Entendendo o que é Engenharia Social

Este trabalho apresenta os principais aspectos referentes a engenharia social, seus conceitos, como entender e evitar sua ocorrência, as técnicas utilizadas para se obter sucesso nos ataques, a fragilidade das vítimas e etc.

domguilherme

Por Guilherme Junior em 28/12/2006

Hits: 107.381 Categoria: Linux Subcategoria: Segurança

Parte 2: Técnicas

Praticamente todas as técnicas de engenharia social consistem em obter informações privilegiadas iludindo os usuários de um determinado sistema através de identificações falsas, aquisição de carisma e confiança da vítima. Ao realizar o ataque, o atacante pode fazer uso de qualquer meio de comunicação. Tendo-se destaque para telefonemas, conversas diretas com a vítima, e-mail e WWW. Algumas dessas técnicas são:

E-mails que contenham vírus

Neste caso a engenharia social atua através do assunto contido nos e-mails, cuja função é iludir os receptores, o assunto pode estar relacionado à amizade, sexo, amor, dentre outros. Quando a vítima recebe este e-mail ela torna-se vulnerável por acreditar que a mensagem realmente contenha algo sobre tal assunto, vindo assim a abrir e executar o anexo que então contém o vírus.

A função do engenheiro social neste caso será criar uma mensagem capaz de convencer o receptor sobre sua veracidade despertando assim sua curiosidade fazendo-o executar o anexo (vírus).

E-mails falsos

Este tipo de ataque envolve a engenharia social, pois explora a confiança dos receptores de tais e-mails. Estes na maioria das vezes visam obter informações financeiras, como por exemplo, senhas, números de contas e etc.

O trabalho do engenheiro social neste caso é, como dito no exemplo acima, clonar um site de uma instituição financeira e fazer com que a pessoa receptora digite ali as informações que lhe são necessárias.

Muitas vezes o engenheiro social faz uso de artifícios como, por exemplo, promoções, premiações e etc, que na verdade nunca vieram a existir.

O atacante por meio de e-mail envia como conteúdo estes artifícios juntamente com um link direcionando à pessoa atacada para um site falso, e será neste site que ele obterá as informações desejadas, caso obtenha sucesso no seu ataque.

Páginas do artigo

   1. Introdução
   2. Técnicas
   3. Qualificação dos ataques
   4. Métodos utilizados pelo atacante
   5. Figuras da Engenharia Social
   6. Como se proteger da Engenharia Social

Outros artigos deste autor

Kernel Hacking (RootKits)

Leitura recomendada

Automatizando as atualizações no Linux

Suporte TCP Wrapper - Serviços stand-alone no Debian 6

SysLog: Sistema de log do Linux

Nmap - Escaneando sua Rede e Mantendo-a Segura

5 comandos que ninguém nunca deve executar no Linux

Comentários

Guilherme, parabens pelo seu texto, ficou bom, porém a idéia final que o artigo transmite é que a Engenharia Social é a arte de fazer o mal de uma forma inteligente. No entanto, eu acredito que hoje ela pode ser usada para o bem, tanto quanto para o mal, pois possibilita com extrema fácilidade domar situações de incerteza e perigo. 
Eu vejo a Engenharia Social como a arte de persuadir e ser beneficiado pela própria inteligência.
Se uma pessoa sempre encontra uma solução para os seus desafios, se confia em tudo que está em sua cabeça e sempre consegue fazer as coisas da melhor maneira possível para os dois lados, desde que estrategicamente planejado, esta pessoa, no meu entendemento, está praticando Engenharia Social.

O que tu achas ?

Abraços !!!

