{"id":6040,"date":"2017-05-12T09:00:19","date_gmt":"2017-05-12T12:00:19","guid":{"rendered":"https:\/\/www.mxcursos.com\/blog\/?p=6040"},"modified":"2019-03-16T03:59:30","modified_gmt":"2019-03-16T06:59:30","slug":"engenharia-social-a-arte-de-hackear-pessoas","status":"publish","type":"post","link":"https:\/\/www.mxcursos.com\/blog\/engenharia-social-a-arte-de-hackear-pessoas\/","title":{"rendered":"Engenharia Social: a arte de Hackear pessoas"},"content":{"rendered":"

Dentro de um processo de Pentesting, n\u00e3o \u00e9 sempre que o Hacker consegue obter o acesso remoto ao alvo atrav\u00e9s da explora\u00e7\u00e3o de falhas no sistema alvo ou quebra da rede <\/span>W<\/span>i-fi.<\/span><\/p>\n

Isso n\u00e3o significa dizer que o Hacker n\u00e3o tenha compet\u00eancia. Normalmente, acontece porque o alvo que est\u00e1 sendo auditado possui uma excelente barreira de prote\u00e7\u00e3o, um bom Firewall.\u00a0E p<\/span>ara alguns, talvez essa situa\u00e7\u00e3o pare\u00e7a um beco sem sa\u00edda.\u00a0<\/span><\/p>\n

A boa not\u00edcia \u00e9 que existe <\/span>uma outra <\/span>t\u00e9cnica de Hacking <\/span>capaz<\/span> de vencer qualquer barreira <\/span>de seguran\u00e7a.\u00a0Tornando<\/span>\u00a0tudo, uma quest\u00e3o de foco.<\/span><\/p>\n

Foco nas pessoas<\/h2>\n

\"\"<\/a>A\u00a0ideia \u00e9 mais ou menos a seguinte: ao inv\u00e9s de tentarmos arrombar uma porta de tit\u00e2nio com <\/span>60<\/span>cm de espessura, por que n\u00e3o tentamos convencer algu\u00e9m de dentro a abrir a porta?<\/span><\/p>\n

Tecnicamente falando, ao inv\u00e9s de tentar<\/span>mos<\/span> vencer as barreiras do Firewall e correr o risco de sermos pego<\/span>s<\/span> pelo IDS\/IPS, por que n\u00e3o convencemos um usu\u00e1rio a abrir um porta para n\u00f3s?\u00a0<\/span>Al\u00e9m do mais, ele nem precisa saber que abriu\u2026<\/span><\/p>\n

Ficou mais claro agora?<\/span><\/p>\n

Engenharia Social<\/h2>\n

\u00c9 disso que estou falando: <\/span>no<\/span> contexto do Hacking \u00c9tico chamamos de Engenharial Social.<\/span><\/p>\n

\u201cComo assim, engenharia? T\u00f4 fora\u201d<\/span><\/p>\n

Calma, deixa eu explicar…<\/span><\/p>\n

Engenharia Social \u00e9 o processo de manipular <\/span>uma ou mais pessoas<\/span> envolvidas com o alvo (um usu\u00e1rio do sistema), <\/span>fazendo-nos parecer leg\u00edtimos,<\/span> a fim de <\/span>que <\/span>algu\u00e9m nos <\/span>conceda acesso <\/span>ao sistema<\/span>.<\/span><\/p>\n

\u201cT\u00e1\u2026<\/span> e como posso fazer isso? N\u00e3o conven\u00e7o nem uma crian\u00e7a de 4 anos a dividir uma balinha!\u201d<\/span><\/p>\n

T\u00f4 chegando l\u00e1\u2026<\/span><\/p>\n

\u00c9 verdade que voc\u00ea precisa fazer um jogo de cintura com as palavras, mas a melhor parte \u00e9 que existem muitas ferramentas que podem nos auxiliar durante o processo.<\/span><\/p>\n

Conhecendo a SET<\/span><\/b><\/h2>\n

Neste port eu gostaria de destacar e apresentar a famosa SET (Social Engeneering Toolkit), que quer dizer literalmente Kit de Ferramentas para Engenharia Social.<\/span><\/p>\n

A SET \u00e9 uma poderosa ferramenta que funciona em modo terminal. \u00c9 extremamente simples e totalmente interativa. Temos diversas op\u00e7\u00f5es de ataque. Em todos eles o objetivo \u00e9 fazer com que um usu\u00e1rio nos conceda acesso remoto ao alvo.<\/span><\/p>\n

Veja s\u00f3 a tela principal:<\/span><\/p>\n

\"\"<\/a>
Tela inicial SEToolkit<\/figcaption><\/figure>\n

\u00a0<\/span><\/p>\n

Quando escolhemos a primeira op\u00e7\u00e3o, um novo menu surge. \u00c9 nesse menu que temos as ferramentas para a Engenharia Social:<\/span><\/p>\n

\"\"<\/a>
Ataques Engenharia Social<\/figcaption><\/figure>\n

Vamos comentar<\/span><\/h2>\n

1.<\/strong>\u00a0\u00a0<\/span>A primeira op\u00e7\u00e3o nos permite criar <\/span>e-mails<\/span> falso<\/span>s, arquivos infectados e <\/span>templates<\/i><\/span> de e-mails, que podem ser usados em diversos ataques.<\/span> Ainda nessa op\u00e7\u00e3o \u00e9 poss\u00edvel<\/span> enviar<\/span> e-mail <\/span>para uma ou mais pessoas. \u00c9 poss\u00edvel anexar arquivos maliciosos e tamb\u00e9m falsificar o e-mail de origem, para parecer leg\u00edtimo.<\/span><\/p>\n

2.<\/strong>\u00a0<\/span>A segunda op\u00e7\u00e3o nos oferece vetores de ataques com \u00eanfase em navegadores. Algumas op\u00e7\u00f5es s\u00e3o:<\/span><\/p>\n