Ir para conteúdo
Entre para seguir isso  
MoonSide

ENGENHARIA SOCIAL

Recommended Posts

ATAQUES DE ENGENHARIA SOCIAL: TUDO QUE VOCÊ PRECISA SABER!

Chamamos de engenharia social qualquer estratégia não-técnica usada pelos hackers que, em grande parte, dependem da interação humana e geralmente envolvem iludir o usuário para desrespeitar práticas de segurança padrão, como abrir links maliciosos, baixar arquivos suspeitos ou compartilhar informações confidenciais que permitam ao hacker atingir seus objetivos.

O sucesso das técnicas de ataques de engenharia social depende da habilidade do hacker demanipular as vítimas para que executem certas ações ou ofereçam informações. Como não envolve nenhum aspecto técnico que possa ser reconhecido pelas ferramentas de segurança tradicionais, os ataques de engenharia social estão entre as maiores ameaças às empresas atualmente.

]A maior diferença entre os ataques de engenharia social e o trabalho de hacking tradicional é que os ataques de engenharia social não envolvem o comprometimento ou a exploração de softwares ou sistemas. Quando é bem-sucedido, esse tipo de ataque permite que os hackers ganhem acesso legítimo a informações confidenciais.

Como funcionam os ataques de engenharia social

Hackers que recorrem a ataques de engenharia social não deixam de ser fraudadores e estelionatários. Eles usam técnicas do tipo com o objetivo de ganhar acesso legítimo à rede e aos dados da empresa roubando credenciais de usuários autorizados para se passar por funcionários da própria empresa.

Um dos hackers mais famosos do mundo, começou muito jovem a praticar engenharia social para pequenos ganhos. Chegou a revirar o lixo de empresas para conseguir informações e fazer telefonemas enganosos (você pode conhecer um pouco mais sobre essa história clicando 

 

É comum que esse tipo de cibercriminoso se aproveite da inocência e da natureza prestativa de alguns usuários. Eles podem, por exemplo, ligar para algum deles simulando ter de resolver algum incidente, dizendo então que necessita do acesso urgente à rede corporativa.

Os ataques também podem ser feitos por meio das redes sociais. Os cibercriminosos podem apelar a uma série de sentimentos por meio dos perfis de redes sociais das vítimas, descobrindo, por exemplo, sua posição dentro da empresa, seus amigos e seus gostos pessoais.

As táticas servem para convencer os usuários a abrir anexos infectados com malwares, persuadir funcionários a divulgar informações sensíveis ou até assustá-los para que instalem softwares infectados com malwares.

 

Principais tipos de ataques de engenharia social

Os tipos mais comuns de ataques de engenharia social incluem baiting, phishing, pretexting, quid pro quo, spear phishing e tailgating. Soluções como firewalls, filtros de e-mail e ferramentas de monitoramento da rede e de dados podem ajudar a mitigar essas ameaças, porém, a conscientização do usuário é a tarefa mais importante para combater os ataques de engenharia social.

Contar com funcionários capazes de reconhecer e evitar os tipos mais comuns de ataques de engenharia social é a melhor defesa nesses casos. Saiba mais sobre os tipos mais comuns de ações de engenharia social a que os funcionários devem saber reagir:[/align]

 

Baiting

Por meio dessa técnica, hackers deixam à disposição do usuário um dispositivo infectado com malware, como um pen-drive ou um CD. A intenção é despertar a curiosidade do indivíduo para que insira o dispositivo em uma máquina a fim de checar seu conteúdo.

O sucesso dos ataques de baiting depende de três ações do indivíduo: encontrar o dispositivo, abrir seu conteúdo e instalar o malware sem perceber. Uma vez instalado, o malware permite que o hacker tenha acesso aos sistemas da vítima.

A tática envolve pouco trabalho por parte do hacker. Tudo que ele precisa fazer é infectar um dispositivo e ocasionalmente deixá-lo à vista do alvo, seja na entrada ou no interior dos escritórios. O dispositivo pode ser, por exemplo, um pen-drive contendo um arquivo com nome “chamativo”, como “folha salarial 2017”.

Em 2011, a Bloomberg relatou que, em um teste feito com funcionários do governo norte-americano, 60% das pessoas pegaram um pen-drive deixado no estacionamento e plugaram nos computadores do escritório. No caso dos dispositivos que tinham um logo oficial, 90% instalaram o arquivo.

 

Phishing

e-mail de phishing, apesar de já existir há anos, ainda é uma das técnicas mais comuns de engenharia social pelo alto nível de eficiência. O phishing ocorre quando um hacker produz comunicações fraudulentas que podem ser interpretadas como legítimas pela vítima por alegarem vir de fontes confiáveis.

