• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Palestra - Técnicas de Engenharia Social
 

Palestra - Técnicas de Engenharia Social

on

  • 2,693 views

Palestra - Técnicas de Engenharia Social

Palestra - Técnicas de Engenharia Social

Statistics

Views

Total Views
2,693
Views on SlideShare
2,693
Embed Views
0

Actions

Likes
1
Downloads
134
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Palestra - Técnicas de Engenharia Social Palestra - Técnicas de Engenharia Social Presentation Transcript

    • Técnicas de Engenharia Social Março de 2010 TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Termo de Isenção de Responsabilidade A TI Safe, seus colaboradores e executivos, não se responsabilizam pelo mal uso das informações aqui prestadas. Aproveite esta apresentação para ampliar seus conhecimentos em Segurança da Informação. Use com responsabilidade.www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Sobre a TI Safe Missão – Fornecer produtos e serviços de qualidade para a Segurança da Informação Visão – Ser referência de excelência em serviços de Segurança da Informação Equipe técnica altamente qualificada Apoio de grandes marcas do mercadowww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Não precisa copiar... http://www.tisafe.com/recursos/palestras/www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Agenda •Engenharia Social Definições O Engenheiro Social Tipologia dos atacantes •Riscos à Segurança da Informação •O Fator Humano •Por que a Engenharia Social funciona? •Seqüência de um ataque Levantamento de dados da vítima •Tipos de Ataque Ataques no Mundo Real Ataques pela Internet •Defesas contra ataques de Eng. Socialwww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Definições “Tentativas, com sucesso ou não, de influenciar pessoas em revelar informações ou agir de uma determinada maneira que resulte em acesso não autorizado a, ou uso não autorizado de, ou liberação não autorizada de um sistema, rede ou dados” CISSP Official Guide “ A arte de fazer com que pessoas façam coisas que normalmente não fariam para um estranho – e sendo pago para fazer isto” Kevin D. Mitnickwww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • O Engenheiro Social Ataca o lado mais fraco do sistema Torna-se confiável Passa-se por um colega de trabalho que nunca foi visto, secretário de um superior... Mistura em seu questionário perguntas inofensivas para não levantar suspeitas (parte do princípio que para saber, basta perguntar na maioria das vezes) Mais do que uma pessoa de tecnologia, é um mestre nas relações interpessoaiswww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Tipologia dos atacanteswww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Quem pode atacar a rede?www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Agenda Engenharia Social Definições O Engenheiro Social Tipologia dos atacantes Riscos à Segurança da Informação O Fator Humano Por que a Engenharia Social funciona? Seqüência de um ataque Levantamento de dados da vítima Tipos de Ataque Ataques no Mundo Real Ataques pela Internet Defesas contra ataques de Eng. Socialwww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Relatório do Gartner, 2005www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Impacto das violações de segurançawww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Pesquisa do CSI/FBI 2005www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Vulnerabilidades de redewww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Agenda Engenharia Social Definições O Engenheiro Social Tipologia dos atacantes Riscos à Segurança da Informação O Fator Humano Por que a Engenharia Social funciona? Seqüência de um ataque Levantamento de dados da vítima Tipos de Ataque Ataques no Mundo Real Ataques pela Internet Defesas contra ataques de Eng. Socialwww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Pessoas confiam demais...www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • O elo mais fraco das empresas: o fator humano O Fator humano é o elo mais fraco da segurança Na maioria dos casos, os engenheiros sociais só precisam “pedir” as senhas às pessoas corretas De nada adiantam investimentos em soluções de segurança se não treinarmos os funcionários contra engenharia social Objetivo de um engenheiro social: encontrar um modo de enganar um usuário de confiança para que ele revele informações ou... Enganar alguém importante para que ele forneça o acesso desejadowww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Agenda Engenharia Social Definições O Engenheiro Social Tipologia dos atacantes Riscos à Segurança da Informação O Fator Humano Por que a Engenharia Social funciona? Seqüência de um ataque Levantamento de dados da vítima Tipos de Ataque Ataques no Mundo Real Ataques pela Internet