Desenvolvimento de Software
Seguro
Aula 6 – Engenharia Social
https://sites.google.com/site/thiagoaalves/
thiago.augusto2@anhanguera.com
Engenharia Social
Em Segurança da informação, chama-se
Engenharia Social as práticas utilizadas
para obter acesso a informações
importantes ou sigilosas em organizações
ou sistemas por meio da enganação ou
exploração da confiança das pessoas
Engenharia Social
Para isso, o golpista pode se passar por
outra pessoa, assumir outra
personalidade, fingir que é um profissional
de determinada área, etc. É uma forma de
entrar em organizações que não necessita
da força bruta ou de erros em máquinas.
Explora as falhas de segurança das
próprias pessoas que, quando não
treinadas para esses ataques, podem ser
facilmente manipuladas.
Engenharia Social
Engenharia social compreende a inaptidão
dos indivíduos manterem-se atualizados
com diversas questões pertinentes a
tecnologia da informação, além de não
estarem conscientes do valor da
informação que eles possuem e, portanto,
não terem preocupação em proteger essa
informação conscientemente
Engenharia Social
É importante salientar que, a engenharia
social é aplicada em diversos setores da
segurança da informação independente de
sistemas computacionais, software e ou
plataforma utilizada, o elemento mais
vulnerável de qualquer sistema de segurança
da informação é o ser humano, o qual
possui traços comportamentais e
psicológicos que o torna suscetível a ataques
de engenharia social. Dentre essas
Engenharia Social
Vaidade pessoal e/ou profissional: O ser humano costuma ser
mais receptivo a avaliação positiva e favorável aos seus objetivos,
aceitando basicamente argumentos favoráveis a sua avaliação
pessoal ou profissional ligada diretamente ao benefício próprio ou
coletivo de forma demonstrativa.
Autoconfiança: O ser humano busca transmitir em diálogos
individuais ou coletivos o ato de fazer algo bem, coletivamente ou
individualmente, buscando transmitir segurança, conhecimento,
saber e eficiência, buscando criar uma estrutura base para o início
de uma comunicação ou ação favorável a uma organização ou
individuo.
Formação profissional: O ser humano busca valorizar sua
formação e suas habilidades adquiridas nesta faculdade, buscando o
controle em uma comunicação, execução ou apresentação seja ela
profissional ou pessoal buscando o reconhecimento pessoal
inconscientemente em primeiro plano.
Vontade de ser útil : O ser humano, comumente, procura agir
Engenharia Social
Busca por novas amizades : O ser humano
costuma se agradar e sentir-se bem quando elogiado,
ficando mais vulnerável e aberto a dar informações.
Propagação de responsabilidade : Trata-se da
situação na qual o ser humano considera que ele não
é o único responsável por um conjunto de atividades.
Persuasão : Compreende quase uma arte a
capacidade de persuadir pessoas, onde se busca obter
respostas específicas. Isto é possível porque as
pessoas possuem características comportamentais
que as tornam vulneráveis a manipulação.
Engenharia Social
Ta já sabemos tudo isso, e só pesquisar no
google que se obtém estes resultados,
mas como e a Engenharia Social na
Engenharia Social
Trata de conhecer o perfil psicológico e
social das pessoas que se deseja atacar ao
invés de somente realizar ataques.
Engenharia Social
Conhecer a pessoa e meio caminho
andando para se conseguir descobrir as
informações necessárias.
Engenharia Social
Exemplo:
Vamos supor que o professor Thiago Alves
goste muito de Homem Aranha. Por
conhecer este perfil do professor podemos
supor que uma de suas senhas tem relação
com o Homem Aranha, ou mesmo uma
informação muito importante com relação
a sua vida tem ligação com o Homem
Engenharia Social
Alem disso podemos supor que todas as
senhas dele tem alguma ligação com
Homem Aranha.
Um fato comum e que as pessoas tem seu
conjunto de senhas ligados a um tema
especifico o que facilita muito a
Engenharia Social
Sabendo desta preferência, podemos “criar
um programa para hackear” as senhas dele
utilizando como base um banco de dados
Referencias ao Homem Aranha.
A base de dados vai conter informações
referentes ao Homem Aranha e isso
diminui bastante o tempo para poder
descobrir as preferencias.
Golpes mais Comuns
Existem alguns golpes que são bem
comuns aplicados as pessoas que não tem
um conhecimento tão grande de
segurança da informação.
Golpes mais Comuns
“Oi Fulano, Sou Cicrana estudamos
juntos e faz tempos que não nos
vemos veja algumas fotos atuais
minhas.”
“As fotos da ultima festa ficaram
ótimas baixe-as no link abaixo.”
