PDA

Ver Versão Completa : Manipulação Psicológica de Pessoas - Engenharia social (segurança)



gu1le
09-06-2017, 14:33
2017


A engenharia social, no contexto de segurança da informação, refere-se à manipulação psicológica de pessoas para a execução de ações ou divulgar informações confidenciais.

Este é um termo que descreve um tipo psicotécnico de intrusão que depende fortemente de interação humana e envolve enganar outras pessoas para quebrar procedimentos de segurança.

Um ataque clássico na engenharia social é quando uma pessoa se passa por um alto nível profissional dentro das organizações e diz que o mesmo possui problemas urgentes de acesso ao sistema, conseguindo assim o acesso a locais restritos.



A engenharia social não é exclusivamente utilizada em informática.

Ela também é uma ferramenta que permite explorar falhas humanas em organizações físicas ou jurídicas as quais operadores do sistema de segurança da informação possuem poder de decisão parcial ou total sobre o sistema, seja ele físico ou virtual.

Porém, deve-se considerar que informações tais como pessoais, não documentadas, conhecimentos, saber, não são informações físicas ou virtuais, elas fazem parte de um sistema em que possuem características comportamentais e psicológicas nas quais a engenharia social passa a ser auxiliada por outras técnicas como: leitura fria, linguagem corporal, leitura quente. Esses termos são usados no auxílio da engenharia social para obter informações que não são físicas ou virtuais, mas sim comportamentais e psicológicas.



A maioria das técnicas de engenharia social consiste em obter informações privilegiadas enganando os usuários de um determinado sistema através de identificações falsas, aquisição de carisma e confiança da vítima.



Um ataque de engenharia social pode se dar através de qualquer meio de comunicação. Tendo-se destaque para telefonemas, conversas diretas com a vítima, e-mail e WWW.




Como se proteger da Engenharia Social


Bom senso
A vítima deve ficar sempre bem atenta ao receber qualquer tipo de abordagem, seja por telefone, e-mail, carta ou até mesmo pessoalmente, onde um pessoa (atacante) tenta o induzir a fornecer informações confidenciais pessoais e até mesmo sobre a empresa em que trabalha.


Informações sensíveis
Deve-se sempre estar antenado quando lhe for solicitado informações sensíveis como, por exemplo, números de cartões de crédito, senhas e etc. por pessoas estranhas. A vítima antes de tudo deve verificar a autenticidade da ligação que esta recebendo, do crachá que o atacante apresentou e etc.


Solicitações pela internet
Nunca fornecer informações pessoais, de empresas e etc antes de identificar e constatar a autenticidade do pedido. Por várias vezes, vítimas recebem e-mails contendo links falsos, informações não verdadeiras ou até mesmo solicitações de cadastro em empresas fantasmas. Para não cair nestas armadilhas a vítima deve, por exemplo, entrar em contato com a instituição que lhe fez a solicitação de cadastro, como por exemplo bancos, receita federal e etc, para garantir assim uma autenticidade do pedido, nunca clicar sobre links recebidos através de spams e etc.



Criadores de vírus geralmente usam e-mail para a propagar as suas criações

Na maioria dos casos, é necessário que o usuário ao receber o e-mail execute o arquivo em anexo para que seu computador seja contaminado.

O criador do vírus pensa então em uma maneira de fazer com que o usuário clique no anexo.


Um dos métodos mais usados é colocar um texto que desperte a curiosidade do usuário.



O texto pode tratar de sexo, de amor, de notícias atuais ou até mesmo de um assunto particular do internauta. Um dos exemplos mais clássicos é o vírus I Love You, que chegava ao e-mail das pessoas usando este mesmo nome. Ao receber a mensagem, muitos pensavam que tinham um(a) admirador(a) secreto(a) e na expectativa de descobrir quem era, clicavam no anexo e contaminam o computador. Repare que neste caso, o autor explorou um assunto que mexe com qualquer pessoa.


Alguns vírus possuem a característica de se espalhar muito facilmente e por isso recebem o nome de worms (vermes).

Aqui, a engenharia social também pode ser aplicada. Imagine, por exemplo, que um worm se espalha por e-mail usando como tema cartões virtuais de amizade.

