Ir para conteúdo
uBeta

Engenharia Social - Como é e como funciona.

Recommended Posts

uBeta    7
Engenharia social (segurança da informação)
Em Segurança da informação, chama-se Engenharia Social as práticas utilizadas para obter acesso a informações importantes ou sigilosas em organizações ou sistemas por meio da enganação ou exploração da confiança das pessoas. Para isso, o golpista pode se passar por outra pessoa, assumir outra personalidade, fingir que é um profissional de determinada área, etc. É uma forma de entrar em organizações que não necessita da força bruta ou de erros em máquinas. Explora as falhas de segurança das próprias pessoas que, quando não treinadas para esses ataques, podem ser facilmente manipuladas.

 

Entendendo a Engenharia Social

Engenharia social compreende a inaptidão dos indivíduos manterem-se atualizados com diversas questões pertinentes a tecnologia da informatica, além de não estarem conscientes do valor da informatica que eles possuem e, portanto, não terem preocupação em proteger essa informação conscientemente. É importante salientar que, a engenharia social é aplicada em diversos setores da segurança da informação independente de sistemas computacionais, software e ou plataforma utilizada, o elemento mais vulnerável de qualquer sistema de segurança da informação é o ser humano, o qual possui traços comportamentais e psicológicos que o torna suscetível a ataques de engenharia social. Dentre essas características, pode-se destacar:

 

  • Vaidade pessoal e/ou profissional: O ser humano costuma ser mais receptivo a avaliação positiva e favorável aos seus objetivos, aceitando basicamente argumentos favoráveis a sua avaliação pessoal ou profissional ligada diretamente ao benefício próprio ou coletivo de forma demonstrativa.
  • Autoconfiança: O ser humano busca transmitir em diálogos individuais ou coletivos o ato de fazer algo bem, coletivamente ou individualmente, buscando transmitir segurança, conhecimento, saber e eficiência, buscando criar uma estrutura base para o início de uma comunicação ou ação favorável a uma organização ou individuo.
  • Formação profissional: O ser humano busca valorizar sua formação e suas habilidades adquiridas nesta faculdade, buscando o controle em uma comunicação, execução ou apresentação seja ela profissional ou pessoal buscando o reconhecimento pessoal inconscientemente em primeiro plano.
  • Vontade de ser útil: O ser humano, comumente, procura agir com cortesia, bem como ajudar outros quando necessário.
  • Busca por novas amizades: O ser humano costuma se agradar e sentir-se bem quando elogiado, ficando mais vulnerável e aberto a dar informações.
  • Propagação de responsabilidade: Trata-se da situação na qual o ser humano considera que ele não é o único responsável por um conjunto de atividades.
  • Persuasão: Compreende quase uma arte a capacidade de persuadir pessoas, onde se busca obter respostas específicas. Isto é possível porque as pessoas possuem características comportamentais que as tornam vulneráveis a manipulação

A engenharia social não é exclusivamente utilizada em informática, a engenharia social é uma ferramenta onde exploram-se falhas humanas em organizações físicas ou jurídicas onde operadores do sistema de segurança da informação possuem poder de decisão parcial ou total ao sistema de segurança da informação seja ele físico ou virtual, porém devemos considerar que as informações pessoais, não documentadas, conhecimentos, saber, não são informações físicas ou virtuais, elas fazem parte de um sistema em que possuem características comportamentais e psicológicas na qual a engenharia social passa a ser auxiliada por outras técnicas como: leitura fria, linguagem corporal, leitura quente, termos usados no auxílio da engenharia social para obter informações que não são físicas ou virtuais mas sim comportamentais e psicológicas.

Exemplo  você recebe uma mensagem e-mail, onde o remetente é o gerente ou alguém em nome do departamento de suporte do seu banco. Na mensagem ele diz que o serviço de internet Banking está apresentando algum problema e que tal problema pode ser corrigido se você executar o aplicativo que está anexado à mensagem. A execução deste aplicativo apresenta uma tela análoga àquela que você utiliza para ter acesso a conta bancária, aguardando que você digite sua senha. Na verdade, este aplicativo está preparado para furtar sua senha de acesso a conta bancária e enviá-la para o atacante.
 

Exemplo-2  algum desconhecido liga para a sua casa e diz ser do suporte técnico do seu provedor. Nesta ligação ele diz que sua conexão com a internet está apresentando algum problema e, então, pede sua senha para corrigi-lo. Caso você entregue sua senha, este suposto técnico poderá realizar uma infinidade de atividades maliciosas, utilizando a sua conta de acesso a internet e, portanto, relacionando tais atividades ao seu nome.

 

Tipos de técnica


Abordagem pessoal: Está técnica consiste do Engenheiro Social realizar uma visita na empresa alvo, podendo se passar por um fornecedor, terceiro, amigo do diretor, prestador de serviço, entre outros, no qual através do poder de persuasão e falta de treinamento dos funcionários, consegue sem muita dificuldade convencer um segurança, secretária, recepcionista a liberar acesso ao datacenter onde possivelmente conseguirá as informações que procura. Apesar desta abordagem ser arriscada, muitos Crackers já utilizaram e a utilizam até hoje.


