BSides Columbus 2016 – Social Media Correlation of Credit Card Fraudsters

BSides Columbus 2016 – Social Media Correlation of Credit Card Fraudsters

Social media gives credit card fraudsters an ideal platform to advertise their wares and monetize their bad behavior. For the proactive anti-fraud team, social media creates a way to fight fire with fire. By identifying the actors on social media, anti-fraud and law enforcement teams can more accurately anticipate large dumps of cards and spend scarce resources going after key criminals. For More Information Please Visit:- http://www.securitybsides.com/w/page/100611046/BSidesCMH2016 https://www.irongeek.com/i.php?page=videos/bsidescolumbus2016/mainlist

securitytube

SecurityTube.Net
http://feedproxy.google.com/~r/SecurityTube/~3/lS_jnwdlTms/15237

Anúncios

SAINTCon 2015 – Social Engineering Re-hash!!

SAINTCon 2015 – Social Engineering Re-hash!!

Seth Johnson (SJ) For More Information Please Visit:- https://www.saintcon.org/

securitytube

SecurityTube.Net
http://feedproxy.google.com/~r/SecurityTube/~3/CIuJjK22vdE/15101

Circle City Con 2015 – Reducing Your Organization’s Social Engineering Attack Surface

Circle City Con 2015 – Reducing Your Organization’s Social Engineering Attack Surface

his case study is a journey through the presenter’s experience compromising Fortune-50 companies at the DefCon 21 and 22 Social Engineering Capture the Flag (SECTF) competition and other smaller targets on more recent consulting engagements. The DefCon SECTF participants competed to gather openly available information on their corporate targets both on the Internet and over the phone. Some companies put up better defenses than others. Social engineering remains a threat to companies of all sizes and industries. Verizon?s 2013 Data Breach Investigations Report cites that 29% of breaches investigated had a social engineering component. Social engineers manipulate human beings to get them to reveal information or take a particular action, such as clicking a malicious link. Information gained via social engineering is then used to gain access to information systems or sensitive data. Attendees will learn the factors that contributed to the presenter’s success and how simple changes could have frustrated her intelligence gathering operations. Session participants will also learn how to detect social engineering attacks and react to them appropriately. And yes, there will be pwnage. Takeaways: Understanding of the social engineering process; Actionable tips that can be used in any company. Bio: Jen Fox, CIPT, is a Sr. Security Consultant and governance Practice Lead at VioPoint. Her 20+ years in IT and information security includes training, usability design, business process analysis, risk management, vendor risk management, and security awareness. Specialties include information elicitation and business/technology translation. She is also a locksport enthusiast and Myers-Briggs nerd. For More Information Please Visit: – http://circlecitycon.com/ http://www.irongeek.com/i.php?page=videos/circlecitycon2015/mainlist

securitytube

SecurityTube.Net
http://feedproxy.google.com/~r/SecurityTube/~3/fK1HPs-rrhc/13385

BSidesIOWA 2015 Track1: Anatomy of a Full Scale Social Engineering Attack by Dave Nelson

BSidesIOWA 2015 Track1: Anatomy of a Full Scale Social Engineering Attack by Dave Nelson

This session will show how to perform a full scale social engineering attack against an organization using multiple attack vectors over an extended period of time to gain knowledge, insight and a physical foothold in the targeted organization. According to the 2014 VDBIR 35% of reported attacks had a social engineering aspect to the attack. We often hear about phishing but rarely do we see how a coordinated social engineering attack can so completely compromise an organization. Attendees will learn how attack vectors can be used to build a complex attack campaign against which there is no technical fix. Only through awareness and training of our end users can we hope to slow or stop these attacks/ For More Information Please Visit: – http://www.bsidesiowa.com

securitytube

SecurityTube.Net
http://feedproxy.google.com/~r/SecurityTube/~3/oSRldEl2ksc/13119

Clonar Sitio web con Set en kali Linux (Social Engineer Toolkit)

Clonar Sitio web con Set en kali Linux (Social Engineer Toolkit)

Descrição: Información del Vídeo ◅ Clonar Sitio web con Set en kali Linux (Social Engineer Toolkit) (Social Engineer Toolkit) SET (Social Engineer Toolkit), se trata de un kit de herramientas…

Avaliação: 4

Tags: SET linux kali

Link: http://www.youtube.com/watch?v=Oqid39XjtUc
How to [Hack]Control remote computer with SET -(Kali Linux) by #zerocool

Descrição: This videos shows how to hack into others pc by Kali Linux with knowing then about it . don’t forget to like the video and subscribe the channel If you liked the video then subscribe us for…

Avaliação: 4

Tags: SET linux kali

Link: http://www.youtube.com/watch?v=qU28JhUgWIo

Maltego: Ferramenta para Pentest

O que é o Maltego?

