SlideShare ist ein Scribd-Unternehmen logo
1 von 18
Downloaden Sie, um offline zu lesen
Engenharia Social
Como hackear a mente humana
            Luiz Vieira
Quem sou eu?
Definição
        “Não existe Patch para a burrice humana”


• Engenharia Social é conhecida comumente
  como a arte de manipular pessoas para que
  realizem ações ou divulguem informações
  confidenciais.

• Embora seja similar à um truque ou fraude, o
  termo aplica-se normalmente a engodos ou
  enganos com o propósito de obter
  informações, fraude ou acesso a sistemas
  computacionais; na maioria dos casos o
  atacante nunca fica cara-a-cara com a vítima.
Pontos vulneráveis
Tipos de Engenharia Social
• Baseado em pessoas:
  – Disfarces
  – Representações
  – Uso de cargos de alto nível
  – Ataques ao serviço de Helpdesk
  – Observações
Tipos de Engenharia Social
• Baseado em computadores:
  – Cavalos de Tróia anexados a e-mails
  – E-mails falsos
  – WebSites falsos
Formas de ataque
•   Insiders Attacks
•   Roubo de Identidade
•   Phishing Scam
•   URL Obfuscation
•   Dumpster Diving
•   Shoulder Surfing
•   Tailgating
•   Persuasão
EngSoc + PNL

• A Programação Neurolinguística (ou
  simplesmente PNL) é um conjunto de
  modelos, estratégias e crenças que seus
  praticantes utilizam visando principalmente
  ao desenvolvimento pessoal e profissional.

• É baseada na idéia de que a mente, o corpo
  e a linguagem interagem para criar a
  percepção que cada indivíduo tem do mundo,
  e tal percepção pode ser alterada pela
  aplicação de uma variedade de técnicas.

• A fonte que embasa tais técnicas, chamada
  de "modelagem", envolve a reprodução
  cuidadosa dos comportamentos e crenças
  daqueles que atingiram o "sucesso".
Princípios da PNL
•   As pessoas respondem a sua experiência, não à realidade em si.
•   Ter uma escolha ou opção é melhor do que não ter uma escolha ou opção.
•   As pessoas fazem a melhor escolha que podem no momento.
•   As pessoas funcionam perfeitamente.
•   Todas as ações têm um propósito.
•   Todo comportamento possui intenção positiva.
•   A mente inconsciente contrabalança a consciente; ela não é maliciosa.
•   O significado da comunicação não é simplesmente aquilo que você
    pretende, mas também a resposta que obtém.
•   Já temos todos os recursos de que necessitamos ou então podemos criá-
    los.
•   Mente e corpo formam um sistema. São expressões diferentes da mesma
    pessoa.
•   Processamos todas as informações através de nossos sentidos.
•   Modelar desempenho bem-sucedido leva à excelência.
•   Se quiser compreender, aja.
Meta-modelo de Linguagem
Buffer Overflow Humano
• Assim como programas para fuzzing, onde
  através de diferentes tipos e tamanhos de
  dados fazemos com que um sistema dê um
  crash, precisamo entender como a mente
  humana reage a certos tipos de informações.

• A maneira mais rápida de injetar códigos na
  mente humana é através de comandos
  embutidos.
Regras para Comandos Embutidos
• Normalmente os comandos são curtos – 3 a 4 palavras
• Uma leve ênfase é necessária para torná-los eficazes
• Ocultá-los em frases normais tornam seu uso mais
  efetivo
• Nossa expressão facial e corporal devem ser coerentes
  com os comandos

