O documento discute como ataques de engenharia social exploram a fraqueza humana na segurança da informação. Ele descreve vários tipos de ataques, incluindo ataques por ego, simpatia e intimidação, além de analisar lixo e invadir instalações. O documento também fornece dicas sobre boas práticas de segurança.
2. ~$ whoami
●
Consultor de Tecnologia;
●
Linux Sysadmin;
●
Especialista em Redes de Computadores;
●
Bacharel em Sistemas de Informação;
●
Trabalho com Software Livre desde 2006;
●
Membro do time de tradução do Debian para pt_BR;
●
Amante de Rock n’ Roll, Hambúrguer e Cerveja.
3. Segurança da Informação
Segundo a wikipedia:
A segurança da informação está relacionada com proteção de um conjunto de
dados, no sentido de preservar o valor que possuem para um indivíduo ou uma
organização. São características básicas da segurança da informação os
atributos de confidencialidade, integridade, disponibilidade e autenticidade,
não estando esta segurança restrita somente a sistemas computacionais,
informações eletrônicas ou sistemas de armazenamento. O conceito se aplica a
todos os aspectos de proteção de informações e dados. O conceito de
Segurança Informática ou Segurança de Computadores está intimamente
relacionado com o de Segurança da Informação, incluindo não apenas a
segurança dos dados/informação, mas também a dos sistemas em si.
4. Engenharia Social
Segundo a wikipedia:
Em Segurança da informação, chama-se Engenharia Social as práticas
utilizadas para obter acesso a informações importantes ou sigilosas em
organizações ou sistemas por meio da enganação ou exploração da confiança
das pessoas. Para isso, o golpista pode se passar por outra pessoa, assumir
outra personalidade, fingir que é um profissional de determinada área, etc. É
uma forma de entrar em organizações que não necessita da força bruta ou de
erros em máquinas. Explora as falhas de segurança das próprias pessoas que,
quando não treinadas para esses ataques, podem ser facilmente manipuladas.
5. Resumindo
A arte de fazer com que pessoas façam
coisas que normalmente não fariam para um
estranho - e sendo pago para fazer isso.
Kevin D. Mitnick
6. Como atacam:
●
Atacam o lado mais fraco do sistema (o fator humano);
●
Mostram-se prestativos e se tornam confiáveis
●
Passam-se por alguém da empresa que nunca foi visto, como
um secretário de um dos diretores;
●
Intercalam em seus questionamentos, perguntas inofensivas,
para não levantar suspeitas, usando alguns termos técnicos e
jargões comuns.
7. Por que atacar o fator humano?
●
Muitas empresas investem muito dinheiro na parte de
segurança, Hardwares, Softwares, Câmeras...
Ou seja, o invasor gastaria muito tempo ($$) para
conseguir acessar a informação que necessita.
●
O Investimento em treinamento pessoal quase nunca é levado
a sério.
Muitas vezes só é preciso pedir com jeitinho...
8. Vamos Atacar?
●
Levantando os dados da vítima:
●
Nomes de Domínios e IPs
●
WhoIs: Cadastro de registros endereços eletrônicos:
●
http://registro.br
●
:~$ whois
9. Tipos de Ataque
●
Ataques por Ego
●
Ataques por Simpatia
●
Ataques por Intimidação
●
Análise do Lixo
●
Invasão de Instalações
10. Ataques por Ego
●
O Atacante apela para as características humanas mais
básicas, o ego e a vaidade.
"A vaidade é meu pecado predileto!"
(Devil, The - The Devil Advocate)
●
O Atacante se coloca como um receptivo ouvinte que as
vítimas possuem para mostrar o quanto sabem.
●
As vítimas normalmente são pessoas que se sentem
desvalorizadas na empresa.
●
Na maioria dos casos, as vítimas não tem ideia de que fizeram
algo errado.
12. Ataques por Simpatia
●
O atacante finge ser um funcionário camarada,
geralmente recém-contratado, com um problema
real e urgente, a urgência faz com que a vítima não
tenha tempo para seguir todos os procedimentos de
segurança.
13. Ataques por Intimidação
●
O atacante se passa por alguém de autoridade ou influência
no cenário em questão, ou ainda um agente da lei. Cria
razões plausíveis, para fazer algum pedido como troca de
senha ou alguma alteração em conta de usuários. Caso
encontre resistência por parte da vítima, tenta uma
intimidação por parte de sanções contra ela, como demissão
ou prisão.
14. Analise de Lixo
●
Muitos empregados não dão importância para o
que jogam fora, não sabendo o valor de todas as
anotações, senhas, tarefas feitas, compromissos
marcados...
●
Isso é um prato cheio para quem tem acesso ao
lixo empresarial.
15. Invasão das Instalações
●
É possível que o invasor tenha acesso físico a
empresa, analisando o fluxo de pessoal,
conseguindo uniformes, conversando com pessoas
nos pontos de ônibus
●
Se passando por pessoal de empresas
terceirizadas, como limpeza, manutenção de ar-
condicionado, etc...
17. Boas Práticas de Segurança
●
Gerais:
●
Sempre relatar ligações suspeitas.
●
Utilização de crachás de identificação.
●
Destruir documentos sigilosos (triturar ou
incinerar).
●
Utilização de identificação pessoal.
●
Nunca divulgar informações.
18. Boas Práticas de Segurança
●
Uso do Computador
●
Funcionários nunca devem inserir comandos ou baixar e
instalar aplicativos solicitados por terceiros.
●
Nunca divulgar nomes internos de sistemas, BDs.
●
Nunca enviar senhas via e-mail.
●
Controle de Acessos com hierarquia de prioridades.
●
Nunca inserir nenhuma mídia de origem desconhecida
(pendrive, cd, etc).
●
Funcionários devem assinar contrato de confidencialidade.
19. Considerações Finais
●
A Engenharia Social explora o lado mais frágil do
sistema.
●
Na grande maioria das vezes, o atacado só
descobre o que aconteceu quando já não é mais
possível corrigir a falha.
●
A atenção sempre constante pode evitar muitas
falhas, ter um pouco de maldade não faz mal a
ninguém.