Título: História da Engenharia Social
Enviado por: DarkGenesis online 09 de Setembro , 2006, 10:23:05 PM
Enviado por: DarkGenesis online 09 de Setembro , 2006, 10:23:05 PM
História da Engenharia Social Por : Cristiane Pereira
O conceito de engenharia social traduz a ação de uma pessoa mal intencionada se passar por uma ou mais pessoas, enganando os colaboradores de uma organização. Para poder fazer um "teatro" convincente, esta pessoa utiliza
nformações (nomes de usuários, administrador, etc.) coletadas previamente. Com isto consegue obter informações privilegiadas (ex: senhas), ou induzir pessoas a executar ações que enfraqueçam a segurança
(ex: executar um trojan - O nome Trojan vem de "Trojan Horse": Cavalo de Tróia. Trata-se de um programa que finge
realizar uma certa tarefa, e secretamente realiza uma outra tarefa maliciosa. Por mais extraordinário que possa parecer,
o método mais simples, mais usado e, infelizmente, mais eficiente de se descobrir uma senha é perguntando! Basta
alguém de boa lábia perguntar a um colaborador despreparado que a possibilidade de se obter com sucesso a resposta positiva a pergunta é certa; ganhar acesso, controlar e conseguir mais acesso. Pode não ser a senha, mas ele vai
contar o tipo de sistema, o tipo de computador, e o que mais ele ver pela frente. Tudo vai depender de quão bom é o "Engenheiro Social", e quantos conhecimentos sobre a empresa ele possui. Mesmo com novas ferramentas para hackers aparecendo toda semana na Internet, explorar a ingenuidade humana permanecerá sendo um dos meios mais eficientes de dominar a segurança das redes. Muitos ataques de engenharia social são complicados e envolvem diversas etapas e
planejamento elaborado, além de combinar o conhecimento da manipulação e tecnologia.
O início na maioria das vezes é através de pesquisa na Internet sobre a instituição ou o alvo de ataque, de posse de algumas informações o atacante prepara seu bote, podendo ser através de telefone, se fazendo passar por um vigilante, copeira,
responsável pela manutenção de equipamentos ou até mesmo por alguém que possua um cargo alto dentro da empresa.
Veja abaixo a citação de um exemplo prático, que foi extraído do livro A Arte de Enganar de Kevin D. Mitnick e William L. Simon.
"O atacante discou para o número particular da empresa de telefonia do MLAC, o Centro Mecanizado de Designação de Linhas. Uma mulher respondeu e ele disse:
- Olá, aqui é Paul Anthony. Eu sou um técnico de cabos. Ouça, uma caixa de terminal aqui foi queimada em um incêndio. Os policiais acham que algum maluco tentou queimar sua própria casa para receber o seguro. Eles me mandaram aqui sozinho para tentar refazer a fiação de todo este terminal de duzendos pares. Eu estou precisando de ajuda. Quais instalações deveriam estar funcionando na South Main, 6723? Em outras empresas de telefonia, a pessoa chamada deveria saber que as informações de pesquisa inversa sobre os números não publicados devem ser fornecidas apenas para o pessoal autorizado da própria empresa de telefonia. Mas o MLAC só é conhecido dos empregados da empresa de telefonia.
E embora eles nunca dêem informações para o público, quem iria se recusar a ajudar um homem da empresa que está tentando dar conta de uma tarefa difícil? Ele lamentou o fato, porque ela mesma já havia tido dias rins no trabalho e poderia quebrar um pouco as regras para ajudar um colega com problemas. Ela forneceu o cabo, os pares e cada número em funcionamento designado para aquele endereço."
Como podemos verificar, em uma engenharia social o conhecimento da cultura de uma empresa, de sua estrutura corporativa, seus vários escritórios e departamentos, os nomes dos responsáveis diretos pelos departamentos faz parte
da bagagem essencial de truques de um engenheiro social bem-sucedido.
Um outro caso a ser citado é de funcionário insatisfeito com a Empresa em que trabalha, vamos a uma história:
"João freqüentou um barzinho perto do escritório onde trabalhava durante alguns anos, e lá comemorava sempre datas especiais com seus amigos, mas durante algum tempo João andava meio triste e passava apenas no bar para tomar uns
choppinhos e falar mal do seu ambiente de trabalho, reclamava de parceiros de trabalho, chefes e dos processos de trabalho que segundo seu ponto de vista estavam totalmente fora do esquema de competitividade com o mercado.
Com isto ele começou a conversar com qualquer pessoa que se aproximava dele e acabava comentando sobre o ambiente de trabalho. E nos últimos tempos ele começou a encontrar corriqueiramente o Pedro uma pessoa atenciosa e que adora
ouvir seu assunto sobre a empresa.