• Ex: “Quando você adquire um produto como este
  vindo de alguém como eu, quais características são
  mais importantes para você?"
SET – Social Engineering Toolkit
Utilizando o SET
•   svn co http://svn.thepentest.com/social_engineering_toolkit/ SET/
•   Para iniciar o SET: ./set
•   Escolher a opção número 2 (Website Attack Vectors)
•   Nesta fase iremos usar o Site Cloner, opção número 2.
•   Aqui iremos escolher o tipo de ataque, iremos utiliza o Metasploit Browser
    Exploit
•   Adicione o seu Número IP, onde irá rodar o seu servidor Web
•   Neste ponto temos que escolher qual o tipo de exploit que iremos usar, no
    exemplo iremos reproduzir a falha conhecida como "Aurora" (MS10-002).
•   Nosso payload, neste caso será o Windows Bind Shell
•   A opção URIPATH, temos que alterar para qualquer endereço, exemplo
    /teste
•   E utilize o comando exploit para iniciar o ataque e o servidor.
Contatos


         Luiz Vieira
 http://hackproofing.blogspot.com
        http://www.oys.com.br
          luizwt@gmail.com
       luiz.vieira@oys.com.br
luiz_vieira.BSI@petrobras.com.br

Weitere ähnliche Inhalte

Was ist angesagt?

Ameaças e riscos da internet -Segurança da informação
Ameaças e riscos  da internet -Segurança da informaçãoAmeaças e riscos  da internet -Segurança da informação
Ameaças e riscos da internet -Segurança da informaçãoSthefanie Vieira
 
Seminário Segurança da Informação
Seminário Segurança da InformaçãoSeminário Segurança da Informação
Seminário Segurança da InformaçãoFelipe Morais
 
Motivação no trabalho
Motivação no trabalhoMotivação no trabalho
Motivação no trabalhoBruno Fellipe
 
Segurança da informação golpes, ataques e riscos
Segurança da informação golpes, ataques e riscosSegurança da informação golpes, ataques e riscos
Segurança da informação golpes, ataques e riscosGleiner Pelluzzi
 
Social engineering
Social engineeringSocial engineering
Social engineeringVishal Kumar
 
Engenharia Social: A Doce Arte de Hackear Mentes
Engenharia Social: A Doce Arte de Hackear MentesEngenharia Social: A Doce Arte de Hackear Mentes
Engenharia Social: A Doce Arte de Hackear MentesRafael Jaques
 
Apresentação de Design Thinking
Apresentação de Design ThinkingApresentação de Design Thinking
Apresentação de Design Thinkingbaufaker
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da InformaçãoFábio Ferreira
 
Segurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de SegurançaSegurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de SegurançaGilberto Sudre
 
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇA
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇAAULA 9 - INTRODUÇÃO À CIBERSEGURANÇA
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇAMaraLuizaGonalvesFre
 
Aula03 – Códigos Maliciosos e Tipos de Ataques
Aula03 – Códigos Maliciosos e Tipos de AtaquesAula03 – Códigos Maliciosos e Tipos de Ataques
Aula03 – Códigos Maliciosos e Tipos de AtaquesCarlos Veiga
 
Social engineering presentation
Social engineering presentationSocial engineering presentation
Social engineering presentationpooja_doshi
 
Segurança da Informação - Ataques de Rede
Segurança da Informação - Ataques de RedeSegurança da Informação - Ataques de Rede
Segurança da Informação - Ataques de RedeNatanael Simões
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoimsp2000
 

Was ist angesagt? (20)

Ameaças e riscos da internet -Segurança da informação
Ameaças e riscos  da internet -Segurança da informaçãoAmeaças e riscos  da internet -Segurança da informação
Ameaças e riscos da internet -Segurança da informação
 
Seminário Segurança da Informação
Seminário Segurança da InformaçãoSeminário Segurança da Informação
Seminário Segurança da Informação
 
Phishing
PhishingPhishing
Phishing
 
Motivação no trabalho
Motivação no trabalhoMotivação no trabalho
Motivação no trabalho
 
Segurança da informação golpes, ataques e riscos
Segurança da informação golpes, ataques e riscosSegurança da informação golpes, ataques e riscos
Segurança da informação golpes, ataques e riscos
 
Aula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da InformaçãoAula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da Informação
 
Social engineering
Social engineeringSocial engineering
Social engineering
 
O Líder de Alta Performance
O Líder de Alta PerformanceO Líder de Alta Performance
O Líder de Alta Performance
 
