Upload
luiz-vieira
View
7.604
Download
5
Embed Size (px)
DESCRIPTION
Citation preview
Engenharia Social
Como hackear a mente humanaLuiz Vieira
Quem sou eu?
Definição“Não existe Patch para a burrice humana”
• Engenharia Social é conhecida comumentecomo a arte de manipular pessoas para querealizem ações ou divulguem informaçõesconfidenciais.
• Embora seja similar à um truque ou fraude, o termo aplica-se normalmente a engodos ouenganos com o propósito de obterinformações, fraude ou acesso a sistemascomputacionais; na maioria dos casos o atacante nunca fica cara-a-cara com a vítima.
Pontos vulneráveis
Tipos de Engenharia Social
• Baseado em pessoas:– Disfarces
– Representações – Uso de cargos de alto nível
– Ataques ao serviço de Helpdesk– Observações
Tipos de Engenharia Social
• Baseado em computadores:– Cavalos de Tróia anexados a e-mails
– E-mails falsos – WebSites falsos
Formas de ataque
• Insiders Attacks• Roubo de Identidade• Phishing Scam• URL Obfuscation• Dumpster Diving• Shoulder Surfing• Tailgating• Persuasão
EngSoc + PNL
• A Programação Neurolinguística (ou simplesmente PNL) é um conjunto de modelos, estratégias e crenças que seus praticantes utilizam visando principalmente ao desenvolvimento pessoal e profissional.
• É baseada na idéia de que a mente, o corpo e a linguagem interagem para criar a percepção que cada indivíduo tem do mundo, e tal percepção pode ser alterada pela aplicação de uma variedade de técnicas.
• A fonte que embasa tais técnicas, chamada de "modelagem", envolve a reprodução cuidadosa dos comportamentos e crenças daqueles que atingiram o "sucesso".
Princípios da PNL• As pessoas respondem a sua experiência, não à realidade em si.• Ter uma escolha ou opção é melhor do que não ter uma escolha ou opção.• As pessoas fazem a melhor escolha que podem no momento.• As pessoas funcionam perfeitamente.• Todas as ações têm um propósito.• Todo comportamento possui intenção positiva.• A mente inconsciente contrabalança a consciente; ela não é maliciosa.• O significado da comunicação não é simplesmente aquilo que você
pretende, mas também a resposta que obtém.• Já temos todos os recursos de que necessitamos ou então podemos criá-
los.• Mente e corpo formam um sistema. São expressões diferentes da mesma
pessoa.• Processamos todas as informações através de nossos sentidos.• Modelar desempenho bem-sucedido leva à excelência.• Se quiser compreender, aja.
Meta-modelo de Linguagem
Buffer Overflow Humano
• Assim como programas para fuzzing, ondeatravés de diferentes tipos e tamanhos de dados fazemos com que um sistema dê um crash, precisamo entender como a mentehumana reage a certos tipos de informações.
• A maneira mais rápida de injetar códigos namente humana é através de comandosembutidos.
Regras para Comandos Embutidos
• Normalmente os comandos são curtos – 3 a 4 palavras• Uma leve ênfase é necessária para torná-los eficazes• Ocultá-los em frases normais tornam seu uso mais
efetivo• Nossa expressão facial e corporal devem ser coerentes
com os comandos
• Ex: “Quando você adquire um produto como estevindo de alguém como eu, quais características sãomais importantes para você?"
SET – Social Engineering Toolkit
Utilizando o SET
• svn co http://svn.thepentest.com/social_engineering_toolkit/ SET/
• Para iniciar o SET: ./set
• Escolher a opção número 2 (Website Attack Vectors)• Nesta fase iremos usar o Site Cloner, opção número 2.
• Aqui iremos escolher o tipo de ataque, iremos utiliza o Metasploit Browser Exploit
• Adicione o seu Número IP, onde irá rodar o seu servidor Web
• Neste ponto temos que escolher qual o tipo de exploit que iremos usar, no exemplo iremos reproduzir a falha conhecida como "Aurora" (MS10-002).
• Nosso payload, neste caso será o Windows Bind Shell• A opção URIPATH, temos que alterar para qualquer endereço, exemplo
/teste
• E utilize o comando exploit para iniciar o ataque e o servidor.