Este documento apresenta uma palestra sobre engenharia social, que é o uso da influência e persuasão para obter informações de pessoas. A palestra discute como a engenharia social é uma das primeiras etapas de um teste de penetração e como sete tipos de persuasão, como conformidade, necessidade e autoridade, podem ser usados para enganar as pessoas. Também fornece exemplos de casos de sucesso e soluções como treinamentos de conscientização para proteger contra a engenharia social.

1. O MAIOR EVENTO BRASILEIRO DE
HACKING, SEGURANÇA E TECNOLOGIA

2. #whoami?
Bruno Barbosa – Chucky
- Graduado em Redes de Computadores;
- Pós Graduado em SI;
- Analista/Consultor de SI;
- Professor de Manutenção de Micros/Redes de
Computadores/Linux/Segurança;
- Usuário e defensor de Software Livres desde 2009.
- Integrante do Hackerspace SucuriHC
28/03/2015 2
Agradecimentos

3. Preparativos
- “A mente que se abre a uma nova ideia jamais volta ao seu tamanho
original.” - Albert Einstein.
Atenção!
As informações contidas nesta apresentação são apenas de caráter
informativo. O conhecimento e as técnicas abordadas não visam ensinar
como enganar as pessoas ou obter qualquer tipo de vantagem sobre
outrem.
O objetivo é apenas demonstrar os pontos fracos que existem nas
corporações e sistemas para que seja possível sanar estes. Brincadeira Senha
28/03/2015 3

4. Hackeando Mentes Pessoas
Bruno Barbosa

5. “Pessoas são extremamente
mais fáceis de Hackear do
que Computadores”

6. 28/03/2015 6

7. ENGENHARIA SOCIAL
28/03/2015 7

8. Engenharia Social
“A engenharia social usa a influência e a
persuasão para enganar as pessoas e convencê-
las de que o engenheiro social é alguém que na
verdade ele não é, ou pela manipulação. Como
resultado, o engenheiro social pode
aproveitar-se das pessoas para obter as
informações com ou sem o uso da tecnologia”.
Trecho do Livro: “A arte de enganar/ Kevin D. Mitnick”
28/03/2015 8

9. Engenharia Social
- Por que atacar uma pessoa e não um sistema?
- Onde Entra a ES: Na primeira Etapa
de um Pentest: “Obtenção de Informação.”
28/03/2015 9

10. Engenharia Social
Quem usa Engenharia Social?
Pentesters;
Você pedindo aos pais para ir em uma festa;
Vendedores;
Empresas praticando espionagem digital;
Professores convencendo alunos a estarem no ROADSEC;
28/03/2015 10

11. ES – Sete tipos de persuasão
- Conformidade
“1000 Pessoas não podem estar erradas” (Muito Explorada) todo mundo está fazendo só
ele que não;
- Lógica
Partir de premissas corretas, induz a acreditar, em seguida coloque a informação falsa
(Questionário com perguntas embutidas);
- Necessidade
“Pode me Ajudar”, “estou desesperado”,” meu chefe vai me matar se eu não
conseguir”.( Pessoas tendem a ajudar);
- Autoridade (Explora o Medo)
“Sabe com quem está falando?” Pessoas de Terno (Foi comprovado NetGeo) - Só
precisa citar nomes;
28/03/2015 11

12. ES – Sete tipos de persuasão
- Reciprocidade
Gratidão, algo em troca (Desligar a rede. Herói do dia)/
- Similaridade
“Pessoas tendem à confiar em pessoas do mesmo ramo (Idade, data de aniversário,
quantidade de filhos, mesma situação(Gravida))” Tem uma estatística que diz que
pessoas do sexo oposto e mais altas, são mais confiáveis.
- Informacional
Saber informações sobre o ambiente, cria uma situação confortável, ou seja, pedir
algumas informações a mais, não fará mal. (Empregados Iniciantes são mais
suscetíveis). Onde coletar: Google imagens: “Meu Crachá”, redes sociais, site da
empresa, blogs etc...
28/03/2015 12

13. Engenharia Social
Confiança não é algo que se dá, é algo que se conquista.
Atenção com a Legislação!
Carregue sempre uma autorização do pentest no bolso.
28/03/2015 13

14. 28/03/2015 14

15. Engenharia Social
Cases de Sucesso:
Qual a maneira mais fácil de se Descobrir uma Senha??????
- Evento que Fui - Feira
- Teve uma pessoa que falou a senha de acesso a UNIDERP, Alterar alguns caracteres
da senha padrão
- Perigo do WiFi
28/03/2015 15

16. 28/03/2015 16

17. 28/03/2015 17

18. 28/03/2015 18

19. 28/03/2015 19

20. Engenharia Social
Solução:
- Cultura de Informação;
- Capacitação/Conscientização do Usuário: Treinamentos, Palestras, etc...
Não Adianta criar uma Politica de Senha Forte, tem que explicar o Por
que.(Usuário Obrigado a anotar a Senha).
28/03/2015 20

21. Referências
- http://controlemental.com/ - Ebook Hackeando Mentes
- Palestra: Rafael Jaques: Engenharia Social: A Doce Arte
de Hackear Mentes
- Livro: “A arte de enganar/ Kevin D. Mitnick”
- YouTube: The Noite 18/06/14 (parte 1) - Entrevista
Marcelo Nascimento
SET - https://www.trustedsec.com/social-engineer-toolkit/
http://www.social-engineer.org/
-Imagens: http://pointinteligencia.blogspot.com,
iwifihacked.blogspot.com,
28/03/2015 21

22. Filmes que todos ES deveriam
ver:
- Hackers 2 Operação Takedown – Mitnik;
- Prenda-me Se For Capaz - Frank Abagnale
Jr;
- Vips – Histórias reais de um mentiroso
Documentário e Filme – Marcelo Nascimento;
- Golpe Duplo - Will Smith
28/03/2015 22

23. Contatos
E-mail: chucky.infotec@gmail.com
Facebook: chucky.infotec
Twitter: @chucky_infotec
Skype: chucky.infotec
Linkedin: /chuckyinfotec
http://about.me/chucky.infotec
PDF da palestra disponível em:
http://www.slideshare.net/BrunoAlexandre1
28/03/2015 23

24. Obrigado!