2.2 Métodos de infiltração

2.2.1 Engenharia Social

Engenharia social - manipulação do indivíduo para executar ações ou divulgar informações confidenciais Os engenheiros sociais frequentemente dependem da boa vontade das pessoas para ajuda, mas também miram nos pontos fracos. Por exemplo, um invasor ligará para um funcionário autorizado com um problema urgente que exija acesso imediato à rede e apelará para a vaidade, ganância ou invocação de autoridade do funcionário usando técnicas de remoção de nome para obter esse acesso.

PRETEXTING

Isso ocorre quando um invasor liga para um indivíduo e mente para ele na tentativa de obter acesso a dados privilegiados.

Por exemplo, fingir que precisa dos dados pessoais ou financeiros de uma pessoa para confirmar sua identidade.

TAILGATING

Isso ocorre quando um invasor segue rapidamente uma pessoa autorizada até um local físico seguro.

ALGO POR ALGO (QUID PRO QUO)

É quando um hacker solicita informações pessoais de uma pessoa em troca de algo, como um brinde gratuito.

2.2.2 Negação de Serviço

Os ataques de negação de serviço (DoS) são um tipo de ataque de rede que é relativamente simples de realizar, mesmo por um invasor não qualificado. Um ataque de negação de serviço (DoS) resulta em algum tipo de interrupção de serviço aos usuários, dispositivos ou aplicações.

Quantidade Esmagadora de Tráfego

Quando uma rede, host ou aplicativo recebe uma enorme quantidade de dados a uma taxa que não consegue processar. Isso causa uma desaceleração na transmissão ou resposta ou uma falha em um dispositivo ou serviço.

Pacotes Maliciosamente Formatados

Um pacote é uma coleta de dados que flui entre uma fonte e um computador receptor ou aplicativo através de uma rede, como a Internet. Quando um pacote formatado de forma mal-intencionada é enviado, o receptor não será capaz de tratá-lo.

Por exemplo, um invasor encaminha pacotes com erros que não podem ser identificados pelo aplicativo ou encaminha pacotes formatados incorretamente.

2.2.3 DoS Distribuída

Um ataque de negação de serviço distribuída (DDoS) é semelhante a um ataque de negação de serviço (DoS), mas é proveniente de várias fontes coordenadas. Por exemplo:

• Um invasor cria uma rede (botnet) de hosts infectados chamados zumbis, que são controlados por sistemas de tratamento.

• Os computadores zumbis examinam e infectam constantemente mais hosts, criando mais zumbis.

• Quando está pronto, o hacker instrui os sistemas controlador para fazer com que o botnet de zumbis execute um ataque de negação de serviço distribuído (DDoS).

2.2.4 Botnet

Um computador bot normalmente é infectado por visitar um site, abrir um anexo de e-mail ou abrir um arquivo de mídia infectado. Uma botnet é um grupo de robôs (bots), conectados pela Internet, com a capacidade de ser controlado por um indivíduo ou grupo mal intencionado. Ela pode ter dezenas de milhares, ou até centenas de milhares, de bots que normalmente são controlados por meio de um servidor de comando e controle.

Esses robôs podem ser ativados para distribuir malware, lançar ataques de DDoS, distribuir e-mail de spam ou executar ataques de senha de força bruta. Os cibercriminosos frequentemente alugam botnets para terceiros para fins nefastos.

Muitas empresas, como a Cisco, força as atividades de rede por meio de filtros de tráfegos de botnet para identificar qualquer local de botnet.

1. Os bots infectados tentam se comunicar com um host de comando e controle na Internet.

2. O filtro de botnet do Cisco Firewall é um recurso que detecta o tráfego proveniente de dispositivos infectados com o código mal-intencionado do botnet.

3. O serviço Cisco Security Intelligence Operations (SIO) na nuvem envia os filtros atualizados para o firewall, que corresponde ao tráfego de novos botnets conhecidos.

4. Os alertas são enviados à equipe de segurança interna da Cisco para notificá-los sobre os dispositivos infectados que estão gerando tráfego mal-intencionado, para que possam evitar, mitigar e corrigir esses problemas.

2.2.5 Ataques On-Path

Os invasores no caminho interceptam ou modificam as comunicações entre dois dispositivos, como um navegador e um servidor da Web, para coletar informações ou se passar por um dos dispositivos.

Esse tipo de ataque também é chamado de ataque homem no meio ou homem no celular.

