24/02/2014. O verdadeiro objeto da engenharia social é a obtenção de vantagens.

Transcrição

1 Engenharia Social é o termo usado para definir o uso de persuasão por um hacker para influenciar as pessoas a concordar com um pedido de informação. O Termo Engenharia Social foi popularizado por Kevin Mitnick, criminoso computacional reformado e atualmente consultor de segurança nos Estados Unidos da América (É a Arte de Enganar ). Engenheiros sociais usam táticas para obter confiança, prestatividade e informações facilmente acessíveis usando de diversos ataques em escalas até seu objetivo final. O verdadeiro objeto da engenharia social é a obtenção de vantagens. O Engenheiro Social possui um perfil de pessoa agradável, agindo com educação, simpatia e carisma, sendo que suas principais características são a criatividade, flexibilidade e dinamismo. 1

2 Invasão tecnológica: é a aproximação por meio de enganar o usuário, e levá-lo a acreditar que está interagindo com um sistema eletrônico legítimo, e fazê-lo fornecer informações confidenciais. Por exemplo, uma janela Pop-up informando ao usuário que este precisa entrar novamente com sua identificação e senha: ao momento em que isto for feito, o dano está causado, e suas informações estão agora em posse do invasor. Invasão humana: é feita através de enganação, tomando vantagem da ignorância da vítima, e da inclinação natural do ser humano de ser agradável e prestativo, desejando ser admirado. Um invasor personifica uma pessoa de autoridade, solicitando ao funcionário de help desk que sua senha seja reformulada: o funcionário o faz, e passa a nova senha ao invasor, ignorante ao fato de que está colaborando com o ataque. Confiança - aproximação direta, especialidade técnica; Ajuda e Prestatividade - Aproximação direta, Voz de autoridade; Ganância - Cavalo-de-tróia, Corrente de ; Curiosidade - Cavalo-de-tróia, s com conteúdo malicioso; Medo de perder algo - Janela de Pop-up; Ignorância - Vasculhar Lixeira, Aproximação direta; Descuido - Espionagem, Vasculhar Lixeira, Bisbilhotar. 2

3 Um hacker que gasta diversas horas tentando romper senhas pode economizar um grande tempo simplesmente entrando em contato com um funcionário da empresa-alvo para obter as senhas. há seis tendências da natureza humana que são exploradas para extrair o consentimento sobre uma determinada solicitação: Argumentação: um Engenheiro Social utiliza-se de fatos, informações, e outras ferramentas para fazer com que sua mensagem seja aceita pelo alvo ou vítima. Obediência: ao Obedecer, as pessoas abandonam os julgamentos pessoais e cooperam com a figura de autoridade, havendo submissão diante de pressões externas. Ajuda: existem duas visões: Visão Empática - trata do fato de que o ser humano se coloca na posição da pessoa que requer, ou parece precisar de ajuda. A pessoa preocupa-se com o apelo do outro, e se sente angústiado. Visão da Solução do Problema - as pessoas querem ajudar (esforço, perigo, embaraço) e o ganho de benefícios, especialmente na questão da autoestima (aprovação, admiração). 3

4 Autoridade: quando alguém consegue passar a imagem de autoridade, as pessoas sentem-se intimidadas a obedecer mais, e agem de forma a mostrarem prestatividade com o objetivo inconsciente de ganhar recompensas, ou evitar punições. Afabilidade: o engenheiro social, pode passarse por uma pessoa agradável ou ainda com crenças e interesses semelhantes ao da vitima, para assim atacá-la, com isso fica muito mais fácil a sua solicitação ser atendida. Reciprocidade : podemos ter uma solicitação atendida automaticamente quando a pessoa recebe algo de valor ou pelo menos tem a promessa de recebimento de tal valor, este valor, pode ser um presente ou até mesmo segundo ele um conselho, o que ocorre é a inclinação a retribuir tal presente. Consistência: as pessoas tem a tendência a atender as solicitações assim que fazem um compromisso publico ou após adotar uma causa, (honrar o nosso comprometimento). Validade-Social: as pessoas tem a tendência a atender ou cooperar com as solicitações, quando essa solicitação esta de acordo com o que as demais pessoas fazem. Escassez: ao deparar com algo que encontra-se em escassez ou que haja uma disputa pelo mesmo, a uma grande tendência de cooperação. 4

