Engenharia Social

2,693 views

Published on

Apresentação sobre as práticas utilizadas pelos crackers para obter informações sigilosas

Published in: Education
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
2,693
On SlideShare
0
From Embeds
0
Number of Embeds
4
Actions
Shares
0
Downloads
97
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Engenharia Social

  1. 1. Engenharia Social Felipe Munhoz SENAC-TI/SC – Março 2010
  2. 2. Sumário 1. Introdução 2. Fator Humano 3. A quem se Destinam 4. Técnicas Utilizadas 5. Métodos de ataque 6. Como se defender 7. Considerações Finais 8. Referências Bibliográficas 9. Exercício 2 SENAC-TI/SC – Março 2010
  3. 3. Introdução  A engenharia social pode ser vista como uma série de técnicas e práticas utilizadas por alguém mal intencionado para obter informações sigilosas de um sistema de informações ou de uma companhia.  As instituições cada vez mais voltam suas atenções para a proteção de informações confidenciais e estratégicas investindo boa parte do seu capital em tecnologia. 3 SENAC-TI/SC – Março 2010
  4. 4. Fator Humano  Entretanto, nem sempre estão atentas aos aspectos extra tecnológicos desta questão, ou seja os fatores sociais.  A engenharia social explora estas falhas através da persuasão de pessoas desatentas ou mesmo ingênuas, para obter informações sigilosas. 4 SENAC-TI/SC – Março 2010
  5. 5. A quem se Destinam  Os ataques sociais se destinam basicamente aos colaboradores da instituição alvo, e são independentes do cargo, podendo ser aplicados tanto a pessoas do setor de limpeza e manutenção até a gerentes e diretores. O grau do nível de informação obtido irá depender tanto da capacidade de persuasão do atacante quanto da ingenuidade da pessoa atacada. 5 SENAC-TI/SC – Março 2010
  6. 6. Técnicas Utilizadas  Podem ser analisadas sob dois aspectos:  Ataques físicos que incluem utilização de telefone, o lixo, emails e websites.  Ataques psicológicos que focam na persuasão e na ingenuidade das pessoas 6 SENAC-TI/SC – Março 2010
  7. 7. Ataques Físicos  Telefone  Pode ser aplicado tanto através de ligações para colaboradores, quanto grampo telefônico.  On-line  Pouco cuidado na definição de senhas fortes e até mesmo responder emails que solicitam informações.  Lixo  O atacante busca no lixo da instituição informações sigilosas como relatórios ou anotações. 7 SENAC-TI/SC – Março 2010
  8. 8. Ataques Psicológicos  Os ataques com aspecto psicológico são baseados principalmente na persuasão.  O atacante busca mostrar-se amigável e confiável, influenciando a pessoa atacada a fornecer as informações que ele necessita. 8 SENAC-TI/SC – Março 2010
  9. 9. Métodos de ataque - Phishing  Prática utilizada por crackers com o objetivo de obter informações sigilosas.  Inicialmente os ataques ocorriam através dos serviços de email, enviando milhões de mensagens indesejadas com o objetivo de “pescar” os desatentos. 9 SENAC-TI/SC – Março 2010
  10. 10. 10 SENAC-TI/SC – Março 2010
  11. 11. 11 SENAC-TI/SC – Março 2010
  12. 12. Métodos de ataque - Phishing  Com o passar do tempo a técnica se propagou para os mais variados meios eletrônicos, como serviços de mensagem instantânea MSN e Skype e redes sociais como Orkut e Facebook.  Atualmente não é necessário ser nenhum expert no assunto para realizar os ataques, já que existem diversas ferramentas prontas para uso. 12 SENAC-TI/SC – Março 2010
  13. 13. Como se defender  A maneira mais eficaz de proteção contra os ataques de engenharia social é o treinamento dos usuários, mostrando como o mesmo deve se comportar frente a estes tipos de ataque.  Existem também ferramentas de detecção, entretanto, nem sempre são eficazes devido a grande criatividade dos crackers. 13 SENAC-TI/SC – Março 2010
  14. 14. Considerações Finais  A área de segurança da informação é bastante ampla e complexa. Não basta que sejam feitos investimentos pesados em tecnologia para prevenção de ataques, sem que haja também um grande cuidado com o fator social.  Na internet, assim como ocorre fora dela, as políticas de segurança tem forte influência humana e devem ser consideradas juntamente com as decisões tecnológicas do tema, a fim de manter as informações longe do alcance de pessoas mal intencionadas. 14 SENAC-TI/SC – Março 2010
  15. 15. Referências Bibliográficas  POPPER, M.; BRIGNOLI, J. Engenharia Social Um Perigo Eminente. Disponível em: http://www.icpg.com.br/artigos/rev03-05.pdf  BERNZ. The Complete Social Engineering FAQ!, 1996. Disponível em: http://web.archive.org/web/20030201210004/http://packetstorm.decepticons.org/docs/social-engineering/socialen.txt  Social Engineering: Exploiting Human Vulnerabilities. Disponível em: http://www.social- engineer.org/framework/Social_Engineering_Framework  Malicious PDF Email Attack. Disponível em: http://www.social-engineer.org/resources/Social-Engineering- Email-Attack-using-SET/Social-Engineering-Email-Attack-using-SET.html  Fraudes identificadas e divulgadas pelo CAIS. Disponível em: http://www.rnp.br/cais/fraudes.php 15 SENAC-TI/SC – Março 2010
  16. 16. Exercício Procure e faça um resumo de uma ferramenta automatizada que aplique técnicas de engenharia social. Apresentação disponível em: http://www.slideshare.net/fnmunhoz Utilize as referências como base para o exercício 16 SENAC-TI/SC – Março 2010

×