Engenharia Social: a Psicologia da Aplicação e sua

•
•
•
•
•
Arlington-Green Isle High School
Engenheiro Elétrico (FEI)
Engenheiro de Software (FASP)
Analista Forense (UFC)
CISSP (ISC²)
• Analista de Sistemas (Scopus)
• Gerente (Bradesco)
• Fundador GTI (FEBRABAN)
• Detecção
– Saber como funciona ajuda a perceber um ataque
• Resposta
– Agir da melhor maneira para mitigar ou evitar
• Investigação
– Concentrar-se em padrões prováveis
• Prevenção
– Promover condições para identificar e evitar
atitudes que indicam a preparação de golpes
• Direta
• Reversa
• Físico
• Psicologico
•
•
•
•
Em Pessoa
Telefonia
Online
Periférico
•
•
•
•
Persuasão
Intimidação
Coerção
Extorsão
•
•
•
•
Negligência
Zona de Conforto
Compaixão
Ansiedade e Medo
Pica-Pau – Universal International via YouTube
• “O usuário ignorante”
• “O diretor enfurecido”
• “Vulnerabilidade conhecida”
• “Manutenção do sistema”
• “Confirmação de dados”
• Solicitar secretária para retransmitir fax ou email,
ou transferir telefonema
• Enviar software gratuito ou patch para instalação
• “Perder” CD ou pendrive com código malicioso
• Usar termos internos para ganhar confiança
• Oferecer prêmio em site que pede usuário e senha
• Passar-se por novo funcionário pedindo ajuda
• Passar-se por fornecedor oferecendo patch
• Oferecer ajuda se um problema ocorrer
• Usar falso pop-up solicitando log-in
• Passar-se por funcionário terceirizado
• Passar-se por colega de trabalho
• Passar-se por autoridade
• Enviar cavalo-de-troia
• Modificar cabeçalho do fax
• Capturar digitação da vítima
• “Conto do Vigário”
• “Bilhete Premiado”
• “Terreno na Lua”
• “Sequestro por Telefone”
• “Golpe do Baú”
•
•
•
•
•
•
•
•
•
•
Pretexting
Phishing
Spear Phishing
Phone Phishing
Trojan Horse
Pharming
Pump and Dump
Shoulder Surfing
Dumpster Diving
Road Apples
•
•
•
•
•
Quid pro quo
E-mail Spoofing
Web proxies
Web crawlers
ATM scams
Segundo estudo sobre comportamento de criminosos digitais
da Norwick University por M. E. Kabay, PhD, CISSP-ISSMP:
• Muitas atividades criminosas de hackers são agressivas
• Depersonalização pode criar comportamento aético, imoral ou ilegal
• Justificativas de seus atos minimizando sua significância e
transferindo a culpa para suas vítimas
• DSM IV sugere que alguns hackers têm disordens de personalidade
– Desonestidade, Narcisismo, Requerem pouca ou nenhuma recompensa,
ignoram possíveis punições, culpam suas vítimas
• Outras características
– Charme, Inteligência Superior, Centro de atenção, Falso senso de poder,
Falta de empatia com as vítimas, Comportamento auto-justificado
Segundo estudo sobre comportamento de crimonosos digitais
da Norwick University por M. E. Kabay, PhD, CISSP-ISSMP:
• Alguns pesquisadores sugerem que criminosos digitais têm uma
maturidade moral sub-desenvolvida
• Hackers argumentam que: “A informação quer ser livre”
• Desafiam o uso não autorizado de computadores e redes
• Geralmente desconhecem consequência de suas ações
• Vêem suas ações digitais como divertimento
• Recusam-se a perceber vítimas e efeitos reais
• Mais um ator do que um hacker
• Aprende como as pessoas sentem ao
observar suas ações
• Podem interferir em
sentimentos variando
discurso e comportamento
• Faz com que a vítima
queira entregar a informação
ou fazer o que o Engenheiro Social precisa
Caminho das Índias – Rede Globo via YouTube
• Destraído
• Desinformado
• Emocionalmente carente
• Bem intencionado
• Ou fantasia vantagem
Caminho das Índias – Rede Globo via YouTube
Caminho das Índias – Rede Globo via YouTube
• Alvos:
– Negligência
– Zona de Conforto
– Compaixão
– Ansiedade e Medo
• Uso de Psicologia e Neuro-Linguística
• Explora a tendência natural de
confiança do ser humano
Sempre suscetíveis
Provavelmente suscetíveis
Dificilmente suscetíveis
•
•
•
•
•
•
•
•
•
Recusa de fornecer número de retorno
Pedidos fora do comum
Alegação de autoridade