5 Criação de uma situação onde o agressor deve ajudar o alvo. Exemplo: um agressor personificando um empregado da área de TI, que faria contato com o alvo avisando de uma futura falha ou período onde o sistema ou energia elétrica, estará inoperante. Depois, o agressor entrará em contato para supostamente verificar se tudo ocorreu bem para criar um vínculo de confiança através de s ou programas com conteúdo malicioso. A instalação de programas poderia ser parte de um upgrade. Persuasão e Argumentação Obediência e Autoridade Ajuda Autoridade Afabilidade Reciprocidade Consistência Validade-Social Escassez Abordagem Direta Vasculhando Lixeiras Espionagem Especialista Voz de Autoridade Cavalo-de-Tróia e Conteúdo Malicioso Pop-up 5

6 Abordagem Direta exemplo: observar por cima do ombro dos outros é algo tão simples, que ninguém espera que ocorra. Vasculhando Lixeiras - as organizações são em geral ignorantes para o lixo que produzem, e frequentemente não reconhecem o risco que este representa à sua segurança. Com um pedaço de papel com a marca d água de uma empresa, o agressor pode criar correspondências de propriedades quase legítimas. Espionagem e Bisbilhotagem - um espião pode descobrir senha apenas observando seu usuário enquanto este a digita, nas gavetas ou ouvindo conversas. Especialista Técnico o hacker pode personificar funcionários de áreas de suporte e manutenção. O intruso pode agir como se fizesse algum reparo, enquanto espiona por informações valiosas deixadas à solta. Voz de Autoridade - entrar em contato com alguma área de suporte, e pressionar o funcionário de hierarquia mais baixa a fornecer informações. Cavalo-de-Tróia - pode enviar conteúdo malicioso contido em mensagens de enviado a destinatários aleatórios. Janelas de Pop-up - gera uma janela de pop-up requerendo informações. Caso PayPal - serviço que intermédia pagamentos via cartão de crédito para lojas de E-commerce. Em 2002 clientes receberam e- mails solicitando que recadastrasse os dados de seus cartões de crédito, afirmando que a empresa possuía falhas de segurança em seus sistemas. Os s pareciam genuínos, com logotipos e letras genuínas. Quando os clientes enviavam as informações, no entanto, o agressor na verdade é que os coletava. 6

7 Teste de Segurança na Base Andersen - base da Força Aérea Norte americana, em 2010, teve de esclarecer um mal-entendido causado por um teste de segurança que utilizava um falso em sua rede. O dizia que a produção de um famoso filme de ação estava sendo iniciada em uma das bases da Força Aérea Americana, e que pilotos interessados em participar como atores coadjuvantes deveriam preencher um formulário. A medida que os pilotos respondiam ao chamado falso, as informações vazaram para o público sobre a especulação produção do filme. Estagiária de Enfermagem - em 2010 uma adolescente de 15 anos, que sequestrou um bebê recém-nascido de uma maternidade em São Paulo. A adolescente entrou no Hospital maternidade vestindo um jaleco branco, apresentando-se como uma estagiária de enfermagem. Não conseguiu informações no balcão de atendimento porque uma funcionária recusou os documentos. A garota foi até a maternidade e pegou um bebê que estava com a mãe, afirmando que levaria a criança para passar por exames, e que ela seria devolvida em breve. Seu pai à delegacia. s Falsos - é comum receber diversas comunicações maliciosas. Sejam estas propagandas, ou mensagem com objetivos mal intencionados, a cautela deve sempre estar presente ao lidar com o correio eletrônico. Alguns fazem se passar por empresas conhecidas como Correios, Receita federal, etc. 7

8 Utilizar a segurança combinada as políticas de segurança, que servem para definir as regras para o comportamento do empregado, não esquecendo a sua educação e treinamento (conscientização). Solicitar a identidade de quem a solicita informações; Verificar se uma pessoa tem mesmo a autoridade que informa ter durante uma determinada solicitação. Saber como tratar uma solicitação suspeita (para que departamento ou profissional relatar as tentativas de ataques ou ataques bem sucedidos); Sempre questionar todos que realizam solicitações suspeitas. Cada colaborador deve atender às políticas e também as implicações do seu não atendimento; Questionar pessoas sem identificação nas dependências da empresa, sem uso de identificações como por exemplo crachás; Eliminar corretamente os documentos ou mídias que armazenam ou armazenaram documentos confidenciais. Os crachás dos empregados devem ser criados para incluir uma foto grande que possa ser reconhecida à distância (inclusive para visitantes). Criar contas de convidados nos computadores. 8

9 O Fator Humano é O Elo mais fraco da Segurança ; O Risco jamais é eliminado por completo, apenas reduzido; As Políticas de Segurança, os Métodos e Práticas de Prevenção devem sempre ser adaptados às necessidades de cada organização; A Segurança deve ser um fator de constante preocupação, e ser tratado como um fator estratégico das organizações; 9