Engenharia Social TI

Tcnicas de Engenharia Social
TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.
Termo de Iseno de Responsabilidade

A TI Safe, seus colaboradores e executivos, no se responsabilizam pelo mal uso das informaes aqui prestadas. Aproveite esta apresentao para ampliar seus conhecimentos em Segurana da Informao. Use com responsabilidade.
www.tisafe.com
No precisa copiar...
Apresentao no site: www.tisafe.com/ppt
www.tisafe.com
Agenda
Engenharia Social
Definies O Engenheiro Social Tipologia dos atacantes
Riscos Segurana da Informao O Fator Humano Por que a Engenharia Social funciona? Seqncia de um ataque
Levantamento de dados da vtima
Tipos de Ataque
Ataques no Mundo Real Ataques pela Internet
Defesas contra ataques de Eng. Social
www.tisafe.com
Definies
Tentativas, com sucesso ou no, de influenciar pessoas em revelar informaes ou agir de uma determinada maneira que resulte em acesso no autorizado a, ou uso no autorizado de, ou liberao no autorizada de um sistema, rede ou dados CISSP Official Guide
A arte de fazer com que pessoas faam coisas que normalmente no fariam para um estranho e sendo pago para fazer isto Kevin D. Mitnick
www.tisafe.com
O Engenheiro Social
Ataca o lado mais fraco do sistema Torna-se confivel Passa-se por um colega de trabalho que nunca foi visto, secretrio de um superior... Mistura em seu questionrio perguntas inofensivas para no levantar suspeitas (parte do princpio que para saber, basta perguntar na maioria das vezes) Mais do que uma pessoa de tecnologia, um mestre nas relaes interpessoais
www.tisafe.com
Tipologia dos atacantes
www.tisafe.com
Quem pode atacar a rede?
www.tisafe.com
Agenda
Engenharia Social
Tipos de Ataque
www.tisafe.com
Relatrio do Gartner, 2005
www.tisafe.com
Impacto das violaes de segurana
www.tisafe.com
Pesquisa do CSI/FBI 2005
www.tisafe.com
Vulnerabilidades de rede
www.tisafe.com
Agenda
Engenharia Social
Tipos de Ataque
www.tisafe.com
Pessoas confiam demais...
www.tisafe.com
O elo mais fraco das empresas: o fator humano
O Fator humano o elo mais fraco da segurana Na maioria dos casos, os engenheiros sociais s precisam pedir as senhas s pessoas corretas De nada adiantam investimentos em solues de segurana se no treinarmos os funcionrios contra engenharia social Objetivo de um engenheiro social: encontrar um modo de enganar um usurio de confiana para que ele revele informaes ou... Enganar algum importante para que ele fornea o acesso desejado
www.tisafe.com
Agenda
Engenharia Social
Tipos de Ataque
www.tisafe.com
Por que a Engenharia Social funciona?

Natureza Humana Ambiente de Trabalho
www.tisafe.com
Natureza Humana
Pessoas confiam e cooperam por natureza Quase toda pessoa pode ser influenciada a agir de uma maneira especfica e divulgar informaes Pessoas que possuem autoridade (ou aparentam possuir) intimidam outras pessoas
www.tisafe.com
Ambiente de Trabalho
Constantes fuses e aquisies de empresas e avanos na tecnologia facilitam a engenharia social nas empresas Hoje pessoas trabalham em cooperao com outras que nunca viram pessoalmente atravs de SKYPE, MSN e outros
www.tisafe.com
Agenda
Engenharia Social
Tipos de Ataque
www.tisafe.com
Sequncia de um ataque
www.tisafe.com
Selecionando Alvos
www.tisafe.com

