Engenharia Social

Como hackear a mente humanaLuiz Vieira

Quem sou eu?

Definição“Não existe Patch para a burrice humana”

• Engenharia Social é conhecida comumentecomo a arte de manipular pessoas para querealizem ações ou divulguem informaçõesconfidenciais.

• Embora seja similar à um truque ou fraude, o termo aplica-se normalmente a engodos ouenganos com o propósito de obterinformações, fraude ou acesso a sistemascomputacionais; na maioria dos casos o atacante nunca fica cara-a-cara com a vítima.

Pontos vulneráveis

Tipos de Engenharia Social

• Baseado em pessoas:– Disfarces

– Representações – Uso de cargos de alto nível

– Ataques ao serviço de Helpdesk– Observações

Tipos de Engenharia Social

• Baseado em computadores:– Cavalos de Tróia anexados a e-mails

– E-mails falsos – WebSites falsos

Formas de ataque

• Insiders Attacks• Roubo de Identidade• Phishing Scam• URL Obfuscation• Dumpster Diving• Shoulder Surfing• Tailgating• Persuasão

EngSoc + PNL

• A Programação Neurolinguística (ou simplesmente PNL) é um conjunto de modelos, estratégias e crenças que seus praticantes utilizam visando principalmente ao desenvolvimento pessoal e profissional.

• É baseada na idéia de que a mente, o corpo e a linguagem interagem para criar a percepção que cada indivíduo tem do mundo, e tal percepção pode ser alterada pela aplicação de uma variedade de técnicas.

• A fonte que embasa tais técnicas, chamada de "modelagem", envolve a reprodução cuidadosa dos comportamentos e crenças daqueles que atingiram o "sucesso".

Princípios da PNL• As pessoas respondem a sua experiência, não à realidade em si.• Ter uma escolha ou opção é melhor do que não ter uma escolha ou opção.• As pessoas fazem a melhor escolha que podem no momento.• As pessoas funcionam perfeitamente.• Todas as ações têm um propósito.• Todo comportamento possui intenção positiva.• A mente inconsciente contrabalança a consciente; ela não é maliciosa.• O significado da comunicação não é simplesmente aquilo que você

pretende, mas também a resposta que obtém.• Já temos todos os recursos de que necessitamos ou então podemos criá-

los.• Mente e corpo formam um sistema. São expressões diferentes da mesma

pessoa.• Processamos todas as informações através de nossos sentidos.• Modelar desempenho bem-sucedido leva à excelência.• Se quiser compreender, aja.

Meta-modelo de Linguagem

Buffer Overflow Humano

• Assim como programas para fuzzing, ondeatravés de diferentes tipos e tamanhos de dados fazemos com que um sistema dê um crash, precisamo entender como a mentehumana reage a certos tipos de informações.

• A maneira mais rápida de injetar códigos namente humana é através de comandosembutidos.

Regras para Comandos Embutidos

• Normalmente os comandos são curtos – 3 a 4 palavras• Uma leve ênfase é necessária para torná-los eficazes• Ocultá-los em frases normais tornam seu uso mais

efetivo• Nossa expressão facial e corporal devem ser coerentes

com os comandos

• Ex: “Quando você adquire um produto como estevindo de alguém como eu, quais características sãomais importantes para você?"

SET – Social Engineering Toolkit

Utilizando o SET

• svn co http://svn.thepentest.com/social_engineering_toolkit/ SET/

• Para iniciar o SET: ./set

• Escolher a opção número 2 (Website Attack Vectors)• Nesta fase iremos usar o Site Cloner, opção número 2.

• Aqui iremos escolher o tipo de ataque, iremos utiliza o Metasploit Browser Exploit

• Adicione o seu Número IP, onde irá rodar o seu servidor Web

• Neste ponto temos que escolher qual o tipo de exploit que iremos usar, no exemplo iremos reproduzir a falha conhecida como "Aurora" (MS10-002).

• Nosso payload, neste caso será o Windows Bind Shell• A opção URIPATH, temos que alterar para qualquer endereço, exemplo

/teste

• E utilize o comando exploit para iniciar o ataque e o servidor.

Contatos

Luiz Vieirahttp://hackproofing.blogspot.com

http://www.oys.com.brluizwt@gmail.com

luiz.vieira@oys.com.brluiz_vieira.BSI@petrobras.com.br