Engenharia Social
Existem basicamente dois tipos de ataques: o direto e o indireto. A eficiência
deles depende das habilidades pessoais do hacker e do quanto ele se identifica
com os processos. Normalmente, é necessário utilizar uma combinação de ambos
para obter o resultado desejado. Para chegar à abordagem direta, o invasor
deve ter conseguido uma bela coleção de informações obtidas de modo indireto.
Só assim poderá "saber do que está falando" quando abordar um funcionário do
teleatendimento para conseguir uma senha de acesso ao sistema ou enviar aquele
fax dizendo que é o gerente da filial solicitando informações.
Ataque indireto
o ataque indireto consiste na utilização de ferramentas de invasão (como
cavalos de tróia e sites com código malicioso) e de impostura (como cartas,
e-mails e sites falsos com a aparência dos verdadeiros) para obter informações
pessoais. Os usuários individuais de quem o hacker extrai os dados são apenas
vetores para a coleta de informações de uma entidade maior - empresa, organização
ou governo. Sua intenção não é atacar cada um desses usuários, e sim o
organismo maior ao qual elas pertencem.
Ataque direto
São caracterizados pelo contato pessoal. Geralmente são feitos por fax ou
telefone (embora hackers mais confiantes ousem fazê-Ios pessoalmente...) e
exigem planejamento detalhado e antecipado, vários planos de emergência
para cada uma das fases do ataque previamente planejadas e um pouco de
dom artístico. Sim,um bom invasor tem a obrigação de ser bom ator. Este deve
ser bem articulado para que seu plano não seja desmascarado, e também ter
raciocínio rápido para encontrar saídas caso algo fora do planejado dê errado.
Métodos utilizados
É óbvio que todo esse falatório sobre ataques diretos e indiretos é extremamente
vago. Na prática, existem algumas táticas simples que devem ser usadas
na elaboração do procedimento de ataque. As principais armas de um engenheiro
social podem ser divididas em dois grandes grupos: pesquisa e impostura.
Comecemos pela pesquisa. A aquisição de material, como relatórios anuais e
lista de pagamento, pode dar uma ótima visão da hierarquia adotada na empresa.
Isso ajuda muito na hora da seleção dos alvos pontuais (lembre-se: um pedacinho
de informação extraído de cada usuário resulta em um bolo valiosíssimo quando
reunido às outras pequenas informações extraídas dos outros usuários). O hacker
pode descobrir quem detém o material necessário para a invasão e outras informações
importantes para o ataque, como departamento em que a pessoa trabalha
Nenhum comentário:
Postar um comentário