Aula 6- Engenharia_Social

Desenvolvimento de Software

Seguro

Aula 6 – Engenharia Social

https://sites.google.com/site/thiagoaalves/

thiago.augusto2@anhanguera.com

Engenharia Social



Em Segurança da informação, chama-se

Engenharia Social as práticas utilizadas

para obter acesso a informações

importantes ou sigilosas em organizações

ou sistemas por meio da enganação ou

exploração da confiança das pessoas

Engenharia Social



Para isso, o golpista pode se passar por

outra pessoa, assumir outra

personalidade, fingir que é um profissional

de determinada área, etc. É uma forma de

entrar em organizações que não necessita

da força bruta ou de erros em máquinas.

Explora as falhas de segurança das

próprias pessoas que, quando não

treinadas para esses ataques, podem ser

facilmente manipuladas.

Engenharia Social



Engenharia social compreende a inaptidão

dos indivíduos manterem-se atualizados

com diversas questões pertinentes a

tecnologia da informação, além de não

estarem conscientes do valor da

informação que eles possuem e, portanto,

não terem preocupação em proteger essa

informação conscientemente

Engenharia Social



É importante salientar que, a engenharia

social é aplicada em diversos setores da

segurança da informação independente de

sistemas computacionais, software e ou

plataforma utilizada, o elemento mais

vulnerável de qualquer sistema de segurança

da informação é o ser humano, o qual

possui traços comportamentais e

psicológicos que o torna suscetível a ataques

de engenharia social. Dentre essas

Engenharia Social



Vaidade pessoal e/ou profissional: O ser humano costuma ser

mais receptivo a avaliação positiva e favorável aos seus objetivos,

aceitando basicamente argumentos favoráveis a sua avaliação

pessoal ou profissional ligada diretamente ao benefício próprio ou

coletivo de forma demonstrativa.



Autoconfiança: O ser humano busca transmitir em diálogos

individuais ou coletivos o ato de fazer algo bem, coletivamente ou

individualmente, buscando transmitir segurança, conhecimento,

saber e eficiência, buscando criar uma estrutura base para o início

de uma comunicação ou ação favorável a uma organização ou

individuo.



Formação profissional: O ser humano busca valorizar sua

formação e suas habilidades adquiridas nesta faculdade, buscando o

controle em uma comunicação, execução ou apresentação seja ela

profissional ou pessoal buscando o reconhecimento pessoal

inconscientemente em primeiro plano.



Vontade de ser útil : O ser humano, comumente, procura agir

Engenharia Social



Busca por novas amizades : O ser humano

costuma se agradar e sentir-se bem quando elogiado,

ficando mais vulnerável e aberto a dar informações.



Propagação de responsabilidade : Trata-se da

situação na qual o ser humano considera que ele não

é o único responsável por um conjunto de atividades.



Persuasão : Compreende quase uma arte a

capacidade de persuadir pessoas, onde se busca obter

respostas específicas. Isto é possível porque as

pessoas possuem características comportamentais

que as tornam vulneráveis a manipulação.

Engenharia Social



Ta já sabemos tudo isso, e só pesquisar no

google que se obtém estes resultados,

mas como e a Engenharia Social na

Engenharia Social



Trata de conhecer o perfil psicológico e

social das pessoas que se deseja atacar ao

invés de somente realizar ataques.

Engenharia Social



Conhecer a pessoa e meio caminho

andando para se conseguir descobrir as

informações necessárias.

Engenharia Social



Exemplo:



Vamos supor que o professor Thiago Alves

goste muito de Homem Aranha. Por

conhecer este perfil do professor podemos

supor que uma de suas senhas tem relação

com o Homem Aranha, ou mesmo uma

informação muito importante com relação

a sua vida tem ligação com o Homem

Engenharia Social



Alem disso podemos supor que todas as

senhas dele tem alguma ligação com

Homem Aranha.



Um fato comum e que as pessoas tem seu

conjunto de senhas ligados a um tema

especifico o que facilita muito a

Engenharia Social



Sabendo desta preferência, podemos “criar

um programa para hackear” as senhas dele

utilizando como base um banco de dados

Referencias ao Homem Aranha.