Seminario seguranca da informacao
Seminario seguranca da informacaoSeminario seguranca da informacao
Seminario seguranca da informacao
 
Engenharia Social: A Doce Arte de Hackear Mentes
Engenharia Social: A Doce Arte de Hackear MentesEngenharia Social: A Doce Arte de Hackear Mentes
Engenharia Social: A Doce Arte de Hackear Mentes
 
Apresentação de Design Thinking
Apresentação de Design ThinkingApresentação de Design Thinking
Apresentação de Design Thinking
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
 
Segurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de SegurançaSegurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de Segurança
 
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇA
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇAAULA 9 - INTRODUÇÃO À CIBERSEGURANÇA
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇA
 
Boas Práticas em Segurança da Informação
Boas Práticas em Segurança da InformaçãoBoas Práticas em Segurança da Informação
Boas Práticas em Segurança da Informação
 
Aula03 – Códigos Maliciosos e Tipos de Ataques
Aula03 – Códigos Maliciosos e Tipos de AtaquesAula03 – Códigos Maliciosos e Tipos de Ataques
Aula03 – Códigos Maliciosos e Tipos de Ataques
 
Social engineering presentation
Social engineering presentationSocial engineering presentation
Social engineering presentation
 
Segurança da Informação - Ataques de Rede
Segurança da Informação - Ataques de RedeSegurança da Informação - Ataques de Rede
Segurança da Informação - Ataques de Rede
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Ataques na internet
Ataques na internetAtaques na internet
Ataques na internet
 

Andere mochten auch

Engenharia Social: Amiguinhos Virtuais, Ameaças Reais
Engenharia Social: Amiguinhos Virtuais, Ameaças ReaisEngenharia Social: Amiguinhos Virtuais, Ameaças Reais
Engenharia Social: Amiguinhos Virtuais, Ameaças ReaisRafael Jaques
 
Segurança dos sistemas de informação
Segurança dos sistemas de informaçãoSegurança dos sistemas de informação
Segurança dos sistemas de informaçãoRodrigo Gomes da Silva
 
Engenharia social senai - ppt
Engenharia social senai - pptEngenharia social senai - ppt
Engenharia social senai - pptCarlos Melo
 
Engenharia Social UNAES Campo Grande MS
Engenharia Social UNAES Campo Grande MSEngenharia Social UNAES Campo Grande MS
Engenharia Social UNAES Campo Grande MSBruno Alexandre
 
Perícia da PF na Lista de Furnas
Perícia da PF na Lista de FurnasPerícia da PF na Lista de Furnas
Perícia da PF na Lista de FurnasLuiz Carlos Azenha
 
DeputaPericia lista de furnas
DeputaPericia lista de furnasDeputaPericia lista de furnas
DeputaPericia lista de furnasConversa Afiada
 
[Super apresentações] We can do much better
[Super apresentações] We can do much better[Super apresentações] We can do much better
[Super apresentações] We can do much betterKleber Bacili
 
Apostila para hackers iniciantes
Apostila para hackers iniciantesApostila para hackers iniciantes
Apostila para hackers iniciantesponto hacker
 
Técnicas hacker soluções para segurança 1
Técnicas hacker soluções para segurança 1Técnicas hacker soluções para segurança 1
Técnicas hacker soluções para segurança 1ponto hacker
 
Livro curso de_hacker_para_iniciantes_cap_1
Livro curso de_hacker_para_iniciantes_cap_1Livro curso de_hacker_para_iniciantes_cap_1
Livro curso de_hacker_para_iniciantes_cap_1Alax Ricard
 
Dicas para montar excelentes apresentações de slides no power point
Dicas para montar excelentes apresentações de slides no power pointDicas para montar excelentes apresentações de slides no power point
Dicas para montar excelentes apresentações de slides no power pointBruno Oliveira
 
Livro proibido do curso de hacker completo 285 páginas 71
Livro proibido do curso de hacker completo 285 páginas 71Livro proibido do curso de hacker completo 285 páginas 71
Livro proibido do curso de hacker completo 285 páginas 71Guilherme Dias
 

