OSTENSIVO GUIA DE ESTUDO

Marinha do Brasil

Nesta unidade conheceremos:

• As principais definições em Engenharia Social;

• A contextualização da Engenharia Social; e
• As principais técnicas, tipos de ataques e ferramentas de defesa.

OSTENSIVO 6-1
OSTENSIVO GUIA DE ESTUDO

Engenharia Social

O ser humano é o elo mais fraco da corrente na segurança da

informação.

OSTENSIVO 6-2
OSTENSIVO GUIA DE ESTUDO

Diversos casos famosos na sociedade Brasileira

• Marcelo Nascimento da Rocha - O homem que fingiu ser herdeiro da Gol,

enganou celebridades e deu golpes em muita gente e teve suas peripécias
contadas em um livro.
• O Impostor – Quadro de um programa humorístico da TV, onde o ator
consegue acesso aos mais variados eventos (No Brasil e exterior) usando
técnicas de engenharia social.
• Coronel Sampaio – Falso coronel do Exército Brasileiro que, utilizando-se da
boa fé das pessoas, conseguiu chegar ao cargo de coordenador da
subsecretaria de Planejamento e Integração Operacional da Secretaria de
Segurança do Rio, sem nunca ter cursado a academia militar por um único dia.

OSTENSIVO 6-3
OSTENSIVO GUIA DE ESTUDO

O que é Engenharia Social?

Podemos dizer que engenharia social é o conjunto de táticas, ou

truques, para ganhar acesso a informações sensíveis explorando questões
básicas da natureza humana, como:
• Confiança;
• Ingenuidade;
• Desconhecimento;
• Medo;e
• Desejo por ajuda, etc.
Engenheiros sociais se utilizam da persuasão para burlar controles e ter
acesso a informações sensíveis e sistemas.

OSTENSIVO 6-4
OSTENSIVO GUIA DE ESTUDO

OSTENSIVO 6-5
OSTENSIVO GUIA DE ESTUDO

Engenharia Social (categorias)

A Engenharia Social pode ser dividida em duas categorias: Human

based e Computer based.

Human Based
O atacante se passa por um usuário final legítimo:
“Oi, quem fala é John, do departamento de finanças, Eu esqueci minha senha.
Você pode me ajudar?”
O atacante se passa por um usuário importante:
“Oi, eu sou Miranda, secretária do presidente. Estou trabalhando em um assunto
urgente e perdi minha senha. Você pode me ajudar?”

Computer based
Pode ser dividida em algumas categorias:
•Arquivos anexados a E-mail ou IM;
•Pop-up de Windows;
•Web sites;
•SPAM;e
•Phishing Scam.

OSTENSIVO 6-6
OSTENSIVO GUIA DE ESTUDO

Fases de um ataque de Engenharia Social

Um ataque de engenharia social pode ser dividido em 4 fases, a saber:

1- Pesquisa do alvo
Nesta fase procuram-se informações em todas as fontes disponíveis,
tais como: Web sites, dumpster diving, redes sociais, etc. O objetivo é coletar o
máximo de informações sobre o alvo para uso posterior.
2- Seleção da vítima
Após levantar as informações escolhe-se os alvos, baseado na
simplicidade em se obter a confiança dos mesmos e do tipo de informação que
eles podem trazer. Identificar funcionários frustrados da empresa, este alvo
costuma ser uma boa estratégia.
3- Desenvolvimento do relacionamento com a vítima
Nesta fase procura-se ganhar a confiança do alvo para, no futuro, obter
informações.
4- Exploração
Nesta fase busca-se as informações desejadas com os alvos
escolhidos.

OSTENSIVO 6-7
OSTENSIVO GUIA DE ESTUDO

Impacto para a Organização

Um ataque de engenharia social bem sucedido pode causar

diversos problemas para as empresas, como perdas econômicas, prejuízo a
imagem da empresa, perda de privacidade, prejuízos operacionais , etc.
O Ponto mais importante a se ressaltar é o fato de que este tipo de
impacto, para ser evitado, precisa de investimento no ser humano, em
conscientização.

