Apresentação do PowerPointcadtitulos.pr4.ufrj.br/palestras/walter.pdf · 2. Treinamento e...
Transcript of Apresentação do PowerPointcadtitulos.pr4.ufrj.br/palestras/walter.pdf · 2. Treinamento e...
Engenharia Social
Walter Andriola
Dataprev
Uso de técnicas de persuasão,
influência e manipulação para induzir
pessoas a executar alguma ação.
Engenharia social
1
Olá, eu gostaria de adicioná-lo a minha rede profissional no Linkedin.
Engenharia social
2
Swing States
3
10 milhões de usuários americanos
consumiram publicidade comprada
pelos russos antes e depois das
eleições
Eleições Americanas e Facebook
4
Eleições Americanas e Facebook Ads
5
Eleições Americanas e Facebook Ads
5
Eleições Americanas e Facebook Ads
5
Who's Better At Phishing Twitter, Me Or Artificial Intelligence?
Revista Forbes
Inteligência Artificial
6
Mídia Brasileira - Relatório Reuters/Oxford 2017
7
Mídia Social como fonte - Relatório Reuters/Oxford 2017
7
Confiança na Mídia - Relatório Reuters/Oxford 2017
7
Compartilhamentos - Relatório Reuters/Oxford 2017
7
Principal Fonte - Relatório Reuters/Oxford 2017
7
Business E-mail Compromise (BEC)
11
Criminosos
invadem conta
de e-mail de
funcionário
A conta invadida é
usada para enviar
cobrança aos clientes
Pagamentos são
transferidos para a conta
bancária dos criminosos
Criminosos recebem
o pagamento
12
Fiasco da Equifax
14
Fiasco da Equifax
14
2003
Senhas devem ser alteradas periodicamente (como a cada 90
dias)
As senhas fortes possuem as seguintes características:
• Contém maiúsculas e minúsculas (por exemplo, a-z, A-Z)
• Tem dígitos e caracteres de pontuação, bem como letras,
p.ex.: 0-9,! @ # $% ^ & * () _ + | ~ - = \ `{} []:"; '<>?,. /)
• Tem ao menos 10 caracteres alfanuméricos
• Não são uma palavra em qualquer idioma, gíria, dialeto,
jargão, etc.
• Não são baseados em informações pessoais, nomes da
família, etc.
• As senhas nunca devem ser gravadas ou armazenadas on-
line. Tente criar senhas que possam ser facilmente
lembradas...
NIST SP 800-63 - Electronic Authentication Guideline
15
Revisão das recomendações 2017.
Recomendações de Usabilidade.
NIST SP 800-63 - Digital Identity Guidelines
16
Bruce Schneier
Regras de senha foram tentativas falhadas para
consertar o usuário. Melhor consertar os sistemas de
segurança.
17
Uma boa ferramenta é uma ferramenta invisível. Por
invisível, quero dizer que a ferramenta não se
intromete em sua consciência; você se concentra na
tarefa, não na ferramenta. Os óculos são uma boa
ferramenta - você olha o mundo, não os óculos.
Mark Weiser
18
18
• Operação Patrik: esquema movimentou
R$250 milhões a partir de investimentos
de cerca de 40 mil vítimas
• Uma das vítimas aplicou quase R$ 200 mil
sem retorno
• Promessa de rendimento de 1% ao dia
• Bônus de 10% por pessoa cooptada
Kriptacoin
13
Stranger Things
19
House of Cards
20
The Ranch
19
How Accenture is trying to bring programmatic product
placement to Netflix
21
Bruce Schneier
A complexidade é o pior inimigo da segurança
Como combater a engenharia social
1. Políticas de segurança
Concisão, clareza e boa divulgação
2. Treinamento e conscientização
3. Controle de acesso físico e lógico
4. Cultura questionadora
5. Usabilidade
• Agente-duplo atuou na Segunda Guerra Mundial
• Codinome Garbo
• Proveu desinformação à Alemanha nazista
• Criou uma rede fictícia que chegou a ter 28 subagentes
• Desempenhou um papel fundamental na Operação Fortitude
Juan Pujol García
8
2013
Imprensa brasileira por anos divulgou que ela:
• fundou a empresa americana Lemon;
• tinha cinco graduações no MIT - engenharia
elétrica, ciências da computação,
administração, economia e matemática.