Andere mochten auch (20)

Engenharia Social: Amiguinhos Virtuais, Ameaças Reais
Engenharia Social: Amiguinhos Virtuais, Ameaças ReaisEngenharia Social: Amiguinhos Virtuais, Ameaças Reais
Engenharia Social: Amiguinhos Virtuais, Ameaças Reais
 
Engenharia Social
Engenharia SocialEngenharia Social
Engenharia Social
 
Engenharia Social
Engenharia SocialEngenharia Social
Engenharia Social
 
10 Estratégias de Manipulação
10 Estratégias de Manipulação10 Estratégias de Manipulação
10 Estratégias de Manipulação
 
Engenharia Social
Engenharia SocialEngenharia Social
Engenharia Social
 
Engenharia social
Engenharia socialEngenharia social
Engenharia social
 
Segurança dos sistemas de informação
Segurança dos sistemas de informaçãoSegurança dos sistemas de informação
Segurança dos sistemas de informação
 
Engenharia social senai - ppt
Engenharia social senai - pptEngenharia social senai - ppt
Engenharia social senai - ppt
 
Engenharia Social UNAES Campo Grande MS
Engenharia Social UNAES Campo Grande MSEngenharia Social UNAES Campo Grande MS
Engenharia Social UNAES Campo Grande MS
 
Guilherme Varela Furnas/Eletrobras
Guilherme Varela Furnas/EletrobrasGuilherme Varela Furnas/Eletrobras
Guilherme Varela Furnas/Eletrobras
 
Perícia da PF na Lista de Furnas
Perícia da PF na Lista de FurnasPerícia da PF na Lista de Furnas
Perícia da PF na Lista de Furnas
 
DeputaPericia lista de furnas
DeputaPericia lista de furnasDeputaPericia lista de furnas
DeputaPericia lista de furnas
 
A Lista de Furnas
A Lista de FurnasA Lista de Furnas
A Lista de Furnas
 
eletrobras furnas
eletrobras furnaseletrobras furnas
eletrobras furnas
 
[Super apresentações] We can do much better
[Super apresentações] We can do much better[Super apresentações] We can do much better
[Super apresentações] We can do much better
 
Apostila para hackers iniciantes
Apostila para hackers iniciantesApostila para hackers iniciantes
Apostila para hackers iniciantes
 
Técnicas hacker soluções para segurança 1
Técnicas hacker soluções para segurança 1Técnicas hacker soluções para segurança 1
Técnicas hacker soluções para segurança 1
 
Livro curso de_hacker_para_iniciantes_cap_1
Livro curso de_hacker_para_iniciantes_cap_1Livro curso de_hacker_para_iniciantes_cap_1
Livro curso de_hacker_para_iniciantes_cap_1
 
Dicas para montar excelentes apresentações de slides no power point
Dicas para montar excelentes apresentações de slides no power pointDicas para montar excelentes apresentações de slides no power point
Dicas para montar excelentes apresentações de slides no power point
 
Livro proibido do curso de hacker completo 285 páginas 71
Livro proibido do curso de hacker completo 285 páginas 71Livro proibido do curso de hacker completo 285 páginas 71
Livro proibido do curso de hacker completo 285 páginas 71
 

Ähnlich wie Engenharia social

Apresentação Pnl Ppt 2007 Final
Apresentação Pnl Ppt 2007   FinalApresentação Pnl Ppt 2007   Final
Apresentação Pnl Ppt 2007 FinalFred Graef
 
Técnicas de Redação Web
Técnicas de Redação WebTécnicas de Redação Web
Técnicas de Redação WebSuzana Ribeiro
 
Introdução a Machine Learning
Introdução a Machine LearningIntrodução a Machine Learning
Introdução a Machine LearningMarcelo Oliveira
 
