Engenharia Social

Origem: Enciclopédia Omega, a enciclopédia livre.

Conteúdo 1 Definição 2 Tipos de Engenharia Social 2.1 via e-mail 2.2 via telefone 2.3 Presencial 3 Métodos 4 Referências

Definição

Consiste em obter informações privilegiadas através do convencimento, ludibriando as pessoas, obtenção de senhas documentos, configurações etc. Há estudos que dão conta de que 37% dos ataques envolvem de alguma forma o uso da Engenharia Social

Tipos de Engenharia Social

• Via e-mail
• Via telefone
• Presencial
• combinado ao phreaker (burlar o sistema telefônico) colocando escutas

via e-mail

O atacante prepara uma página de e-mail de modo a fazer a vítima pensar que está sendo contactada por alguém do seu banco, da empresa etc. Visualmente a página é idêntica à original e os links apontam para um endereço que contém códigos que exploram falhas no navegador ou instalam programas como: trojans, vírus, spywares e keyloggers.

A vítima pode receber um e-mail contendo um texto do tipo: Você está sendo traído, clique neste link e veja as provas

via telefone

O atacante, de posse de farta informação sobre os hábitos da vítima tenta convencelo de que quem está falando com ele é alguém do seu círculo, um superior, um técnico de suporte... ...Geralmente solicitando a senha ou a alteração da mesma.

Observe que a solicitação da senha nunca será do tipo: Por favor nos forneça sua senha de acesso. Será criada toda uma situação, um clima para somente ao final isto acontecer!

Presencial

O atacante pode utilizar uma farda da companhia telefônica e facilmente convencer suas vítimas a entrar na empresa, obtendo acesso ao lixo, que por sua vez pode conter dados que lhe auxiliem na obtenção do máximo de iformações possíveis para um ataque. Estando fisicamente no local do ataque, caso tenha oportunidade, o atacante instalará trojans, key loggers, ou deixará "inadvertidamente" disquetes com as armadilhas devidamente disfarçadas.

Métodos

Através de amizade com alguém da rede interna, o espião obtem acesso físico a um computador e instala o "key logger", programa que captura tudo que é digitado no computador. configura o programa para enviar através de e-mail os dados capturados para uma conta de e-mail pré-definida.

Obtendo acesso físico ao local do ataque o invasor pode também fazer uso de outras ferramentas tais como:

• instalação de microcâmeras
• Ferramentas de quebra de senha do sistema (discos de boot) veja este link: http://vivaotux.blogspot.com/2005/04/detonando-senha-do-nt-2000-xp-e-2003.html
• Imprimir a marca de chaves expostas em blocos de cera
• Montando um banco de informações, com datas e números significativos para suas vítimas, tais como nome de familiares, data de nascimento etc. Usuários menos experientes costumam usar senhas dedutíveis!

O espião vasculha sistematicamente o lixo da vítima, seus hábitos, procura saber datas significativas, como dia do aniversário. Usuários inexperientes costumam definir como senhas coisas como a data de nascimento do filho, a placa do carro etc.

O atacante pesquisa o nível de relacionaemento que a vítima tem com outras pessoas na empresa. De posse dessas informações, ao fazer Engeharia Social via telefone ele evita cometer um erro do tipo:

Tratar a secretária como "Senhora Débora" ao invés de "Querida", em caso
de haver um relacionamento afetivo entre ambos.

• O Atacante procura usar o mesmo sotaque e tom de voz ao se passar por alguém
• O atacante tentará colocar suas vítimas em situações embaraçosas manipulando a vítima emocionalmente. Assim como qualquer estelionatário, um atacante é muitíssimo bem informado

Referências

http://www.geocities.com/SiliconValley/Monitor/7600/PHREAKER.html

http://geocities.yahoo.com.br/fratalber/liber003.pdf

http://www.txt.org busque --> engenharia