A base de dados vai conter informações

referentes ao Homem Aranha e isso

diminui bastante o tempo para poder

descobrir as preferencias.

Golpes mais Comuns



Existem alguns golpes que são bem

comuns aplicados as pessoas que não tem

um conhecimento tão grande de

segurança da informação.

Golpes mais Comuns



“Oi Fulano, Sou Cicrana estudamos

juntos e faz tempos que não nos

vemos veja algumas fotos atuais

minhas.”



“As fotos da ultima festa ficaram

ótimas baixe-as no link abaixo.”



“Somos do Banco XYZ, precisamos

atualizar seu cadastro, por favor

preencha as informações no link

abaixo.”

Golpes mais Comuns



Golpe das mídias sociais.



Você recebia em sua casa a seguinte

ligação telefônica “Bom dia, o negocio e o

seguinte sequestramos um membro X da

sua família, o nome dele e talz, ele tem os

seguintes amigos e estamos com ele, nada

vai acontecer com ele se você depositar a

quantia X na conta Y. ”

Golpes mais Comuns



Com o avança das mídias sociais este golpe

se tornou muito comum pelo fato de que as

pessoas postavam muitas informações

pertinentes nas mídias sociais e uma pessoa

mal intencionada poderia usar desta

informação para poder atacar a família da

vítima.



A família desesperada por não saber o que

fazer acabava se entregando ao bandido

realizando o deposito na conta bandido.

Golpes mais Comuns



Golpe Roubo do Cartão de Credito.



Antes quando os cartões de credito não tinha

as letras de verificação uma pessoa estava no

banco te observando, esta pessoa pode ter

uma boa percepção e com isso poderia

facilmente ver a sua senha numérica. Depois no

mesmo dia ou em outro dia ela poderia forjar

um “esbarrão” em você, com este “esbarrão”

ela conseguiria roubar seu cartão e com a sua

senha “fazer a limpa” na sua conta bancaria.



Normalmente se percebe quando e tarde

Golpes mais Comuns



Todos os golpes acima são os mais

comuns e por incrível que pareça muitas

pessoas caem nele por questões de

descuidado.



A imagem a seguir demonstra

normalmente como e associado estes

tipos de ataques no seu e-mail

Golpes mais Comuns



“Somos da equipe de suporte da Microsoft –

queremos ajudar” ("This is Microsoft support – we

want to help")



Um novo tipo de ataque tem atingido muitas pessoas

ultimamente. Ele começa com uma ligação telefônica em que

alguém afirma ser do serviço de suporte da Microsoft e diz

que está ligando por causa de um número anormal de erros

que teriam origem no seu computador.



“A pessoa do outro lado da linha diz que quer ajudar na

solução porque há uma falha e eles tem feito ligações para

usuários licenciados do Windows”. “Faz sentido; você é um

usuário licenciado do Windows, tem uma máquina com

Windows e ela quer provar isso para você.”



A pessoa que ligou diz para a vítima ir até o event log

(visualizador de eventos) da máquina e a acompanha pelos

passos até chegar ao log do sistema.

Golpes mais Comuns



“Todo usuário do Windows terá dezenas de erros neste log,

simplesmente porque acontecem pequenas coisas; um serviço

trava, algo não inicializa. Sempre existem erros”. “Mas quando um

usuário sem experiência abre isso e vê todos esses erros, parece

assustador.”



Nesse ponto, a vítima está desesperadamente pronta para fazer

qualquer coisa que o suposto funcionário do “suporte” pedir. O

engenheiro social então aconselha-os a ir até o site

Teamviewer.com, um serviço de acesso remoto que dá a ele

controle da máquina.



Uma vez que o cracker tiver acesso à máquina por meio do

Teamviewer, ele pode então instalar algum tipo de

rootkit

ou

outro tipo de malware que permitirá a ele ter acesso contínuo ao

sistema.



Curioso que este ataque não e voltado somente para o

Windows em si e tem aparecido para vários softwares

diferentes.