O internauta que acreditar na mensagem vai contaminar seu computador e o worm, para se propagar, envia cópias da mesma mensagem para a lista de contatos da vítima e coloca o endereço de e-mail dela como remetente. Quando alguém da lista receber a mensagem, vai pensar que foi um conhecido que enviou aquele e-mail e como o assunto é amizade, pode acreditar que está mesmo recebendo um cartão virtual de seu amigo. A tática de engenharia social para este caso, explora um assunto cabível a qualquer pessoa: a amizade.



As vítimas de Engenharia Social



É importante ressaltar que, independente do hardware, software e plataforma utilizada, o elemento de maior vulnerabilidade em qualquer sistema é o ser humano, por possuir traços comportamentais e psicológicos que o torna susceptível a ataques de engenharia social.


Dentre essas características, podem-se destacar:


Vontade de ser útil: O ser humano, comumente, procura agir com cortesia, bem como ajudar outros quando necessário.

Busca por novas amizades: O ser humano costuma se agradar e sentir-se bem quando elogiado, ficando mais vulnerável e aberto a fornecer informações.

Propagação de responsabilidade: Trata-se da situação na qual o ser humano considera que ele não é o único responsável por um conjunto de atividades.

Persuasão: Compreende quase uma arte a capacidade de convencer pessoas, onde se busca obter respostas específicas. Isto é possível porque as pessoas têm características comportamentais que as tornam vulneráveis à manipulação.



Figuras da Engenharia Social



São várias as figuras encontradas em um ataque de engenharia social, algumas utilizadas apenas na fase de coleta de informações, outras utilizadas apenas na fase de ataque direto e por fim algumas que são utilizadas durante todo o processo de realização do ataque, dentre elas podemos destacar:



Disfarces

Geralmente os disfarces são utilizados durante todo o processo de ataque, seja como faxineiro durante o processo de coleta das informações ou como consultor em visita durante um ataque direto.



Lixo

São poucas as empresas que se preocupam com o destino do lixo que é gerado em seu ambiente, tornando-o assim uma fonte potencial de informações para os engenheiros sociais, pois nele podem ser encontrados relatórios, anotações de senhas, informações sobre o patrimônio da empresa dentre outras.



Funcionários descontentes e redes de contatos

Por via das vezes essa é uma das formas mais fáceis de obter informações dentro de uma empresa. Funcionários insatisfeitos na maioria das vezes acabam por fornecer informações importantes, as quais podem prejudicar seus superiores ou toda a organização, além de possuírem uma rede de contatos dentro e fora (fornecedores) da organização, o que torna-se válido pois estes podem fornecer informações valiosas sobre outras pessoas e sobre caminhos para chegar a mais dados.



Apelo sentimental

Muitas vezes é realizado no mundo virtual (chats), pois o atacante pode, por exemplo, transformar-se em homem ou mulher para atrair e conquistar a confiança da pessoa atacada, subtraindo assim informações importantes.



Programação neurolinguística


Uma das técnicas mais utilizadas nesta fase chama-se acompanha-acompanha-acompanha-comanda, seu objetivo é confundir a vítima. Neste método, o atacante imita os trejeitos de seu interlocutor por um determinado tempo até que forme-se um elo de intimidade e a vítima imagine estar no comando, baixando a guarda. Deste momento em diante o atacante comanda a conversa sem que a vítima perceba, sugando assim todas as informações que ela detém.



A utilização da internet


Vários atacantes formulam sites afim de obter dados pessoais e noções sobre o comportamento de suas futuras vítimas. Para isso, oferecem para a realização do cadastro brindes, participação em promoções e etc. Desta forma conseguem obter, por exemplo, números de CPF, RG e cartões de crédito.






Até Breve





Fonte:

https://pt.wikipedia.org/wiki/Engenharia_social_(seguran%C3%A7a)

https://www.vivaolinux.com.br/artigo/Entendendo-o-que-e-Engenharia-Social

.

Kaos
09-06-2017, 15:51
Esqueceu de informar uma das melhores fontes de fofoca de qualquer grande empresa. A "Tia do cafezinho". Uma das melhores fontes para obter fofocas saborosas como: Quem está comendo quem. Quem está reclamando do chefe. Quem não está satisfeito com o trabalho. E muitas outras...