To importante quanto o ataque saber como faz-lo e contra quem O que procurar? Nomes de domnios e endereos IP Servios disponveis Arquitetura da rede Mecanismos de controle de acesso Sistemas de deteco de intrusos (IDSs) Listagem de usurios, logins, senhas e permisses Mecanismos de autenticaes (VPNs, Intranets...)
www.tisafe.com
whois
Cadastro dos registros de endereos eletrnicos D as seguintes informaes do registrado: Nome do domnio Razo social ou nome Registro (CNPJ, CPF...) Endereo completo Telefone Status do servidor DNS Contato do administrador
www.registro.br www.arin.net/whois*
www.tisafe.com
Telelistas e 102 Telemar
www.tisafe.com
www.tisafe.com
www.tisafe.com
www.tisafe.com
Orkut
www.tisafe.com
Orkut
www.tisafe.com
Perigos do Orkut
Responsabilidade Legal: se um desconhecido obtiver acesso sua senha e seu perfil, poder agir em seu nome, enviando mensagens, criando comunidades e assim, podendo cometer crimes de apologia s drogas, pedofilia ou ainda crime de racismo e muitos outros. Roubo de Identidade: sem a existncia de processos fortes de identificao e autenticao de novos usurios quando da criao de novos perfis e comunidades, nada impede que algum crie um novo perfil copiando e utilizando suas fotos, seu nome, seus dados pessoais e detalhes de sua vida acessveis atravs do perfil verdadeiro. Crime Contra a Honra: ainda de posse de acesso edio de seu perfil, o fraudador pode se inserir em comunidades que indiquem distrbios de comportamento, opes sexuais, gostos duvidosos e assim, associar voc a interesses que influenciem no julgamento que seus amigos fazem de voc e de sua honra.
www.tisafe.com
Perigos do Orkut (cont.)

Chantagem: expondo detalhes demais de sua vida e de sua famlia, voc pode estar potencializando os golpes de chantagem, seqestro falso ou qualquer outro em que conhecer o nome de seus familiares ou simplesmente onde passou suas ltimas frias, poder faz-lo acreditar na veracidade do golpe e assim, ser alvo fcil. Fraude Financeira: em funo do conceito primrio da rede de herana de confiana entre amigos, onde o amigo de um grande amigo seu passa a ter, supostamente, a sua confiana, voc poder ser levado a acreditar cegamente nele, sem, no entanto se lembrar de que no existe nenhum critrio srio de avaliao e aceitao de amigos na rede. Desta forma, pedidos falsos de ajuda financeira, caridade ou qualquer outro passam a ter grandes ndices de aceitao. Phishing: a rede de relacionamentos pode at nem ser o ambiente de um golpe, mas sim uma fonte de informaes valiosas para viabilizar outros golpes como o phising via email. Um email de phishing com um link falso mencionando dados e fatos pessoais ser sem dvida muito mais eficaz ao persuadi-lo.
www.tisafe.com
Sites com baixa proteo a dados de usurios
www.tisafe.com
Pesquisa por Currculos
www.tisafe.com
Dados completamente expostos...
www.tisafe.com
Agenda
Engenharia Social
Tipos de Ataque
www.tisafe.com
Ataques de Engenharia Social
www.tisafe.com
Ataques no mundo real

Ataques por Ego Ataques por Simpatia Ataques por Intimidao Anlise do Lixo Invaso de Instalaes
www.tisafe.com
Ataques por Ego

O atacante apela para as caractersticas humanas mais bsicas, o ego e a vaidade O atacante se coloca como um receptivo ouvinte que as vtimas possuem para mostrar o quanto sabem As vtimas normalmente so pessoas que se sentem desvalorizadas na empresa Na maioria dos casos, as vtimas no tem idia de que fizeram algo errado
www.tisafe.com
Estudo de caso: O Caa Promoes

O Invasor entra numa empresa dizendo ter uma reunio marcada com um funcionrio (que ele j sabe o nome, pesquisado anteriormente) Elogia o trabalho da secretria que o recebeu e a faz perceber o quanto til Se aproveitando deste elogio, pede secretria para usar a Internet da sala de reunio A secretria permite e, em menos de 15 minutos, ele j havia roubado os dados da empresa que precisava
www.tisafe.com
Ataques por Simpatia

O atacante finge ser um funcionrio camarada (usualmente um recm-contratado), um tercerizado, ou um novo empregado de um parceiro estratgico da empresa, que aparenta estar com um problema real e precisa de ajuda imediata para tarefas que tem que ser realizadas com urgncia. O senso de urgncia normalmente parte do cenrio pois isto fornece a desculpa para que os procedimentos corretos de segurana sejam burlados por seus amigos de trabalho.
www.tisafe.com
Estudo de caso: Obtendo o nmero do carto