“Somos do Banco XYZ, precisamos
atualizar seu cadastro, por favor
preencha as informações no link
abaixo.”
Golpes mais Comuns
Golpe das mídias sociais.
Você recebia em sua casa a seguinte
ligação telefônica “Bom dia, o negocio e o
seguinte sequestramos um membro X da
sua família, o nome dele e talz, ele tem os
seguintes amigos e estamos com ele, nada
vai acontecer com ele se você depositar a
quantia X na conta Y. ”
Golpes mais Comuns
Com o avança das mídias sociais este golpe
se tornou muito comum pelo fato de que as
pessoas postavam muitas informações
pertinentes nas mídias sociais e uma pessoa
mal intencionada poderia usar desta
informação para poder atacar a família da
vítima.
A família desesperada por não saber o que
fazer acabava se entregando ao bandido
realizando o deposito na conta bandido.
Golpes mais Comuns
Golpe Roubo do Cartão de Credito.
Antes quando os cartões de credito não tinha
as letras de verificação uma pessoa estava no
banco te observando, esta pessoa pode ter
uma boa percepção e com isso poderia
facilmente ver a sua senha numérica. Depois no
mesmo dia ou em outro dia ela poderia forjar
um “esbarrão” em você, com este “esbarrão”
ela conseguiria roubar seu cartão e com a sua
senha “fazer a limpa” na sua conta bancaria.
Normalmente se percebe quando e tarde
Golpes mais Comuns
Todos os golpes acima são os mais
comuns e por incrível que pareça muitas
pessoas caem nele por questões de
descuidado.
A imagem a seguir demonstra
normalmente como e associado estes
tipos de ataques no seu e-mail
Golpes mais Comuns
“Somos da equipe de suporte da Microsoft –
queremos ajudar” ("This is Microsoft support – we
want to help")
Um novo tipo de ataque tem atingido muitas pessoas
ultimamente. Ele começa com uma ligação telefônica em que
alguém afirma ser do serviço de suporte da Microsoft e diz
que está ligando por causa de um número anormal de erros
que teriam origem no seu computador.
“A pessoa do outro lado da linha diz que quer ajudar na
solução porque há uma falha e eles tem feito ligações para
usuários licenciados do Windows”. “Faz sentido; você é um
usuário licenciado do Windows, tem uma máquina com
Windows e ela quer provar isso para você.”
A pessoa que ligou diz para a vítima ir até o event log
(visualizador de eventos) da máquina e a acompanha pelos
passos até chegar ao log do sistema.
Golpes mais Comuns
“Todo usuário do Windows terá dezenas de erros neste log,
simplesmente porque acontecem pequenas coisas; um serviço
trava, algo não inicializa. Sempre existem erros”. “Mas quando um
usuário sem experiência abre isso e vê todos esses erros, parece
assustador.”
Nesse ponto, a vítima está desesperadamente pronta para fazer
qualquer coisa que o suposto funcionário do “suporte” pedir. O
engenheiro social então aconselha-os a ir até o site
Teamviewer.com, um serviço de acesso remoto que dá a ele
controle da máquina.
Uma vez que o cracker tiver acesso à máquina por meio do
Teamviewer, ele pode então instalar algum tipo de
rootkit
ou
outro tipo de malware que permitirá a ele ter acesso contínuo ao
sistema.
Curioso que este ataque não e voltado somente para o
Windows em si e tem aparecido para vários softwares
diferentes.
Golpes mais Comuns
“Faça uma doação para ajudar as vítimas do (alguma tragédia)!” ("Donate to the hurricane recovery efforts!")
Golpes de doações para caridade têm sido um problema há anos. A todo
momento temos desastres de grandes proporções no mundo, como o terremoto no Haiti ou tsunami no Japão, e os criminosos rapidamente entram no jogo e lançam sites falsos de doações. A melhor maneira de
evitar isso é indo a uma organização conhecida e de boa reputação, como a Cruz Vermelha, e iniciar o contato por conta própria se quiser fazer uma doação. No entanto, surgiu há pouco tempo um tipo particularmente desprezível de golpe de engenharia social direcionado para pessoas que possam ter perdido parentes ou amigos em desastres naturais.
Neste exemplo, entre 8 e 10 horas após o incidentes, o site aparece
dizendo ajudar a encontrar pessoas que possam ter desaparecido no desastre. Eles alegam ter acesso as bases de dados do governo e
informações de recuperação. Normalmente os engenheiros não pedem por informações financeiras, mas exigem nomes, endereços e informações de contato, como números de telefone e e-mail.