Perguntas básicas para ser usadas como qualquer cavalo de Troia ou subterfúgio de penetração.

Um bom Eng. Social, sabe que essas pessoas são invisíveis, são tratadas como mobília e tem ótimos ouvidos. Se a mesma é maltratada pelos seus superiores e tratada com respeito por você, poderá escutar os mais deliciosos segredos, muito mais do que o até desejado ou esperado. Como com qual secretária(o) o CEO anda traindo a esposa... Mas isso é uma outra história, bem picante por sinal.

Em toda e qualquer empresa que trabalhei, a favor ou contra, sempre fazia questão de fazer amizade com o pessoal da limpeza e do café. Os tratava com respeito e sempre tinha uma palavra para eles, nem que fosse somente um "muito obrigado". Sou péssimo em guardar nomes, mas deles sabia sempre. Eles nunca "souberam" nada que desabonasse a mim na empresa, mas eu sabia o segredos de todos... :yes:

Aqui vai uma dica para fortalecer suas senhas de forma que sejam seguras e ao mesmo tempo "lembráveis e amigáveis", dificultando e muito uma entrada por brute force.

Todos sabem que uma senha com letras e números, maiúsculas e minúsculas, juntamente com caracteres especiais é mais segura que uma senha só de números ou letras, etc...

Infelizmente muitos acham isso complicado ou difícil de decorar, por isso aqui vai um macete:

Pense numa palavra ou frase, tipo:

Palavra: satisfação

Frase: amor a toda prova

Palavra: satisfação ficaria S4t1sf4c40 ou $4t1$f4c40

Frase: amoratodaprova ficaria 4m0r4T0d4Pr0v4 {Obseerve que toda primeira letra de cada palavra está em maiúscula)

Isso são só dois exemplos, você pode usar o nome de um filme, de um livro, chocolate ou qualquer outra palavra/frase, só seguindo algumas regras como ser maior que 8 dígitos e fácil para VOCÊ lembrar.

No começo até é difícil, mas depois de um tempo você se acostuma, ainda mais que a palavra ou frase terá um sentido para você.

Espero que isso lhes ajudem.

[]'s
Kaos
PS.: Por existir um contrato de confidencialidade, fico impossibilitado de falar mais do que falei acima. Mas fica a dica.

lureinhardt
09-06-2017, 18:14
Muito interessante. Desconhecia que existia toda uma ciência sobre a técnica e sabia menos ainda que tais atividades e pessoas que a exercem possuem uma denominação tão imponente, embora reconheça perfeitamente tais métodos em meu dia a dia, até porque já fui e sou atacada por esta Engenharia Social. Ocorre apenas que sempre usei outro nome para qualificá-las....
Obrigada @gu1le (http://www.tocadacoruja.net/forum/member.php?u=60833) .
Grata pelo complemento @Kaos.

gu1le
09-06-2017, 21:14
Grande dica Kaos obrigado pela colaboração.

E valeu pelo coment lureinhardt .

Eu infelizmente aprendi sobre engenharia social da maneira triste uns anos atrás após uns prejuízos.

Eu acho que a definição e as palavras engenharia social só existe por que estas práticas prejudicaram tantas pessoas no mundo que começaram a estudar seriamente elas.

A engenharia social já existia antes da internet, o exemplo é a Tia do cafezinho que o Kaos citou. Acho que hoje em dia tá quase virando ou já virou uma ciência e é ensinada em faculdades, para que a gente saiba se defender mais ou menos do prejuízo do pessoal quem só quer botar pra frente.

Agora se tem um lugar que a engenharia social virou uma arte e ciência mesmo é na internet. Onde com um teclado uma pessoa pode levar, induzir ou incentivar outro ser humano fragilizado, debilitado, carente etc... obtendo dados de contas bancárias e cartões de crédito, assim como fotografias intimas e pessoais, para depois chantagear, deprimir, confundir, desinformar, assustar até levar a pessoa ao suicídio.

Afff...

Que merda. Tem horas que este mundo fica tão escuro. Affff...