Gabriel Fernandes

#1 Comentário enviado por nayamonia em 28/12/2006 - 08:26h

Guilherme, parabens pelo seu texto, ficou bom, porém a idéia final que o artigo transmite é que a Engenharia Social é a arte de fazer o mal de uma forma inteligente. No entanto, eu acredito que hoje ela pode ser usada para o bem, tanto quanto para o mal, pois possibilita com extrema fácilidade domar situações de incerteza e perigo.
Eu vejo a Engenharia Social como a arte de persuadir e ser beneficiado pela própria inteligência.
Se uma pessoa sempre encontra uma solução para os seus desafios, se confia em tudo que está em sua cabeça e sempre consegue fazer as coisas da melhor maneira possível para os dois lados, desde que estrategicamente planejado, esta pessoa, no meu entendemento, está praticando Engenharia Social.

O que tu achas ?

Abraços !!!

Gabriel Fernandes

Texto muito legal, Guilherme. Só lembrando que hoje a Internet é uma grande fonte de pesquisa para Engenharia Social, sabendo-se cruzar informações você tem histórico das pessoas e até mesmo planos de curto prazo (viagens, baladas, etc).

Também concordo com o que o Gabriel disse, a Engenharia Social também pode ser usada para o bem. Apesar de que sempre vemos ela sendo utilizada para o mal.

#2 Comentário enviado por jragomes em 28/12/2006 - 12:59h

Texto muito legal, Guilherme. Só lembrando que hoje a Internet é uma grande fonte de pesquisa para Engenharia Social, sabendo-se cruzar informações você tem histórico das pessoas e até mesmo planos de curto prazo (viagens, baladas, etc).

Também concordo com o que o Gabriel disse, a Engenharia Social também pode ser usada para o bem. Apesar de que sempre vemos ela sendo utilizada para o mal.

Ótimo texto, aquela parte da programação neurolinguística achei super importante.

#3 Comentário enviado por dill_tche em 28/12/2006 - 16:24h

Ótimo texto, aquela parte da programação neurolinguística achei super importante.

KEVIN DAVID MITNICK foi (é) um dos mais famosos hackers do mundo, seus ataques e investidas sempre foram bem sucedidos graças a um intenso uso de E.S contra seus alvos em especial grandes corporações.

ps: caro domguilherme tenho a impressão de que já li esse seu artigo em algum lugar e não foi aqui no vol, nem no vosso website.

#4 Comentário enviado por JosuéDF em 29/12/2006 - 01:28h

KEVIN DAVID MITNICK foi (é) um dos mais famosos hackers do mundo, seus ataques e investidas sempre foram bem sucedidos graças a um intenso uso de E.S contra seus alvos em especial grandes corporações.

ps: caro domguilherme tenho a impressão de que já li esse seu artigo em algum lugar e não foi aqui no vol, nem no vosso website.

É bom ver esse assunto novamente, na época dos Pentiuns 166 (quando nossas máquinas eram 486 por falta de grana), esse assunto era muito difundino na net, rodavam muitos textos bons sobre Engenharia Social. É poca boa! Eu dormia apenas três horas por dia, o restante era Assembly, Linux, smbclient -L, nmap e muitas tentativas, hahahahha, sem falar na BBS, aquilo era demais.

Sabe... esse texto até me inspirou, vou dar um complemento e fazer um artigo sobre esse assunto dando alguns exemplos que pratiquei muito.

#5 Comentário enviado por cytron em 31/12/2006 - 02:44h

É bom ver esse assunto novamente, na época dos Pentiuns 166 (quando nossas máquinas eram 486 por falta de grana), esse assunto era muito difundino na net, rodavam muitos textos bons sobre Engenharia Social. É poca boa! Eu dormia apenas três horas por dia, o restante era Assembly, Linux, smbclient -L, nmap e muitas tentativas, hahahahha, sem falar na BBS, aquilo era demais.

Sabe... esse texto até me inspirou, vou dar um complemento e fazer um artigo sobre esse assunto dando alguns exemplos que pratiquei muito.

Bom, o assunto hoje em dia não é tão difundido assim, pois é a primeira vez que ouço falar em Engenharia Social, ou então eu é que estou desatualizado mesmo, seja como for, é um assunto muito interessante e para mim este artigo foi uma boa introdução à matéria. É muito bom para se previnir contra expertinhos que venham a usar isto com más intensões.