Golpes mais Comuns

 “Faça uma doação para ajudar as vítimas do (alguma tragédia)!” ("Donate to the hurricane recovery efforts!")

 Golpes de doações para caridade têm sido um problema há anos. A todo

momento temos desastres de grandes proporções no mundo, como o terremoto no Haiti ou tsunami no Japão, e os criminosos rapidamente entram no jogo e lançam sites falsos de doações. A melhor maneira de

evitar isso é indo a uma organização conhecida e de boa reputação, como a Cruz Vermelha, e iniciar o contato por conta própria se quiser fazer uma doação. No entanto, surgiu há pouco tempo um tipo particularmente desprezível de golpe de engenharia social direcionado para pessoas que possam ter perdido parentes ou amigos em desastres naturais.

 Neste exemplo, entre 8 e 10 horas após o incidentes, o site aparece

dizendo ajudar a encontrar pessoas que possam ter desaparecido no desastre. Eles alegam ter acesso as bases de dados do governo e

informações de recuperação. Normalmente os engenheiros não pedem por informações financeiras, mas exigem nomes, endereços e informações de contato, como números de telefone e e-mail.

Golpes mais Comuns



“Enquanto você está esperando para ouvir sobre a pessoa,

recebe um pedido de doação para caridade”. “A pessoa da

suposta instituição de caridade normalmente vai iniciar uma

conversa e dizer que está coletando contribuições porque

tem uma relação mais passional com a causa porque perdeu

um membro da família em um desastre parecido.

Secretamente, eles sabem que a pessoa que contataram

também já perdeu alguém, e isso ajuda a criar uma suposta

camaradagem.”



Tocada pela pessoa que entrou em contato, a vítima então

oferece um número de cartão de crédito pelo telefone para

fazer a doação para "caridade".



“Agora eles tem seu endereço, seu nome, nome do seu

parente e também do seu cartão de crédito. Basicamente

todas as informações que eles precisam para cometer um

roubo de identidade”.

Golpes mais Comuns

 “Sobre sua inscrição para a vaga de emprego...” ("About your job application...")

 Tanto pessoas buscando empregos quanto empresas de recrutamento

estão sendo atacadas por engenheiros sociais.

 “Esse é um golpe perigoso, para os dois lados”. “Seja a pessoa buscando

trabalho ou a companhia postando novas vagas, ambas as partes estão dizendo ‘estou disposto a aceitar arquivos anexos e informações de estranhos.”

 De acordo com um alerta do FBI, mais de US$ 150 mil foram roubados de

uma empresa americana por meio de uma transferência não-autorizada como resultado de um e-mail com malware que a companhia recebeu a partir de uma oferta de emprego.

 “O malware estava incorporado em um e-mail de resposta a uma vaga de

emprego que a companhia colocou em um site de recrutamento e

permitiu ao cracker conseguir as credenciais bancárias online da pessoa que estava autorizada a realizar transações financeiras na companhia”, afirma o aviso do FBI. “O invasor alterou as configurações da conta para permitir o envio de transferências protegidas, sendo uma para a Ucrânia e duas para contas domésticas.”

Golpes mais Comuns

 “@pessoanoTwitter, o que você pensa sobre o que a Dilma disse sobre #desemprego? http://shar.es/HNGAt” ("@Twitterguy, what do you think about what Obama said on #cybersecurity?

http://shar.es/HNGAt")

 Os engenheiros sociais estão observando o que as pessoas estão tuitando e

usando essa informação para realizar ataques que parecem mais críveis. Uma maneira disso acontecer é na forma de hashtags populares, de acordo com a companhia de segurança Sophos. Na verdade, o início da nova temporada da série “Glee” no começo deste mês na Inglaterra fez com que os

cibercriminosos “sequestrassem” a hashtag #gleeonsky por várias horas. A operadora de TV por assinatura Sky pagou para usar a hashtag como uma forme de divulgar a nova temporada, mas os spammers tomaram conta dela rapidamente e começaram a incorporar links maliciosos nos tuítes com o termo.

