• Nenhum resultado encontrado

24/02/2014. O verdadeiro objeto da engenharia social é a obtenção de vantagens.

N/A
N/A
Info
Descarregar agora
Protected

Academic year: 2021

Share "24/02/2014. O verdadeiro objeto da engenharia social é a obtenção de vantagens."

Copied!
9
0
0

Carregando.... (Ver texto completo agora)

Descarregar agora ( 9 páginas )

Texto

(1)

“Engenharia Social” é o termo usado para definir o uso de persuasão por um hacker para influenciar as pessoas a concordar com um pedido de informação.

O Termo “Engenharia Social” foi popularizado por Kevin Mitnick, criminoso computacional reformado e atualmente consultor de segurança nos Estados Unidos da América (É a “Arte de Enganar”) .

Engenheiros sociais usam táticas para obter confiança, prestatividade e informações facilmente acessíveis usando de diversos ataques em escalas até seu objetivo final.

O verdadeiro objeto da engenharia social é a obtenção de vantagens.

O Engenheiro Social possui um perfil de pessoa agradável, agindo com educação, simpatia e carisma, sendo que suas principais características

(2)

Invasão tecnológica: é a aproximação por meio de enganar o usuário, e levá-lo a acreditar que está interagindo com um sistema eletrônico legítimo, e fazê-lo fornecer informações confidenciais. Por exemplo, uma janela “Pop-up” informando ao usuário que este precisa entrar novamente com sua identificação e senha: ao momento em que isto for feito, o dano está causado, e suas informações estão agora em posse do invasor.

Invasão humana: é feita através de enganação, tomando vantagem da ignorância da vítima, e da inclinação natural do ser humano de ser agradável e prestativo, desejando ser admirado.

Um invasor personifica uma pessoa de autoridade, solicitando ao funcionário de help desk que sua senha seja reformulada: o funcionário o faz, e passa a nova senha ao invasor, ignorante ao fato de que está colaborando com o ataque”.

Confiança

-

aproximação direta, especialidade

técnica

;

Ajuda e Prestatividade

-

Aproximação direta, Voz

de autoridade

;

Ganância

-

Cavalo-de-tróia, Corrente de E-mail;

Curiosidade

-

Cavalo-de-tróia, E-mails com

conteúdo malicioso;

Medo de perder algo

-

Janela de Pop-up;

Ignorância - Vasculhar Lixeira, Aproximação

(3)

Um hacker que gasta diversas horas

tentando romper senhas pode

economizar um grande tempo

simplesmente entrando em contato

com um funcionário da empresa-alvo

para obter as senhas.

há seis tendências da natureza humana que são

exploradas para extrair o consentimento sobre uma determinada solicitação:

◦Argumentação: um Engenheiro Social utiliza-se

de fatos, informações, e outras ferramentas para fazer com que sua mensagem seja aceita pelo alvo ou vítima.

◦Obediência: ao Obedecer, as pessoas

abandonam os julgamentos pessoais e

cooperam com a figura de autoridade, havendo submissão diante de pressões externas.

◦Ajuda: existem duas visões:

Visão Empática - trata do fato de que o ser humano se coloca na posição da pessoa que requer, ou parece precisar de ajuda. A pessoa preocupa-se com o apelo do outro, e se sente angústiado.

Visão da Solução do Problema - as pessoas querem ajudar (esforço, perigo, embaraço) e o ganho de benefícios, especialmente na questão da autoestima (aprovação, admiração).

(4)

◦Autoridade: quando alguém consegue passar a imagem de autoridade, as pessoas sentem-se intimidadas a obedecer mais, e agem de forma a mostrarem prestatividade com o objetivo inconsciente de ganhar recompensas, ou evitar punições.

◦Afabilidade: o engenheiro social, pode

passar-se por uma pessoa agradável ou ainda com crenças e interesses semelhantes ao da vitima, para assim atacá-la, com isso fica muito mais fácil a sua solicitação ser atendida.

◦Reciprocidade : podemos ter uma solicitação

atendida automaticamente quando a pessoa recebe algo de valor ou pelo menos tem a promessa de recebimento de tal valor, este valor, pode ser um presente ou até mesmo segundo ele um conselho, o que ocorre é a inclinação a retribuir tal presente.