#6 Comentário enviado por albertguedes em 02/01/2007 - 10:30h

Bom, o assunto hoje em dia não é tão difundido assim, pois é a primeira vez que ouço falar em Engenharia Social, ou então eu é que estou desatualizado mesmo, seja como for, é um assunto muito interessante e para mim este artigo foi uma boa introdução à matéria. É muito bom para se previnir contra expertinhos que venham a usar isto com más intensões.

Muito bom artigo. Um filme que retrata muito bem o artigo é: Hackers II - Operation Takedown. Os quinze ou vinte minutos iniciais do filme são extremamente realistas.

#7 Comentário enviado por massaorb em 02/01/2007 - 15:12h

Muito bom artigo. Um filme que retrata muito bem o artigo é: Hackers II - Operation Takedown. Os quinze ou vinte minutos iniciais do filme são extremamente realistas.

No meu ponto de vista alguém que ache que engenharia social possa ser usada para o bem está tendo uma visão muito lírica da realidade. O rótulo de "engenharia social" (apesar de englobar o expertise em  investigação e pesquisa) não passa de um termo bem formal - se é que mereça -  para o popular "MENTIROSO" ou "MALANDRO" que tem como propósito pleno "ENGANAR" as pessoas de uma forma inteligente a fim de obter alguma "VANTAGEM" (financeira ou não). Partindo deste princípio não vejo como alguém possa tapear alguém na boa fé.

Quanto ao comentário do nosso amigo "nayaless":

'Se uma pessoa sempre encontra uma solução para os seus desafios, se confia em tudo que está em sua cabeça e sempre consegue fazer as coisas da melhor maneira possível para os dois lados, desde que estrategicamente planejado, esta pessoa, no meu entendemento, está praticando Engenharia Social.'

Do ponto de vista prático e até acadêmico - e posso afirmar com muita convicção - que essa pessoa está praticando, no máximo, as técnicas de administração e psicologia organizacional... Longe das tecnicas da engenharia social.

Muito cuidado com a diferença entre fato e achismo. Amigos!

Uma boa recomendação de leitura e do colega 'LinxBoy': 

Título: "A Arte de Enganar"
Autor: KEVIN DAVID MITNICK
Sinopse: Descreve as técnicas basicas - com 'casos de uso' - da engenharia social. 
Advertência: Muita gente passou a se achar o próprio Mitnick depois de ser esse livro. Portanto, tenha cabeça feita prá ler esse cara.

Sds prá todos!

OBS.: Gostei do artigo.

#8 Comentário enviado por removido em 17/01/2007 - 16:48h

No meu ponto de vista alguém que ache que engenharia social possa ser usada para o bem está tendo uma visão muito lírica da realidade. O rótulo de "engenharia social" (apesar de englobar o expertise em investigação e pesquisa) não passa de um termo bem formal - se é que mereça - para o popular "MENTIROSO" ou "MALANDRO" que tem como propósito pleno "ENGANAR" as pessoas de uma forma inteligente a fim de obter alguma "VANTAGEM" (financeira ou não). Partindo deste princípio não vejo como alguém possa tapear alguém na boa fé.

Quanto ao comentário do nosso amigo "nayaless":

'Se uma pessoa sempre encontra uma solução para os seus desafios, se confia em tudo que está em sua cabeça e sempre consegue fazer as coisas da melhor maneira possível para os dois lados, desde que estrategicamente planejado, esta pessoa, no meu entendemento, está praticando Engenharia Social.'

Do ponto de vista prático e até acadêmico - e posso afirmar com muita convicção - que essa pessoa está praticando, no máximo, as técnicas de administração e psicologia organizacional... Longe das tecnicas da engenharia social.

Muito cuidado com a diferença entre fato e achismo. Amigos!

