[Matéria] Engenharia Social Empresarial.

Iniciado por Anonymous, 06 de Dezembro , 2006, 01:47:23 AM

tópico anterior - próximo tópico

0 Membros e 1 Visitante estão vendo este tópico.

Anonymous

[Big Tutorial Ataque + Prevenção]Engenharia Social Corporativa e Atuante.

Antes de mais nada queria falar:
Esse tutorial é pára fins de estudo,
e não me responsabilizo pelos seus atos!


Olá pessoal,
eu acabei de ler o livro do Kevin Mitnick,
A arte de Enganar, é um livro muito bom recomendo!
E aqui vou falar sobre um assunto muito comum,
dentre as empresas.
A Engenharia Social.
Agora você se imagina.
"Mas a Engenharia Social,não são para fins de hack shadow?"
Você está completamente enganado.
Verá abaixo...

Entendendo o que é Engenharia Social

Basicamente, todas as histórias são uma engenharia social,
por mais que você conte a história detalhadamente e corretamente,
você vai aumentar um pouco, ainda mais se a mesma tiver acontecido
com você.
Com esse pequeno aumento, você já se torna um Engenheiro Social,
nada mais que isso.
Se você se associar ao Phreack, ou ao Hack, você simplesmente
Vai fazer o que quizer.
Mas como isso acontece shadow?
Para tudo que acontece nessa vida tem uma causa ou um motivo, simplesmente
você vai Inventar um motivo para que o usuário alvo, acredite na sua
história.
Isso pode ser montado de uma forma aleatória, depende da sua imaginação.
Afinal, dizem que todo engenheiro social, associado á um hacker
é um artista inumano.
Com uma engenharia social forte, e um conhecimento de invasões, você se torna
simpesmente O REI.
Para você montar uma lábia forte,estude sua vítima, conehça seus
procedimentos e estude cada ação sua, milmétricamente cronometrada.
Siga um determinado rítmo, de perguntas aos quais você se enquadra.
OBS.:Um engenheiro social, jamios deve se mostrar pessoalmente, o mesmo
deve agir pela rede, ou pelo telefone.

Conhecendo seu alvo

Para cada ataque, existe um determinado alvo, vítima ou desfavorecido.
Essas classes são distintas, cada hora você pode estar lidando com uma diferente
assim como também existem os capacitados, a perceberem á esperteza de alguém.
Para conhecer seu alvo, no caso você começar com uma empresa,
nomeada por mim de Shadow_sjm Engenharia S/A,que ultiliza uma segurança digital relativamente
ALTA, cada funcinário tem uma ID, que é detrminada pela rede ao acessa-la.
Onde o mesmo, cria uma senha para essa ID, toda semana.
Vou mostrar agora,
uma maneira muito simples de conhecimento de determinadas ações dessa
empressa.
Vou me chamar de Vitor (meu nome real) e a atendente de Bruna.

Vitor - Alô, é da Shadow_sjm Engenharia?
Bruna - Sim,aqui é bruna,posso ajuda-lô?
Vitor - Qual é seu nome?
Bruna - É Bruna
Vitor - Então olhe Bruna, você pode me ajudar?
Bruna - Sim, o que deseja?
Vitor - É que eu estou escrevendo um livro, chamado "Por trás dos Panos"
Bruna - Qual é o tema do seu livro, o que ele tem a ver com a empresa?
Vitor - Ele se trata sobre o que realmente acontece nas empresas,você pode me ajudar?
Bruna - Depende, o que você quer saber?
Vitor - Eu já tive ajuda de diversas empresas, eu queria saber como é a rotina da sua empresa
Bruna - Sim, entendo.
Vitor - Pode falar
Bruna - Chegamos ás 7:30 hrs, almoçamos das 13:00 ás 14:00 hrs e saímos as 20:00 hrs
Vitor - Bruna, isso é para todos os setores?
Bruna - Sim é
Vitor - O nome dos Gerentes das Filiais e dos Sub-Gerentes por favor?
Bruna - Josá da Silva filial 01...