◦Consistência: as pessoas tem a tendência a

atender as solicitações assim que fazem um compromisso publico ou após adotar uma causa, (honrar o nosso comprometimento).

◦Validade-Social: as pessoas tem a tendência a

atender ou cooperar com as solicitações, quando essa solicitação esta de acordo com o que as demais pessoas fazem.

◦Escassez: ao deparar com algo que encontra-se

em escassez ou que haja uma disputa pelo mesmo, a uma grande tendência de cooperação.

(5)

Criação de uma situação onde o agressor deve ajudar o alvo.

Exemplo: um agressor personificando um

empregado da área de TI, que faria contato com o alvo avisando de uma futura falha ou período onde o sistema ou energia elétrica, estará inoperante.

Depois, o agressor entrará em contato para

supostamente verificar se tudo ocorreu bem para criar um vínculo de confiança através de e-mails ou programas com conteúdo malicioso. A instalação de programas poderia ser parte de um upgrade. Persuasão e Argumentação Obediência e Autoridade Ajuda Autoridade Afabilidade Reciprocidade Consistência Validade-Social Escassez Abordagem Direta Vasculhando Lixeiras Espionagem Especialista Voz de Autoridade Cavalo-de-Tróia e Conteúdo Malicioso Pop-up

(6)

Abordagem Direta – exemplo: observar por cima do ombro dos outros é algo tão simples, que ninguém espera que ocorra.

Vasculhando Lixeiras - as organizações são em

geral ignorantes para o lixo que produzem, e frequentemente não reconhecem o risco que este representa à sua segurança. Com um pedaço de papel com a marca d’água de uma empresa, o agressor pode criar correspondências de propriedades quase legítimas.

Espionagem e Bisbilhotagem - um espião pode

descobrir senha apenas observando seu usuário enquanto este a digita, nas gavetas ou ouvindo conversas.

Especialista Técnico – o hacker pode personificar

funcionários de áreas de suporte e manutenção. O intruso pode agir como se fizesse algum reparo, enquanto espiona por informações valiosas deixadas à solta.

Voz de Autoridade - entrar em contato com

alguma área de suporte, e pressionar o funcionário de hierarquia mais baixa a fornecer informações.

Cavalo-de-Tróia - pode enviar conteúdo

malicioso contido em mensagens de e-mail enviado a destinatários aleatórios.

Janelas de Pop-up - gera uma janela de pop-up

requerendo informações.

Caso PayPal - serviço que intermédia

pagamentos via cartão de crédito para lojas de E-commerce. Em 2002 clientes receberam e-mails solicitando que recadastrasse os dados de seus cartões de crédito, afirmando que a empresa possuía falhas de segurança em seus sistemas.

Os e-mails pareciam genuínos, com logotipos e

letras genuínas.

Quando os clientes enviavam as informações, no

entanto, o agressor na verdade é que os coletava.

(7)

Teste de Segurança na Base Andersen - base da Força Aérea Norte americana, em 2010, teve de esclarecer um mal-entendido causado por um teste de segurança que utilizava um e-mail falso em sua rede.

O E-mail dizia que a produção de um famoso

filme de ação estava sendo iniciada em uma das bases da Força Aérea Americana, e que pilotos interessados em participar como atores

coadjuvantes deveriam preencher um formulário.

A medida que os pilotos respondiam ao chamado

falso, as informações vazaram para o público sobre a especulação produção do filme.

Estagiária de Enfermagem - em 2010 uma

adolescente de 15 anos, que sequestrou um bebê recém-nascido de uma maternidade em São Paulo. A adolescente entrou no Hospital

maternidade vestindo um jaleco branco, apresentando-se como uma estagiária de enfermagem. Não conseguiu informações no balcão de atendimento porque uma funcionária recusou os documentos. A garota foi até a maternidade e pegou um bebê que estava com a mãe, afirmando que levaria a criança para passar por exames, e que ela seria devolvida em breve. Seu pai à delegacia.

