ENGENHARIA SOCIAL

Introdução

1. Explora a maior vulnerabilidade em um sistema: o ser humano.

2. Manipulação psicológica

3. Ciberataque

4. Não explora falhas de segurança de sistemas

Introdução
1. A principal arma de um engenheiro social é sua capacidade
para lidar com pessoas, induzindo-as a fornecer informações
ou executar ações.

2. O ataque pode se dar por várias formas: aquisição de carisma,

confiança da vítima, identificações falsas etc……

3. Pode se dar por contato pessoal ou qualquer outro meio de

comunicação: telefonemas, emails, redes sociais, sites de
compra etc.
Principais abordagens
1. Intimidação - fazer-se passar por uma figura de autoridade
para coagir a vítima a aceitar uma solicitação.
2. Persuasão - lisonja e menção de nomes de pessoas
importantes.
3. Bajulação - esquema a longo prazo em que um indivíduo
constrói um relacionamento para ganhar confiança e,
finalmente, as informações da vítima.
4. Assistência - Nesta abordagem, o criminoso se oferece para
ajudar a vítima.
Principais Vulnerabilidades do ser humano
1. Medo
2. Empatia
3. Curiosidade
4. Culpa
5. Urgência
Tipos de ataques cibernéticos

● Phishing

● Pretexting

● Baiting

● Quid Pro Quo

● Tailgating
● Ataque mais comum de engenharia social
● Tem como objetivo obter informações como nomes, e-mails,
endereços.
● Ocorre quando o hacker recorre a e-mails, mensagens de pop-up ou
páginas web falsas, fazendo-se passar por empresas ou
organizações legítimas com a qual a potencial vítima tem negócios.
● Usam links falsos, e aparentemente legítimos, criados por shorteners,
para redirecionar o alvo para um link malicioso.
● Incorpora ameaças, medo ou qualquer outro meio para manipular o
alvo.
● Spear Phishing -> É ataque mais direcionado a uma determinada pessoa, ao
contrário do phishing normal que joga a “isca” para diversas pessoas.
Pretexting
● Ataque se baseia em um pretexto

para extrair informação

● Convence o usuário a ceder

informações sigilosas

● Exemplos: pesquisas falsas, perfis

falsos de redes sociais, emails

passando-se por outra pessoa

Baiting
● Ataque por meio de mídia física

● Usuário inocentemente tenta

descobrir ou usar a mídia infectada

● Instalação do malware oculta

● Mais comum antigamente

● Assim como o baiting, oferece um benefício em troca de informação
porém aqui o benefício é normalmente um serviço.
● Ocorre quando o atacante se disfarça de, por exemplo, um técnico de
TI e oferece uma solução em troca de a vítima desligar seu antivírus.
Tailgating
● Ataque se baseia em seguir um funcionário da organização alvo, se

aproveitando para entrar junto com ele em uma área restrita

● Ataque dispõe de muito tempo e pouca vigilância

Exemplos Reais - Kevin Mitnick
● 1992 - Kevin Mitnick já era o hacker mais procurado e morava em Denver
com um pseudônimo.
● Ele estava tentando conseguir o código fonte do novo celular da Motorola, o
MicroTAC Ultra Lite, para alterá-lo e encontrar uma maneira de ligar para as
pessoas e evitar a vigilância do governo.
● Ele ligou para a Motorola procurando pelo gerente de desenvolvimento do
celular e, depois de oito transferências, alcançou o vice presidente de
“mobility” da Motorola, chefe da gerente que estava de férias.
● Logo após tentar entrar em contato com Pam, a gerente, ele recebeu um
correio de voz com o contato de Aleesha.
Exemplos Reais - Kevin Mitnick
● Entrando em contato com Aleesha, ele disse que Pam enviaria o código fonte
do celular mas não teve tempo o suficiente e que, segundo Pam, Aleesha o
ajudaria.
● Pam conseguiu os arquivos, mas eram muitas pastas e ela não sabia como
enviar tudo de uma vez. Rick, pseudônimo de Mitnick, sugeriu que ele
pudesse ensinar a ela a usar o tar, um compressor semelhante ao zip e,
algum tempo depois, ela tinha um arquivo de 5mb com o código fonte.
● Ao tentar enviar o arquivo por FTP para um servidor sugerido por Rick,
Aleesha teve problemas e foi falar com o segurança. Algum tempo depois,
ela volta ao telefone e diz que o segurança deu as credenciais para que Rick
pudesse acessar remotamente o servidor da motorola e pegar o código.
A fórmula da amizade (Manual de Persuasão do FBI)
Amizade = Proximidade + Frequência + Duração + Intensidade

