Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Engenharia social

9,074 views

Published on

Published in: Technology
  • Be the first to comment

Engenharia social

  1. 1. Engenharia SocialComo hackear a mente humana Luiz Vieira
  2. 2. Quem sou eu?
  3. 3. Definição “Não existe Patch para a burrice humana”• Engenharia Social é conhecida comumente como a arte de manipular pessoas para que realizem ações ou divulguem informações confidenciais.• Embora seja similar à um truque ou fraude, o termo aplica-se normalmente a engodos ou enganos com o propósito de obter informações, fraude ou acesso a sistemas computacionais; na maioria dos casos o atacante nunca fica cara-a-cara com a vítima.
  4. 4. Pontos vulneráveis
  5. 5. Tipos de Engenharia Social• Baseado em pessoas: – Disfarces – Representações – Uso de cargos de alto nível – Ataques ao serviço de Helpdesk – Observações
  6. 6. Tipos de Engenharia Social• Baseado em computadores: – Cavalos de Tróia anexados a e-mails – E-mails falsos – WebSites falsos
  7. 7. Formas de ataque• Insiders Attacks• Roubo de Identidade• Phishing Scam• URL Obfuscation• Dumpster Diving• Shoulder Surfing• Tailgating• Persuasão
  8. 8. EngSoc + PNL• A Programação Neurolinguística (ou simplesmente PNL) é um conjunto de modelos, estratégias e crenças que seus praticantes utilizam visando principalmente ao desenvolvimento pessoal e profissional.• É baseada na idéia de que a mente, o corpo e a linguagem interagem para criar a percepção que cada indivíduo tem do mundo, e tal percepção pode ser alterada pela aplicação de uma variedade de técnicas.• A fonte que embasa tais técnicas, chamada de "modelagem", envolve a reprodução cuidadosa dos comportamentos e crenças daqueles que atingiram o "sucesso".
  9. 9. Princípios da PNL• As pessoas respondem a sua experiência, não à realidade em si.• Ter uma escolha ou opção é melhor do que não ter uma escolha ou opção.• As pessoas fazem a melhor escolha que podem no momento.• As pessoas funcionam perfeitamente.• Todas as ações têm um propósito.• Todo comportamento possui intenção positiva.• A mente inconsciente contrabalança a consciente; ela não é maliciosa.• O significado da comunicação não é simplesmente aquilo que você pretende, mas também a resposta que obtém.• Já temos todos os recursos de que necessitamos ou então podemos criá- los.• Mente e corpo formam um sistema. São expressões diferentes da mesma pessoa.• Processamos todas as informações através de nossos sentidos.• Modelar desempenho bem-sucedido leva à excelência.• Se quiser compreender, aja.
  10. 10. Meta-modelo de Linguagem
  11. 11. Buffer Overflow Humano• Assim como programas para fuzzing, onde através de diferentes tipos e tamanhos de dados fazemos com que um sistema dê um crash, precisamo entender como a mente humana reage a certos tipos de informações.• A maneira mais rápida de injetar códigos na mente humana é através de comandos embutidos.
  12. 12. Regras para Comandos Embutidos• Normalmente os comandos são curtos – 3 a 4 palavras• Uma leve ênfase é necessária para torná-los eficazes• Ocultá-los em frases normais tornam seu uso mais efetivo• Nossa expressão facial e corporal devem ser coerentes com os comandos• Ex: “Quando você adquire um produto como este vindo de alguém como eu, quais características são mais importantes para você?"
  13. 13. SET – Social Engineering Toolkit
  14. 14. Utilizando o SET• svn co http://svn.thepentest.com/social_engineering_toolkit/ SET/• Para iniciar o SET: ./set• Escolher a opção número 2 (Website Attack Vectors)• Nesta fase iremos usar o Site Cloner, opção número 2.• Aqui iremos escolher o tipo de ataque, iremos utiliza o Metasploit Browser Exploit• Adicione o seu Número IP, onde irá rodar o seu servidor Web• Neste ponto temos que escolher qual o tipo de exploit que iremos usar, no exemplo iremos reproduzir a falha conhecida como "Aurora" (MS10-002).• Nosso payload, neste caso será o Windows Bind Shell• A opção URIPATH, temos que alterar para qualquer endereço, exemplo /teste• E utilize o comando exploit para iniciar o ataque e o servidor.
  15. 15. Contatos Luiz Vieira http://hackproofing.blogspot.com http://www.oys.com.br luizwt@gmail.com luiz.vieira@oys.com.brluiz_vieira.BSI@petrobras.com.br

×