Até Breve


.

Kaos
09-06-2017, 21:57
Muito interessante. Desconhecia que existia toda uma ciência sobre a técnica e sabia menos ainda que tais atividades e pessoas que a exercem possuem uma denominação tão imponente, embora reconheça perfeitamente tais métodos em meu dia a dia, até porque já fui e sou atacada por esta Engenharia Social. Ocorre apenas que sempre usei outro nome para qualificá-las....
Obrigada @gu1le (http://www.tocadacoruja.net/forum/member.php?u=60833) .
Grata pelo complemento @Kaos.

A engenharia é o entendimento de uso de métodos científicos ou empíricos à utilização dos recursos para chegar a um fim, são técnicas de observação, uso de recursos e conhecimento do ser humano ou do meio. Se usa a palavra engenharia mas se poderia usar a palavra psicologia, mas como os meios podem ser físicos, como remexer o lixo, no fim denominação engenharia é mais adequada.

Todos nós, pensando nisso ou não, usamos no nosso dia a dia, psicologia social. É o bebê que faz cara de choro para ter colo, a criança que faz bira para ganhar um presente, o homem que leva flores para amada, a mulher que olha de forma sensual a um homem do outro lado do bar. Fazemos isso de forma até automática e todos com um objetivo final. Colo, presente, sexo ou companhia.

A diferença de um eng. social, para uma pessoa "normal", é que o eng. usa isso de forma consciente e com objetivo claro, que é procurar por brechas de segurança, em uma empresa, e dependendo do lado, proteger esta brecha ou escancarar e roubar dados pela mesma.

Qualquer outro ato, pode e é uso de recursos psicológicos para um determinado fim, mas não eng. social.

É igual a acepção da palavra hacker. Hacker é todo aquele que tem um conhecimento elevado de TI. Ele ser hacker, não quer dizer que rouba dados ou invade sistemas. Temos outras denominações para isso, como Cracker, lammer, newbie, larva, etc...

[]'s
Kaos

lureinhardt
09-06-2017, 22:59
Obrigada pelos esclarecimentos @Kaos. Veja você, tenho formação em uma engenharia e trabalho em uma empresa de engenharia a muitos anos (prefiro não precisar quantos, afinal sou mulher :wink:), como você explicou existem os dois lados, a proteção e a má intenção, entendi isso, e me referia a ataques negativos na área profissional. Não estamos falando sobre os sociopatas e/ou psicopatas que cruzam nossos caminhos embora desse um tema interessante também.
Abraços.

Kaos
10-06-2017, 00:24
lureinhardt compreendo e muito isso. É este tipo de brecha que um eng. social procura tanto para corrigir como para adentrar a empresa.

Mas nesse seu caso e na grande maioria, é o desserviço que a empresa tem de jogar este tipo de problema para debaixo do tapete, sem tentar curar. Coloco curar por ser uma ferida que se não tratada pode virar um cancro. Atrapalhando a produtividade e com isso podendo até afetar o lucro.

Infelizmente aqui no Brasil, para ficar só no terreno nacional, não tem este cuidado e pretensão. Poucas empresas se preocupam com o bem estar e satisfação do funcionário. Normalmente só se toma uma providência quando já foram atingidos, e daí ficam chorando pelo leite derramado. Um exemplo que está bombando é o que está acontecendo com o Uber, se eles tivessem se preocupado desde o começo e tomado as devidas providências, todo este escândalo não estaria acontecendo.

Mas já estamos fugindo muito do assunto deste tópico, e se me deixarem escrevo um livro sobre isso.

[]'s
Kaos

gu1le
10-06-2017, 07:30
Oi Kaos , se não for muito incomodo, por favor poste sobre esta noticia interessante do Uber e outras que desejar. Porque além de informar a gente noticias somadas a informação a pontos de vista é coisa muito legal e pode até inspirar pessoas a criar outras histórias, contos, poesias e mais artigos.

Então, quando puder mande notícias, pois, o que é notícia corriqueira pra uns é novidade para outros. Eu mesmo não sabia sobre.


lureinhardt obrigado novamente por dar vida a estes posts. Legal mesmo.



:)




.