Engenharia Social

Alex Nogueira
Engenharia Social.
“Eu tinha tanto sucesso nessa linha de ataque que
raramente tinha que lançar mão de um ataque técnico...”

“As empresas podem gastar milhões em proteções

tecnológicas e isso será um desperdício se as pessoas
basicamente puderem ligar para alguém por telefone e
convencê-lo a fazer algo que baixe as defesas do sistema
ou que revele as informações que elas estão buscando.”

Kevin Mitnick, citado no livro Secrets & Lies de Bruce

Schneier.
 Engenharia Social.
 Introdução:
– Engenharia Social é o termo utilizado para a obtenção de informações
importantes de uma empresa, através de seus usuários e
colaboradores.
– É uma técnica baseada no uso de PSICOLOGIA e no relaxamento
(ingenuidade e confiança) das defesas dos seres humanos,
possibilitando acesso a informações vitais do sistema ou indivíduo.
– Os ataques desta natureza podem ser realizados através de
telefonemas, envio de mensagens por correio eletrônico, salas de
bate-papo e pessoalmente.
– Envolve uma fase inicial de coleta de informações, antes de um
ataque.
 Engenharia Social.
 Elementos essenciais utilizados:
– Postura convincente.

– Tonalidade de voz.

– Gestos.

– Naturalidade.

– Sedução.
 Engenharia Social.
 Elementos de influência no envolvimento da vítima:
 Responsabilidade e premiação, influenciar a vítima a acreditar que está
compartilhando uma responsabilidade ou contribuindo para algum benefício
no futuro.
 Envolvimento, Pessoas com pouco envolvimento (terceiros, vigias,
recepcionistas, etc) e não diretamente afetadas pela ação requerida tendem a
ser mais facilmente persuadidas, cedem a argumentos e pressões.
 Competências, Pessoas com maior nível de competência
( administradores, analistas de segurança, gerente TI, etc), tendem a não se
submeter a pessoas de menor nível de competência.
 Engenharia Social.
 Coleta de informações:
– Principais fontes: lista de ramais, organogramas, memorandos, e-mail, calendário de
eventos e reuniões, férias, listagens (código fonte, usuários), mídias magnéticas e lixo.

– Abordagem Indireta: shoulder surfing, sessões abertas, impressoras, fax, telefones dial-up,
acesso físico ao CPD e Telecom (plataforma e fabricante).

– Abordagem Direta, é o meio mais eficaz, mas requer habilidade e prática para interação com
a vítima:

» Personificação (técnico de help desk, usuário em apuro, executivo do

alto escalão, entregador).
» Chamada direta ao Usuário ( baseado em catálogos, listas e lixo).
 Engenharia
Social.
• Medidas de defesa:
– Tratamento do lixo:
» Utilização de trituradores de papel.
» Inutilização de mídias magnéticas.
» Acesso restrito a sala de lixo.
– Acesso físico não-autorizado:
» Acompanhamento de visitantes (entrada à saída).
» Colaboradores comunicarem a área de segurança quanto a serviços.
» Inventariar os equipamentos e inspeção periódica.
» Controle de acesso a CPD e sala de telecom.
– Procedimentos do Help Desk:
» Treinar equipe, suspeitar de chamadas solicitando informações.
» Identificar o usuário e call back ao usuário.
» Troca de senhas, solicitação por escrito (procedimento).
 Engenharia Social.
• Medidas de defesa:

– Procedimentos do Usuário:
» Programa de conscientização e treinamento do usuário.
» Não fornecer informações pessoais e senhas por meios de comunicação( rede,
email, telefone,etc).
» Jamais fornecer senhas, inclusive p/ o suporte tecnico.
» Conhecer procedimento de “reset” de senha.
» Caso de suspeitas, trocar imediatamente a senha.
» Não deixar console “logado”.
» Cuidados com documentos sigilosos (fax, mesa, xerox e impressora).