Defesas contra ataques de Eng. Socialwww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Por que a Engenharia Social funciona? Natureza Humana Ambiente de Trabalhowww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Natureza Humana Pessoas confiam e cooperam por natureza Quase toda pessoa pode ser influenciada a agir de uma maneira específica e divulgar informações Pessoas que possuem autoridade (ou aparentam possuir) intimidam outras pessoaswww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Ambiente de Trabalho Constantes fusões e aquisições de empresas e avanços na tecnologia facilitam a engenharia social nas empresas Hoje pessoas trabalham em cooperação com outras que nunca viram pessoalmente através de SKYPE, MSN e outroswww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Agenda Engenharia Social Definições O Engenheiro Social Tipologia dos atacantes Riscos à Segurança da Informação O Fator Humano Por que a Engenharia Social funciona? Seqüência de um ataque Levantamento de dados da vítima Tipos de Ataque Ataques no Mundo Real Ataques pela Internet Defesas contra ataques de Eng. Socialwww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Sequência de um ataquewww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Selecionando Alvoswww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Levantamento de dados da vítima Tão importante quanto o ataque é saber como fazê-lo e contra quem O que procurar? •Nomes de domínios e endereços IP •Serviços “disponíveis” •Arquitetura da rede •Mecanismos de controle de acesso •Sistemas de detecção de intrusos (IDSs) •Listagem de usuários, logins, senhas e permissões •Mecanismos de autenticações (VPNs, Intranets...)www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • whois Cadastro dos registros de endereços eletrônicos Dá as seguintes informações do registrado: – Nome do domínio – Razão social ou nome – Registro (CNPJ, CPF...) – Endereço completo – Telefone – Status do servidor DNS – Contato do administrador www.registro.br www.arin.net/whois*www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Telelistas e 102 Telemarwww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Telelistas e 102 Telemarwww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Telelistas e 102 Telemarwww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Telelistas e 102 Telemarwww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Orkutwww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Orkutwww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Perigos do Orkut Responsabilidade Legal: se um desconhecido obtiver acesso à sua senha e seu perfil, poderá agir em seu nome, enviando mensagens, criando comunidades e assim, podendo cometer crimes de apologia às drogas, à pedofilia ou ainda crime de racismo e muitos outros. Roubo de Identidade: sem a existência de processos fortes de identificação e autenticação de novos usuários quando da criação de novos perfis e comunidades, nada impede que alguém crie um novo perfil copiando e utilizando suas fotos, seu nome, seus dados pessoais e detalhes de sua vida acessíveis através do perfil verdadeiro. Crime Contra a Honra: ainda de posse de acesso à edição de seu perfil, o fraudador pode se inserir em comunidades que indiquem distúrbios de comportamento, opções sexuais, gostos duvidosos e assim, associar você a interesses que influenciem no julgamento que seus amigos fazem de você e de sua honra.www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Perigos do Orkut (cont.) Chantagem: expondo detalhes demais de sua vida e de sua família, você pode estar potencializando os golpes de chantagem, seqüestro falso ou qualquer outro em que conhecer o nome de seus familiares ou simplesmente onde passou suas últimas férias, poderá fazê-lo acreditar na veracidade do golpe e assim, ser alvo fácil. Fraude Financeira: em função do conceito primário da rede de herança de confiança entre amigos, onde o amigo de um grande amigo seu passa a ter, supostamente, a sua confiança, você poderá ser levado a acreditar cegamente nele, sem, no entanto se lembrar de que não existe nenhum critério sério de avaliação e aceitação de amigos na rede. Desta forma, pedidos falsos de ajuda financeira, caridade ou qualquer outro passam a ter grandes índices de aceitação. Phishing: a rede de relacionamentos pode até nem ser o ambiente de um golpe, mas sim uma fonte de informações valiosas para viabilizar outros golpes como o phising via email. Um email de phishing com um link falso mencionando dados e fatos pessoais será sem dúvida muito mais eficaz ao persuadi-lo.www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Sites com baixa proteção a dados de usuárioswww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Pesquisa por Currículoswww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Dados