A partir daqui, converse um pouco, faça com que a atendente ganhe sua confiança.
Para as próximas vezes que você ligar, já ter acesso á mais imformações.

Analizando o ataque...

Como vocês podem ter visto acima, o engenheiro social, (vitor), teve acesso
á rotina da empresa, mas pra que isso é necessário shadow?
Simples, você sabe que ás 13:00 hrs, o pessoal da informática sai para almoçar.
Você terá livre acesso ao servidor da empressa, dentre 13:00 e 14:00 hrs, sabendo que o mesmo está ON
Tempo mais que suficiente, para conseguir os arquivos necessários.

Evitando o ataque...

Bom, todos eu digo todos, os computadores estão vulneráveis á um ataque.
Por mais que tenhas vários Firewalls e Antí-Vírus, não existe defesa
contra á estupidez humana.
Como dizia Einstein:"às duas coisas que são infinitas são : O Universo (Tenho minhas dúvidas) e
as estupidez humana
"
Consientize seus funcionários, á esse tipo de coisa.
Uma coisa que a atendente poderia ter falado, que quebraria o engenheiro social,
seria :Você tem autorização da empresa?, se tiver me passe o registro da mesma
para mim conferir por favor.
Então vejam que uma simples frase, acabaria com um ataque completo.
E além do mais, ele ganhou a confiança da atendente que se quer falou com ele uma única vez pelo telefone.
Então aprenda que, você tendo em vista sua segurança aprenda a se defender da engenharia social, além dos
ataques digitais.

Criando Identidades Falsas

Para criar um identidade falsa, você tem que ter em vista uma coisa:
Conhecer uma determinada função da empresa e conhecer o líder do setor da mesma.
Você conhecendo a determinada função, passe-se por alguém.
Como citado no exemplo abaixo,
que será com o mesmo engenheiro, porém passando-se por Carlos, funcionário do DP (Departamento Pessoal).

Carlos - Alô, meu nome é Carlos, sou da filial 06 da empresa,estamos com um problema aqui
Bruna - Sim Carlos pode falar, aqui é Bruna
Carlos - Olha só Bruna, preciso falar com o departamento de Informática daí da matriz,não estamos conseguindo acessar nossa rede.
Bruna - Sim, mas o que você acha que pode ser?
Carlos - Realmente ninguém aqui sabe.
Bruna - Tudo bem, Carlos, estárei te passando ao CPD

Depois de alguns momentos...

José - CPD, José
Carlos - Olá José, aqui é Carlos da filial 06, estamos com um problema, não estamos conseguindo acessar a rede.
José - Sim entendo, será que eu conseguiria acessar a rede da minha casa,já que estamos sem acesso ás IDs.
Carlos - Será que você pode fazer a minha ID, para mim trabalhar em casa?
José - EU poderia falar com seu Gerente? ( Houve uma certa desconfiança por parte do José )
Carlos - Tudo bem, um momento vou chamá-lo
Carlos - Joaquim da silva (aqui o engenheiro simplesmento muda sua voz), bom dia
José - Bom dia, um funcionário seu me falou que está ocorrendo um problema na sua rede
Joaquim - Sim está, não estamos conseguindo acessa-lá
José - hum.....
Joaquim - Você poderia criar ás IDs para nós trabalhar-mos em casa até arrumarem o problema?
José - Tudo bem, estou criando agora

Aqui, não enrrole.
Assim que o funcionário acabar de criar as IDs, agradeça e desligue, caso ele tente enrrolar,
Dê a desculpa que está atolado e não está com tempo (é claro que com jeito).

Analizando o ataque...

Acima, vocês podem ver que, facilmente com uma identidade falsa, o engenheiro social facilemnte conseguil
o ID aleatório de um funcionário, sendo Carlos, podendo acessar de qualquer computador a rede interna da empresa
"altamente segura", isso é uma maneira muito simples de se atacar, você só deve ter cuidado, com os motivos
pelos quais você quer aquela determinada coisa, e estar preparado para questões involuntárias também.
Estar por dentro da rotina da empresa também é uma boa, como feito na primeira ligação.

