possuem um número de seguidores expressivos e estão sempre divulgando alguma promoção irresistível que envolve marcar amigos em publicação, compartilhamento de post e seguir como moeda de troca para participação. Esses perfis podem possuir diversas finalidades, uma delas é como venda de base de seguidores, então alguma pessoa compra a conta e a utiliza para outros fins. Contudo, podem servir como um “meio de transporte” para sites falsos, tanto de uma empresa quanto de cadastro para uma promoção ou serviço, sendo uma forma de acesso fácil a informações como nome, CPF, endereço e telefone. permissõesabusivas
a melhor defesa Em Tipos de Ataque e Engenharia Social e Redes Sociais fica evidente que o fator huma- no é a principal vulnerabilidade explorada pelas técnicas de Engenharia Social, a tecno- logia é usada somente como vetor, um “meio de transporte”, para concretizar o ataque. No caso do Phishing, o e-mail por si só não executa a técnica ou rouba as credenciais do usuário apenas por estar na caixa de entrada, é preciso do clique, do preenchimento dos campos de login e senha ou o download de um anexo malicioso, sendo assim, se fazendo valer da curiosidade e ignorância da vítima. Contudo, o fator humano é a principal forma de defesa contra a Engenharia Social. O usuário consciente de como funciona a Engenharia Social, de quais são as situações e cenários que as brechas podem existir e de boas práticas a seguir é a prevenção e defe- sa ideal. É esse o usuário que sabe identificar um possível ataque, que consegue classi- ficar o conteúdo das informações e que, principalmente, passa o conhecimento adiante. Agora é questão de colocar esse conhecimento em prática. Por exemplo, um amigo seu mostra um e-mail estranho que ele recebeu de um ban- co, que nem é o dele, sobre uma dívida. Essa é uma boa abertura para se falar sobre Phishing, ensiná-lo como a identificar e reportar um. Ou então aquele colega que sai no final da tarde para fazer um lanche, vai em uma reu- nião ou no banheiro e não bloqueia o computador. É uma boa situação para se falar sobre Visual Hacking, como o acesso as informações daquela máquina e credenciais ficaram desprotegidas. Alguém poderia enviar uma mensagem em seu nome, roubar arquivos confidenciais, etc. A questão é que quanto mais pessoas souberem dessas boas práticas de Segurança da Informação e de como Engenharia Social funciona e seus impactos nas empresas e nas nossas próprias vidas pessoais, nós teremos menos vulnerabilidades e falhas humanas e uma sociedade mais segura.
contato@proof.com.br +55 21 2277.7520 www.proof.com.br Rua Sete de Setembro, 99 / 14º andar Rio de Janeiro – RJ – 20050-005

Recomendados

Artigo engenharia social
Artigo engenharia socialArtigo engenharia social
Artigo engenharia socialEmbratel
 
Segurança dos sistemas de informação
Segurança dos sistemas de informaçãoSegurança dos sistemas de informação
Segurança dos sistemas de informaçãoRodrigo Gomes da Silva
 
Engenharia Social
Engenharia SocialEngenharia Social
Engenharia SocialLuis Guilherme Rodrigues
 
Engenharia social
Engenharia socialEngenharia social
Engenharia socialcavalherepcdf
 
Segurança dos sistemas de informação parte 2
Segurança dos sistemas de informação parte 2Segurança dos sistemas de informação parte 2
Segurança dos sistemas de informação parte 2Rodrigo Gomes da Silva
 
Seminario seguranca da informacao
Seminario seguranca da informacaoSeminario seguranca da informacao
Seminario seguranca da informacaoMariana Gonçalves Spanghero
 
Engenharia social senai - ppt
Engenharia social senai - pptEngenharia social senai - ppt
Engenharia social senai - pptCarlos Melo
 
Engenharia Social
Engenharia SocialEngenharia Social
Engenharia Socialelliando dias
 

Recomendados

Artigo engenharia social
Artigo engenharia socialArtigo engenharia social
Artigo engenharia socialEmbratel
 
Segurança dos sistemas de informação
Segurança dos sistemas de informaçãoSegurança dos sistemas de informação
Segurança dos sistemas de informaçãoRodrigo Gomes da Silva
 
Engenharia Social
Engenharia SocialEngenharia Social
Engenharia SocialLuis Guilherme Rodrigues
 
Engenharia social
Engenharia socialEngenharia social
Engenharia socialcavalherepcdf
 
Segurança dos sistemas de informação parte 2
Segurança dos sistemas de informação parte 2Segurança dos sistemas de informação parte 2
Segurança dos sistemas de informação parte 2Rodrigo Gomes da Silva
 
Seminario seguranca da informacao
Seminario seguranca da informacaoSeminario seguranca da informacao
Seminario seguranca da informacaoMariana Gonçalves Spanghero
 
Engenharia social senai - ppt
Engenharia social senai - pptEngenharia social senai - ppt
Engenharia social senai - pptCarlos Melo
 
Engenharia Social
Engenharia SocialEngenharia Social
Engenharia Socialelliando dias
 
A.P
A.PA.P
A.Pcouveflor
 
Engenharia Social
Engenharia SocialEngenharia Social
Engenharia SocialData Security
 
Palestra Sobre Engenharia Social
Palestra Sobre Engenharia SocialPalestra Sobre Engenharia Social
Palestra Sobre Engenharia SocialDavi Rodrigues
 