completamente expostos...www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Agenda Engenharia Social Definições O Engenheiro Social Tipologia dos atacantes Riscos à Segurança da Informação O Fator Humano Por que a Engenharia Social funciona? Seqüência de um ataque Levantamento de dados da vítima Tipos de Ataque Ataques no Mundo Real Ataques pela Internet Defesas contra ataques de Eng. Socialwww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Ataques de Engenharia Socialwww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Ataques no mundo real Ataques por Ego Ataques por Simpatia Ataques por Intimidação Análise do Lixo Invasão de Instalaçõeswww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Ataques por Ego O atacante apela para as características humanas mais básicas, o ego e a vaidade O atacante se coloca como um receptivo ouvinte que as vítimas possuem para mostrar o quanto sabem As vítimas normalmente são pessoas que se sentem desvalorizadas na empresa Na maioria dos casos, as vítimas não tem idéia de que fizeram algo erradowww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Estudo de caso: O Caça Promoções O Invasor entra numa empresa dizendo ter uma reunião marcada com um funcionário (que ele já sabe o nome, pesquisado anteriormente) Elogia o trabalho da secretária que o recebeu e a faz perceber o quanto é útil Se aproveitando deste elogio, pede à secretária para usar a Internet da sala de reunião A secretária permite e, em menos de 15 minutos, ele já havia roubado os dados da empresa que precisavawww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Ataques por Simpatia O atacante finge ser um funcionário camarada (usualmente um recém-contratado), um tercerizado, ou um novo empregado de um parceiro estratégico da empresa, que aparenta estar com um problema real e precisa de ajuda imediata para tarefas que tem que ser realizadas com urgência. O senso de urgência é normalmente parte do cenário pois isto fornece a desculpa para que os procedimentos corretos de segurança sejam burlados por seus “amigos” de trabalho.www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Estudo de caso: Obtendo o número do cartão O Invasor liga para a vítima pedindo ajuda e dizendo ser um amigo da outra filial da mesma empresa Repete os pedidos de ajuda por várias vezes, sempre sendo muito amistoso e agradável Inventa um acidente que deixou sua empresa sem Internet e acesso ao banco de dados de clientes Pede para que a amiga da outra loja verifique os dados de um cliente específico (a vítima) e ela lhe passa todos os dados, inclusive o número do cartão de créditowww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Ataques por Intimidação O atacante finge ser uma pessoa com autoridade na empresa, ou uma pessoa influente na organização ou, em alguns casos, um agente da lei O Atacante cria razões plausíveis para fazer algum tipo de pedido como reinicialização de senha, alterações em contas de usuários, acesso a sistemas ou a informações sensíveis Se o atacante for encarado com resistência pela vítima, ele tentará intimidá-lo com sanções contra ela, seja a demissão ou a prisão.www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Estudo de caso: O Sr. BIGG quer isso! O Invasor liga para um funcionário da empresa-alvo dizendo ser de uma empresa de consultoria subcontratada O Invasor pede ao funcionário o envio, com máxima urgência, de um relatório sigiloso, e informa que este é um pedido do CEO da empresa O Funcionário, com medo de não atender a um pedido do CEO, entrega o relatório pedidowww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Análise do Lixo A Maioria das pessoas não dá atenção para aquilo que estão descartando Relatórios, contas pessoais, senhas, anotações de tarefas e relacionadas com o trabalho, tudo é descartado Os empregados tem que ter consciência que invasores olham o lixo para obter informações com as quais possam se beneficiarwww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Análise do Lixo O Lixo de uma empresa pode guardar documentos com informações sensíveis. No caso foi encontrado papel com usuário e senha anotadoswww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Caso real: Análise de Lixowww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Senhas anotadaswww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • 1/3 dos funcionários anotam senhaswww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Invasão de instalações É possível usar truques da engenharia social para invadir instalações físicas de empresas Neste caso o invasor se faz passar por um funcionário da empresa de forma tão convincente que até mesmo as pessoas que se preocupam com segurança são enganadas Ex-funcionários podem guardar credenciais que os permitam entrar