Evitando o ataque...

Para evitar esse tipo de ataque, as identidades falsas, crie uma identificação pessoal de cada funcionário,
vamos supor.
O cara é da mesma empresa que você, no caso mesma patente, você não vai pedir identificação do mesmo,
só para agilizar as coisas.
Saiba que isso é errado, peça o número do funcinoário, CPF ou o diabo a quatro que você quizer.
Mas previna-se quanto á isso, como também serve para usuários desavisados.

Fazendo um ataque á uma pessoa desavisada

Hoje em dia é muito comum bandidos, ligarem de presídeos falando que sequestrou o filho lá do vizinho.
Isso faz com que a pessoa fique louca.
Ah,sequestaram meu filho...
E vem todo aquele chororo, aí os bandidos pedem grana ou cartões de celular, aí o cara em fame
paga.
E 1 hora depois o filho da pessoa chega em casa sem saber de nada.
Isso muitas vezes da certo, porém muitas nem rolam.
Porque muitas vezes á pessoa, supostamente sequestrada, está em casa vendo TV, ou mesmo aqui no forúm.
Aqui vou dar um exemplo básico.
Os mais inteligentes estudam a rotina da família desavisada e vêm a hora que o determinado "seuqestrado" sai.
Eles sempre começam perguntando se é da casa de fulando de tal, para saberem quem habita naquela cada

Sendo o presidiário (Beto) e a vitíma João.

Beto - Alô, é casa do Roberto?
João - Não, é da do João
Beto - Ah tá desculpe-me

Aí eles dão um determinado tempo, uns 2 dois e ligam denovo.

Beto - Alô é da casa do João?
João - É sim
Beto - Olha, estamos com seu filho aqui preso
João - (Medo)(Choro)O que vocês querem?
Beto - Quero 3 mil reias depositados na conta X, daqui a 1 hora
João - Mas eu não tenho esse dinheiro
Beto - Então seu filho vai morrer

Aí vai o pai, ou mãe que já estão cheios de dívidas, muitas das vezes arrumar 2 mil reais,
para pagar um sequestro que nunca existiu.
Sendo que seu filho, filha sobrinho sei lá está na escola se divertindo e zuando com os amigos.
 
Analizando o ataque...

Como vocês puderam perceber, isso é ESTELIONATO, crime previsto pelo Código-Penal Brasileiro,
que vai de 5 á 7 anos de reclusão.
Aí a consiencia é de cada um, com o que faz.

Evitando o ataque...

A forma mais simples de se evitar esse tipo de engenharia social é enganar os bandidos da seguinte maneira:

Beto - Quero 3 mil reias depositados na conta X, daqui a 1 hora.

Quando eles falarem a conta X, fala assim:

Um momento já vou providenciar o dinheiro, rapidamente pegue um telefone qualquer e ligue para o celular
da pessoa supostamente sequestrada, na hora do "Rush", muitas pessoas esuqeçem disso.
E também muitas dessas ligações são á cobrar de celulares,geralmente VIVO, que pegam melhor em lugares fechados
Então tenha cuidado com isso.

Propostas Falsas

Hoje em dia, isso também é muito comum entre as pessoas.
Esse tipo de engenharia é muito usuado no tráfico de pessoas(passa muito sobre isso no JN).
Os "traficantes", por assim dizer, prometem:Ganhe muito dinheiro trabalhando pouco, e o burro do cara
vai pra Europa, chagando lá vira escravo e não tem grana pra voltar.
Tenha cuidado com anúncios de empregos "BONS".
Ligue antes, averigue.
Um exemplo abaixo

"GANHE MUITO DINHEIRO!
Trabalhe em escritório na EUROPA!!!,
Revisando Documentos, nada mais.
4 ANOS de serviço, tudo pago
Estadia, Alimentação e Lazer.
Tudo por conta da TRADEWORK COMPANY S/A (Empresa Fictícia)
Venha já
Compareça ao Endereço TAL.
Na hora TAL.
No dia TAL.
ou Ligue para O TELENE TAL.