Golpes mais Comuns
“Enquanto você está esperando para ouvir sobre a pessoa,
recebe um pedido de doação para caridade”. “A pessoa da
suposta instituição de caridade normalmente vai iniciar uma
conversa e dizer que está coletando contribuições porque
tem uma relação mais passional com a causa porque perdeu
um membro da família em um desastre parecido.
Secretamente, eles sabem que a pessoa que contataram
também já perdeu alguém, e isso ajuda a criar uma suposta
camaradagem.”
Tocada pela pessoa que entrou em contato, a vítima então
oferece um número de cartão de crédito pelo telefone para
fazer a doação para "caridade".
“Agora eles tem seu endereço, seu nome, nome do seu
parente e também do seu cartão de crédito. Basicamente
todas as informações que eles precisam para cometer um
roubo de identidade”.
Golpes mais Comuns
“Sobre sua inscrição para a vaga de emprego...” ("About your job application...")
Tanto pessoas buscando empregos quanto empresas de recrutamento
estão sendo atacadas por engenheiros sociais.
“Esse é um golpe perigoso, para os dois lados”. “Seja a pessoa buscando
trabalho ou a companhia postando novas vagas, ambas as partes estão dizendo ‘estou disposto a aceitar arquivos anexos e informações de estranhos.”
De acordo com um alerta do FBI, mais de US$ 150 mil foram roubados de
uma empresa americana por meio de uma transferência não-autorizada como resultado de um e-mail com malware que a companhia recebeu a partir de uma oferta de emprego.
“O malware estava incorporado em um e-mail de resposta a uma vaga de
emprego que a companhia colocou em um site de recrutamento e
permitiu ao cracker conseguir as credenciais bancárias online da pessoa que estava autorizada a realizar transações financeiras na companhia”, afirma o aviso do FBI. “O invasor alterou as configurações da conta para permitir o envio de transferências protegidas, sendo uma para a Ucrânia e duas para contas domésticas.”
Golpes mais Comuns
“@pessoanoTwitter, o que você pensa sobre o que a Dilma disse sobre #desemprego? http://shar.es/HNGAt” ("@Twitterguy, what do you think about what Obama said on #cybersecurity?
http://shar.es/HNGAt")
Os engenheiros sociais estão observando o que as pessoas estão tuitando e
usando essa informação para realizar ataques que parecem mais críveis. Uma maneira disso acontecer é na forma de hashtags populares, de acordo com a companhia de segurança Sophos. Na verdade, o início da nova temporada da série “Glee” no começo deste mês na Inglaterra fez com que os
cibercriminosos “sequestrassem” a hashtag #gleeonsky por várias horas. A operadora de TV por assinatura Sky pagou para usar a hashtag como uma forme de divulgar a nova temporada, mas os spammers tomaram conta dela rapidamente e começaram a incorporar links maliciosos nos tuítes com o termo.
“Obviamente que os spammers podem escolher redirecionar para qualquer
site que quiserem uma vez que você tenha clicado no link”, afirma o consultor sênior de tecnologia da Sophos, Graham Cluley. “Poderia ser um site de
phishing desenvolvido para roubar suas credenciais no Twitter, uma farmácia falsa ou um site pornô.”
“Acho que veremos ainda mais ataques desse tipo em mídias sociais por causa
Golpes mais Comuns
“Saiba como ter mais seguidores no Twitter!” ("Get more
Twitter followers!")
A Sophos também faz um alerta sobre serviços que dizem
conseguir mais seguidores no Twitter. De acordo com Cluley, serão
cada vez mais comuns mensagens como “QUEREM MAIS
SEGUIDORES? EU VOU TE SEGUIR DE VOLTA SE VOCÊ ME
SEGUIR – (LINK)”.
Clicar nesse link leva o usuário para um serviço na web que
promete conseguir muitos novos seguidores.
O próprio Cluley criou uma conta teste para ver o que acontecia.
“As páginas pedem para você digitar seu nome de usuário e senha
do Twitter”, afirma Cluley em um post no blog sobre o
experimento. “Isso deveria fazer você sair correndo – por que um
site de terceiros deveria pedir suas credenciais? O que os donos
dessas páginas estão planejando fazer com seu nome de usuário e
senha? É possível confiar neles?”
Golpes mais Comuns
Cluley também colocou que o serviço admite não ser apoiado ou
afiliado ao Twitter, e que para usar o serviço, você precisar
autorizar o aplicativo a acessar sua conta. A essa altura, todas as
garantias de segurança e uso ético já eram, afirma o especialista. O
próprio Twitter avisa aos usuários para tomarem cuidado com
esses serviços em sua página de informações de ajuda.