Engenharia Social UNAES Campo Grande MS
Engenharia Social UNAES Campo Grande MSEngenharia Social UNAES Campo Grande MS
Engenharia Social UNAES Campo Grande MSBruno Alexandre
 
Conscientização sobre SI
Conscientização sobre SIConscientização sobre SI
Conscientização sobre SIFelipe Perin
 
Hackers
HackersHackers
HackersCláudio Gonçalves
 
Glossário de segurança
Glossário de segurançaGlossário de segurança
Glossário de segurançaTrabalhosCVIGR
 
Glossário de segurança
Glossário de segurançaGlossário de segurança
Glossário de segurançaTrabalhosCVIGR
 
1 o hacker profissional
1 o hacker profissional1 o hacker profissional
1 o hacker profissionaljohn luys
 
Engenharia Social - A arte de enganar
Engenharia Social - A arte de enganarEngenharia Social - A arte de enganar
Engenharia Social - A arte de enganarAnderson Zardo
 
Penetration Test (Teste de invasão) – Saiba como ser um Hacker ético na pratica
Penetration Test (Teste de invasão) – Saiba como ser um Hacker ético na praticaPenetration Test (Teste de invasão) – Saiba como ser um Hacker ético na pratica
Penetration Test (Teste de invasão) – Saiba como ser um Hacker ético na praticaCampus Party Brasil
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da InformaçãoMarco Mendes
 
Engenharia social
Engenharia socialEngenharia social
Engenharia socialMarlos Cesar
 
03 10
03 1003 10
03 10Joel Alvarenga
 
Porque a Criptografia é mais difícil do que parece?
Porque a Criptografia é mais difícil do que parece? Porque a Criptografia é mais difícil do que parece?
Porque a Criptografia é mais difícil do que parece? Spark Security
 
Guia do Funcionário Seguro ESET
Guia do Funcionário Seguro ESETGuia do Funcionário Seguro ESET
Guia do Funcionário Seguro ESETESET Brasil
 
3º SICT-Sul Minicurso Técnicas para segurança computacional
3º SICT-Sul Minicurso Técnicas para segurança computacional3º SICT-Sul Minicurso Técnicas para segurança computacional
3º SICT-Sul Minicurso Técnicas para segurança computacionalLucas Mellos Carlos
 
5 isi-riscos, ameacas e vulnerabilidades
5 isi-riscos, ameacas e vulnerabilidades5 isi-riscos, ameacas e vulnerabilidades
5 isi-riscos, ameacas e vulnerabilidadesHumberto Xavier
 
Palestra segurança da informação
Palestra segurança da informaçãoPalestra segurança da informação
Palestra segurança da informaçãoUniversidade Anhembi Morumbi - Laureate
 
Segurança da informação - Maio 2011
Segurança da informação - Maio 2011Segurança da informação - Maio 2011
Segurança da informação - Maio 2011Márcio Bortolini dos Santos
 
Segurança dos sistemas de informação
Segurança dos sistemas de informaçãoSegurança dos sistemas de informação
Segurança dos sistemas de informaçãoRodrigo Gomes da Silva
 
E-book sobre Phishing
E-book sobre PhishingE-book sobre Phishing
E-book sobre PhishingMiguel Reis
 

Mais conteúdo relacionado

Mais procurados

Palestra Sobre Engenharia Social
Palestra Sobre Engenharia SocialPalestra Sobre Engenharia Social
Palestra Sobre Engenharia SocialDavi Rodrigues
 
Engenharia Social UNAES Campo Grande MS
Engenharia Social UNAES Campo Grande MSEngenharia Social UNAES Campo Grande MS
Engenharia Social UNAES Campo Grande MSBruno Alexandre
 
Conscientização sobre SI
Conscientização sobre SIConscientização sobre SI
Conscientização sobre SIFelipe Perin
 
Glossário de segurança
Glossário de segurançaGlossário de segurança
Glossário de segurançaTrabalhosCVIGR
 
Glossário de segurança
Glossário de segurançaGlossário de segurança
Glossário de segurançaTrabalhosCVIGR
 
1 o hacker profissional
1 o hacker profissional1 o hacker profissional
1 o hacker profissionaljohn luys
 
Engenharia Social - A arte de enganar
Engenharia Social - A arte de enganarEngenharia Social - A arte de enganar
Engenharia Social - A arte de enganarAnderson Zardo
 
Penetration Test (Teste de invasão) – Saiba como ser um Hacker ético na pratica
Penetration Test (Teste de invasão) – Saiba como ser um Hacker ético na praticaPenetration Test (Teste de invasão) – Saiba como ser um Hacker ético na pratica
Penetration Test (Teste de invasão) – Saiba como ser um Hacker ético na praticaCampus Party Brasil
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da InformaçãoMarco Mendes
 
Porque a Criptografia é mais difícil do que parece?
Porque a Criptografia é mais difícil do que parece? Porque a Criptografia é mais difícil do que parece?
Porque a Criptografia é mais difícil do que parece? Spark Security
 
Guia do Funcionário Seguro ESET
Guia do Funcionário Seguro ESETGuia do Funcionário Seguro ESET
Guia do Funcionário Seguro ESETESET Brasil
 
3º SICT-Sul Minicurso Técnicas para segurança computacional
3º SICT-Sul Minicurso Técnicas para segurança computacional3º SICT-Sul Minicurso Técnicas para segurança computacional
3º SICT-Sul Minicurso Técnicas para segurança computacionalLucas Mellos Carlos
 