O Invasor liga para a vtima pedindo ajuda e dizendo ser um amigo da outra filial da mesma empresa Repete os pedidos de ajuda por vrias vezes, sempre sendo muito amistoso e agradvel Inventa um acidente que deixou sua empresa sem Internet e acesso ao banco de dados de clientes Pede para que a amiga da outra loja verifique os dados de um cliente especfico (a vtima) e ela lhe passa todos os dados, inclusive o nmero do carto de crdito
www.tisafe.com
Ataques por Intimidao

O atacante finge ser uma pessoa com autoridade na empresa, ou uma pessoa influente na organizao ou, em alguns casos, um agente da lei O Atacante cria razes plausveis para fazer algum tipo de pedido como reinicializao de senha, alteraes em contas de usurios, acesso a sistemas ou a informaes sensveis Se o atacante for encarado com resistncia pela vtima, ele tentar intimid-lo com sanes contra ela, seja a demisso ou a priso.
www.tisafe.com
Estudo de caso: O Sr. BIGG quer isso!

O Invasor liga para um funcionrio da empresa-alvo dizendo ser de uma empresa de consultoria subcontratada O Invasor pede ao funcionrio o envio, com mxima urgncia, de um relatrio sigiloso, e informa que este um pedido do CEO da empresa O Funcionrio, com medo de no atender a um pedido do CEO, entrega o relatrio pedido
www.tisafe.com
Anlise do Lixo
A Maioria das pessoas no d ateno para aquilo que esto descartando Relatrios, contas pessoais, senhas, anotaes de tarefas e relacionadas com o trabalho, tudo descartado Os empregados tem que ter conscincia que invasores olham o lixo para obter informaes com as quais possam se beneficiar
www.tisafe.com
Anlise do Lixo
O Lixo de uma empresa pode guardar documentos com informaes sensveis. No caso foi encontrado papel com usurio e senha anotados
www.tisafe.com
Caso real: Anlise de Lixo
www.tisafe.com
Senhas anotadas
www.tisafe.com
1/3 dos funcionrios anotam senhas
www.tisafe.com
Invaso de instalaes
possvel usar truques da engenharia social para invadir instalaes fsicas de empresas Neste caso o invasor se faz passar por um funcionrio da empresa de forma to convincente que at mesmo as pessoas que se preocupam com segurana so enganadas Ex-funcionrios podem guardar credenciais que os permitam entrar de novo na empresa A Invaso tambm pode ser feita atravs de empresas terceiras (limpeza, consultores, etc)
www.tisafe.com
Caso real: Invaso de Instalaes
www.tisafe.com
Ataques pela Internet

Ataques por Vrus Ataques por SCAM Ataques por Chat Ataques pelo Orkut
www.tisafe.com
Ataques por Vrus

Normalmente feitos atravs de e-mail ou via servio de troca instantnea de mensagens (MSN, Skype, etc) O texto da mensagem procura atrair a ateno, seja por curiosidade, por caridade ou pela possibilidade de obter alguma vantagem (normalmente financeira) O texto da mensagem tambm pode indicar que a no execuo dos procedimentos descritos acarretaro conseqncias mais srias, como, a incluso do nome no SPC/SERASA, o cancelamento de um cadastro, da conta bancria ou do carto de crdito, etc. A mensagem, ento, procura induzir a vtima a clicar em um link, para baixar e abrir/executar um arquivo que instalar o vrus ou keylogger em seu computador. A maioria dos ataques por vrus faz uso de uma tcnica comum entre hackers que visa embutir arquivos dentro de outros, o Additional Data Stream
www.tisafe.com
Tcnica Additional Data Stream (ADS)