de novo na empresa A Invasão também pode ser feita através de empresas terceiras (limpeza, consultores, etc)www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Caso real: Invasão de Instalaçõeswww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Ataques pela Internet Ataques por Vírus Ataques por SCAM Ataques por Chat Ataques pelo Orkutwww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Ataques por Vírus Normalmente feitos através de e-mail ou via serviço de troca instantânea de mensagens (MSN, Skype, etc) O texto da mensagem procura atrair a atenção, seja por curiosidade, por caridade ou pela possibilidade de obter alguma vantagem (normalmente financeira) O texto da mensagem também pode indicar que a não execução dos procedimentos descritos acarretarão conseqüências mais sérias, como, a inclusão do nome no SPC/SERASA, o cancelamento de um cadastro, da conta bancária ou do cartão de crédito, etc. A mensagem, então, procura induzir a vítima a clicar em um link, para baixar e abrir/executar um arquivo que instalará o vírus ou keylogger em seu computador. A maioria dos ataques por vírus faz uso de uma técnica comum entre hackers que visa embutir arquivos dentro de outros, o Additional Data Streamwww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Técnica Additional Data Stream (ADS) • As Additional Data Streams são também conhecidas como Alternate Data Streams e Multiple Data Streams. • Elas foram criadas originalmente para que dados para a descrição dos arquivos [Meta Data] pudessem ser inseridos facilmente no disco. • Elas estão disponíveis em qualquer disco formatado com o NTFS, deste modo nada do que está aqui se aplica para FAT ou para Windows 9x/ME. • Cada arquivo ou pasta, que está presente na Stream principal, pode possuir várias streams ‘adicionais’. •Cada stream adicional tem um nome, que pode ser qualquer coisa.www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • ADS no Windows O Windows cria ADS quando você insere dados de descrição no arquivo. Clique com o botão direito em qualquer arquivo, então clique em Propriedades e procure pela aba Resumo.www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • ADS na Prática Crie uma pasta com o nome de Streams na sua unidade C:. Agora abra um Prompt de Comando e digite o seguinte: CD C:streams Depois de cada comando, aperte a tecla ENTER para confirmar. Você deve estar agora na pasta C:streams>. Digite o seguinte comando: echo conteudo normal > ads.txt Agora abra o arquivo C:streamsads.txt no Bloco de Notas. Você deve ver o ‘conteudo normal’ na tela. Feche o Bloco de Notas e volte para o Prompt de Comando e digite: dir Temos o ads.txt com 18 byteswww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • ADS na Prática (Cont.) Agora digite o seguinte comando no Prompt: echo conteudo em ads > ads.txt:simples Os dois pontos separam o nome do arquivo do nome da ADS. No nosso caso, criamos uma stream adicional com o nome de simples. Agora o arquivo ads.txt possui uma stream chamada ’simples’ ligada a ele. Abra novamente o arquivo no Bloco de Notas e você deve ver somente o “conteudo normal” ainda. Digite novamente o comando dir: dir Sim, 18 bytes. O tamanho do arquivo ainda não foi modificado.www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • ADS na Prática (Cont.) Agora tente o seguinte comando no Prompt: more < ads.txt:simples Isso mesmo! Você tem o conteúdo da sua ADS, simples, na tela. Se você olhar no Windows Explorer não poderá ver qualquer diferença se o arquivo possui ou não um ADS, sendo necessário apagar o ads.txt para remover a stream.www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • ADS na Prática (Final) Note que as ADS podem possuir mais do que texto, inclusive, código executável (programas). Como o Windows não possui nenhum programa para lidar com ADS, trojans começaram a utilizar ADS para dificultar sua remoção, assim se adicionando como ADS em arquivos cruciais ao Windows. Desta forma não basta apenas remover o arquivo infectado, é necessário o uso de ferramentas adicionais, o que aumenta o trabalho e o tempo gastos para a resolução do problema.www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Caso real de ataque por Víruswww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Ataques por SCAM O scam (ou "golpe") é qualquer esquema ou ação enganosa e/ou fraudulenta que, normalmente, tem como finalidade obter vantagens financeiras. O Atacante faz uso de ferramentas de fake mail, ou contas de usuários falsoswww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Fake Mail É a técnica de se enviar e-mails “falsos” se fazendo passar por outra pessoa. Pode ser realizado por clientes instalados na máquina ou através de web sites Geralmente, o servidor de envio de e-mails de um provedor (SMTP) faz algumas checagens