5 isi-riscos, ameacas e vulnerabilidades
5 isi-riscos, ameacas e vulnerabilidades5 isi-riscos, ameacas e vulnerabilidades
5 isi-riscos, ameacas e vulnerabilidadesHumberto Xavier
 

Mais procurados (20)

A.P
A.PA.P
A.P
 
Engenharia Social
Engenharia SocialEngenharia Social
Engenharia Social
 
Palestra Sobre Engenharia Social
Palestra Sobre Engenharia SocialPalestra Sobre Engenharia Social
Palestra Sobre Engenharia Social
 
Engenharia Social UNAES Campo Grande MS
Engenharia Social UNAES Campo Grande MSEngenharia Social UNAES Campo Grande MS
Engenharia Social UNAES Campo Grande MS
 
Conscientização sobre SI
Conscientização sobre SIConscientização sobre SI
Conscientização sobre SI
 
Hackers
HackersHackers
Hackers
 
Glossário de segurança
Glossário de segurançaGlossário de segurança
Glossário de segurança
 
Glossário de segurança
Glossário de segurançaGlossário de segurança
Glossário de segurança
 
1 o hacker profissional
1 o hacker profissional1 o hacker profissional
1 o hacker profissional
 
Engenharia Social - A arte de enganar
Engenharia Social - A arte de enganarEngenharia Social - A arte de enganar
Engenharia Social - A arte de enganar
 
Penetration Test (Teste de invasão) – Saiba como ser um Hacker ético na pratica
Penetration Test (Teste de invasão) – Saiba como ser um Hacker ético na praticaPenetration Test (Teste de invasão) – Saiba como ser um Hacker ético na pratica
Penetration Test (Teste de invasão) – Saiba como ser um Hacker ético na pratica
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
 
Engenharia social
Engenharia socialEngenharia social
Engenharia social
 
03 10
03 1003 10
03 10
 
Porque a Criptografia é mais difícil do que parece?
Porque a Criptografia é mais difícil do que parece? Porque a Criptografia é mais difícil do que parece?
Porque a Criptografia é mais difícil do que parece?
 
Guia do Funcionário Seguro ESET
Guia do Funcionário Seguro ESETGuia do Funcionário Seguro ESET
Guia do Funcionário Seguro ESET
 
3º SICT-Sul Minicurso Técnicas para segurança computacional
3º SICT-Sul Minicurso Técnicas para segurança computacional3º SICT-Sul Minicurso Técnicas para segurança computacional
3º SICT-Sul Minicurso Técnicas para segurança computacional
 
5 isi-riscos, ameacas e vulnerabilidades
5 isi-riscos, ameacas e vulnerabilidades5 isi-riscos, ameacas e vulnerabilidades
5 isi-riscos, ameacas e vulnerabilidades
 
Palestra segurança da informação
Palestra segurança da informaçãoPalestra segurança da informação
Palestra segurança da informação
 
Segurança da informação - Maio 2011
Segurança da informação - Maio 2011Segurança da informação - Maio 2011
Segurança da informação - Maio 2011
 

Semelhante a Engenharia Social e-book: tipos de ataques e como se proteger

Segurança dos sistemas de informação
Segurança dos sistemas de informaçãoSegurança dos sistemas de informação
Segurança dos sistemas de informaçãoRodrigo Gomes da Silva
 
E-book sobre Phishing
E-book sobre PhishingE-book sobre Phishing
E-book sobre PhishingMiguel Reis
 
iNTRODUCAO-A-ENGENHARIA-SOCIAL-PRATICA-pdf - Copia.pdf
iNTRODUCAO-A-ENGENHARIA-SOCIAL-PRATICA-pdf - Copia.pdfiNTRODUCAO-A-ENGENHARIA-SOCIAL-PRATICA-pdf - Copia.pdf
iNTRODUCAO-A-ENGENHARIA-SOCIAL-PRATICA-pdf - Copia.pdfHelenaReis48
 
Segurança da informação golpes, ataques e riscos
Segurança da informação golpes, ataques e riscosSegurança da informação golpes, ataques e riscos
Segurança da informação golpes, ataques e riscosGleiner Pelluzzi
 
Segurança na internet
Segurança na internet Segurança na internet
Segurança na internet Joao Carlos
 
Internet- estrutura, ameaças e segurança
Internet- estrutura, ameaças e segurança Internet- estrutura, ameaças e segurança
Internet- estrutura, ameaças e segurança Filipe de Sousa
 
Reconhecimento e prevenção de ciberataques modernos
Reconhecimento e prevenção de ciberataques modernosReconhecimento e prevenção de ciberataques modernos
Reconhecimento e prevenção de ciberataques modernosodilon_amt
 
Cartilha-CyberTech-Brasil-de-Conscientizacao-em-Seguranca.pdf
Cartilha-CyberTech-Brasil-de-Conscientizacao-em-Seguranca.pdfCartilha-CyberTech-Brasil-de-Conscientizacao-em-Seguranca.pdf
Cartilha-CyberTech-Brasil-de-Conscientizacao-em-Seguranca.pdfDiogoSam1
 
Segurança na internet
Segurança na internetSegurança na internet
Segurança na internetRomulo Garcia
 
Os Tipos de ataques Cibernéticos (1).pdf
Os Tipos de ataques Cibernéticos (1).pdfOs Tipos de ataques Cibernéticos (1).pdf
Os Tipos de ataques Cibernéticos (1).pdfHenryMoreno50
 