Uma boa recomendação de leitura e do colega 'LinxBoy':

Título: "A Arte de Enganar"
Autor: KEVIN DAVID MITNICK
Sinopse: Descreve as técnicas basicas - com 'casos de uso' - da engenharia social.
Advertência: Muita gente passou a se achar o próprio Mitnick depois de ser esse livro. Portanto, tenha cabeça feita prá ler esse cara.

Sds prá todos!

OBS.: Gostei do artigo.

Otimo artigo, infelizmente a engenharia social é algo tão comum que as pessoas muitas das vezes não se dão conta que estão sendo enganadas, tamanha é a eficiência desta técnica. O que realmente deveriamos fazer é não confiar em ninguém até que provem o contrário.Parabéns

#9 Comentário enviado por heckjp em 25/01/2007 - 08:44h

Otimo artigo, infelizmente a engenharia social é algo tão comum que as pessoas muitas das vezes não se dão conta que estão sendo enganadas, tamanha é a eficiência desta técnica. O que realmente deveriamos fazer é não confiar em ninguém até que provem o contrário.Parabéns

Tópico excelente:D
Eu discordo em partes com o nosso coléga surfistacalhorda... pois ele disse para outro cara tomar cuidado com o achismo e levar em conta apenas os fatos, sendo que ele mesmo não faz isso...
Em certo ponto de seu comentario, quando afirma que o rótulo de "engenharia social" não passa de um termo bem formal pra descrever os populares mentirosos... ele disse: "se é que mereça..."
Até onde sei, isso não é nada a mais do que a opinião dele e não um fato. Ele fez isso em vários lugares de seu comentario; o que me leva a pensar que ele se contradisse inumeras vezes...

Engenharia Social pode muito bem ser usada para o bem e isso decididamente não é uma visão lirica da realidade como surfistacalhorda sitou anteriormente... pois o ser humano executa a engenharia social diversas vezes por dia e nem nota isso... ela pode ser aplicada em bares, geralmente quando relacionada a encontrar um parceiro (a) (o chamado migué, ou azaração); em reuniões de negócio quando relacionada a um fechamento de sociedade ou coisa parecida ( usada pra convencer o outro de que aquele é um bom negocio) ; e ainda... a palavra VENDEDOR te diz algo? Tudo que um vendedor faz... é aplicar a engenharia social em seu cliente para conseguir vender seu produto....

Afinal de contas, Engenharia social não é apenas trapaçear pessoas, como o proprio Kevin Mitnick afirmou em seu livro... Engenharia social do ponto de vista ético, é tudo o que envolve convencer pessoas... quando um vendedor oferece um produto... ele tenta convence-lo de que você precisa do produto e ele muitas vezes pode fazer isso sem mentir...

Como disse nosso amigo surfistacalhorda....""Partindo deste princípio não vejo como alguém possa tapear alguém na boa fé.""
Realmente, é impossivel tapear alguém na boa fé... mas dizer que alguem que usa engenharia social éticamente tapeia os outros na boa fé é uma atitude totalmente retrógrada, equivocada e se posso acrescentar, até um pouco mesquinha...

Porque? porque eu uso a engenharia social éticamente e não tapeio ninguém... pois além dos exeplos que dei anteriormente... a engenharia social também pode ser usada por administradores de rede, security-officers e consultores de segurança nas empresas para treinar os funcionarios da mesma afim de evitar que algum estelionatario use da engenharia social contra a empresa....

se quiserem maiores informações
me ligue ou adicione no msn
(45)99656392
jr.ripper@gmail.com


Abraço a todos

#10 Comentário enviado por Overkill Grando em 21/06/2008 - 13:38h

Tópico excelente:D
Eu discordo em partes com o nosso coléga surfistacalhorda... pois ele disse para outro cara tomar cuidado com o achismo e levar em conta apenas os fatos, sendo que ele mesmo não faz isso...
Em certo ponto de seu comentario, quando afirma que o rótulo de "engenharia social" não passa de um termo bem formal pra descrever os populares mentirosos... ele disse: "se é que mereça..."
Até onde sei, isso não é nada a mais do que a opinião dele e não um fato. Ele fez isso em vários lugares de seu comentario; o que me leva a pensar que ele se contradisse inumeras vezes...