antes de enviar um e-mail. Checa se o endereço IP realmente pertence ao provedor e se a pessoa que está mandando a mensagem está conectada ali (é raro servidores de envio de e-mail suportarem relay, que é permitir que pessoas de fora do provedor consigam mandar mensagens). Existem servidores SMTP que permitem relay, e ainda garantem o anonimato. É uma questão de pesquisar.www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Fraude de antecipação de pagamentos (FAP) Neste ataque, a vítima recebe um e-mail em nome de uma instituição governamental (por exemplo, o Banco Central) de um país distante Neste email é solicitado que a vítima atue como intermediário em uma transferência internacional de fundos O valor mencionado na mensagem normalmente corresponde a dezenas ou centenas de milhões de dólares Como recompensa, a vítima terá direito de ficar com uma porcentagem (normalmente alta) do valor mencionado Para completar a transação é solicitado que seja pago antecipadamente uma quantia para arcar com taxas de transferência de fundos e custos com advogadoswww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Exemplo de FAP Iwww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Exemplo de FAP IIwww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • FAP por carta Nova vertente do ataque de FAP A vítima recebe uma carta com instruções para acesso à site na Web e depósito do dinheirowww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Levantamento de dados por Auto-Replywww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Ataques por CHATwww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Ataques pelo Orkut Ataques via Orkut são cada dia mais frequentes Criminosos usam a ingenuidade e simpatia do Brasileiro para prática de fraudes Mensagens falsas com links para sites com vírus e malwares são colocadas como scraps no Orkut das vítimaswww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Agenda Engenharia Social Definições O Engenheiro Social Tipologia dos atacantes Riscos à Segurança da Informação O Fator Humano Por que a Engenharia Social funciona? Seqüência de um ataque Levantamento de dados da vítima Tipos de Ataque Ataques no Mundo Real Ataques pela Internet Defesas contra ataques de Eng. Socialwww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Defesas contra ataques de Engenharia Social Mecanismos de defesas são divididos em 3 categorias: Segurança Física Segurança Lógica Segurança Administrativawww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Segurança Física Os componentes físicos da segurança são os mais fáceis de compreender e também os mais fáceis de executar A segurança física engloba a proteção contra roubo, vandalismo, catástrofes, danos naturais, desastres (deliberados ou acidentais), condições ambientais instáveis tais como a elétrica, a temperatura, a umidade, e outraswww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Segurança Lógica As medidas de segurança lógicas são aquelas que empregam uma solução técnica para proteger a informação Exemplos: firewall, controle do acesso, sistemas da senha, IDS e criptografia Controles eficazes mas confiam em um elemento humano ou em uma interação para funcionar com sucessowww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Segurança Administrativa Os controles de segurança administrativa são aqueles que envolvem políticas, procedimentos, boas práticas, etc Exemplos: políticas da segurança da informação, programas da conscientização, e verificações profundas para novos funcionários, etcwww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Contramedidas Como a engenharia social ataca o elemento humano, as medidas protetoras necessitam ser concentradas nas de segurança administrativa As contramedidas eficazes devem ter políticas detalhadas de segurança da informação que são comunicadas através de sua organização Um plano contínuo de conscientização é muito importante A Intranet da empresa pode ser um poderoso veículo para divulgação de boas práticas de segurançawww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Boas práticas de segurança As boas práticas dos slides a seguir são sugestões a todos os funcionários de qualquer empresa Não são uma política de segurança completa, pois esta possui diretrizes detalhadas e segmentadas por departamento As boas práticas a seguir são divididas em: de uso geral, de uso do computador, de uso do correio eletrônico, de uso do telefone, de uso do fax, voice mail, senhas e orkutwww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Gerais Sempre relatar ligações suspeitas Documentar as ligações suspeitas Nunca divulgar números para acesso discado à empresa Sempre usar crachás de identificação Questionar pessoas desconhecidas sem crachá Nunca permitir que entre e nem abrir a porta para