CLASS 2022 - Luiz Fernando Roth e Matheus Tourinho - Ataques Cibernéticos a A...
CLASS 2022 - Luiz Fernando Roth e Matheus Tourinho - Ataques Cibernéticos a A...CLASS 2022 - Luiz Fernando Roth e Matheus Tourinho - Ataques Cibernéticos a A...
CLASS 2022 - Luiz Fernando Roth e Matheus Tourinho - Ataques Cibernéticos a A...TI Safe
 
ENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdf
ENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdfENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdf
ENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdfHelenaReis48
 
Hackeando Cérebros Explorando o elo mais fraco da segurança.
Hackeando Cérebros Explorando o elo mais fraco da segurança.Hackeando Cérebros Explorando o elo mais fraco da segurança.
Hackeando Cérebros Explorando o elo mais fraco da segurança.GDGFoz
 

Semelhante a Engenharia Social e-book: tipos de ataques e como se proteger (20)

Segurança dos sistemas de informação
Segurança dos sistemas de informaçãoSegurança dos sistemas de informação
Segurança dos sistemas de informação
 
E-book sobre Phishing
E-book sobre PhishingE-book sobre Phishing
E-book sobre Phishing
 
FIREWALL 04.pptx
FIREWALL 04.pptxFIREWALL 04.pptx
FIREWALL 04.pptx
 
iNTRODUCAO-A-ENGENHARIA-SOCIAL-PRATICA-pdf - Copia.pdf
iNTRODUCAO-A-ENGENHARIA-SOCIAL-PRATICA-pdf - Copia.pdfiNTRODUCAO-A-ENGENHARIA-SOCIAL-PRATICA-pdf - Copia.pdf
iNTRODUCAO-A-ENGENHARIA-SOCIAL-PRATICA-pdf - Copia.pdf
 
Aula 3 semana2
Aula 3 semana2Aula 3 semana2
Aula 3 semana2
 
Aula 3 semana2
Aula 3 semana2Aula 3 semana2
Aula 3 semana2
 
engenharia social.pptx
engenharia social.pptxengenharia social.pptx
engenharia social.pptx
 
Boas Práticas em Segurança da Informação
Boas Práticas em Segurança da InformaçãoBoas Práticas em Segurança da Informação
Boas Práticas em Segurança da Informação
 
Segurança da informação golpes, ataques e riscos
Segurança da informação golpes, ataques e riscosSegurança da informação golpes, ataques e riscos
Segurança da informação golpes, ataques e riscos
 
Segurança na internet
Segurança na internet Segurança na internet
Segurança na internet
 
Internet- estrutura, ameaças e segurança
Internet- estrutura, ameaças e segurança Internet- estrutura, ameaças e segurança
Internet- estrutura, ameaças e segurança
 
Engenharia social
Engenharia socialEngenharia social
Engenharia social
 
Segurança Digital
Segurança DigitalSegurança Digital
Segurança Digital
 
Reconhecimento e prevenção de ciberataques modernos
Reconhecimento e prevenção de ciberataques modernosReconhecimento e prevenção de ciberataques modernos
Reconhecimento e prevenção de ciberataques modernos
 
Cartilha-CyberTech-Brasil-de-Conscientizacao-em-Seguranca.pdf
Cartilha-CyberTech-Brasil-de-Conscientizacao-em-Seguranca.pdfCartilha-CyberTech-Brasil-de-Conscientizacao-em-Seguranca.pdf
Cartilha-CyberTech-Brasil-de-Conscientizacao-em-Seguranca.pdf
 
Segurança na internet
Segurança na internetSegurança na internet
Segurança na internet
 
Os Tipos de ataques Cibernéticos (1).pdf
Os Tipos de ataques Cibernéticos (1).pdfOs Tipos de ataques Cibernéticos (1).pdf
Os Tipos de ataques Cibernéticos (1).pdf
 
CLASS 2022 - Luiz Fernando Roth e Matheus Tourinho - Ataques Cibernéticos a A...
CLASS 2022 - Luiz Fernando Roth e Matheus Tourinho - Ataques Cibernéticos a A...CLASS 2022 - Luiz Fernando Roth e Matheus Tourinho - Ataques Cibernéticos a A...
CLASS 2022 - Luiz Fernando Roth e Matheus Tourinho - Ataques Cibernéticos a A...
 
ENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdf
ENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdfENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdf
ENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdf
 
Hackeando Cérebros Explorando o elo mais fraco da segurança.
Hackeando Cérebros Explorando o elo mais fraco da segurança.Hackeando Cérebros Explorando o elo mais fraco da segurança.
Hackeando Cérebros Explorando o elo mais fraco da segurança.
 

