Articles

Social engineering

By April 20, 2021 No Comments

* By Antônio Silva

 

A engenharia social é uma estratégia não técnica usada por invasores cibernéticos, que depende muito da interação humana. Geralmente, se trata de enganar as pessoas para que quebrem as práticas recomendadas de segurança.

O sucesso das técnicas de engenharia social depende da capacidade dos invasores em manipular as vítimas para executar determinadas ações ou fornecer informações confidenciais. Atualmente, a engenharia social é reconhecida como uma das maiores ameaças de segurança enfrentadas pelas organizações.

A engenharia social difere do hacking tradicional no sentido de que os ataques normalmente não são técnicos e não envolvem necessariamente o comprometimento ou a exploração de software ou sistemas. Quando bem-sucedidos, muitos ataques de engenharia social permitem que invasores obtenham acesso autorizado e legítimo a informações confidenciais.

As formas de ataque mais utilizadas são:

  • Phishing – Pode ter várias formas e visa obter informações ou informações privadas. Procura enganar o usuário para que insira informações pessoais em um site de aparência legítima, que encaminha as informações ao invasor. Normalmente, a vítima recebe um e-mail que parece ser de uma empresa real, como um banco ou loja conhecida, solicitando que os usuários se cadastrem ou acessem seu cadastro existente. Quando isso acontece, os seus detalhes de login são roubados.
  • Spear Phishing – É um tipo altamente segmentado de ataque de phishing, que se concentra em um indivíduo ou organização específica. Os ataques de spear phishing usam informações pessoais específicas do destinatário, como seu nome ou cargo, para ganhar confiança e parecerem mais legítimos. Muitas vezes essas informações são retiradas das contas de mídia social das vítimas ou de outras atividades on-line. Ao personalizar suas táticas de phishing, os spears phishers têm maiores taxas de sucesso para enganar as vítimas para conceder acesso ou divulgar informações confidenciais, como dados financeiros ou segredos comerciais.
  • Vishing – É o termo usado para descrever um tipo de phishing, que combina e-mails ou mensagens de texto (SMS) e VoIP. Funciona de forma semelhante ao phishing. Seu fim é persuadir a vítima a fornecer números de cartão de crédito ou outras informações que podem ser usadas para furto de identidade. Normalmente, um cliente recebe um e-mail ou SMS, aparentemente enviado pela sua operadora de cartão de crédito, com um aviso de suspensão ou desativação da conta. Então, é solicitado à vítima que autorize a ativação do cartão por meio de uma ligação para um número gratuito. O número direciona a chamada para um sistema automático de atendimento que, muito convincentemente, pede para que os dados do cartão de crédito sejam confirmados. Para evitar cair em golpes de vishing, os usuários devem tomar alguns cuidados, como entrar em contato somente pelo número de telefone disponibilizado no verso do cartão ou no website da instituição.
  • Baiting – em inglês significa “isca”. Aqui, um invasor quer atrair sua vítima para a execução de um código executável, geralmente despertando sua curiosidade ou convencendo-o a acionar um hardware ou software com malware por exemplo, pendrives aparentemente inocentes distribuídos em um estande de um evento podem conter malwares.
  • Pretexting – via telefone ou e-mail são bastante semelhantes e ocorrem quando um invasor fabrica circunstâncias falsas para obrigar a vítima a fornecer acesso a dados confidenciais ou sistemas protegidos. Um exemplo de ataque de pretexting pode ser de um fraudador que finge precisar de dados financeiros, para confirmar a identidade do destinatário ou simula ser membro de uma entidade confiável, como o departamento de TI da empresa, para enganar a vítima a informar dados de login ou conceder acesso a um computador. Ao contrário dos e-mails de phishing, que usam o medo e a urgência a seu favor, os ataques de pretexting dependem da criação de uma falsa sensação de confiança com a vítima. Isso exige que o invasor crie uma história confiável, que deixe pouco espaço para dúvidas por parte do alvo.
  • Tailgaiting – É uma técnica física de engenharia social, que ocorre quando pessoas não autorizadas seguem indivíduos autorizados em um local seguro. O objetivo da utilização não autorizada é obter uma propriedade valiosa ou informações confidenciais. A utilização não autorizada pode ocorrer quando alguém observa quando você digita uma senha, pede que você deixe um aplicativo aberto porque esqueceu o cartão de acesso ou pede emprestado seu telefone ou laptop para concluir uma tarefa simples e, em vez disso, instala um malware ou rouba seus dados.

O ser humano é o elo mais fraco na cadeia de safety. Uma empresa pode ter a melhor tecnologia para compensar o risco de um ataque mal-intencionado, mas qualquer organização que não treine sua equipe ou siga as melhores práticas recomendadas, corre um risco ainda maior.

Basicamente, somos todos possíveis alvos para uma fraude e devemos estar preparados para saber o que está por vir.

- Antônio Silva is GRC and Information Security Consultant at Safeway

 

About [SAFEWAY]

 

SAFEWAY is an Information Security company, recognized by its customers for offering high added value solutions, through Information Security projects that fully meet the needs of the business. In these years of experience, we have accumulated, with great pride, several successful projects that have earned us credibility and prominence in our clients, who constitute, in large part, the 100 largest companies in Brazil. Today through more than 22 strategic partnerships with global manufacturers and our SOC, SAFEWAY is considered a one stop shopping with the best technology, processes and people solutions.