Estratégias para Modelagem de Ameaças
Estratégias para Modelagem de AmeaçasEstratégias para Modelagem de Ameaças
Estratégias para Modelagem de AmeaçasSpark Security
 
analise-de-sistemas-aula-01-bcc-noturno-ema908915a.pptx
analise-de-sistemas-aula-01-bcc-noturno-ema908915a.pptxanalise-de-sistemas-aula-01-bcc-noturno-ema908915a.pptx
analise-de-sistemas-aula-01-bcc-noturno-ema908915a.pptxMoysesOliveira3
 
Aula 6 - Segurança da informação
Aula 6 - Segurança da informaçãoAula 6 - Segurança da informação
Aula 6 - Segurança da informaçãoLucasMansueto
 
Inteligência Artificial
Inteligência ArtificialInteligência Artificial
Inteligência Artificialkennedyaraujo
 
Workshop - Service Design
Workshop - Service DesignWorkshop - Service Design
Workshop - Service DesignErico Fileno
 
Workshop - Service Design
Workshop - Service DesignWorkshop - Service Design
Workshop - Service DesignErico Fileno
 
iNTRODUCAO-A-ENGENHARIA-SOCIAL-PRATICA-pdf - Copia.pdf
iNTRODUCAO-A-ENGENHARIA-SOCIAL-PRATICA-pdf - Copia.pdfiNTRODUCAO-A-ENGENHARIA-SOCIAL-PRATICA-pdf - Copia.pdf
iNTRODUCAO-A-ENGENHARIA-SOCIAL-PRATICA-pdf - Copia.pdfHelenaReis48
 
Métodos de Design: Uma abordagem para estudos de viabilidade em projetos de s...
Métodos de Design: Uma abordagem para estudos de viabilidade em projetos de s...Métodos de Design: Uma abordagem para estudos de viabilidade em projetos de s...
Métodos de Design: Uma abordagem para estudos de viabilidade em projetos de s...Alessandro Lima
 
Apresentacao internet
Apresentacao internetApresentacao internet
Apresentacao internetmarcilene1311
 

Ähnlich wie Engenharia social (20)

Apresentação Pnl Ppt 2007 Final
Apresentação Pnl Ppt 2007   FinalApresentação Pnl Ppt 2007   Final
Apresentação Pnl Ppt 2007 Final
 
Aula 1 semana
Aula 1 semanaAula 1 semana
Aula 1 semana
 
Técnicas de Redação Web
Técnicas de Redação WebTécnicas de Redação Web
Técnicas de Redação Web
 
Introdução a Machine Learning
Introdução a Machine LearningIntrodução a Machine Learning
Introdução a Machine Learning
 
Extreme programming explicada
Extreme programming explicadaExtreme programming explicada
Extreme programming explicada
 
Extreme Programming Explicada
Extreme Programming ExplicadaExtreme Programming Explicada
Extreme Programming Explicada
 
Estratégias para Modelagem de Ameaças
Estratégias para Modelagem de AmeaçasEstratégias para Modelagem de Ameaças
Estratégias para Modelagem de Ameaças
 
Aula de seguranca (1)
Aula de seguranca (1)Aula de seguranca (1)
Aula de seguranca (1)
 
analise-de-sistemas-aula-01-bcc-noturno-ema908915a.pptx
analise-de-sistemas-aula-01-bcc-noturno-ema908915a.pptxanalise-de-sistemas-aula-01-bcc-noturno-ema908915a.pptx
analise-de-sistemas-aula-01-bcc-noturno-ema908915a.pptx
 
Aula 6 - Segurança da informação
Aula 6 - Segurança da informaçãoAula 6 - Segurança da informação
Aula 6 - Segurança da informação
 
Inteligência Artificial
Inteligência ArtificialInteligência Artificial
Inteligência Artificial
 
Engenharia social
Engenharia socialEngenharia social
Engenharia social
 
Workshop - Service Design
Workshop - Service DesignWorkshop - Service Design
Workshop - Service Design
 
Workshop - Service Design
Workshop - Service DesignWorkshop - Service Design
Workshop - Service Design
 
Inteligência Artificial
Inteligência ArtificialInteligência Artificial
Inteligência Artificial
 
