O Que é Engenharia Social?

[pic 1]

UNIP

Cursos Superiores de Tecnologia

Princípios de sistemas operacionais

Engenharia social na tecnologia

Aluno: Rubens Sanches

RA: D66802-1

Aluno: Felipe Tiago Pereira

Ra: D7079C-0

Turma: TI

Semestre: 1SEM

Data de Entrega: 08/05/2018

ALPHAVILLE

2018

O que é Engenharia Social?

Engenharia social é geralmente qualquer tipo de ataque que envolve interação humana com o objetivo de tentar enganar uma vítima a revelar informações ou violar as práticas normais de segurança. Os engenheiros sociais querem informações que podem usar para roubar identidades ou senhas. Eles podem tentar fazer a vítima acreditar que são do suporte técnico. O objetivo final é a vítima baixar a guarda para obter informações suficientes para planejar um ataque. O ataque baseia-se nas fraquezas do ser humano em vez de usar a tecnologia. Os seres humanos são facilmente manipulados para fornecer informações. Engenheiros sociais são como artistas, são muito bons em reconhecer sinais ou comportamentos que podem ser úteis na extração de informações, como as seguintes:

Os seres humanos têm uma tendência a confiar nos outros. Os engenheiros sociais usam métodos como buzzwords (o uso de termos familiares pode levar a vítima a acreditar que um atacante tem conhecimentos privilegiados de um projeto ou lugar).

Um engenheiro social pode ameaçar uma vítima.

O atacante pode prometer recompensas tremendas.

A realidade é que muitas pessoas não percebem os perigos associados com engenharia social e não reconhecem como uma ameaça.

Por que a engenharia social funciona?

A engenharia social é eficaz por vários motivos, cada um pode ser corrigido ou explorado, depende se você é o defensor ou o atacante.                                    A tecnologia pode corrigir problemas de segurança, mas pode ser uma fonte de fraqueza. Uma coisa que a tecnologia tem pouco impacto é diminuir a eficácia da engenharia social. Isso porque a tecnologia pode ser contornada ou incorretamente configurada pelos seres humanos.  As políticas que indicam como as informações devem ser tratadas são muitas vezes insuficientes. A engenharia social é difícil de detectar. Um ataque contra a tecnologia deixa trilhas em um arquivo de log ou em um sistema de detecção de intrusão (IDS), mas a engenharia social não. A falta de treinamento sobre engenharia social e como reconhecê-la pode ser um grande problema. O EC-Council diz: “Não há patch para a estupidez humana”. Embora você possa corrigir com patch a tecnologia, você não pode com um ser humano. O treinamento é uma forma de corrigir maus comportamentos e conscientização dos problemas antes do tempo.

Um exemplo em que a Engenharia Social pode ser usada é com cavalos de Tróia, para atrair uma vítima a abrir um arquivo executável infectado por malware. Um cavalo de Tróia é um malware que se baseia na engenharia social como um mecanismo para uma infecção. Usando a engenharia social, os escritores de vírus podem fazer uma vítima a executar um malware com a promessa de dar-lhes algo. Outro é o caso do scareware. Este tipo é projetado para assustar uma vítima para agir quando não é necessário. O melhor exemplo é o caso de falsos produtos antivírus que solicitam aos usuários mensagens muito realistas que eles devem baixar um “antivírus” para desinfetar seu sistema. Treinamento simples e conscientização pode facilmente parar um ataque antes que ocorra. Deve-se conhecer os sinais de engenharia social

Fases de engenharia social

Use footprinting e colete detalhes sobre um alvo através de pesquisa e observação. Fontes de informação podem incluir dumpster diving, phishing, sites, funcionários, passeios da empresa, ou outras interações. Selecione um indivíduo ou grupo específico que possa ter o acesso a informações que você precisa para se aproximar do alvo. Procure por fontes como pessoas que estão frustradas, excessivamente confiantes ou arrogantes e dispostas a fornecer informações prontamente. Forjar um relacionamento com a vítima pretendida através de conversas, redes sociais, etc. Explorar a relação com a vítima, e extrair as informações desejadas.

Qual é o impacto da engenharia social?

A engenharia social pode ter muitos resultados em uma organização:

Perda econômica

Terrorismo

Perda de Privacidade

Ações judiciais e arbitragens

Encerramento Temporário ou Permanente

Perda da boa vontade

Alvos Comuns da Engenharia Social

Um atacante vai procurar por vítimas potenciais que têm mais a oferecer. Como recepcionistas, pessoal de help desk, usuários, executivos, administradores de sistemas, fornecedores externos e até mesmo pessoal de manutenção.

Recepcionistas - uma das primeiras pessoas que os visitantes vêem em muitas empresas. Eles vêem muitas pessoas entrar e sair de um escritório, e eles ouvem um monte de coisas. Estabelecer um relacionamento com esses indivíduos pode facilmente produzir informações que são úteis por conta própria ou para ataques.

Pessoal de help desk - Outro alvo valioso devido à informação que eles podem ter sobre a infraestrutura, entre outras coisas. O arquivamento de pedidos falsos de suporte ou a pergunta a essas pessoas podem gerar informações valiosas.

Os administradores de sistema - também podem ser alvos valiosos, novamente por causa das informações que possuem. O administrador típico pode ser útil por ter muito alto nível de conhecimento da infraestrutura e aplicações, bem como planos de desenvolvimento futuro. Além disso, alguns administradores de sistemas possuem conhecimento de longo alcance sobre a rede e infraestrutura de toda a empresa.

Os executivos - são outro alvo principal para os atacantes, porque nesses tipos de cargos não estão focados na segurança. Na verdade, muitas das pessoas nessas posições focam em processos de negócios, vendas, finanças e outras áreas.

Os usuários - são provavelmente uma das maiores fontes de vazamentos, porque eles são os que manipulam, processam e gerenciam informações dia a dia. Junte isso com o fato de que muitos desses indivíduos podem estar menos preparados para lidar com essas informações de forma segura.

...