● Proximidade é a distância entre você e outro indivíduo e sua exposição a esse

indivíduo.
● Frequência é o número de contatos que você tem com o outro indivíduo.
● Duração é a quantidade de tempo que se passa com o outro indivíduo.
● Intensidade é o quão fortemente você é capaz de satisfazer as necessidades
psicológicos e/ou físicas de outra pessoa através de comportamentos verbais e
não verbais.
Operação Gaivota (Manual de Persuasão do FBI)
● Gaivota era o codinome de um diplomata estrangeiro de alto
escalão que estava morando nos Estados Unidos.
● Como convencer alguém a jurar aliança a um país adversário?
● Resposta: Amizade!
● Investigação sobre Gaivota:
○ Promoção foi rejeitada várias vezes
○ Gostava de viver na América
○ Considerava se aposentar no país, se fosse possível.
○ Temia que a aposentadoria do país natal não fosse
suficiente.
Operação Gaivota (Manual de Persuasão do FBI)
Amizade = Proximidade + Frequência + Duração + Intensidade
● Início do ataque: Proximidade.
● Como? Gaivota, rotineiramente, deixava a embaixada para ir a
um mercado na esquina.
● Solução: Charles, o atacante deveria se posicionar em vários
locais no caminho em que Gaivota passava durante várias
semanas.
Operação Gaivota (Manual de Persuasão do FBI)
Amizade = Proximidade + Frequência + Duração + Intensidade

● Aos poucos, Charles aumentou o número de vezes que

encontrava com Gaivota, chegando a segui-lo até o mercado e
entrar no estabelecimento, junto com o alvo.
● Charles viu que Gaivota sempre comprava uma lata de
ervilhas!
Operação Gaivota (Manual de Persuasão do FBI)
Amizade = Proximidade + Frequência + Duração + Intensidade
● Com essa nova informação, Charles esperou mais algumas
semanas e, em certa ocasião, resolveu se apresentar ao alvo.
● Novo estímulo = ameaça???
● Curiosidade
● A ideia de se tornar espião não vem da noite para o dia, devia
ser implantada com calma.
● Charles, ao se aproximar cada vez mais, não era visto como
ameaça, mas como símbolo de esperança para o diplomata.
Como evitar?
● Implementação de políticas de segurança da informação.

● Conscientização dos funcionários a respeito às ameaças de engenharia

social.

● Implementação de mecanismos de segurança física.

● Monitoração constante dos sistemas de controle de acesso a áreas, centrais

telefônicas, entre outros.

● Acompanhamento de visitantes às instalações da organização

● Cuidados especiais com descartes de lixo.

Como evitar?
● Não abrir emails de fontes não confiáveis

● Não dê a ofertas de estranhos o benefício da dúvida

● Bloqueie o seu computador

● Use antivírus

● Conheça as políticas de privacidade da organização

Spear phishing
● Golpe por comunicação eletrônica;
○ Indivíduos, organizações ou empresas específicas;
● Intenção de roubar dados ou instalar malwares;
● Aparenta vir de fonte confiável;
○ Técnicas de engenharia social;
○ Sites falsos que usam de técnicas inteligentes para chamar atenção;
○ Mensagens personalizadas;
■ Segurança tradicional não consegue impedir;
● Erro pequeno pode causar grandes problemas;
○ Revelar informações comercialmente sigilosas;
○ Manipular preços de ações;
○ Botnets;
Exemplo de spear
phishing
O Fancy Bear, grupo de hackers
russo, supostamente cometeu um dos
mais famosos ataques de Spear
Phishing. O grupo conseguiu se
infiltrar na Convenção Nacional
Democrata para roubar e-mails.
Primeiro conseguiram uma lista de
contatos atualizadas e, em seguida,
direcionaram o ataque aos
funcionários de alto escalação do
partido, o que os levou ao Gmail do
diretor de campanha de Hillary
Clinton e ao roubo de 59 mil e-mails
em um único dia.
Exemplo de spear phishing
A spear phishing case that involved the RSA security unit of data-storage giant
EMC Corp shows how even a company known for security in the cyber realm
can be target and victim of an attack. In 2011, RSA was attacked using a Flash
object embedded in an Excel (.XLS) file that was attached to an e-mail with the
subject line “2011 Recruitment Plan”. Small groups of employees were
targeted, and the e-mail was filtered and landed in the users’ junk mail folder.
Unfortunately, all it takes is for one person to fall victim of the scam. Once open, a
backdoor was installed through a vulnerability in Adobe Flash, and the phishing
activity successfully harvested credentials, as confirmed the RSA FraudAction
Research Labs.
Clickbait ou caça-clique
● Conteúdo da internet destinado à geração de receita de publicidade on-line,
por meio de manchetes sensacionalistas e/ou imagens em miniatura
chamativas para atrair cliques e incentivar o compartilhamento do material
pelas redes sociais.
● Manchetes clickbait costumam prover somente o mínimo necessário para
deixar o leitor curioso, mas não o suficiente para satisfazer essa curiosidade
sem clicar no conteúdo vinculado.
● Facebook tem tomado medidas para reduzir essa quantidade de publicações
no seu feed (“você precisa ver isso!” ou “faça isso aqui todos os dias”).