CRP-5215-0420-2014-08
CRP-5215-0420-2014-08CRP-5215-0420-2014-08
CRP-5215-0420-2014-08
 
iNTRODUCAO-A-ENGENHARIA-SOCIAL-PRATICA-pdf - Copia.pdf
iNTRODUCAO-A-ENGENHARIA-SOCIAL-PRATICA-pdf - Copia.pdfiNTRODUCAO-A-ENGENHARIA-SOCIAL-PRATICA-pdf - Copia.pdf
iNTRODUCAO-A-ENGENHARIA-SOCIAL-PRATICA-pdf - Copia.pdf
 
Extreme Programming XP
Extreme Programming XPExtreme Programming XP
Extreme Programming XP
 
Métodos de Design: Uma abordagem para estudos de viabilidade em projetos de s...
Métodos de Design: Uma abordagem para estudos de viabilidade em projetos de s...Métodos de Design: Uma abordagem para estudos de viabilidade em projetos de s...
Métodos de Design: Uma abordagem para estudos de viabilidade em projetos de s...
 
Apresentacao internet
Apresentacao internetApresentacao internet
Apresentacao internet
 

Mehr von Luiz Vieira .´. CISSP, OSCE, GXPN, CEH

Mehr von Luiz Vieira .´. CISSP, OSCE, GXPN, CEH (15)

Webgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizadoWebgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizado
 
Segurança Física: Lockpicking
Segurança Física: LockpickingSegurança Física: Lockpicking
Segurança Física: Lockpicking
 
Cool 3 assembly para linux
Cool 3   assembly para linuxCool 3   assembly para linux
Cool 3 assembly para linux
 
Android forensics the hard work
Android forensics   the hard workAndroid forensics   the hard work
Android forensics the hard work
 
Stack based overflow
Stack based overflowStack based overflow
Stack based overflow
 
Segurança nos ciclos de desenvolvimento de softwares
Segurança nos ciclos de desenvolvimento de softwaresSegurança nos ciclos de desenvolvimento de softwares
Segurança nos ciclos de desenvolvimento de softwares
 
How stuff works
How stuff worksHow stuff works
How stuff works
 
Auditoria em sistemas linux - LinuxCon Brazil 2011
Auditoria em sistemas linux - LinuxCon Brazil 2011Auditoria em sistemas linux - LinuxCon Brazil 2011
Auditoria em sistemas linux - LinuxCon Brazil 2011
 
Forense Computacional com Software Livre
Forense Computacional com Software LivreForense Computacional com Software Livre
Forense Computacional com Software Livre
 
Análise de malware com software livre
Análise de malware com software livreAnálise de malware com software livre
Análise de malware com software livre
 
Webcast Luiz Vieira criptografia on-the-fly com software livre
Webcast Luiz Vieira criptografia on-the-fly com software livreWebcast Luiz Vieira criptografia on-the-fly com software livre
Webcast Luiz Vieira criptografia on-the-fly com software livre
 
Metasploit Framework: Software Livre para PoC de Vulnerabilidades
Metasploit Framework: Software Livre para PoC de VulnerabilidadesMetasploit Framework: Software Livre para PoC de Vulnerabilidades
Metasploit Framework: Software Livre para PoC de Vulnerabilidades
 
Introdução à linguagem python
Introdução à linguagem pythonIntrodução à linguagem python
Introdução à linguagem python
 
Trusted Computing e Software Livre FISL 11 - 2010
Trusted Computing  e Software Livre FISL 11 - 2010Trusted Computing  e Software Livre FISL 11 - 2010
Trusted Computing e Software Livre FISL 11 - 2010
 