E-mails Falsos - é comum receber diversas

comunicações maliciosas. Sejam estas

propagandas, ou mensagem com objetivos mal intencionados, a cautela deve sempre estar presente ao lidar com o correio eletrônico.

Alguns fazem se passar por empresas

(8)

Utilizar a segurança combinada as políticas de segurança, que servem para definir as regras para o comportamento do empregado, não esquecendo a sua educação e treinamento (conscientização).

Solicitar a identidade de quem a solicita

informações;

Verificar se uma pessoa tem mesmo a autoridade

que informa ter durante uma determinada solicitação.

Saber como tratar uma solicitação suspeita (para

que departamento ou profissional relatar as tentativas de ataques ou ataques bem sucedidos);

Sempre questionar todos que realizam

solicitações suspeitas.

Cada colaborador deve atender às políticas e

também as implicações do seu não atendimento;

Questionar pessoas sem identificação nas

dependências da empresa, sem uso de identificações como por exemplo crachás;

Eliminar corretamente os documentos ou mídias

que armazenam ou armazenaram documentos confidenciais.

Os crachás dos empregados devem ser criados

para incluir uma foto grande que possa ser reconhecida à distância (inclusive para

(9)

• O Fator Humano é “O Elo mais fraco da Segurança”;

• O Risco jamais é eliminado por completo, apenas reduzido;

• As Políticas de Segurança, os Métodos e Práticas de Prevenção devem sempre ser adaptados às necessidades de cada organização;

• A Segurança deve ser um fator de constante preocupação, e ser tratado como um fator estratégico das organizações;

Referências

Descarregar agora ( PDF - 9 páginas - 399.58 KB )

Documentos relacionados

“UM GOVERNO REVOLUCIONÁRIO POSSUI OS PODERES QUE QUER POSSUIR”: A TEORIA PURA DO DIREITO ENQUANTO TEORIA DA VIOLÊNCIA DIANTE DA ASSEMBLEIA NACIONAL CONSTITUINTE BRASILEIRA DE 1933/34 - DOI: 10.12818/P.0304-2340.2014v64p49

5 “A Teoria Pura do Direito é uma teoria do Direito positivo – do Direito positivo em geral, não de uma ordem jurídica especial” (KELSEN, Teoria pura do direito, p..

AS EMPRESAS MILITARES PRIVADAS E O PEACEKEEPING

Podem treinar tropas (fornecidas pelo cliente) ou levá-las para combate. Geralmente, organizam-se de forma ad-hoc, que respondem a solicitações de Estados; 2)

Revista de Biologia e Ciências da Terra ISSN: Universidade Estadual da Paraíba Brasil

Este trabalho buscou, através de pesquisa de campo, estudar o efeito de diferentes alternativas de adubações de cobertura, quanto ao tipo de adubo e época de

DE NOVO, SOB OS OLHOS DO MERCADO

No entanto, maiores lucros com publicidade e um crescimento no uso da plataforma em smartphones e tablets não serão suficientes para o mercado se a maior rede social do mundo

SABER POPULAR: (RE)CONHECENDO ALGUMAS PLANTAS NATIVAS COM POTENCIAL FITOTERÁPICO NO CERRADO EM IPAMERI (GO)

O objetivo do curso foi oportunizar aos participantes, um contato direto com as plantas nativas do Cerrado para identificação de espécies com potencial

A família Malpighiaceae em uma área de savana em Roraima, Brasil

esta espécie foi encontrada em borda de mata ciliar, savana graminosa, savana parque e área de transição mata ciliar e savana.. Observações: Esta espécie ocorre

MECANISMO ANTI-SPAM BASEADO EM AUTENTICAÇÃO E REPUTAÇÃO. Danilo Michalczuk Taveira

O valor da reputação dos pseudônimos é igual a 0,8 devido aos fal- sos positivos do mecanismo auxiliar, que acabam por fazer com que a reputação mesmo dos usuários que enviam

Análise de eficiência da metodologia TPM aplicada em uma cervejaria com problemas na recravadeira de latas

Esta pesquisa discorre de uma situação pontual recorrente de um processo produtivo, onde se verifica as técnicas padronizadas e estudo dos indicadores em uma observação sistêmica