As Additional Data Streams so tambm conhecidas como Alternate Data Streams e Multiple Data Streams. Elas foram criadas originalmente para que dados para a descrio dos arquivos [Meta Data] pudessem ser inseridos facilmente no disco. Elas esto disponveis em qualquer disco formatado com o NTFS, deste modo nada do que est aqui se aplica para FAT ou para Windows 9x/ME. Cada arquivo ou pasta, que est presente na Stream principal, pode possuir vrias streams adicionais.
Cada stream adicional tem um nome, que pode ser qualquer coisa.
www.tisafe.com
ADS no Windows
O Windows cria ADS quando voc insere dados de descrio no arquivo. Clique com o boto direito em qualquer arquivo, ento clique em Propriedades e procure pela aba Resumo.
www.tisafe.com
ADS na Prtica
Crie uma pasta com o nome de Streams na sua unidade C:\. Agora abra um Prompt de Comando e digite o seguinte: CD C:\streams Depois de cada comando, aperte a tecla ENTER para confirmar. Voc deve estar agora na pasta C:\streams>. Digite o seguinte comando: echo conteudo normal > ads.txt Agora abra o arquivo C:\streams\ads.txt no Bloco de Notas. Voc deve ver o conteudo normal na tela. Feche o Bloco de Notas e volte para o Prompt de Comando e digite: dir
Temos o ads.txt com 18 bytes
www.tisafe.com
ADS na Prtica (Cont.)

Agora digite o seguinte comando no Prompt: echo conteudo em ads > ads.txt:simples Os dois pontos separam o nome do arquivo do nome da ADS. No nosso caso, criamos uma stream adicional com o nome de simples. Agora o arquivo ads.txt possui uma stream chamada simples ligada a ele. Abra novamente o arquivo no Bloco de Notas e voc deve ver somente o conteudo normal ainda. Digite novamente o comando dir: dir
Sim, 18 bytes. O tamanho do arquivo ainda no foi modificado.
www.tisafe.com
ADS na Prtica (Cont.)

Agora tente o seguinte comando no Prompt: more < ads.txt:simples
Isso mesmo! Voc tem o contedo da sua ADS, simples, na tela. Se voc olhar no Windows Explorer no poder ver qualquer diferena se o arquivo possui ou no um ADS, sendo necessrio apagar o ads.txt para remover a stream.
www.tisafe.com
ADS na Prtica (Final)

Note que as ADS podem possuir mais do que texto, inclusive, cdigo executvel (programas). Como o Windows no possui nenhum programa para lidar com ADS, trojans comearam a utilizar ADS para dificultar sua remoo, assim se adicionando como ADS em arquivos cruciais ao Windows. Desta forma no basta apenas remover o arquivo infectado, necessrio o uso de ferramentas adicionais, o que aumenta o trabalho e o tempo gastos para a resoluo do problema.
www.tisafe.com
Caso real de ataque por Vrus
www.tisafe.com
Ataques por SCAM

O scam (ou "golpe") qualquer esquema ou ao enganosa e/ou fraudulenta que, normalmente, tem como finalidade obter vantagens financeiras. O Atacante faz uso de ferramentas de fake mail, ou contas de usurios falsos
www.tisafe.com
Fake Mail
a tcnica de se enviar e-mails falsos se fazendo passar por outra pessoa. Pode ser realizado por clientes instalados na mquina ou atravs de web sites Geralmente, o servidor de envio de e-mails de um provedor (SMTP) faz algumas checagens antes de enviar um e-mail. Checa se o endereo IP realmente pertence ao provedor e se a pessoa que est mandando a mensagem est conectada ali ( raro servidores de envio de e-mail suportarem relay, que permitir que pessoas de fora do provedor consigam mandar mensagens). Existem servidores SMTP que permitem relay, e ainda garantem o anonimato. uma questo de pesquisar.
www.tisafe.com
Fraude de antecipao de pagamentos (FAP)

Neste ataque, a vtima recebe um e-mail em nome de uma instituio governamental (por exemplo, o Banco Central) de um pas distante Neste email solicitado que a vtima atue como intermedirio em uma transferncia internacional de fundos O valor mencionado na mensagem normalmente corresponde a dezenas ou centenas de milhes de dlares Como recompensa, a vtima ter direito de ficar com uma porcentagem (normalmente alta) do valor mencionado Para completar a transao solicitado que seja pago antecipadamente uma quantia para arcar com taxas de transferncia de fundos e custos com advogados
www.tisafe.com
Exemplo de FAP I
www.tisafe.com
Exemplo de FAP II
www.tisafe.com
FAP por carta

Nova vertente do ataque de FAP A vtima recebe uma carta com instrues para acesso site na Web e depsito do dinheiro
www.tisafe.com
Levantamento de dados por Auto-Reply
www.tisafe.com
Ataques por CHAT
www.tisafe.com
Ataques pelo Orkut