Contato Telefônico: Com as informações coletadas nas duas técnicas acima, o Engenheiro Social pode utilizar uma abordagem via telefone para obter acesso não autorizado, seja se passando por um funcionário da empresa, fornecedor ou terceiros. Com certeza neste ponto o Engenheiro Social já conhece o nome da secretária, nome e e-mail de algum gestor, até colaboradores envolvidos na TI. Com um simples telefonema e técnicas de Engenharia Social se passando por outra pessoa, de preferência do elo de confiança da vítima, fica mais fácil conseguir um acesso ou coletar informações necessárias da organização.

Internet e Redes Sociais: Atualmente muitas informações podem ser coletadas através da Internet e Redes Sociais sobre o alvo. Quando um Engenheiro Social precisa conhecer melhor seu alvo, esta técnica é utilizada, iniciando um estudo no site da empresa para melhor entendimento, pesquisas na Internet e uma boa consulta nas redes sociais na qual é possível encontrar informações interessantes de funcionários da empresa, cargos, amizades, perfil pessoal, entre outros.


Para de um entendimento melhor sobre o assunto abordado, vou deixar aqui umas frases tiradas do livro "MitNick"

"Os engenheiros sociais habilidosos são adeptos do desenvolvimento de um truque que estimula emoções tais como medo, agitação, ou culpa. Eles fazem isso usando os gatilhos psicológicos – os mecanismos automáticos que levam as pessoas a responderem as solicitações sem uma análise cuidadosa das informações disponíveis.” (MITNICK, 2003, p.85)"

“Engenharia social usa a influência e a persuasão para enganar as pessoas e convence-las de que o engenheiro social é alguém que ele não é, ou pela manipulação. Como resultado, o engenheiro social pode aproveitar-se das pessoas para obter as informações com ou sem uso da tecnologia.” (MITNICK, 2003, p.6)

*referências: SET (Social Engineer Toolkit) e MITNICK (A Arte de Enganar).*

A arte de enganar: http://lelivros.love/book/baixar-livro-a-arte-de-enganar-kevin-d-mitnick-em-pdf-epub-e-mobi 

Editado por uBeta
Escrevi algumas letras erradas na pressa

Compartilhar este post


Link para o post
Compartilhar em outros sites

Crie uma conta ou entre para comentar

Você precisar ser um membro para fazer um comentário

Criar uma conta

Crie uma nova conta em nossa comunidade. É fácil!

Crie uma nova conta

Entrar

Já tem uma conta? Faça o login.

Entrar Agora




  • Conteúdo Similar

    • Por KIRAOFICIAL
      Boa Noite Gente , A história começa em algum IF desse nosso País . Onde estudo não é permitido Tirar Xerox para Alunos :-( ,  assim forçando nós a sair da escola e descer até em baixo ( que é muito distante) e tirar xerox em uma loja qualquer .
      O Relato de fato começa num dia que o professor de alguma matéria que não me lembro passou um trabalho e deu uma folha para a classe com as perguntas.
      Então resolvi pegar e ir na biblioteca e usar a engenharia social.
       
      KIRA -  Boa tarde , o professor Xxxxx pediu duas xerox dessa folha e tem que ser para agora , pois ele tem que dar o resto da aula . Fora que uma das folhas é para minha turma e ADM17.
      OBS:  estava com a cara Neutra para ele não pensar que estava mentindo .
      B:  Okay , aguarde um momento.
      Ele rapidamente tirou as xerox mas porque ? Simplismente usando o nome de alguem com cargo superior ao dele faz que ele tenha medo e fazendo aquilo que pedir , se não poderia entrar numa "fria".
      OBS 2 Lá tem uma placa dizendo NÃO É PERMITIDO TIRAR XEROX PARA ALUNOS , INDEPENDENTE DO CASO !
    • Por Nathan Gabriel
      Galera peguei esse manual na deep web em um forum de hackers tem bastante coisa interessante pra quem gosta e realmente quer se um bom engenheiro social ,,,
       
      Manual de persuasao do FBI - Jack Shafer.pdf
    • Por Apoc
      Manter contato visual é essencial para manter a atenção de uma pessoa em você.

      Exercício:
      - Vamos criar o hábito de olhar nos olhos. Amanhã, durante todo o seu dia, você vai olhar nos olhos de cada pessoa que passe por você, que interaja com você, e vai falar em sua mente a cor dos olhos dela.

      Pegaram? Olhar nos olhos e falar mentalmente a cor dos olhos dessa pessoa. 
      Faça isso durante todo o seu dia, todos os dias, até entrar no automático.

×

Informação Importante

Ao usar este site, você concorda com nossos Termos de Uso.