Bel Pesce
9
2016
10
Referências
1. Eleições Americanas e Facebook
https://www.forbes.com/sites/kathleenchaykowski/2017/09/21/facebook-to-
give-details-of-thousands-of-russian-election-ads-to-
congress/#155a2a8e2b53
2. How Accenture is trying to bring programmatic product placement to Netflix
http://www.thedrum.com/news/2017/08/09/how-accenture-trying-bring-
programmatic-product-placement-netflix
3. Facebook and Google were conned out of $100m in phishing scheme
https://www.theguardian.com/technology/2017/apr/28/facebook-google-
conned-100m-phishing-scheme
4. How Accenture is trying to bring programmatic product placement to Netflix
http://www.thedrum.com/news/2017/08/09/how-accenture-trying-bring-
programmatic-product-placement-netflix
5. Who's Better At Phishing Twitter, Me Or Artificial Intelligence?
https://www.forbes.com/sites/thomasbrewster/2016/07/25/artificial-
intelligence-phishing-twitter-bots/
6. Digital News Report 2017 - Reuters/Oxford
http://www.digitalnewsreport.org/
7. SP 800-63 Ver. 1.0 - Electronic Authentication Guideline
https://csrc.nist.gov/publications/detail/sp/800-63/ver-10/archive/2004-06-30
8. Operação que combate pirâmide financeira que usa moeda digital prende
11 pessoas
http://agenciabrasil.ebc.com.br/geral/noticia/2017-09/operacao-que-
combate-piramide-financeira-que-usa-moeda-digital-prende-11
9. Juan Pujol García
https://pt.wikipedia.org/wiki/Juan_Pujol_Garc%C3%ADa
10. Bel Pesce
https://exame.abril.com.br/blog/silvio-genesini/bel-pesce-a-menina-do-vale-
virou-geni/
Referências das imagens
1. https://boingboing.net/2015/09/22/hello-id-like-to-add-you.html
2. https://upload.wikimedia.org/wikipedia/commons/3/30/Cyclogram_Gastev_T
SIT.jpg
3. https://en.wikipedia.org/wiki/Swing_state
4. http://abcnews.go.com/Technology/make-dislike-button-work-
facebook/story?id=27554635
5. Arquivo Pessoal
6. https://www.forbes.com/sites/thomasbrewster/2016/07/25/artificial-
intelligence-phishing-twitter-bots/
7. http://www.digitalnewsreport.org
8. https://pt.wikipedia.org/wiki/Juan_Pujol_Garc%C3%ADa
9. http://people.csail.mit.edu/vganesh/summerschool/mit_logo.jpg
10. https://economia.uol.com.br/empreendedorismo/noticias/redacao/2016/09/0
4/ceo-agora-diz-que-pesce-nao-comecou-lemon-mas-pode-ser-chamada-
cofundadora.htm
11. https://documents.trendmicro.com/images/TEx/articles/BEC-Pred17-
Diagram.jpg
12. https://www.theguardian.com/technology/2017/apr/28/facebook-google-
conned-100m-phishing-scheme
13. http://kriptacoin.com/
14. https://www.dailydot.com/debug/equifax-fake-phishing-site/ e
http://twitter.com
15. http://cccbdb.nist.gov/images/nistident_fleft_150ppi.jpg
16. NIST Special Publication 800-118 (Draft) - Guide to Enterprise Password
Managementhttps://csrc.nist.gov/csrc/media/publications/sp/800-
118/archive/2009-04-21/documents/draft-sp800-118.pdf
17. http://g1.globo.com/planeta-bizarro/noticia/2012/02/sinalizacao-de-transito-
confunde-motorista-por-excesso-de-informacao.html
18. https://krausefx.com/blog/ios-privacy-stealpassword-easily-get-the-users-
apple-id-password-just-by-asking
19. http://passarelamkt.com.br/productplacementnetflix/
20. https://www.cnbc.com/2017/07/27/bill-gates-ben-does-product-placement-
in-netflix-and-amazon-shows.html
21. https://www.broadcastnow.co.uk/c4-in-digital-product-placement-first-with-
pg-tips/5045048.article
Dúvidas?