Responder com citaçãoBom acho que isso nao tem muito haver com engenharia social............ o cata viu a senha sem querer e usou ............
Usuário Registrado
A cada dia que passa os sistemas de segurança se tornam mais eficazes tornando mais difícil uma invasão puramente pelo computador, por conta disso os invasores estão investindo cada vez mais na Engenharia Social, por isso acredito que os profissionais da área de segurança devem estar preparados e abrir os olhos, não só para os ataques externos, para quem trabalha ao seu redor, por exemplo:
João um garoto tímido e meio tonto, digitador de um grande banco, nunca fazia tarefas muito importantes, chegava as 8 horas, sentava na sua cadeira e comessava a digitar, sai para o descanso fumava um cigarro voltava a digitar, em um belo dia ele precisou falar com o gerente, marcou hora e foi chamado, ao chegar o gerente estava no telefone e não deu muita atenção:
- Senta João, senta ai e aguarda um minuto.
João mesmo que sem querer observava todos aqueles papeis espalhados na mesa do gerente, ele não queria ver nada que pudesse compromete-lo no futuro mais algo dentro dele mandava ele olhar, o gerente pediu licença e foi ao banheiro e João ali sem conseguir parar de olhar, até que ele viu em um dos papeis, um trecho com marcador de textos verde, estava escrito Senha:12345 – Não é verdade! Pensa João espantado. Pode acreditar João é verdade ai esta a senha de internet do seu gerente, João termina a conversa sai e passa o dia todo pensando no que tinha acabado de acontecer... Foi para casa tentando esquecer a senha mais não conseguia, levantou no meio da noite e acessou a internet com aquela senha, pareceu um pesadelo, João mal dormia agora, era todos os dias, virando a noite na internet com a senha do seu gerente...
Você as vezes não nota mais tem pessoas que cola adesivos com senhas nos monitores ou gabinetes, senhas de rede, se esse usuário tiver permissão para acesso remoto?
Se acham os espertos e colocam apenas a senha sem mais nenhum nome identificando o que é aquilo, mais quem não vai imaginar que um adesivo escrito “amor” colado no monitor seria a senha de rede?
Bom o texto saiu um pouco confuso é que sou meio louco e estou sem tempo para escrever, mais acho que deu para passar a idéia central que é: Desconfie de todos, nunca se sabe quando João vai entrar na sala para conversar com você!
Usuário Registrado
Bom acho que isso nao tem muito haver com engenharia social............ o cata viu a senha sem querer e usou ............
Usuário Registrado
Cara não ficou nada confuso, o texto descreveu a pura realidade que acontece em pequenas e grandes empresas que muitas das vezes não tem uma políca de segurança!
[]s
rj45
Usuário Registrado
Amigo, o fato do "João" da minha estorinha ter visto a senha sem querer foi apenas uma irônia... Fiz isso para tentar colocar um pouco de humor mais a idéia que tentei passar foi de que existem muita gente dentro das empresas que estão de olhos abertos para tudo, escutando tudo e sabendo aproveitar as grandes oportunidades, para ficar melhor imagine que "João" não viu a senha sem querer, e sim viu na saída do gerente ao banheiro uma grande oportunidade de vasculhar a mesa para achar algo interessante, isso ilustra a engenharia social e o vacilo que os funcionários dão ao mesmo tempo.Originalmente enviado por [b
Usuário Registrado
Muito bom o texto....e é isso mesmo que acontece por aí, ou aqui na empresa aonde eu trabalho...he..he...he..
Usuário Registrado
Rato muito obrigado pelo elogio, não é só na sua empresa não, em todo lugar se pode encontrar coisas desse tipo, quem nunca entrou em um escritorio e viu nas mesas papeis com o telefone e nome das pessoas (lembretes dizem eles...rs)?
Vai uma dica para tentar evitar ataques de engenharia social:
Quem vai mentir, geralmente demora um pouco mais para responder, então você pode perceber uma mentira em uma conversa simples, mais a dica não é muito válida quando se trata de um especialista na Engenharia Sociall, como foi o Mitnick, pois este tipo prepara muito bem o seu ataque, formula muito bem a estrategia e chega em uma conversa com práticamente todas as respostas preparadas.
Palpiteiro Oficial
Resolvi postar aqui este e-mail que recebi através de uma lista. Vejam como é importante se tomar cuidado quando se diz algo na Internet. A pessoa (cujo nome e o nome da empresa eu apaguei na transcrição) postou isso declarando explicitamente que o exploit está ativo na empresa onde ele trabalha. Além de ele colocar o proprio nome, ele inscreveu o e-mail da EMPRESA, tornando público qual é o "buraco" que a empresa dele tem.
Só para vocês saberem da gravidade, é uma companhia de distribuição de energia BRASILEIRA.
Se eu fosse uma pessoa má, já saberia:
a) o nome do administrador de segurança
b) o nome da empresa
c) quais os hardwares
d) quais as vulnerabilidades, e como utiliza-las (eu removi na transcrição)
e) onde estão os hardwares vulneráveis e qual é o impacto na empresa.