nenhum desconhecido Destruir documentos sigilosos usando trituradora Usar identificadores pessoais para validar empregados Nunca divulgar organogramas da empresa Nunca divulgar informações particulares de empregadoswww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Para uso do computador Funcionários nunca devem inserir comandos em um computador sob solicitação de outra pessoa, a menos que o solicitante tenha sido previamente verificado Funcionários não devem divulgar nomes internos de sistemas ou bancos de dados sem que o solicitante tenha sido previamente verificado Funcionários não devem executar nenhum aplicativo ou programa sob solicitação de outra pessoa, a menos que o solicitante tenha sido previamente verificado Funcionários nunca devem fazer download ou instalar software sob solicitação de outra pessoa, a menos que o solicitante tenha sido previamente verificadowww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Para uso do computador (cont.) As senhas não devem ser enviadas por correio eletrônico, a menos que estejam criptografadas Funcionários nunca devem remover ou desativar antivírus, firewall ou outro software relacionado à segurança sem prévia autorização do departamento de TI Nenhum modem pode estar conectado a nenhum computador sem prévia autorização do departamento de TI Todos os desktops com modems aprovados pelo TI devem ter o recurso de resposta automática desativado Funcionários não devem fazer o download nem usar ferramentas de software criadas para anular os mecanismos de proteção de softwarewww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Para uso do computador (cont.) Empregados não devem divulgar nenhum detalhe relativo ao Hardware ou Software da empresa em newsgroup públicos, fóruns ou bulletin boards Se uma mídia qualquer, tal como disquetes e CD-ROMs for deixada na sua mesa e tenha origem desconhecida, ela não deve ser inserida em nenhum computador Antes de descartar mídia eletrônica que já conteve informações sigilosas, esta mídia deverá ser destruída Todos os usuários devem possuir senhas para proteção de tela e limite de inatividade para bloqueio do computador após tempo sem uso Todos os empregados devem assinar um contrato de confidencialidade com a empresawww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Para uso do correio eletrônico Os anexos de correio eletrônico não devem ser abertos, a menos que seja esperado ou tenha sido enviado por uma pessoa de confiança Deve ser proibido o encaminhamento automático de mensagens recebidas por correio eletrônico para um endereço de correio eletrônico externo Toda solicitação de uma pessoa não verificada para transferir uma mensagem de correio eletrônico para outra pessoa não verificada exige a confirmação da identidade do solicitantewww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Para uso do telefone Os empregados não devem participar de pesquisas nem responder perguntas de qualquer organização ou pessoa estranha. Estas solicitações devem ser encaminhadas para o departamento de relações públicas ou para uma pessoa designada na empresa Se uma pessoa não verificada pedir a um empregado o seu número de telefone, ele deve primeiro determinar se a divulgação do telefone é necessária para a condução dos negócios da empresa É proibido deixar mensagens que contenham informações de senha na caixa postal do voice mail de alguémwww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Para uso do FAX Nenhum fax deve ser recebido e encaminhado para outra parte sem verificação da identidade do solicitante Antes de executar instruções pedidas por fax, o remetente deve ser confirmado como empregado ou pessoa de confiança Sempre deve-se tomar cuidado ao enviar fax para uma área pública da empresa e incluir página de rosto com informações do destinatário. Senhas nunca podem ser enviadas por faxwww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Para uso do Voice Mail As senhas de voice mail nunca devem ser divulgadas e devem ser sempre alteradas a cada 90 dias Os usuários de voice mail não devem usar a mesma senha em outro telefone ou sistema de computador Os usuários e administradores devem criar senhas de voice mail que sejam difíceis de adivinhar Se alguma mensagem de voice mail que ainda não foi ouvida não estiverem marcadas como “nova”, o administrador do voice mail deverá ser notificado Informações confidenciais ou particulares não devem ser divulgadas em uma mensagem de voice mailwww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Para uso de senhas Nunca divulgar senhas por telefone Nunca divulgar sua senha de acesso à rede para ninguém, exceto sob pedido escrito de seu chefe Nunca usar senha de acesso à Internet igual à senha de seu login na empresa Nunca usar senha igual ou semelhante em mais de um sistema da empresa Nunca manter a mesma senha por mais de 18 meses Usar senhas fortes (mínimo de 8 caracteres, letras maiúsculas e minúsculas, números e caracteres especiais)www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Para uso do Orkut NÃO TENHA ORKUT. Mas se você quiser insistir, observe as medidas preventivas abaixo: 1. Evite utilizar senhas óbvias ou fáceis demais e sempre a substitua com regularidade ou sempre que desconfiar de sua confidencialidade. 