Pode falar:está na cara né?!

Analizando o ataque...

Isso é muito comum encontra-mos em Classificados de Jornais,
Como O Dia, ou Extra.
Tais como esses traficantes agem eu não sei.
Aí é com eles, mas sei pelo que vejo nos meios de comunicação, que eles não tem pena de ninguém.
E a maior parte das mulheres, se tornam MULHERES DA VIDA, para não falar outra coisa.
E os homens, geralmente trabalham em Colheitas e Lavouras.
Tudo isso sem receber NADA.

Evitando o ataque...

Esse tipo de ataque hoje em dia é normal, pessoas "incrédulas", caírem nele.
Devido a falta de empregos no Brasil, acham que nesses anúnincios de 5ª categoria,
vão ganhar alguma coisa.
Caso, você esteje atrás de algum emprego, averigue antes, veja se a situação de trabalho é favorável,
veja se enquadra no que você achava que fosse.
E tenha a opnião dos seus pais e etc.

Engenharia social na rede

A engenharia social, também é muito ultilizada por falsários na rede.
Sites de compras falsos, comercio negro e sem contar os Phisings.
Também são muito ultilizados site de Banking, on-line para roubos
É uma falcatrua muito grande, rola muita grana.
Hoje mesmo fiz uma página de phising, para capturar umas senhas aí.
vou colocar o texto aqui, para vocês terem noção

Devido á ataques frequentes ao nosso antigo servidor, mudamos de servidor.
Para fins de seguraccedil;a, estamos realizando back-up das contas de nossos usuários
Pedimos que todos se re-cadastrem acima, para a migração de servidor
Caso, sua conta não seje recadastrada, a mesma será excluída, pela inultilização do serividor antigo.
Grato.
Equipe Hotmail.


Analizando o ataque...

Isso é escrito acima, é conhecido como phising scan.
Você cria uma página com informações falsas, que as mesmas serão redirecionadas para seu e-mail.
Agora imagina.
Isso é para pegar senha de um e-mail (inofensivo convenhamos)
Agora se isso fosse á página de um BANCO ON-LINE ?(como Bradesco, por exemplo)
Muito ultilizada também hoje em dia.

Evitando o ataque...

Esse tipo de ataque é meio que "cara-de-pau".
Porquê esses tipos de empresas (Provedores, Bancos...).
Nunca vêm até você, é sempre você quem vai até eles.
por exemplo:
Para fazer um msn, a Hotmail, não te pede é você quem chega lá no www.hotmail.com.br e faz
certo?
A mesma coisa para um conta bancária, o Bradesco não te pede para abrir uma conta, é você quem chega e abre.
Então o Banco ou Servidor, ou seja lá  que for nunca, mas nunca vai te pedir para recadastrar alguma coisa.
ou reformular uma senha.

Engenharia social Reversa

O que se trata a Engenharia Social Reversa shadow?

Simplesmente, ela acontece quando você para de ligar pra pessoa (vítima), e ela passa a te
ligar.
Você já não mais um certo, controle digamos assim, da hora que a pessoa vai te ligar.
Por um lado isso é bom, mas por outro não é
Explixarei os dois lados da moeda.
O lado bom é que você já tem 100% da confiança da pessoa, e sabe que qualquer coisa que você
pedir "camufladamente", ela vai fazer sem exitar.
E pelo lado ruim, é que você sempre tem que estar preparado para um "pepino", sempre ter histórias para
o que a vítima falar, você ter o que responder.
Isso é muito usado pelos homens, para ganhar a confiança de meninas hehe
mas pode ser uma ótima arma, na hora da engenharia.
Um exemplo abaixo