OSTENSIVO 6-8
OSTENSIVO GUIA DE ESTUDO

Contra-medidas

• Treinamento sobre mentalidade de segurança: tem como propósito

conscientizar os colaboradores que eles fazem parte da defesa contra
ataques, incluindo os de engenharia social;
• Criação de uma política de senhas que coíba o uso de contas
compartilhadas - ajudará a eliminar este mal hábito, que costuma ser
explorado por hackers;
• Definição de procedimentos quanto a divulgação de informações
importantes, e divulgação constante destes procedimentos - ajudará a
evitar vazamento de informações;
• Política rígida de segurança física - ajuda a reduzir as chances de pessoas
estranhas ao ambiente da empresa tentando acessá-la;
• Processo de classificação da informação - faz com que as informações
mais importantes tenham um menor número de pessoas com acesso a elas; e
• A existência de um grupo de tratamentos de incidentes - poderá ser útil,
pois deverá tratar os eventos que chegaram ao seu conhecimento e avaliar se
realmente são ataques ou não. Sem este grupo há uma tendência a pequenos
eventos serem ignorados, justamente o que o engenheiro social espera que
aconteça.

OSTENSIVO 6-9
OSTENSIVO GUIA DE ESTUDO

Ferramentas

Muitas ferramentas, especializadas ou não, podem ser úteis a um

engenheiro social:

• Sites de pesquisa – google, 123people;

• Mídias sociais - LinkedIn, twitter, facebook, foursquare;
• Equipamentos de espionagem;
• Maltego;
• Social Engeneering Toolkit (SET);
• Criadores de dicionários;e
• Spoofing Phone Number.

OSTENSIVO 6-10
OSTENSIVO GUIA DE ESTUDO

Ferramentas

Muitas ações podem ser empreendidas por meio das redes sociais, tais
como:

• Roubo de informações pessoais;

• Entendimento da Rotina;
• Locais frequentados;
• Clonagem de perfis;
• Ataques de Phishing;e
Todas estas informações são, comumente, publicadas de forma
voluntária pelos usuários.

OSTENSIVO 6-11
OSTENSIVO GUIA DE ESTUDO

Equipamentos

Diversos equipamentos estão disponíveis hoje:

• Equipamentos de filmagem pequenos e imperceptíveis;

• Localizadores de GPS;
• Mouses (ou filtros de linha) com chips 3G para escuta;e
• Desorisadores de ambiente que, internamente, possuem todas as ferramentas
para escanear e invadir sistemas. Basta plugar na tomada e na rede.

OSTENSIVO 6-12
OSTENSIVO GUIA DE ESTUDO

Maltego

Software de inteligência cibernética, que permite levantamento de

informações sobre hosts, sites e pessoas diretamente pela internet. Auxilia os
engenheiros sociais na coleta de informações sobre os alvos.

OSTENSIVO 6-13
OSTENSIVO GUIA DE ESTUDO

Social Engineer Toolkit (SET)

O Social Engineer Tolkit (SET) é um conjunto de ferramentas que

simplificam a tarefa de produzir um ataque de engenharia social de grande
complexidade. Dentre outras funções, o SET pode auxiliar na implementação
dos seguintes ataques:
• Phishing scam;
• Web attacks – java, clonning etc;
• Arquivos contaminados;
• Mídias infectadas;e
• Fake AP.
É uma ferramenta interativa e de utilização intuitiva.

OSTENSIVO 6-14
OSTENSIVO GUIA DE ESTUDO

Outras ferramentas

• CEWL – Permite criar um dicionário de senhas a partir de um web site. As

palavras ali contidas possivelmente refletem o vocabulário usado no dia a dia
da empresa e podem ser úteis na produção de um dicionário válido para
aquela empresa.
• root@bt4:/pentest/passwords/cewl/cewl.rb -d 1 -w pass.txt
http://www.alvo.com.br

• Spoofing Phone Number – Permite fazer ligações com um número de

telefone falsificado
• www.spoofcard.com
• Procedimento:
• Comprar créditos no site (usar técnicas de anonimato);
• Ligar para o telefone de acesso;
• Inserir o PIN;
• Inserir o número a discar;e
• Inserir o número que vai aparecer na vítima.

OSTENSIVO 6-15