O Maltego é uma plataforma única desenvolvida para fornecer uma imagem clara das ameaças contidas no ambiente de sua organização.O Maltego possui a vantagem de demonstrar a complexidade e gravidade dos pontos de falha, assim como as relações de confiança existentes em sua infra-estrutura.

O que o Maltego pode fazer?

O Maltego e um programa capaz de determinar os relacionamentos em links do mundo real como:

 

  • Pessoas
  • Grupos de pessoas (redes sociais)
  • Companhias
  • Organizações
  • Web Sites

Infraestruturas da internet como:

  • Domínios
  • Nomes de DNS
  • Netblocks
  • Endereços de IP

Por ter sido desenvolvido em Java o Maltego pode rodar em vários sistemas operacionais. Sua interface gráfica possibilita a visualização instantânea dos relacionamentos tornando possível descobrir conexões escondidas.

 

 

O desenvolvedor do Maltego disponibiliza um versão gratuita do software chamada de community version, estava versão pode ser baixada aqui.

 

Engenharia Social

Em tempos onde a informação se torna cada vez mais próxima tendo a internet como sua facilitadora, fraudes e golpes descobrem um novo horizonte de possibilidades. Os benefícios da internet no uso cotidiano são indiscutíveis trazendo praticidade às nossas tarefas do dia a dia. Com todo esse conforto gerado pela internet nos esquecemos que existem certo pontos negativos nesse contexto, dados pessoais são divulgados abertamente facilitando o acesso de pessoas mal intencionadas.

Segundo Guilherme Junior Engenharia social consiste em técnicas utilizadas por pessoas com o objetivo de obter acesso e informações importantes e/ou sigilosas em organizações ou sistemas por meio da ilusão ou exploração da confiança das pessoas.

É importante ressaltar que, independente do hardware, software e plataforma utilizada, o elemento de maior vulnerabilidade em qualquer sistema é o ser humano, por possuir traços comportamentais e psicológicos que o torna susceptível a ataques de engenharia social. Dentre essas características, podem-se destacar:

  • Vontade de ser útil: O ser humano, comumente, procura agir com cortesia, bem como ajudar outros quando necessário.
  • Busca por novas amizades: O ser humano costuma se agradar e sentir-se bem quando elogiado, ficando mais vulnerável e aberto a fornecer informações.
  • Propagação de responsabilidade: Trata-se da situação na qual o ser humano considera que ele não é o único responsável por um conjunto de atividades.
  • Persuasão: Compreende quase uma arte a capacidade de convencer pessoas, onde se busca obter respostas específicas. Isto é possível porque as pessoas têm características comportamentais que as tornam vulneráveis à manipulação.

Como se proteger da Engenharia Social

Bom senso

A vítima deve ficar sempre bem atenta ao receber qualquer tipo de abordagem, seja por telefone, e-mail, carta ou até mesmo pessoalmente, onde um pessoa (atacante) tenta o induzir a fornecer informações confidenciais pessoais e até mesmo sobre a empresa em que trabalha.

Informações sensíveis

Deve-se sempre estar antenado quando lhe for solicitado informações sensíveis como, por exemplo, números de cartões de crédito, senhas e etc. por pessoas estranhas. A vítima antes de tudo deve verificar a autenticidade da ligação que esta recebendo, do crachá que o atacante apresentou e etc.

Solicitações pela internet

Nunca fornecer informações pessoais, de empresas e etc antes de identificar e constatar a autenticidade do pedido. Por várias vezes, vítimas recebem e-mails contendo links falsos, informações não verdadeiras ou até mesmo solicitações de cadastro em empresas fantasmas. Para não cair nestas armadilhas a vítima deve, por exemplo, entrar em contato com a instituição que lhe fez a solicitação de cadastro, como por exemplo bancos, receita federal e etc, para garantir assim uma autenticidade do pedido, nunca clicar sobre links recebidos através de spams e etc.

Treinamento

Atualmente as empresas que querem evitar esse tipo de ataque, estão investindo alto em treinamento de funcionários, afim de evitar a vazão de informações sobre a estrutura da empresa.

O treinamento, estabelecimento da política de segurança da informação na empresa, baseia-se em educar os funcionários a sempre certificar-se de que a pessoa a quem vai fornecer as informações é realmente quem diz ser, a tomarem cuidado com o lixo pois este é uma grande fonte de informações, desconfiarem de pessoas em chats e etc.

Esta política de segurança da informação da empresa deve conter dentre outros tópicos, planos e ações de segurança como, por exemplo, plano de proteção física, continuidade dos negócios, análise de riscos, ações de engenharia, plano de contingência, plano de conscientização de todos os colaboradores, mesmo os terceirizados e etc.

Basicamente tudo se resume em reeducar toda a corporação a fim de implantar uma nova cultura cem por cento abrangente, cem por cento, pois qualquer falha põe novamente a corporação em risco iminente.