 “Obviamente que os spammers podem escolher redirecionar para qualquer

site que quiserem uma vez que você tenha clicado no link”, afirma o consultor sênior de tecnologia da Sophos, Graham Cluley. “Poderia ser um site de

phishing desenvolvido para roubar suas credenciais no Twitter, uma farmácia falsa ou um site pornô.”

 “Acho que veremos ainda mais ataques desse tipo em mídias sociais por causa

Golpes mais Comuns



“Saiba como ter mais seguidores no Twitter!” ("Get more

Twitter followers!")



A Sophos também faz um alerta sobre serviços que dizem

conseguir mais seguidores no Twitter. De acordo com Cluley, serão

cada vez mais comuns mensagens como “QUEREM MAIS

SEGUIDORES? EU VOU TE SEGUIR DE VOLTA SE VOCÊ ME

SEGUIR – (LINK)”.



Clicar nesse link leva o usuário para um serviço na web que

promete conseguir muitos novos seguidores.



O próprio Cluley criou uma conta teste para ver o que acontecia.

“As páginas pedem para você digitar seu nome de usuário e senha

do Twitter”, afirma Cluley em um post no blog sobre o

experimento. “Isso deveria fazer você sair correndo – por que um

site de terceiros deveria pedir suas credenciais? O que os donos

dessas páginas estão planejando fazer com seu nome de usuário e

senha? É possível confiar neles?”

Golpes mais Comuns



Cluley também colocou que o serviço admite não ser apoiado ou

afiliado ao Twitter, e que para usar o serviço, você precisar

autorizar o aplicativo a acessar sua conta. A essa altura, todas as

garantias de segurança e uso ético já eram, afirma o especialista. O

próprio Twitter avisa aos usuários para tomarem cuidado com

esses serviços em sua página de informações de ajuda.



“Quando você fornece seu nome de usuário e senha para outro

site ou aplicativo, está passando o controle da sua conta para outra

pessoa”, explica uma das regras do Twitter. “Elas podem então

postar atualizações e links duplicados, maliciosos ou spam, enviar

mensagens diretas não desejadas, seguir outros usuários de modo

agressivo, ou violar outras regras do Twitter com a sua conta.

Alguns aplicativos de terceiros já foram implicados em atos de

comportamento de spam, fraude, venda de nomes de usuários e

senhas e golpes de phishing. Por favor, não forneça seu nome de

usuário e senha para aplicativos de terceiros que você não conheça

ou tenha pesquisado com cuidado antes.”

Um Caso Famoso



Frank Abagnale Jr. (Leonardo DiCaprio) já foi

médico, advogado e co-piloto, tudo isso com

apenas 18 anos. Mestre na arte do disfarce,

ele aproveita suas habilidades para viver a

vida como quer e praticar golpes milionários,

que fazem com que se torne o ladrão de

banco mais bem-sucedido da história dos

Estados Unidos com apenas 17 anos. Mas em

seu encalço está o agente do FBI Carl

Hanratty (Tom Hanks), que usa todos os

meios que tem ao seu dispor para

encontrá-lo e capturá-encontrá-lo.

Engenharia Social



Cuidado com as suas informações.



Não saia divulgando elas para outros.



Por mais que você conheça alguém você

realmente não conhece as pessoas, então não

passe suas informações para todos.



Pessoas tem dias e dilemas, nem todo dia e

igual e nem toda pessoa e igual.



Não deixe as pessoas olharem suas senhas

ao digitar.



Não divulgue suas senhas para as pessoas.



Não utilize senhas simples de fácil

Cuidado no Escritório



Lembra daquele velho ditado: “Não confie

em estranhos?”.



Esta e a melhor forma de se tomar

cuidado.



Atenção estes cuidado não

servem somente para a internet

mas para a sua vida.



Obrigado

Links



http://gnvision.blogspot.com/2012/02/engenh

aria-social.html



http://idgnow.uol.com.br/seguranca/2011/09/

30/5-truques-de-engenharia-social-que-os-golpistas-usam-para-enganar-voce/



http://pt.wikipedia.org/wiki/Engenharia_social

_(seguran%C3%A7a_da_informa%C3%A7%

C3%A3o)



http://www.adorocinema.com/filmes/filme-35973/