Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Apostila - Aula 05 PDF

    Cargado por

    Daniel Eleno
    22 vistas7 páginas

    Título original

    Apostila - Aula 05.pdf

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    22 vistas7 páginas

    Apostila - Aula 05 PDF

    Cargado por

    Daniel Eleno

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 7

    Captulo 5 Levantamento de Informaes - 70

    Captulo 6

    Entendendo a Engenharia Social e o

    No-Tech Hacking

    6.1. Objetivos

    Entender o que Engenharia Social

    Entender o Dumpster Diving

    Entender os riscos associados Engenharia Social

    Entender as tcnicas de No-Tech Hacking


    Captulo 6 Entendendo a Engenharia Social e o No-Tech Hacking - 71

    6.2. O que Engenharia Social?

    Podemos considerar a engenharia social como a arte de enganar pessoas para


    conseguir informaes, as quais no deviam ter acesso.

    Muitas vezes empregados de uma empresa deixam escapar informaes


    sigilosas atravs de um contato via telefone ou mesmo conversando em locais
    pblicos como: corredores, elevadores e bares.

    Uma empresa pode ter os melhores produtos de segurana que o dinheiro


    pode proporcionar. Porm, o fator humano , em geral, o ponto mais fraco da
    segurana.

    No existe Patch para a burrice humana

    6.3. Tipos de Engenharia Social

    6.3.1. Baseada em pessoas


    As tcnicas de engenharia social baseada em pessoas possuem diversas
    caractersticas que so utilizadas para que o atacante consiga as informaes que
    deseja, dentre elas podemos citar:

    Disfarces

    Representaes

    Uso de cargos de alto nvel

    Ataques ao servio de Helpdesk

    Observaes

    6.3.2. Baseada em computadores


    Esses ataques so caracterizados por utilizarem tcnicas de ataque baseadas
    no desconhecimento do usurio com relao ao uso correto da informtica.
    Captulo 6 Entendendo a Engenharia Social e o No-Tech Hacking - 72

    Exemplos:

    Cavalos de Tria anexados a e-mails

    E-mails falsos

    WebSites falsos

    6.4. Formas de ataque

    6.4.1. Insider Attacks


    Insiders so pessoas de dentro da prpria organizao.

    O objetivos por detrs dos ataques de insiders podem ser vrios, desde
    descobrir quanto o colega do lado ganha, at conseguir acesso a informaes
    confidenciais de um projeto novo para vender ao concorrente de seu empregador.

    6.4.2. Roubo de identidade


    Atualmente, quando algum cria uma nova identidade baseando-se em
    informaes de outra pessoa, essa identidade chamada de laranja.

    Dentro de empresas, o roubo de credenciais, para acessar informaes que


    no esto acessveis a todos, um fato corriqueiro, que pode passar pelo simples
    shoulder surfing clonagem de ID Card.

    6.4.3. Phishing Scam


    uma forma de fraude eletrnica, caracterizada por tentativas de adquirir
    informaes sigilosas, ou instalar programas maliciosos na mquina alvo.

    Na prtica do Phishing surgem artimanhas cada vez mais sofisticadas para


    "pescar" (do ingls fish) as informaes sigilosas dos usurios.
    Captulo 6 Entendendo a Engenharia Social e o No-Tech Hacking - 73

    6.4.4. URL Obfuscation


    Tcnica utilizada para diminuir o tamanho de URL's muito grandes.

    Exemplos de servios:

    migre.me

    okm.me

    digi.to

    Isso pode ser utilizado para ocultar URL com parmetros ou tags maliciosos,
    como tags de javascript para ataques de XSS, por exemplo.

    6.4.5. Dumpster Diving


    o ato de vasculhar lixeiras em busca de informaes.

    Todos os dias so jogados no lixo de empresas vrios documentos por terem


    perdido sua utilidade. Os atacantes podem aproveitar essas informaes e us-las
    para um ataque.

    6.4.6. Persuaso
    Os prprios hackers vem a engenharia social de um ponto de vista
    psicolgico, enfatizando como criar o ambiente psicolgico perfeito para um ataque.
    Os mtodos bsicos de persuaso so: personificao, insinuao, conformidade,
    difuso de responsabilidade e a velha amizade.

    Independente do mtodo usado, o objetivo principal convencer a pessoa que


    dar a informao, de que o engenheiro social de fato uma pessoa a quem ela pode
    confiar as informaes prestadas. Outro fator importante nunca pedir muita
    informao de uma s vez e sim perguntar aos poucos e para pessoas diferentes, a
    fim de manter a aparncia de uma relao confortvel.
    Captulo 6 Entendendo a Engenharia Social e o No-Tech Hacking - 74

    6.5. Engenharia Social Reversa

    Um mtodo mais avanado de conseguir informaes ilcitas com a


    engenharia social reversa. Isto ocorre quando o atacante cria uma personalidade que
    aparece numa posio de autoridade, de modo que todos os usurios lhe pediro
    informao. Se pesquisados, planejados e bem executados, os ataques de engenharia
    social reversa permitem extrair dos funcionrios informaes muito valiosas;
    entretanto, isto requer muita preparao e pesquisa.

    Os trs mtodos de ataques de engenharia social reversa so, sabotagem,


    propaganda e ajuda. Na sabotagem, o hacker causa problemas na rede, ento divulga
    que possui a soluo para este, e se prope a solucion-lo. Na expectativa de ver a
    falha corrigida, os funcionrios passam para o hacker todas as informaes por ele
    solicitadas. Aps atingir o seu objetivo, o hacker elimina a falha e a rede volta
    funcionar normalmente. Resolvido o problema os funcionrios sentem-se satisfeitos e
    jamais desconfiaro que foram alvos de um hacker.

    A melhor referncia que atualmente temos sobre engenharia social, o site do


    projeto Social Engineering Framework. Para maiores informaes acessem:

    http://www.social-engineer.org/framework/Social_Engineering_Framework

    6.6. No Tech Hacking

    Todo e qualquer tipo de ataque que no tenha necessidade de aparatos


    tecnolgicos, nem computadores, so considerados no tech hackings.

    Esse mtodo normalmente utilizado para testar a segurana fsica de uma


    empresa ou organizao, englobando inclusive a engenharia social.

    Podemos citar como tipos de ataques no tech:

    dumpster diving
    Captulo 6 Entendendo a Engenharia Social e o No-Tech Hacking - 75

    shoulder surfing

    lock picking

    tailgating

    6.7. Contramedidas

    Mantenha protegido, no trabalhe em assuntos privados em locais


    pblicos.

    Faa o descarte seguro de documentos.

    Utilize fechaduras e trancas de boa qualidade e comprovado nvel de


    segurana.

    Mantenha bolsas e documentos pessoais em segurana.

    Teste constantemente seus dispositivos de segurana, cmeras e


    detectores de movimento.

    Tenha cuidado com Shoulder Surfer's.

    Bloqueie o tailgating.

    Mantenha-se atento aos engenheiros sociais.

    D treinamento adequado aos funcionrios, principalmente os da rea


    de segurana.

    6.8. Exerccio terico

    Elabore abaixo um script de ataque de engenharia social para conseguir a


    senha de um usurio.

    __________________________________________________________________________
    Captulo 6 Entendendo a Engenharia Social e o No-Tech Hacking - 76

    __________________________________________________________________________

    __________________________________________________________________________

    __________________________________________________________________________

    __________________________________________________________________________

    __________________________________________________________________________

    __________________________________________________________________________

    __________________________________________________________________________

    __________________________________________________________________________

    También podría gustarte