2. Evite publicar informações muito pessoais, que em geral, só sua família ou pessoas muito próximas deveriam ou poderiam saber. 3. Evite informar telefones de contato e endereços físicos, a não ser que exista um interesse comercial no uso do serviço. 4. Evite exibir fotografias que exponham detalhes de sua residência ou trabalho, ou ainda, fotografias que permitam dupla interpretação. 5. Evite publicar fotografias que exponham outras pessoas de seu convívio, especialmente familiares, a menos que previamente autorizadas. 6. Evite autorizar pessoas desconhecidas, mesmo que lhe pareçam familiar ou lhe tenham enviado uma mensagem de solicitação. Lembre-se do conceito de herança de confiança, isso poderá representar uma ameaça aos seus amigos. 7. Evite criar e entrar em comunidades de gosto duvidoso ou simplesmente com título e descrição que são sejam inteiramente alinhadas ao seu perfil. Você pode ser mal interpretado.www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Para uso do Orkut (cont.) 8. Evite utilizar fotografias em seu perfil que simbolizem algo muito diferente do que você realmente é. Desta forma, evitará atrair pessoas mal intencionadas ou compatíveis com o simbolismo equivocado transmitido pela imagem. 9. Habilite o recurso de identificação do visitante. É uma boa forma de conhecer o perfil de quem tem se interessado em conhecer você e assim, lhe permitirá identificar possíveis equívocos na definição do seu perfil e na escolha das fotografias. 10. Não clique em links enviados através da rede de relacionamentos, pois além de não haver qualquer razão aparente para se usar este recurso, esses têm sido alvos de ataques de phising. 11. Nunca confie inteiramente no que é escrito e disponibilizado na rede de relacionamentos. A fragilidade dos processos de identificação não garante a autenticidade dos usuários e a integridade das mensagens. 12. Não haja como se a Internet e o próprio ambiente da rede de relacionamentos fossem um playground onde tudo é brincadeira. Tome cuidado ao criar e entrar em comunidades que ferem direitos, que tenham qualquer associação ao crime ou representem gostos duvidosos.A sua escolha reflete uma vontade e um pensamento e você poderá, mesmo que inconscientemente, ser confundido.www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Agenda Engenharia Social Definições O Engenheiro Social Tipologia dos atacantes Riscos à Segurança da Informação O Fator Humano Por que a Engenharia Social funciona? Seqüência de um ataque Levantamento de dados da vítima Tipos de Ataque Ataques no Mundo Real Ataques pela Internet Defesas contra ataques de Eng. Socialwww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Conclusão A Engenharia Social explora vulnerabilidades humanas; Pode ou não utilizar tecnologia; Na maior parte das vezes a vítima não percebe que está sendo manipulada; Os ataques de Engenharia Social são reais e acontecem no dia- a-dia; A maioria dos ataques de Engenharia Social tiram proveito de factores psicológicos que inibem uma resposta adequada; É possível minorar os efeitos de Engenharia Social através de contínuo treinamento, conscientização e implementação de regras de segurança;www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Para pensar... “O computador mais seguro do mundo teria de estar guardado num cofre, desligado, no fundo do oceano... Guardado por tubarões, exércitos e porta-aviões... E mesmo assim seria possível convencer alguém que o estivesse guardando a ligá-lo....” Kevin Mitnickwww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Referências • Livro “A Arte de Enganar” Autores: Kevin D. Mitnick & William L. Simon Editora: Makron Books • Livro “Official (ISC)2 Guide to the CISSP Exam” Autores: Susan Hansche, John Berti & Chris Hare Editora: Auerbach • Livro “O Pirata Eletrônico e o Samurai - A Verdadeira História de Kevin Mitnick e do Homem que o Caçou na Estrada Digital” Autor: Jeff GOODELL Editora Campus, 1996www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Referências - Filmes Filme baseado na estória real da captura de Kevin Mitnickwww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Participe do nosso fórum de segurança Acesse www.tisafe.com/forum e cadastre-sewww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Contatowww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.