Mais de Miguel Reis

RSA Conference 2018 - Highlights
RSA Conference 2018 - HighlightsRSA Conference 2018 - Highlights
RSA Conference 2018 - HighlightsMiguel Reis
 
Carta de Apresentação - PROOF
Carta de Apresentação - PROOFCarta de Apresentação - PROOF
Carta de Apresentação - PROOFMiguel Reis
 
Apresentação Institucional - 2015
Apresentação Institucional - 2015Apresentação Institucional - 2015
Apresentação Institucional - 2015Miguel Reis
 
Prêmio RioJunior 2016
Prêmio RioJunior 2016Prêmio RioJunior 2016
Prêmio RioJunior 2016Miguel Reis
 
Manifesto de Cultura da PROOF
Manifesto de Cultura da PROOFManifesto de Cultura da PROOF
Manifesto de Cultura da PROOFMiguel Reis
 

Mais de Miguel Reis (7)

RSA Conference 2018 - Highlights
RSA Conference 2018 - HighlightsRSA Conference 2018 - Highlights
RSA Conference 2018 - Highlights
 
INSECURE 2017
INSECURE 2017INSECURE 2017
INSECURE 2017
 
Carta de Apresentação - PROOF
Carta de Apresentação - PROOFCarta de Apresentação - PROOF
Carta de Apresentação - PROOF
 
Apresentação Institucional - 2015
Apresentação Institucional - 2015Apresentação Institucional - 2015
Apresentação Institucional - 2015
 
Prêmio RioJunior 2016
Prêmio RioJunior 2016Prêmio RioJunior 2016
Prêmio RioJunior 2016
 
INSECURE 2016
INSECURE 2016INSECURE 2016
INSECURE 2016
 
Manifesto de Cultura da PROOF
Manifesto de Cultura da PROOFManifesto de Cultura da PROOF
Manifesto de Cultura da PROOF
 