Em um ataque de phishing, os usuários podem ser coagidos a instalar um malware em seus dispositivos ou a compartilhar informações pessoais, financeiras ou de negócio.

Apesar de o e-mail ser o modo mais tradicional para o envio de phishing, esse tipo de ataque também pode vir na forma de um contato telefônica ou de uma mensagem no Facebook, por exemplo.

Os piores ataques de phishing se aproveitam de situações trágicas com o objetivo de explorar a boa vontade das pessoas, fazendo com que passem informações pessoais e de pagamento para realizar doações, por exemplo.

Alguns e-mails de phishing são incrivelmente fáceis de identificar, no entanto, há os que são extremamente convincentes, simulando, por exemplo, comunicações do banco e empresas de cartão de crédito e comunicados oficiais da própria empresa pedindo para que os funcionários façam download de um novo software de segurança corporativa.

 

Pretexting

Por meio do pretexting, os hackers fabricam falsas circunstâncias para coagir a vítima a oferecer acesso a informações e sistemas críticos. Nesse caso, os hackers assumem uma nova identidade ou papel para fingir que são alguém de confiança da vítima.

Tudo que o cibercriminoso precisa é dar uma olhada nos perfis da vítima nas redes sociais para descobrir informações como data e local de nascimento, empresa, cargo, nomes de parentes, colegas de trabalho, amigos, entre outros.

Depois, basta enviar um e-mail (ou outro tipo de comunicação) à vítima fingindo a necessidade de confirmar dados para garantir seu acesso a algum sistema específico. Pode ser, por exemplo, um e-mail supostamente da equipe de TI coagindo a vítima a divulgar suas credenciais.

 

Quid pro quo

Um ataque de quid pro quo ocorre quando um hacker requer informações privadas de alguém em troca de algo. “Quid pro quo” basicamente significa “isso por aquilo”, em que o cibercriminoso oferece algo à vítima em troca de informações sensíveis.

A tática mais comum envolve se passar por alguém da TI e abordar diversas vítimas encontrar alguém com um problema real de TI. Sob instruções do hacker, a vítima então dá acesso a códigos, desabilita programas vitais e instala malwares achando que conseguirá resolver seu problema.

Outra tática bastante usada é a de simular uma pesquisa em que funcionários passam uma série de informações sensíveis em troca de brindes, como canetas e canecas.

 

Spear phishing

spear-phishing é uma forma mais sofisticada de phishing que foca em indivíduos e organizações específicas. Nesse tipo de ataque, o hacker se passa por algum executivo ou outro membro chave da empresa e aborda funcionários com intuito de obter informações sensíveis.

Os cibercriminosos podem obter, por meio das redes sociais, informações sobre o alvo e o quadro organizacional da empresa. Depois disso, basta enviar alguma comunicação fingindo ser, por exemplo, um dos executivos da empresa com uma demanda urgente que requer uma transação financeira imediata para uma conta específica.

Esse tipo de ataque costuma ter altas taxas de sucesso no convencimento de funcionários para que executem ações específicas ou passem informações sensíveis.

Segundo o SANS Institute Report de 2016, os ataques de spear-phishing  estão cada vez mais efetivos pois são tão tecnicamente convincentes que a maioria dos destinatários não se dá ao trabalho de procurar por pequenos indícios de fraude ou tentar se comunicar com o remetente por outro meio.

 A técnica também está sendo muito utilizada de forma direcionada para pequenas e médias empresas, pois geralmente são menos maduras em segurança. Confira o nosso artigo para saber mais!

 

Tailgating

O tailgating é uma técnica física de engenharia social que ocorre quando indivíduos não autorizados seguem indivíduos autorizados até localizações seguras. O objetivo é obter ativos valiosos e informações confidenciais.

É o caso, por exemplo, de quando alguém pede para o outro “segurar a porta” porque esqueceu seu cartão de acesso, ou pede seu smartphone ou computador emprestado para fazer “algo rapidinho”, mas na verdade instala malwares e rouba dados da máquina.

  • Curtir 2
  • Amei 3

Compartilhar este post


Link para o post
Compartilhar em outros sites

Crie uma conta ou entre para comentar

Você precisar ser um membro para fazer um comentário

Criar uma conta

Crie uma nova conta em nossa comunidade. É fácil!

Crie uma nova conta

Entrar

Já tem uma conta? Faça o login.

Entrar Agora
Entre para seguir isso  

×

Informação Importante

Ao usar este site, você concorda com nossos Termos de Uso.