Depois de choppinhos João começou a detalhar um trabalho importante no qual o escritório em que trabalhava estava envolvido e por um acaso Pedro que em nenhum instante comentou sobre sua vida profissional, ouvia.
Pedro era justamente o Diretor de um escritório que era principal concorrente do escritório de João e as informações coletadas neste ambiente foi o principal diferencial para uma estratégia de mercado nova que Pedro precisava".
Uma forma perigosa de ameaça ocorre quando um funcionário está insatisfeito, sai da empresa ou, ainda pior, é despedido. Qualquer informação crítica precisa estar assegurada para responder a esse tipo de cenário. Porém é bastante estranho que
a ameaça não seja decorrente propriamente da habilidade do ex-funcionário, mas de se subestimar a ameaça por ele representada.
Um ataque terá êxito se o atacante tiver suficiente habilidade, motivação e oportunidade. Dentre os engenheiros sociais que tentam atacá-lo, encontram-se de
inofensivos a sórdidos, de ingênuos a mal-intencionados, de tolos a inteligentes. Seu trabalho é projetar uma estratégia de defesa capaz de mantê-los todos do lado de fora, inclusive os sórdidos, os mal-intencionados e os inteligentes que sabe muito sobre o seu sistema e sua empresa. Não se consegue assegurar ser impossível que o engenheiro social invada um
sistema ou uma empresa e obtenha sua informação, mas pode-se fazer com que isso seja extremamente difícil, adequando-se também o nível de dificuldade ao orçamento e às necessidades da empresa. Principalmente implementando uma Política de Segurança Corporativa e investindo em conscientização, capacitando TODOS os colaboradores.
O conceito de engenharia social traduz a ação de uma pessoa mal intencionada se passar por uma ou mais pessoas, enganando os colaboradores de uma organização. Para poder fazer um "teatro" convincente, esta pessoa utiliza
nformações (nomes de usuários, administrador, etc.) coletadas previamente. Com isto consegue obter informações privilegiadas (ex: senhas), ou induzir pessoas a executar ações que enfraqueçam a segurança
(ex: executar um trojan - O nome Trojan vem de "Trojan Horse": Cavalo de Tróia. Trata-se de um programa que finge
realizar uma certa tarefa, e secretamente realiza uma outra tarefa maliciosa. Por mais extraordinário que possa parecer,
o método mais simples, mais usado e, infelizmente, mais eficiente de se descobrir uma senha é perguntando! Basta
alguém de boa lábia perguntar a um colaborador despreparado que a possibilidade de se obter com sucesso a resposta positiva a pergunta é certa; ganhar acesso, controlar e conseguir mais acesso. Pode não ser a senha, mas ele vai
contar o tipo de sistema, o tipo de computador, e o que mais ele ver pela frente. Tudo vai depender de quão bom é o "Engenheiro Social", e quantos conhecimentos sobre a empresa ele possui. Mesmo com novas ferramentas para hackers aparecendo toda semana na Internet, explorar a ingenuidade humana permanecerá sendo um dos meios mais eficientes de dominar a segurança das redes. Muitos ataques de engenharia social são complicados e envolvem diversas etapas e
planejamento elaborado, além de combinar o conhecimento da manipulação e tecnologia.
O início na maioria das vezes é através de pesquisa na Internet sobre a instituição ou o alvo de ataque, de posse de algumas informações o atacante prepara seu bote, podendo ser através de telefone, se fazendo passar por um vigilante, copeira,
responsável pela manutenção de equipamentos ou até mesmo por alguém que possua um cargo alto dentro da empresa.
Veja abaixo a citação de um exemplo prático, que foi extraído do livro A Arte de Enganar de Kevin D. Mitnick e William L. Simon.
"O atacante discou para o número particular da empresa de telefonia do MLAC, o Centro Mecanizado de Designação de Linhas. Uma mulher respondeu e ele disse:
- Olá, aqui é Paul Anthony. Eu sou um técnico de cabos. Ouça, uma caixa de terminal aqui foi queimada em um incêndio. Os policiais acham que algum maluco tentou queimar sua própria casa para receber o seguro. Eles me mandaram aqui sozinho para tentar refazer a fiação de todo este terminal de duzendos pares. Eu estou precisando de ajuda. Quais instalações deveriam estar funcionando na South Main, 6723? Em outras empresas de telefonia, a pessoa chamada deveria saber que as informações de pesquisa inversa sobre os números não publicados devem ser fornecidas apenas para o pessoal autorizado da própria empresa de telefonia. Mas o MLAC só é conhecido dos empregados da empresa de telefonia.