Engenharia Social e-book: tipos de ataques e como se proteger

  • 2. o queé engenharia social? Quando a gente pensa em hackers, cibercrime, vazamento de informação, amea- ças digitais, é bem provável que a primeira imagem que venha a cabeça seja de uma pessoa encapuzada em um quarto escuro, de frente para o computador, inva- dindo redes e computadores com programas que nem conseguiríamos imaginar o funcionamento. Isso não é 100% verdade. É claro que o cenário de pessoas que tentam invadir re- des e computadores usando apenas tecnologias e vulnerabilidades desconhecidas é real. Mas não é a forma mais fácil de se fazer, hoje nós temos processos e tecnolo- gias que partem do uso de inteligência artificial e correlação de dados que dificultam bastante a vida dessas pessoas. Então como ainda existe vazamentos e roubos de informação? A maneira mais fácil é manipulando pessoas. Mais especificamente, usuários negligentes que não sa- bem boas práticas de Segurança da Informação. Esse usuário pode ser manipulado por diferentes estímulos a fim de que esse des- respeite práticas de segurança padrão, assim fornecendo informações sensíveis para um atacante. Isso é o que chamamos de Engenharia Social. Qualquer estratégia que explore vulnerabilidades e falhas humanas para iludir o usu- ário a fim de que esse desrespeite práticas de segurança padrão. E essas estraté- gias são as mais variáveis possíveis, vão desde abrir um e-mail Phishing a esquecer documentos na impressora, falar sobre informações sensíveis em espaço público até aceitar serviços de desconhecidos. Esse tipo de ataque é difícil de evitar pois não existe antivírus, firewall ou tecno- logia que projeta as empresas e pessoas de ataques de Engenharia Social. Essas tecnologias impedem, na medida do possível, que algumas ameaças cheguem até as pessoas, porém nem sempre elas são eficientes e conseguem ser abrangentes para diferentes técnicas de Engenharia Social. Sendo assim, a principal forma de se proteger desse tipo de ataque é estando cons- ciente de como a Engenharia Social funciona e saber categorizar informações que possam ser sensíveis a fim de não as divulgar de forma inconsciente.
  • 3. tiposdeataques Como foi dito antes, não existe tecnologia que faça com que pessoas não cliquem em e-mails de Phishing ou passem informações sensíveis sem saber por telefone, mas existe pessoas bem informadas de boas práticas de segurança da informação e de como Engenharia Social funciona. As vulnerabilidades humanas que a Engenharia Social explora, como curiosidade e ingenuidade, podem ser superadas a partir do entendimento de como essas técni- cas funcionam. O atacante abandona um pendrive infectado com um malware em algum lugar onde possa ser encontrada pelo usuário, na esperança de aguçar a curiosidade humana a ponto do usuário plugar o dispositivo em sua máquina. O pendrive no caso funciona com uma isca (bait), assim sendo uma das características essenciais para identifi- car um Baiting. Imagine agora, que você chegou ao estacionamento onde trabalha e encontrou um pen-drive. Curioso você o pegou e o levou para o escritório da empresa para inserir em seu computador, esta mídia estava infectada e dessa maneira um invasor conse- guiu acesso ao seu computador e a rede do seu trabalho. Uma forma de evitar esse tipo de ataque é seguindo algumas boas práticas como: • Não inserir nenhum tipo de mídia removível (pendrive, CD, HD externo) desconheci- da em qualquer computador, seja do trabalho ou de casa. Um ataque de quid pro quo ocorre quando um hacker requer informações privadas de alguém em troca de algo. “Quid pro quo” basicamente significa “isso por aquilo”, em que o cibercriminoso oferece algo à vítima em troca de informações sensíveis. A tática mais comum envolve se passar por alguém da TI e abordar diversas vítimas com fim de encontrar alguém com um problema real de TI. Sob instruções do hacker, a vítima então dá acesso a códigos, desabilita programas vitais e instala malwares achando que conseguirá resolver seu problema. Outra tática bastante usada é a de simular uma pesquisa em que funcionários pas- sam uma série de informações sensíveis em troca de brindes e descontos. Para evitar ataques no qual o atacante finge ser outra pessoa: • Suspeite de pedidos que não foram avisados anteriormente. • Cheque com os envolvidos se aquele contato/pedido é verídico. • Não utilize de serviços que não sejam contratados pela empresa. Nessa vertente de ataque, os hackers criam circunstâncias falsas para coagir a ví- tima e conseguir acesso às informações e sistemas. Nesse caso, os hackers criam um pretexto (“pretexting) e assumem uma nova identidade para fingir que são al- guém de confiança da vítima. Pense, agora, que você recebeu um e-mail do CEO da empresa onde trabalha pedin- do para que você se encarregue de uma operação sigilosa que envolve uma série de baiting quidproquo pretexting
  • 4. pagamentos e que você tem autorização total para proceder com os pagamentos necessários. E para finalizar, pede que esse assunto seja mantido em segredo para o bem da organização. Você pode achar que esse e-mail é verídico, mas é na verdade um ataque de enge- nharia social. O invasor conseguiu plagiar o e-mail do CEO, te fazendo acreditar que se tratava de uma operação legítima. O Pretexting também pode ser por uma ligação telefônica, por exemplo. O atacante interpreta a identidade de um fornecedor ou terceirizado para conseguir alguma in- formação de um funcionário ou cliente. Por isso, nesses casos antes de prosseguir com as instruções, é de extrema importância: • Se certificar com uma segunda pessoa que tenha ligação com a atividade se o con- teúdo da mensagem, seja e-mail ou telefone, é verídico. • Verificar a autenticidade da pessoa que entrou em contato. É um tipo de situação que pode ser evitada perguntando para pessoas envolvidas que possam ter conhecimento, pode ser chefe, gerente, coordenador ou até algum amigo de trabalho, antes de passar a informação. O Tailgating é uma técnica física de engenharia social que ocorre quando indivíduos não autorizados seguem indivíduos autorizados até localizações não permitidas a todos. Imagine que para entrar no prédio no qual você trabalha, é preciso usar um cartão de acesso, e assim que você está entrando no prédio, alguém pede para que você segure a porta porque esqueceu seu próprio cartão. Assim como um desconhecido entrar no prédio junto com você, já que é comum quando as pessoas estão em grupo apenas uma pessoa destravar a porta. Ao perceber alguma movimentação suspeita de pessoas desconhecidas, é importante averiguar quem é a pessoa e o que ela está fazendo no ambiente e não deixar a pes- soa entrar antes de uma identificação. O e-mail de Phishing é uma das técnicas mais comuns de engenharia social pelo alto nível de eficiência. O Phishing ocorre quando