Man-in-the-middle (MITM)

Um ataque de MitM acontece quando um criminoso digital assume o controle de um dispositivo sem o conhecimento do usuário. Com esse nível de acesso, o invasor pode interceptar e capturar informações do usuário antes de transmiti-las ao seu destino desejado. Esses tipos de ataques costumam ser usados para roubar informações financeiras.

Existem muitos tipos de malware que possuem recursos de ataque de MitM.

Man-in-the-mobile(MITMO)

Uma variação do man-in-middle, MitMo é um tipo de ataque usado para assumir o controle do dispositivo móvel de um usuário. Quando infectado, o dispositivo móvel é instruído a capturar informações confidenciais do usuário e enviá-las aos invasores. O ZeuS é um exemplo de pacote de malware com recursos MitMo. Ele permite que os invasores capturem silenciosamente as mensagens SMS de verificação de duas etapas enviadas aos usuários.

2.2.6 SEO Poisoning

Você provavelmente já ouviu falar em otimização de mecanismos de pesquisa ou SEO, que, em termos simples, visa melhorar o site de uma empresa para que obtenha maior visibilidade nos resultados dos mecanismos de pesquisa.

Mecanismos de pesquisa como o Google funcionam apresentando uma lista de páginas da Web para usuários com base em suas consultas de pesquisa. Essas páginas da Web são classificadas de acordo com a relevãncia de seu conteúdo.

Embora muitas empresas legítimas se especializem em otimizar sites para melhor posicioná-los, os invasores tiram proveito de termos de pesquisa populares e usam o SEO para empurrar sites maliciosos para posições mais altas nos resultados de pesquisa. Esta técnica é chamada de envenenamento de SEO.

O objetivo mais comum do envenenamento de SEO é aumentar o tráfego para sites maliciosos que podem hospedar malware ou tentar engenharia social.

2.2.7 Quebra de senha de acesso à rede WiFi

Exercício...

2.2.8 Ataques de senha

Inserir um nome de usuário e senha é uma das formas mais populares de autenticação em um site. Portanto, descobrir a senha é uma maneira fácil para os criminosos digitais obterem acesso às informações mais importantes.

Password Spraying

Essa técnica tenta obter acesso a um sistema ao “pulverizar” algumas senhas usadas com frequência em um grande número de contas. Por exemplo, um criminoso digital usa 'Password123' com muitos nomes de usuário antes de tentar novamente com uma segunda senha comumente usada, como 'qwerty'.

Essa técnica permite que o criminoso não seja detectado ao evitar bloqueios de conta frequentes.

Ataque de dicinário

Um hacker tenta sistematicamente cada palavra de um dicionário ou uma lista de palavras usadas com frequência como senha, na tentativa de invadir uma conta protegida por senha.

Ataques de força bruta

A forma mais simples e mais usada de obter acesso a um site protegido por senha, os ataques de força bruta veem um invasor usando todas as combinações possíveis de letras, números e símbolos no espaço de senha até acertar.

Ataques do arco-íris

As senhas em um sistema de computador não são armazenadas como texto sem formatação, mas como valores de hash (valores numéricos que identificam exclusivamente os dados). Uma tabela do arco-íris é um grande dicionário de hashes pré-computados e as senhas das quais eles foram calculados.

Ao contrário de um ataque de força bruta que precisa calcular cada hash, um ataque do arco-íris compara o hash de uma senha com os armazenados na tabela do arco-íris. Quando um invasor encontra uma correspondência, ele identifica a senha usada para criar o hash.

Intercepção de tráfego

Texto sem formatação ou senhas sem criptografia podem ser facilmente lidas por outras pessoas e máquinas interceptando comunicações.

Se você armazenar uma senha em texto claro e legível, qualquer pessoa que tenha acesso à sua conta ou dispositivo, autorizado ou não autorizado, poderá lê-la.

2.2.9 Tempos de Cracking

Exercício...

2.2.10 Ameaças persistentes avançadas

Advanced Persistent Threat (APT) – uma operação multi-fase, longo prazo, furtiva e avançada contra um alvo específico. Por essas razões, um invasor geralmente não tem o conjunto de habilidades, os recursos ou a persistência para realizar APTs.

Devido à complexidade e ao nível de habilidade necessários para realizar esse ataque, um APT geralmente é bem financiado e normalmente tem como alvo organizações ou nações por motivos comerciais ou políticos.

Seu principal objetivo é implantar malware personalizado em um ou mais sistemas do alvo e permanecer lá sem ser detectado.

2.2.11 Agora é com você

Exercício...