E embora eles nunca dêem informações para o público, quem iria se recusar a ajudar um homem da empresa que está tentando dar conta de uma tarefa difícil? Ele lamentou o fato, porque ela mesma já havia tido dias rins no trabalho e poderia quebrar um pouco as regras para ajudar um colega com problemas. Ela forneceu o cabo, os pares e cada número em funcionamento designado para aquele endereço."
Como podemos verificar, em uma engenharia social o conhecimento da cultura de uma empresa, de sua estrutura corporativa, seus vários escritórios e departamentos, os nomes dos responsáveis diretos pelos departamentos faz parte
da bagagem essencial de truques de um engenheiro social bem-sucedido.
Um outro caso a ser citado é de funcionário insatisfeito com a Empresa em que trabalha, vamos a uma história:
"João freqüentou um barzinho perto do escritório onde trabalhava durante alguns anos, e lá comemorava sempre datas especiais com seus amigos, mas durante algum tempo João andava meio triste e passava apenas no bar para tomar uns
choppinhos e falar mal do seu ambiente de trabalho, reclamava de parceiros de trabalho, chefes e dos processos de trabalho que segundo seu ponto de vista estavam totalmente fora do esquema de competitividade com o mercado.
Com isto ele começou a conversar com qualquer pessoa que se aproximava dele e acabava comentando sobre o ambiente de trabalho. E nos últimos tempos ele começou a encontrar corriqueiramente o Pedro uma pessoa atenciosa e que adora
ouvir seu assunto sobre a empresa.
Depois de choppinhos João começou a detalhar um trabalho importante no qual o escritório em que trabalhava estava envolvido e por um acaso Pedro que em nenhum instante comentou sobre sua vida profissional, ouvia.
Pedro era justamente o Diretor de um escritório que era principal concorrente do escritório de João e as informações coletadas neste ambiente foi o principal diferencial para uma estratégia de mercado nova que Pedro precisava".
Uma forma perigosa de ameaça ocorre quando um funcionário está insatisfeito, sai da empresa ou, ainda pior, é despedido. Qualquer informação crítica precisa estar assegurada para responder a esse tipo de cenário. Porém é bastante estranho que
a ameaça não seja decorrente propriamente da habilidade do ex-funcionário, mas de se subestimar a ameaça por ele representada.
Um ataque terá êxito se o atacante tiver suficiente habilidade, motivação e oportunidade. Dentre os engenheiros sociais que tentam atacá-lo, encontram-se de
inofensivos a sórdidos, de ingênuos a mal-intencionados, de tolos a inteligentes. Seu trabalho é projetar uma estratégia de defesa capaz de mantê-los todos do lado de fora, inclusive os sórdidos, os mal-intencionados e os inteligentes que sabe muito sobre o seu sistema e sua empresa. Não se consegue assegurar ser impossível que o engenheiro social invada um
sistema ou uma empresa e obtenha sua informação, mas pode-se fazer com que isso seja extremamente difícil, adequando-se também o nível de dificuldade ao orçamento e às necessidades da empresa. Principalmente implementando uma Política de Segurança Corporativa e investindo em conscientização, capacitando TODOS os colaboradores.
CitarCristiane Pereira é consultora de segurança da informação da True Access Consulting, com 6 anos de experiência em projetos de consultoria, BS 7799 Lead Auditor, membro do Comitê de estudo de normas de segurança da ABNT (Brasil) e pós graduada em Gestão de Tecnologia da Informação pela UNB, professora universitária do curso de graduação em segurança da informação em Brasília.
Larga experiência em segurança tendo atuado como palestrante em eventos, instrutor de cursos de certificação, articulista, pesquisador e consultor em diversos projetos de segurança no Brasil para órgãos do governo, forças armadas e grandes empresas.
Título: Re: História da Engenharia Social
Enviado por: Anonymous online 22 de Outubro , 2006, 04:04:05 AM
Enviado por: Anonymous online 22 de Outubro , 2006, 04:04:05 AM
Muito interessante, obrigado por compartilhar DG.
Título: Re: História da Engenharia Social
Enviado por: Dark.BS online 02 de Dezembro , 2006, 09:51:48 AM
Enviado por: Dark.BS online 02 de Dezembro , 2006, 09:51:48 AM
É a engenharia social pois mais antiquada que sejá nunca vai sair de moda !!!hehehe
pois a engenharia social é um métodos muito pratico para um cara de boa lábia !!!
vlw...
pois a engenharia social é um métodos muito pratico para um cara de boa lábia !!!
vlw...