Ataques via Orkut so cada dia mais frequentes Criminosos usam a ingenuidade e simpatia do Brasileiro para prtica de fraudes Mensagens falsas com links para sites com vrus e malwares so colocadas como scraps no Orkut das vtimas
www.tisafe.com
Agenda
Engenharia Social
Tipos de Ataque
www.tisafe.com
Defesas contra ataques de Engenharia Social

Mecanismos de defesas so divididos em 3 categorias: Segurana Fsica Segurana Lgica Segurana Administrativa
www.tisafe.com
Segurana Fsica
Os componentes fsicos da segurana so os mais fceis de compreender e tambm os mais fceis de executar A segurana fsica engloba a proteo contra roubo, vandalismo, catstrofes, danos naturais, desastres (deliberados ou acidentais), condies ambientais instveis tais como a eltrica, a temperatura, a umidade, e outras
www.tisafe.com
Segurana Lgica
As medidas de segurana lgicas so aquelas que empregam uma soluo tcnica para proteger a informao Exemplos: firewall, controle do acesso, sistemas da senha, IDS e criptografia Controles eficazes mas confiam em um elemento humano ou em uma interao para funcionar com sucesso
www.tisafe.com
Segurana Administrativa
Os controles de segurana administrativa so aqueles que envolvem polticas, procedimentos, boas prticas, etc Exemplos: polticas da segurana da informao, programas da conscientizao, e verificaes profundas para novos funcionrios, etc
www.tisafe.com
Contramedidas
Como a engenharia social ataca o elemento humano, as medidas protetoras necessitam ser concentradas nas de segurana administrativa As contramedidas eficazes devem ter polticas detalhadas de segurana da informao que so comunicadas atravs de sua organizao Um plano contnuo de conscientizao muito importante A Intranet da empresa pode ser um poderoso veculo para divulgao de boas prticas de segurana
www.tisafe.com
Boas prticas de segurana

As boas prticas dos slides a seguir so sugestes a todos os funcionrios de qualquer empresa No so uma poltica de segurana completa, pois esta possui diretrizes detalhadas e segmentadas por departamento As boas prticas a seguir so divididas em: de uso geral, de uso do computador, de uso do correio eletrnico, de uso do telefone, de uso do fax, voice mail, senhas e orkut
www.tisafe.com
Gerais
Sempre relatar ligaes suspeitas Documentar as ligaes suspeitas Nunca divulgar nmeros para acesso discado empresa Sempre usar crachs de identificao Questionar pessoas desconhecidas sem crach Nunca permitir que entre e nem abrir a porta para nenhum desconhecido Destruir documentos sigilosos usando trituradora Usar identificadores pessoais para validar empregados Nunca divulgar organogramas da empresa Nunca divulgar informaes particulares de empregados
www.tisafe.com
Para uso do computador

Funcionrios nunca devem inserir comandos em um computador sob solicitao de outra pessoa, a menos que o solicitante tenha sido previamente verificado Funcionrios no devem divulgar nomes internos de sistemas ou bancos de dados sem que o solicitante tenha sido previamente verificado Funcionrios no devem executar nenhum aplicativo ou programa sob solicitao de outra pessoa, a menos que o solicitante tenha sido previamente verificado Funcionrios nunca devem fazer download ou instalar software sob solicitao de outra pessoa, a menos que o solicitante tenha sido previamente verificado
www.tisafe.com
Para uso do computador (cont.)

As senhas no devem ser enviadas por correio eletrnico, a menos que estejam criptografadas Funcionrios nunca devem remover ou desativar antivrus, firewall ou outro software relacionado segurana sem prvia autorizao do departamento de TI Nenhum modem pode estar conectado a nenhum computador sem prvia autorizao do departamento de TI Todos os desktops com modems aprovados pelo TI devem ter o recurso de resposta automtica desativado Funcionrios no devem fazer o download nem usar ferramentas de software criadas para anular os mecanismos de proteo de software
www.tisafe.com
Para uso do computador (cont.)