Pessoal, não é porque você está em uma lista de sobre segurança (ou forum :[] ) que você vai achar que todo mundo com que você "fala" é honesto. QUALQUER um pode entrar em uma lista destas.
transcrição
De: *<nome.sobrenome>@<nome.da.empresa> * * *
Data: *Ter, Fevereiro 17, 2004 3:23 pm
Para: *bugtraq@securityfocus.com *
Assunto: *Fw: APC 9606 SmartSlot Web/SNMP management card "backdoor" - MORE PROBLEMS
Prioridade: *Normal
We have many products from APC and we've tested that vulnerability in some
of them and ..... following are the results.
The following systems are vulnerable:
- Silcon DP3320E with Web/SNMP Management Card AP9606 - AOS v3.0.1
- Silcon DP340E with Web/SNMP Management Card AP9606 - AOS v3.0.1
You can't image as critical that vulnerability is for us because the two
systems above are responsible for providing power to our NOC (Network
Operation Center).
I'm not worrying about smaller no-breaks that are responsible for providing
power to ours servers, routers and switches.
Regards, <nome>
___
* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
aqui vem a descrição do backdoor e o exploit com detalhes de como acessar :P *
não vem ao caso para o forum neste *momento.
Só sei que nada sei.
"For the Horde"
Usuário Registrado
é...tá mais pra falha no controle de acesso do que engenharia social...o João não jogou um verde no gerente para colher maduro...ele simplesmente viu algo que qualquer um ali poderia ter visto...uma boa política de segurança já define que papeis não devem ficar rolando pelas mesas ao alcançe das vistas de qualquer um...
Usuário Avançado
Não vem muito ao caso se "João" usou ou não de engenharia social (eu acho que não) para obter a senha. Oimportante é saber que muitos dos que se dizem seus chefes ou amigos deixam grandes furos, e que um bom engenheiro social não deixa passar.
Um tempo atrás eu estava fazendo compras no supermercado com o cartão da minha mãe, passei o cartão no leitor do caixa e digitei a senha, como sempre ninguém me interpelou sobre o uso de um cartão que não era meu (mesmo que o cartão não tenha foto, o nome impresso nele é de uma mulher, logo não é de quem o possui...). Bem, digitei a senha, uma seqüência de quatro números (um absurdo, deveria ser no mínimo seis e não somente números) e apareceu um erro, tornei a passar o cartão e novamente o erro. Especulei que poderia ser o teclado do caixa (horrível, por sinal), passei o cartão e o rapaz conferiu a aquantidade de algarismos digitados... tudo ok e... erro novamente. Já ia sacando a carteira para infelizmente pagar as compras com dinheiro quando ele "inocentemente" me pergunta: quais tecla você usou, vou abrir uma ocorrência para o pessoal da manuntenção consertar isto.
Perceberam? Eu respondo inconciêntemente quais as teclas que eu usei e dou a senha de presente pra ele, e pior, na ordem exata, pois se sua senha é 1234, você não vai dizer, inconciêntemente, em outra ordem.
Talvez ele nem tivesse a intenção de "roubar" minha senha, até porque, sem o cartão pouco se consegue fazer. A sorte foi que na hora eu tive um "lapso de inteligência" e espertamente sai da situação com um: deve ser o sistema, o teclado apesar de ruim funciona. Paguei com dinheiro e sai.
Alguns cuidados com as respostas e esse tipo de problema não existirá. Nas empresas seria interessante um treinamento para os funcionários com algumas respostas marcadas, evitando assim, a informalidade. Isso juntamente com a proibição de algumas respostas.
São nos detalhes que nos damos mal. E só pra relaxar: nunca digam "pequenos detalhes", pois é um pleonasmo rí-di-**-lo, uma vez que detalhes são pequenos...
Beijos pra vocês,
NumberOne
"Toda conquista, todo passo articulado no domínio do conhecimento é UMA CONSEQÜÊNCIA DIRETA da coragem, da autocrueldade implacável e da intransigência pessoal" [Friedrich Nietzsche]
Usuário Registrado
Eu acho que vem ao caso sim...sabe porque? Cada ataque tem seu conceito bem definido...e não é interessante misturarmos as coisas.
Esse seu caso com o cartão é um típico ataque de Engenharia Social, mesmo apostando na inociência do funcionario...é importante ficarmos bem atentos nessas horas pois certos efeitos psicológicos gerados por determinadas situações, deixam as pessoas indefesas a perguntas como a que o funcionário lhe fez. Você responde rápidamente pois quer uma solução rápida e discreta para o problema e não ter segurança, aliás muitos nem lembram a função da senha nestes momentos...
...agora vamos apostar que o funcionário queria arrancar a senha de você...sabe lá pra que e porque...sabe como é...o cara é caixa do supermercado...esse tipo de problema pode acontecer todos os dias...sistema fora do ar e o escambal...devemos desconfiar de tudo e sempre ficar espertos...pois em ataques fortes de Engenharia Social o atacante vai usar armas dificeis de combater: psicologia, persuasão, interpretação, e por ai vai...ok!!!
There are currently 1 users browsing this thread. (0 members and 1 guests)
Regras de envio