segunda-feira, 8 de fevereiro de 2016

Engenharia Social

Existem basicamente dois tipos de ataques: o direto e o indireto. A eficiência

deles depende das habilidades pessoais do hacker e do quanto ele se identifica

com os processos. Normalmente, é necessário utilizar uma combinação de ambos

para obter o resultado desejado. Para chegar à abordagem direta, o invasor

deve ter conseguido uma bela coleção de informações obtidas de modo indireto.

Só assim poderá "saber do que está falando" quando abordar um funcionário do

teleatendimento para conseguir uma senha de acesso ao sistema ou enviar aquele

fax dizendo que é o gerente da filial solicitando informações.

Ataque indireto

o ataque indireto consiste na utilização de ferramentas de invasão (como

cavalos de tróia e sites com código malicioso) e de impostura (como cartas,

e-mails e sites falsos com a aparência dos verdadeiros) para obter informações

pessoais. Os usuários individuais de quem o hacker extrai os dados são apenas

vetores para a coleta de informações de uma entidade maior - empresa, organização

ou governo. Sua intenção não é atacar cada um desses usuários, e sim o

organismo maior ao qual elas pertencem.

Ataque direto

São caracterizados pelo contato pessoal. Geralmente são feitos por fax ou

telefone (embora hackers mais confiantes ousem fazê-Ios pessoalmente...) e

exigem planejamento detalhado e antecipado, vários planos de emergência

para cada uma das fases do ataque previamente planejadas e um pouco de

dom artístico. Sim,um bom invasor tem a obrigação de ser bom ator. Este deve

ser bem articulado para que seu plano não seja desmascarado, e também ter

raciocínio rápido para encontrar saídas caso algo fora do planejado dê errado.

Métodos utilizados

É óbvio que todo esse falatório sobre ataques diretos e indiretos é extremamente

vago. Na prática, existem algumas táticas simples que devem ser usadas

na elaboração do procedimento de ataque. As principais armas de um engenheiro

social podem ser divididas em dois grandes grupos: pesquisa e impostura.

Comecemos pela pesquisa. A aquisição de material, como relatórios anuais e

lista de pagamento, pode dar uma ótima visão da hierarquia adotada na empresa.

Isso ajuda muito na hora da seleção dos alvos pontuais (lembre-se: um pedacinho

de informação extraído de cada usuário resulta em um bolo valiosíssimo quando

reunido às outras pequenas informações extraídas dos outros usuários). O hacker

pode descobrir quem detém o material necessário para a invasão e outras informações

importantes para o ataque, como departamento em que a pessoa trabalha

Nenhum comentário:

Postar um comentário