Empregados no devem divulgar nenhum detalhe relativo ao Hardware ou Software da empresa em newsgroup pblicos, fruns ou bulletin boards Se uma mdia qualquer, tal como disquetes e CD-ROMs for deixada na sua mesa e tenha origem desconhecida, ela no deve ser inserida em nenhum computador Antes de descartar mdia eletrnica que j conteve informaes sigilosas, esta mdia dever ser destruda Todos os usurios devem possuir senhas para proteo de tela e limite de inatividade para bloqueio do computador aps tempo sem uso Todos os empregados devem assinar um contrato de confidencialidade com a empresa
www.tisafe.com
Para uso do correio eletrnico

Os anexos de correio eletrnico no devem ser abertos, a menos que seja esperado ou tenha sido enviado por uma pessoa de confiana Deve ser proibido o encaminhamento automtico de mensagens recebidas por correio eletrnico para um endereo de correio eletrnico externo Toda solicitao de uma pessoa no verificada para transferir uma mensagem de correio eletrnico para outra pessoa no verificada exige a confirmao da identidade do solicitante
www.tisafe.com
Para uso do telefone

Os empregados no devem participar de pesquisas nem responder perguntas de qualquer organizao ou pessoa estranha. Estas solicitaes devem ser encaminhadas para o departamento de relaes pblicas ou para uma pessoa designada na empresa Se uma pessoa no verificada pedir a um empregado o seu nmero de telefone, ele deve primeiro determinar se a divulgao do telefone necessria para a conduo dos negcios da empresa proibido deixar mensagens que contenham informaes de senha na caixa postal do voice mail de algum
www.tisafe.com
Para uso do FAX

Nenhum fax deve ser recebido e encaminhado para outra parte sem verificao da identidade do solicitante Antes de executar instrues pedidas por fax, o remetente deve ser confirmado como empregado ou pessoa de confiana Sempre deve-se tomar cuidado ao enviar fax para uma rea pblica da empresa e incluir pgina de rosto com informaes do destinatrio. Senhas nunca podem ser enviadas por fax
www.tisafe.com
Para uso do Voice Mail

As senhas de voice mail nunca devem ser divulgadas e devem ser sempre alteradas a cada 90 dias Os usurios de voice mail no devem usar a mesma senha em outro telefone ou sistema de computador Os usurios e administradores devem criar senhas de voice mail que sejam difceis de adivinhar Se alguma mensagem de voice mail que ainda no foi ouvida no estiverem marcadas como nova, o administrador do voice mail dever ser notificado Informaes confidenciais ou particulares no devem ser divulgadas em uma mensagem de voice mail
www.tisafe.com
Para uso de senhas

Nunca divulgar senhas por telefone Nunca divulgar sua senha de acesso rede para ningum, exceto sob pedido escrito de seu chefe Nunca usar senha de acesso Internet igual senha de seu login na empresa Nunca usar senha igual ou semelhante em mais de um sistema da empresa Nunca manter a mesma senha por mais de 18 meses Usar senhas fortes (mnimo de 8 caracteres, letras maisculas e minsculas, nmeros e caracteres especiais)
www.tisafe.com
Para uso do Orkut

NO TENHA ORKUT. Mas se voc quiser insistir, observe as medidas preventivas abaixo:
1. 2. 3. 4. 5. 6.
Evite utilizar senhas bvias ou fceis demais e sempre a substitua com regularidade ou sempre que desconfiar de sua confidencialidade. Evite publicar informaes muito pessoais, que em geral, s sua famlia ou pessoas muito prximas deveriam ou poderiam saber. Evite informar telefones de contato e endereos fsicos, a no ser que exista um interesse comercial no uso do servio. Evite exibir fotografias que exponham detalhes de sua residncia ou trabalho, ou ainda, fotografias que permitam dupla interpretao. Evite publicar fotografias que exponham outras pessoas de seu convvio, especialmente familiares, a menos que previamente autorizadas. Evite autorizar pessoas desconhecidas, mesmo que lhe paream familiar ou lhe tenham enviado uma mensagem de solicitao. Lembre-se do conceito de herana de confiana, isso poder representar uma ameaa aos seus amigos. Evite criar e entrar em comunidades de gosto duvidoso ou simplesmente com ttulo e descrio que so sejam inteiramente alinhadas ao seu perfil. Voc pode ser mal interpretado.
7.
www.tisafe.com
Para uso do Orkut (cont.)