um hacker produz comunicações frau- dulentas que podem ser interpretadas como legítimas pela vítima por alegarem vir de fontes confiáveis. Em um ataque de Phishing, os usuários podem instalar um malware baixando um arqui- vo anexado no e-mail ou compartilhar informações pessoais, como credenciais, a partir de páginas falsas de serviços legítimos. Apesar de o e-mail ser o modo mais tradicional para o envio de Phishing, esse tipo de ataque também pode vir na forma de um contato telefônico, SMS ou até mesmo uma mensagem no Whatsapp, por exemplo. Alguns e-mails de Phishing são incrivelmente fáceis de identificar, no entanto, há os que são extremamente convincentes, simulando, por exemplo, comunicações do banco e empresas de cartão de crédito e comunicados oficiais da própria empresa pedindo para que os funcionários façam download de um novo software de segurança corporativa. Enquanto o Phishing trabalha com uma dinâmica de campanhas com um escopo maior e genérico, seria como pescar com uma rede, tendo em vista que o sucesso da ação está relacionado com o tamanho da rede (base com milhares de endereços de e-mails) e o volume de peixes pescados (número de vítimas). O Spear-Phishing atua de uma forma mais direcionada, com alvos e objetivos espe- cíficos. O modo de pescar nessa modalidade não está preocupado em pegar um car- dume de sardinha, por exemplo, o foco está em pescar um salmão de forma certeira.O significado de Spear-Phishing articula as palavras em inglês de spear (lança) e phishing (pescar), o pescar com lança representa justamente essa especificidade dos alvos. O atacante “estuda” sua vítima de modo que o Spear-Phishing pode tomar diferentes formas: desde um e-mail falso de um outro colaborador ou fornecedor pedindo alguma informação ou enviando algum arquivo malicioso para a vítima abrir, até de uma empre- sa da qual você já comprou alguma coisa. tailgating phishing
  • 5. Phishing e suas variações, como Spear Phishing e SMShing, também são problemas que envolvem diretamente o fator humano. Por mais que faça uso de uma tecnologia (e-mail), a vulnerabilidade explorada é exclusivamente humana, pois o fato de cair em um Phishing depende apenas do usuário tomar a decisão de clicar no e-mail e seguir os passos determinados pelo atacante. Para identificar um e-mail Phishing, nós temos algumas dicas: Troque a sua senha de acesso Service Desk <service.desk@brazilcenter.com> bit.ly/servicedesk-proof Caro, colaborador. Sua senha de acesso ao Service Desk acaba de espirar. Para renovar a sua credencial clique aqui. Caso a renovação não seja feita, a conta será suspensa por tempo indeterminado. Atenciosamente, Suporte Interno VEJA O ENDEREÇO DE E-MAIL DO REMETENTE PRESTE ATENÇÃO NOS LINKSERROS ORTOGRÁFICOS ANALISE COMO A MENSAGEM SE DIRIGE A VOCÊ O E-MAIL NÃO POSSUI ANEXOS NÃO SOLICITADOS DESCONFIE DE EMAILS COM URGÊNCIA OU TOM DE AMEAÇA NO ASSUNTO A ASSINATURA PODE DIZER MUITO SOBRE A INTENÇÃO DO EMAIL E-MAIL NÃO PEDE INFORMAÇÃO PESSOAL Nos casos de e-mail, além de saber identificar um ataque de Phishing é importante tam- bém saber reportar para que o time de segurança da informação tome as providências necessárias para mitigar esse tipo de incidente. Para isso, encaminhe o e-mail identifica- do como Phishing para phishing@proof.com.br
  • 6. dumpster diving Dumpster Driving, ou Trash Surfing, é um termo inglês que utilizado para descrever al- guém que revira lixo. Na Engenharia Social, revirar o lixo é uma excelente forma de en- contrar informações confidenciais através de materiais e recursos que foram descarta- dos de forma indevida, como por exemplo um pendrive não formatado, um CD que não foi inutilizado ou contratos e relatórios confidenciais que não foram triturados e jogadas em lixos separados. A melhor maneira de evitar que informações confidenciais possam ser facilmente en- contrada no lixo é dando o descarte apropriado para cada tipo de mídia que contenha informações com esse tipo de classificação. •Nocasodepapéis,contratoserelatóriosporexemplo,ecartõesmagnéticos,comocartão de banco e crachás, triturar ou rasgar e jogar em lixos separados é o mais recomendado. • Inutilize pendrives quebrando-os ao meio. • Em relação a CD-ROMs, risque a parte do leitor com algum material pontiagudo, como uma faca ou caneta, e depois quebre. A ideia do Visual Hacking é bem simples, o seu conceito se refere ao roubo de informa- ções sigilosas apenas pelo recurso visual, ou seja, olhando para tela de algum compu- tador (shoulder surfing), documentos esquecidos em cima da mesa, em salas de reunião ou até mesmo na impressora. O Visual Hacking é rápido e imperceptível, segundo o Ponemon Institute, essa técnica demora menos de 15 minutos para ser executada (2016 Global Visual Hacking Experi- ment). Não só pela agilidade, porém na maioria das vezes as vítimas estão expostas tanto no ambiente de trabalho quanto em espaços públicos e não confrontam quando estão sendo observadas. Para evitar incidentes de Visua Hacking: • Mantenha a estação de trabalho organizada, evite deixar papéis importantes em cima da mesa, assim informações sigilosas não ficam ao alcance dos olhos das pessoas que passam perto da sua estação. • Não deixe documentos na impressora, ao imprimir vá direto buscar, não deixando bre- cha para que outra pessoa pegue o seus papeis ou veja alguma informação que deveria ser sigilosa. • Quando estiver trabalhando com informações sensíveis, preste atenção quem está em sua volta. Caso haja alguém, espere a pessoa sair ou peça para se retirar. visual hacking
  • 7. &engenharia social redes sociais Nós falamos quase de sete técnicas diferentes, algumas que envolvem mais questões de relacionadas a ambientes físicos, como o Tailgating e o Visual Hacking, outras uti- lizam da tecnologia como um vetor para manipular os usuários negligentes, como o Phishing por exemplo. Um ponto que é bastante negligenciado quando se trata de Engenharia Social são as re- des sociais. Nós estamos sempre postando informações sobre nossos cotidianos, vida pessoal e profissional e esses posts podem servir de insumos para a Engenharia Social. Um bom exemplo que de ataque que faz uso de insumos vindos de redes sociais é o Spear Phishing, para uma personalização e construção de uma veracidade, o atacan- te precisa entender algumas práticas de consumo e comportamento da sua vítima. E como essas informações são obtidas? Elas estão todas distribuídas pela internet. Uma forma fácil de descobrir credenciais ou informações sobre uma empresa pode ser a partir das fotos que os funcionários postam em suas redes sociais. O atacante consegue achar quem trabalha em uma empresa através de marcações de localização nas fotos ou então por redes sociais voltadas para mercado de trabalho. Seguindo as práticas de Phishing, Engenheiros Sociais criam sites com a mesma interfa- ce do