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
 

Engenharia social

  • 1. Engenharia Social Como hackear a mente humana Luiz Vieira
  • 3. Definição “Não existe Patch para a burrice humana” • Engenharia Social é conhecida comumente como a arte de manipular pessoas para que realizem ações ou divulguem informações confidenciais. • Embora seja similar à um truque ou fraude, o termo aplica-se normalmente a engodos ou enganos com o propósito de obter informações, fraude ou acesso a sistemas computacionais; na maioria dos casos o atacante nunca fica cara-a-cara com a vítima.
  • 5. Tipos de Engenharia Social • Baseado em pessoas: – Disfarces – Representações – Uso de cargos de alto nível – Ataques ao serviço de Helpdesk – Observações
  • 6. Tipos de Engenharia Social • Baseado em computadores: – Cavalos de Tróia anexados a e-mails – E-mails falsos – WebSites falsos
  • 7.
  • 8. Formas de ataque • Insiders Attacks • Roubo de Identidade • Phishing Scam • URL Obfuscation • Dumpster Diving • Shoulder Surfing • Tailgating • Persuasão
  • 9. EngSoc + PNL • A Programação Neurolinguística (ou simplesmente PNL) é um conjunto de modelos, estratégias e crenças que seus praticantes utilizam visando principalmente ao desenvolvimento pessoal e profissional. • É baseada na idéia de que a mente, o corpo e a linguagem interagem para criar a percepção que cada indivíduo tem do mundo, e tal percepção pode ser alterada pela aplicação de uma variedade de técnicas. • A fonte que embasa tais técnicas, chamada de "modelagem", envolve a reprodução cuidadosa dos comportamentos e crenças daqueles que atingiram o "sucesso".
  • 10. Princípios da PNL • As pessoas respondem a sua experiência, não à realidade em si. • Ter uma escolha ou opção é melhor do que não ter uma escolha ou opção. • As pessoas fazem a melhor escolha que podem no momento. • As pessoas funcionam perfeitamente. • Todas as ações têm um propósito. • Todo comportamento possui intenção positiva. • A mente inconsciente contrabalança a consciente; ela não é maliciosa. • O significado da comunicação não é simplesmente aquilo que você pretende, mas também a resposta que obtém. • Já temos todos os recursos de que necessitamos ou então podemos criá- los. • Mente e corpo formam um sistema. São expressões diferentes da mesma pessoa. • Processamos todas as informações através de nossos sentidos. • Modelar desempenho bem-sucedido leva à excelência. • Se quiser compreender, aja.
  • 12. Buffer Overflow Humano • Assim como programas para fuzzing, onde através de diferentes tipos e tamanhos de dados fazemos com que um sistema dê um crash, precisamo entender como a mente humana reage a certos tipos de informações. • A maneira mais rápida de injetar códigos na mente humana é através de comandos embutidos.
  • 13. Regras para Comandos Embutidos • Normalmente os comandos são curtos – 3 a 4 palavras • Uma leve ênfase é necessária para torná-los eficazes • Ocultá-los em frases normais tornam seu uso mais efetivo • Nossa expressão facial e corporal devem ser coerentes com os comandos • Ex: “Quando você adquire um produto como este vindo de alguém como eu, quais características são mais importantes para você?"
  • 14.
  • 15. SET – Social Engineering Toolkit
  • 16. Utilizando o SET • svn co http://svn.thepentest.com/social_engineering_toolkit/ SET/ • Para iniciar o SET: ./set • Escolher a opção número 2 (Website Attack Vectors) • Nesta fase iremos usar o Site Cloner, opção número 2. • Aqui iremos escolher o tipo de ataque, iremos utiliza o Metasploit Browser Exploit • Adicione o seu Número IP, onde irá rodar o seu servidor Web • Neste ponto temos que escolher qual o tipo de exploit que iremos usar, no exemplo iremos reproduzir a falha conhecida como "Aurora" (MS10-002). • Nosso payload, neste caso será o Windows Bind Shell • A opção URIPATH, temos que alterar para qualquer endereço, exemplo /teste • E utilize o comando exploit para iniciar o ataque e o servidor.
  • 17.
  • 18. Contatos Luiz Vieira http://hackproofing.blogspot.com http://www.oys.com.br luizwt@gmail.com luiz.vieira@oys.com.br luiz_vieira.BSI@petrobras.com.br