Urgência
Ameaça implicações para não
conformidades
Muda de assunto quando questionado
Menciona pessoas importantes
Cortesias e elogios excessivos
Sedução e flerte
Shrek 2 – Dreamworks via YouTube
• Recepcionista –
Desapercebida do valor da informação
• Suporte/Manutenção –
Possue privilégios especiais
• Fornecedores –
Processo de contratação diverso
• Contabilidade, RH, Callcenter –
Ataques com objetivos específicos
• Cliente –
Associa credibilidade à empresa
• Grande número de funcionários
• Várias sedes, dependências e instalações
• Paradeiro dos funcionários em respostas
automáticas de emails
• Lista de ramais
• Falta de treinamento em segurança
• Falta de classificação de informação
• Falta de reporte e resposta a incidentes
• Via de regra as pessoas confiam
• Cenários que soam plausíveis podem
ser usados para obter por telefone
informações não autorizadas
• Pessoas normalmente
não questionam a
presença de
pessoas
desconhecidas no prédio
• Entrar em uma dependência sem credencial de acesso
• Fotocopiar or fotografar informação desprotegida
• Conseguir informação sensível via shoulder-surfing e
eavesdropping
• Enviar e-mail a partir de um celular esquecido
• Enviar e-mail a partir de um computador destravado
• Personificar funcionários para tentar trocar senhas
• Instalar um access point falso na rede atacada
• Personificar fornecedores de serviços (entrega de
documentos, coleta de backups, serviço de limpeza etc)
• Deixar pendrives em locais públicos que contém
malware escondido
• Enviar phishing solicitando informação sensível
•
•
•
•
•
•
•
•
•
Coleta de informações públicas
Dumpster Diving
Observação externa do local do ataque
Lista de telefones/ramais
Traje
Rotinas individuais
Câmera digital/celular
Contrato assinado pelo cliente
Telefone de um contato no local
• Diferentemente de outras ameaças a
Engenharia Social não podem ser
combatidas por meios técnicos
• A única forma de defesa é através de
treinamento em segurança,
estabelecimento e infusão de políticas
• Políticas a estabelecer:
– Como um funcionário deve agir quando
reconhece um ataque
– Exatamente qual informação é considerada
sensível
– Como verificar e autenticar identidades
– Dizer “não” é aceitável
– Nunca quebrar políticas, mesmo solicitado por
superiores
– Garantia de que uma pessoa não pode ser punido
por seguir as políticas
– Garantia de que uma pessoa será punido ao
violar as políticas
• A política deve ser clara, concisa, e
permanenetemente asseverada
• Treinamento deve conter:
–
–
–
–
–
Orientação para novos funcionários e terceiros
Demonstração de técnicas e casos
Como prevenir e lidar com incidentes
Explicação sobre o dano que pode causar
Motivação em resistir aos golpes pois ninguém
gostaria de sentir-se enganado
– Teatralização de procedimentos ao telefone, em
pessoa e por e-mail
– Reciclagem anual de segurança
• Auditorias internas devem submeter os
funcionários a testes de cenários reais
• Verifique a identidade de todo pessoal
que entra em dependências
• Documentos importantes devem
permanecer trancados
• Triture todos papéis importantes antes
de jogá-los fora
• Apague todas mídias magnéticas antes
de jogá-las fora
• Todas os computadores na rede devem
ser protegidos por senha
• Treinamento e educação de usuários
• Identificar as áreas de risco
• Política de Segurança forte, testada,
e seguida por todos
• Engenharia Social ainda é o método
mais fácil de se obter informações
• Para haver um brecha de segurança
basta uma pessoa (proposital ou
inadvertidamente) divulgar informações
confidenciais
• Difícil de detectar e investigar
• É trabalhoso, mas é possível treinar
pessoas para prevenir e evitar ataques
de Engenharia Social
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Psychological Based Social Engineering, Charles Lively. December 2003. SANS Institute. 10 September 2005.