serviço original com o intuito de conseguir dados como usuário e senha a partir da distração da vítima. Contudo, descobrir se a site que você está acessando é verdadeiro ou não pode parecer mais simples que parece. O primeiro indício que verifica essa legitimidade está na URL da página. Sites como Fa- cebook, Instagram e Twitter possuem a sigla HTTPS antes do seu endereço. HTTPS significa Hyper Text Transfer Protocol Secure (Protocolo de transferência de hipertexto seguro), ou seja, que a conexão entre os servidores da rede social e o computador do usuário estão seguros. Além do HTTPS, ainda na barra de endereço, é importante checar qual é o domínio da URL. As principais redes sociais que temos hoje em dia são “.com”. Então se você ver um facebook.net, pode já ficar desconfiado. fotos em ambientede trabalhoe perfisaberto siteseperfisfalsos Localizando as fotos com as marcações, as possibilidades são grandes, desde fotos com crachá até número de serial de equipamentos e identificação de máquinas presen- tes no local, por exemplo. Essa dinâmica funciona de forma semelhante ao Visual Hacking, porém o atacante não precisa se locomover até o ambiente que ele quer atacar. Uma forma simples de se co- letar insumos para Pretexting é descobrir qual pessoa está ausente do trabalho, seja de férias ou viajando a negócios. Ter um perfil aberto permite que pessoas que não te conhecem saibam onde você está, que tipo de serviços e produtos você consome, quais eventos sociais e profissionais par- ticipa e com quais pessoas você se relaciona diretamente. Essas informações são uma boa base para se construir uma veracidade para ataques de Spear Phishing e Pretexting.
  • 8. O último ponto sobre a URL é a ortografia. Por mais que as empresas que administram essas redes sociais tentam bloquear a criação de domínios falsos como “facebook.net”, os atacantes partem para variações que podem passar despercebidas, como “faace- book.com” ou “faceboook.com”. O mesmo acontece para páginas ou perfis falsos de empresas oferecendo algum tipo de promoção. Geralmente essas promoções são links que redirecionam para um site falso, no qual para a validação de um desconto, por exemplo, é necessário um cadastro ou o download de algum arquivo malicioso. Uma segunda forma de verificar a legitimidade do site é colocando informações aleató- rias nos campos de login e senha. Se o site for legítimo, uma mensagem de erro como “Login e senha inválidos” aparecerá após a tentativa de login, pois o banco de dados do site não reconhece aquele tipo de registro. Em sites falsos a dinâmica é diferente, o login com informações aleatórias levará o usuário a uma página não existente, uma tela em branco ou as conhecidas “404 Page not found”. O roubo de credenciais e informações sensíveis podem ter diversos fins, desde falsida- de ideológica, passando pelo uso indevido de crédito bancário, roubo de seguro desem- prego até criação de bots para redes sociais. Uma das maiores facilidades que existe hoje em dia aplicativos ou sites é poder utilizar a sua conta do Facebook ou do Google para se cadastrar. Porém, alguns detalhes as vezes passam batidos como as permissões de acesso a informação que essas redes já possuem de você. Uma boa prática nesse caso é checar quais as informações suas esses serviços ou site está pedindo para ter do Facebook, Google ou até mesmo do seu celular. Desconfie se o cadastro pedir mais que nome, e-mail e data de nascimento. Questione a finalidade daquele acesso para a funcionalidade da aplicação. Há alguns casos que o aplicativo pode precisar da sua localização geográfica para funcionar, mas não há necessidade ter acesso ao seu histórico de conversas. Esse ponto também vale para aplicativos de celular que ao instalados podem pedir au- torização a informações que não são tão essenciais para a sua funcionalidade final, por exemplo, um aplicativo de transporte particular que pede acesso ao microfone do seu aparelho ou a câmera. Além de sites falsos, também é preciso ter uma atenção redobrada para perfis falsos de produtos e serviços. Geralmente esses perfis se passam por perfis legítimos com fo- tos e propagandas reais, porém não possuem um número de seguidores expressivos e estão sempre divulgando alguma promoção irresistível que envolve marcar amigos em publicação, compartilhamento de post e seguir como moeda de troca para participação. Esses perfis podem possuir diversas finalidades, uma delas é como venda de base de seguidores, então alguma pessoa compra a conta e a utiliza para outros fins. Contudo, podem servir como um “meio de transporte” para sites falsos, tanto de uma empresa quanto de cadastro para uma promoção ou serviço, sendo uma forma de acesso fácil a informações como nome, CPF, endereço e telefone. permissõesabusivas
  • 9. a melhor defesa Em Tipos de Ataque e Engenharia Social e Redes Sociais fica evidente que o fator huma- no é a principal vulnerabilidade explorada pelas técnicas de Engenharia Social, a tecno- logia é usada somente como vetor, um “meio de transporte”, para concretizar o ataque. No caso do Phishing, o e-mail por si só não executa a técnica ou rouba as credenciais do usuário apenas por estar na caixa de entrada, é preciso do clique, do preenchimento dos campos de login e senha ou o download de um anexo malicioso, sendo assim, se fazendo valer da curiosidade e ignorância da vítima. Contudo, o fator humano é a principal forma de defesa contra a Engenharia Social. O usuário consciente de como funciona a Engenharia Social, de quais são as situações e cenários que as brechas podem existir e de boas práticas a seguir é a prevenção e defe- sa ideal. É esse o usuário que sabe identificar um possível ataque, que consegue classi- ficar o conteúdo das informações e que, principalmente, passa o conhecimento adiante. Agora é questão de colocar esse conhecimento em prática. Por exemplo, um amigo seu mostra um e-mail estranho que ele recebeu de um ban- co, que nem é o dele, sobre uma dívida. Essa é uma boa abertura para se falar sobre Phishing, ensiná-lo como a identificar e reportar um. Ou então aquele colega que sai no final da tarde para fazer um lanche, vai em uma reu- nião ou no banheiro e não bloqueia o computador. É uma boa situação para se falar sobre Visual Hacking, como o acesso as informações daquela máquina e credenciais ficaram desprotegidas. Alguém poderia enviar uma mensagem em seu nome, roubar arquivos confidenciais, etc. A questão é que quanto mais pessoas souberem dessas boas práticas de Segurança da Informação e de como Engenharia Social funciona e seus impactos nas empresas e nas nossas próprias vidas pessoais, nós teremos menos vulnerabilidades e falhas humanas e uma sociedade mais segura.
  • 10. contato@proof.com.br +55 21 2277.7520 www.proof.com.br Rua Sete de Setembro, 99 / 14º andar Rio de Janeiro – RJ – 20050-005