8. Evite utilizar fotografias em seu perfil que simbolizem algo muito diferente do que voc realmente . Desta forma, evitar atrair pessoas mal intencionadas ou compatveis com o simbolismo equivocado transmitido pela imagem. Habilite o recurso de identificao do visitante. uma boa forma de conhecer o perfil de quem tem se interessado em conhecer voc e assim, lhe permitir identificar possveis equvocos na definio do seu perfil e na escolha das fotografias. No clique em links enviados atravs da rede de relacionamentos, pois alm de no haver qualquer razo aparente para se usar este recurso, esses tm sido alvos de ataques de phising. Nunca confie inteiramente no que escrito e disponibilizado na rede de relacionamentos. A fragilidade dos processos de identificao no garante a autenticidade dos usurios e a integridade das mensagens. No haja como se a Internet e o prprio ambiente da rede de relacionamentos fossem um playground onde tudo brincadeira. Tome cuidado ao criar e entrar em comunidades que ferem direitos, que tenham qualquer associao ao crime ou representem gostos duvidosos.A sua escolha reflete uma vontade e um pensamento e voc poder, mesmo que inconscientemente, ser confundido.
9.
10.
11.
12.
www.tisafe.com
Agenda
Engenharia Social
Tipos de Ataque
www.tisafe.com
Concluso
A Engenharia Social explora vulnerabilidades humanas; Pode ou no utilizar tecnologia; Na maior parte das vezes a vtima no percebe que est sendo manipulada; Os ataques de Engenharia Social so reais e acontecem no diaa-dia; A maioria dos ataques de Engenharia Social tiram proveito de factores psicolgicos que inibem uma resposta adequada; possvel minorar os efeitos de Engenharia Social atravs de contnuo treinamento, conscientizao e implementao de regras de segurana;
www.tisafe.com
Para pensar...
O computador mais seguro do mundo teria de estar guardado num cofre, desligado, no fundo do oceano... Guardado por tubares, exrcitos e porta-avies... E mesmo assim seria possvel convencer algum que o estivesse guardando a lig-lo....
Kevin Mitnick
www.tisafe.com
Referncias
Livro A Arte de Enganar Autores: Kevin D. Mitnick & William L. Simon Editora: Makron Books Livro Official (ISC)2 Guide to the CISSP Exam Autores: Susan Hansche, John Berti & Chris Hare Editora: Auerbach Livro O Pirata Eletrnico e o Samurai - A Verdadeira Histria de Kevin Mitnick e do Homem que o Caou na Estrada Digital Autor: Jeff GOODELL Editora Campus, 1996
www.tisafe.com
Referncias - Filmes
Filme baseado na estria real da captura de Kevin Mitnick
www.tisafe.com
Contato
Eletrnico www.tisafe.com contato@tisafe.com Skype: ti-safe (somente voz) Telefones Rio de Janeiro: (21) 2577-0658 So Paulo: (11) 3013-3152 Florianpolis: (48) 3223-6918 Belo Horizonte: (31) 3231-5965 Porto Alegre: (51) 3273-5403
www.tisafe.com

Engenharia Social TI

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Engenharia Social TI

Uploaded by

Copyright:

Available Formats

Tcnicas de Engenharia Social

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Termo de Iseno de Responsabilidade

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Defesas contra ataques de Eng. Social

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Tipologia dos atacantes

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Quem pode atacar a rede?

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Defesas contra ataques de Eng. Social

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Relatrio do Gartner, 2005

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Impacto das violaes de segurana

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Pesquisa do CSI/FBI 2005

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Defesas contra ataques de Eng. Social

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Pessoas confiam demais...

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

O elo mais fraco das empresas: o fator humano

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Defesas contra ataques de Eng. Social

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Por que a Engenharia Social funciona?

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Defesas contra ataques de Eng. Social

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Levantamento de dados da vtima

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Telelistas e 102 Telemar

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Telelistas e 102 Telemar

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Telelistas e 102 Telemar

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Telelistas e 102 Telemar

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Perigos do Orkut (cont.)

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Sites com baixa proteo a dados de usurios

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Pesquisa por Currculos

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Dados completamente expostos...

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Defesas contra ataques de Eng. Social

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Ataques de Engenharia Social

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.