http://www.giac.org/certified_professionals/practicals/gsec/3547.php
Economics, Psychology, and Sociology of Security - Andrew Odlyzko - Digital Technology Center, University of Minnesota,
http://www.dtc.umn.edu/odlyzko
Sarah Granger, “Social Engineering Fundamentals: Part I”. Security Focus. http://www.securityfocus.com/infocus/1527
Heur, Richard. "Theft and Dumpster diving". Defense Security Service Academy
http://www.mbay.net/~heuer/T3method/Theft.htm
3Hillary, Bob. "SANs Security Essentials". SANS Conference
Sarah Granger, “Social Engineering Fundamentals: Part II”. Security Focus. January 2002. 10 September 2005.
http://www.securityfocus.com/infocus/1533
M. E. Kabay, PhD, CISSP-ISSMP , Psychology of Computer Criminals Information Assurance – Lecture 2008-09-15
School of Graduate Studies Norwich University http://www.slideworld.org/viewslides.aspx/Computer-program-PsychologyWiki-ppt-2227801
DSM IV: Diagnostic and Statistical Manual of Mental Disorders (1994). American Psychiatric Press
“Cyberspace Abusers and Misusers” by Donn B. Parker (1998). Chapter 6 in: Fighting Computer Crime. Wiley (New
York).
Psychological Based Social Engineering - Charles E. Lively, Jr. GSEC SANS 2003
“Criminal Hackers and Hacktivists” by M. E. Kabay (2002). http://www2.norwich.edu/mkabay/cyberwatch/cybersafety.pdf
Pica-Pau - Universal International via Youtube
Caminho da Índias – Rede Globo via Youtube
Shrek 2 – Dreamworks via Youtube
Google e Wikipedia são seus amigos
The Art of Deception – Kevin Mitnick
The Art of Steal – Frank W. Abaganale
• Direção e gerências devem estar
sensibilizadas da importância da
proteção contra Engenharia Social
• Específica o suficiente para que os
funcionários não precisem tomar
decisões baseados em juízo de valor
• Inclui procedimentos para lidar a um
ataque
• Empresas erram ao proteger apenas quanto ao
aspecto físico e tecnológico relegando o aspecto
psicológico
• A política alivia a responsabilidade do funcionário
fazer juízo de valor sobre incidentes
• A política deve endereçar controle de acesso,
mudança e proteção de senhas
• Todos funcionários devem poder usar móveis com
chave, identificação e trituradoras de papel
• A Política de Segurança deve ser escrita em pedra, e
violações devem ser publicadas e asseverada
• Todos funcionários devem saber como manter
informação confidencial protegida
• Todos novos funcionários devem participar de
treinamento sobre segurança
• Todos funcionários devem participar de
reciclagens anuais de segurança
• É recomendável publicar cartilhas sobre o
assunto, por exemplo, mostrando como
identificar um ataque, métodos de prevenção e
histórias ilustrativas
• Nunca compartilhe senhas (NUNCA)
• Não forneça informação pessoal ou sensível, a
não ser para pessoas e empresas autenticáveis
e o canal usado confiável
• Não acredite em esquemas que prometem
dinheiro rápido e fácil
• Atualize seus softwares regularmente
• Escolha senhas fortes e troque-as regularmente
• Não use a mesma senha em diversos sistemas
• Triture papéis importantes antes de jogá-los fora
• Não discuta assuntos corporatvos em público
• Não use CDs, DVDs, pendrives encontrados
aleatoriamente
• Aprenda a detectar phishing
• Cuidado com anexos em emails
• Nunca clique em um link em um email ou telefone
para um número em um email, procure informações
em outro canal
• Não responda ou repasse mensagens de fontes
desconhecidas, correntes ou boatos
• Bloqueie seu computador ao se afastar dele
• Não facilite a entrada de estranhos, faça-os usar o
crachá
• Não conceda informação confidencial com estranhos
por telefone