Sendo o Engenherio André e a Vítima Jaqueline

André - Alô, é da casa da Jaqueline?
Jaqueline - Sim, é a própria, pode falar
André - Jaqueline, aqui é o andré, que nos conhecemos no show do Jota Quest, lembra?
Jaqueline - Ah sim, como eu poderia esquecer de você?
André - hehehehehe, Mas iai como você está "NEM"? (reparem na consideração com a vítima NEM)
Jaqueline - Estou bem e você?
André - Estou ótimo, porque estou falando com você =)
Jaqueline - Aí que fofo, você é tão meigo
André - hehehehehe, Obrigado, mas vamos marcar de nos rever?
Jaqueline - Ah, vamos sim pode ser quando?
André - Não sei, veja um dia que fique melhor pra você e me ligue
Jaqueline - Tudo bem

Analizando o ataque...

Vejam como o rapaz (André), ganhou facilmente a confiança da menina (Jaqueline),
simplesmente ao falar "Estou ótimo, porque estou falando com você".
Isso pode ser aplicado á engenharia inversa, fazer com que a vítima te procure
essa foi a frase de "contraste" dita pelo rapaz "Não sei, veja um dia que fique melhor pra você e me ligue",
porque ele já sabia que ela ia responder que ia ligar pelos elogios que ela fez a ele "Aí que fofo, você é tão meigo".
Tente ganhar a confiança da vítima dando "créditos" a mesma.

Evitando o ataque...

"Quando a esmola é demais, o santo desconfia...", esse dito popular, se enquadra perfeitamente no perfil
de um engenheiro inverso.
Desconfie sempre que alguém te elogiar demais, em demasiada.
Ainda mais alguém que você viu uma única vez, ou sequer viu.
O exemplo descrito acima reflete bem essas situações.
Ou mesmo, se acontecer algum problema e seje necessário você retornar ao funcinário quem te ligou.
Peça uma identificação, ou algo assim.
Não saia dando informações, á algum que você supostamente tem confiança, mas sequer viu pessoalmente.


Bom galera,
Ufa!Acabei de digitar
Queria falar que as situações aqui colocadas, são de minha autoria.
Acho que é só isso,
fiz um resumão geral, de todas as formas de engenharia social.
Basta agora você treinar e ver no que se enquadra mais.
Aviso novamente:
A tópico aqui criado é para fins educacionais,
caso você queira fazer algo fora da lei, o problema é seu.
A cabeça é sua

Mas é isso
ok?!
fuiiiiiiiiiiiiiiiiiiiiiiiiiiiiii

DarkGenesis

#1
Excelente materia shadow_sjm e  você por isso também você acaba de ganhar o seu primeiro Ponto Positivo.

Seja bem vindo a Família Darkers.  ;D

Anonymous

Thanks cara.
Vlw por ter aberto o cadastro a mim.

ok?!
fuiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiii

Anonymous

Olá Shadow, seja bem-vindo!  ;)

Sua matéria está bem explicada, útil para iniciantes...

Abraços.

RT

Olá Shadow;
Realmente, você postou uma excelente materia!
Parabéns pelo seu 1º Ponto Positivo, e seja Bem-Vindo!  :D


RT; 8)

Magrinho Loko

Gostei muito do texto. :P

E parabens pelo Ponto Positivo.
Saudades do antigo Darkers.

Anonymous

Thanks a todos pelos comentarios auqi colocados.

ok?!
fuiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiii

Anonymous

Olha que trexo interessante:

Bruna - Sim,aqui é bruna,posso ajuda-lô?
Vitor - Qual é seu nome?
Bruna - É Bruna


 ;)


Abraços.

Anonymous

uhsahusa,
eu sem querer repeti a fala.
hehehehe
"Ou as vezes o atacante é surdo"
uhsa

ok!?
fuiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiii

Ch1p5

pow, muito interessante seu texto...
gostei msm, parabens, kra
flws


"Minha impressora está normal, mas não imprime"