Engenharia Social pode muito bem ser usada para o bem e isso decididamente não é uma visão lirica da realidade como surfistacalhorda sitou anteriormente... pois o ser humano executa a engenharia social diversas vezes por dia e nem nota isso... ela pode ser aplicada em bares, geralmente quando relacionada a encontrar um parceiro (a) (o chamado migué, ou azaração); em reuniões de negócio quando relacionada a um fechamento de sociedade ou coisa parecida ( usada pra convencer o outro de que aquele é um bom negocio) ; e ainda... a palavra VENDEDOR te diz algo? Tudo que um vendedor faz... é aplicar a engenharia social em seu cliente para conseguir vender seu produto....

Afinal de contas, Engenharia social não é apenas trapaçear pessoas, como o proprio Kevin Mitnick afirmou em seu livro... Engenharia social do ponto de vista ético, é tudo o que envolve convencer pessoas... quando um vendedor oferece um produto... ele tenta convence-lo de que você precisa do produto e ele muitas vezes pode fazer isso sem mentir...

Como disse nosso amigo surfistacalhorda....""Partindo deste princípio não vejo como alguém possa tapear alguém na boa fé.""
Realmente, é impossivel tapear alguém na boa fé... mas dizer que alguem que usa engenharia social éticamente tapeia os outros na boa fé é uma atitude totalmente retrógrada, equivocada e se posso acrescentar, até um pouco mesquinha...

Porque? porque eu uso a engenharia social éticamente e não tapeio ninguém... pois além dos exeplos que dei anteriormente... a engenharia social também pode ser usada por administradores de rede, security-officers e consultores de segurança nas empresas para treinar os funcionarios da mesma afim de evitar que algum estelionatario use da engenharia social contra a empresa....

se quiserem maiores informações
me ligue ou adicione no msn
(45)99656392
jr.ripper@gmail.com

Abraço a todos

Bom artigo!
[]'s

#11 Comentário enviado por luizvieira em 24/07/2009 - 07:50h

Bom artigo!
[]'s

Um artigo interessante para complementar o assunto abordado: http://0fx66.com/blog/pentest/entendo-a-engenharia-social/

[]'s

#12 Comentário enviado por VonNaturAustreVe em 01/03/2010 - 10:38h

Um artigo interessante para complementar o assunto abordado: http://0fx66.com/blog/pentest/entendo-a-engenharia-social/

[]'s

Excelente artigo! Gostaria de, se você permetir, apesar de já estar no Viva o Linux, poder reproduzir (devidamente creditada a fonte) em meu site pessoal [http://pedro-araujo.com] para compartilhar com as pessoas mais próximas de mim que, por não se interessarem necessariamente pelos conteúdos de Linux, programação e TI que aqui tratamamos não conhecem esta comunidade - será muito útil para eles.

#13 Comentário enviado por removido em 25/03/2010 - 10:40h

Excelente artigo! Gostaria de, se você permetir, apesar de já estar no Viva o Linux, poder reproduzir (devidamente creditada a fonte) em meu site pessoal [http://pedro-araujo.com] para compartilhar com as pessoas mais próximas de mim que, por não se interessarem necessariamente pelos conteúdos de Linux, programação e TI que aqui tratamamos não conhecem esta comunidade - será muito útil para eles.

CONCORDO COM MUITOS COMENTÁRIOS, PORÉM, QUERO DEIXAR AQUI UMA OBSERVAÇÃO ... ENGENHARIA SOCIAL É O CRIME DO SÉCULO !!!

#14 Comentário enviado por L4URI4NO em 14/07/2011 - 23:17h

CONCORDO COM MUITOS COMENTÁRIOS, PORÉM, QUERO DEIXAR AQUI UMA OBSERVAÇÃO ... ENGENHARIA SOCIAL É O CRIME DO SÉCULO !!!