*Por Antônio Silva
A engenharia social é uma estratégia não técnica usada por invasores cibernéticos, que depende muito da interação humana. Geralmente, se trata de enganar as pessoas para que quebrem as práticas recomendadas de segurança.
O sucesso das técnicas de engenharia social depende da capacidade dos invasores em manipular as vítimas para executar determinadas ações ou fornecer informações confidenciais. Atualmente, a engenharia social é reconhecida como uma das maiores ameaças de segurança enfrentadas pelas organizações.
A engenharia social difere do hacking tradicional no sentido de que os ataques normalmente não são técnicos e não envolvem necessariamente o comprometimento ou a exploração de software ou sistemas. Quando bem-sucedidos, muitos ataques de engenharia social permitem que invasores obtenham acesso autorizado e legítimo a informações confidenciais.
As formas de ataque mais utilizadas são:
- Phishing – Pode ter várias formas e visa obter informações ou informações privadas. Procura enganar o usuário para que insira informações pessoais em um site de aparência legítima, que encaminha as informações ao invasor. Normalmente, a vítima recebe um e-mail que parece ser de uma empresa real, como um banco ou loja conhecida, solicitando que os usuários se cadastrem ou acessem seu cadastro existente. Quando isso acontece, os seus detalhes de login são roubados.
- Spear Phishing – É um tipo altamente segmentado de ataque de phishing, que se concentra em um indivíduo ou organização específica. Os ataques de spear phishing usam informações pessoais específicas do destinatário, como seu nome ou cargo, para ganhar confiança e parecerem mais legítimos. Muitas vezes essas informações são retiradas das contas de mídia social das vítimas ou de outras atividades on-line. Ao personalizar suas táticas de phishing, os spears phishers têm maiores taxas de sucesso para enganar as vítimas para conceder acesso ou divulgar informações confidenciais, como dados financeiros ou segredos comerciais.
- Vishing – É o termo usado para descrever um tipo de phishing, que combina e-mails ou mensagens de texto (SMS) e VoIP. Funciona de forma semelhante ao phishing. Seu fim é persuadir a vítima a fornecer números de cartão de crédito ou outras informações que podem ser usadas para furto de identidade. Normalmente, um cliente recebe um e-mail ou SMS, aparentemente enviado pela sua operadora de cartão de crédito, com um aviso de suspensão ou desativação da conta. Então, é solicitado à vítima que autorize a ativação do cartão por meio de uma ligação para um número gratuito. O número direciona a chamada para um sistema automático de atendimento que, muito convincentemente, pede para que os dados do cartão de crédito sejam confirmados. Para evitar cair em golpes de vishing, os usuários devem tomar alguns cuidados, como entrar em contato somente pelo número de telefone disponibilizado no verso do cartão ou no website da instituição.
- Baiting – em inglês significa “isca”. Aqui, um invasor quer atrair sua vítima para a execução de um código executável, geralmente despertando sua curiosidade ou convencendo-o a acionar um hardware ou software com malware por exemplo, pendrives aparentemente inocentes distribuídos em um estande de um evento podem conter malwares.
- Pretexting – via telefone ou e-mail são bastante semelhantes e ocorrem quando um invasor fabrica circunstâncias falsas para obrigar a vítima a fornecer acesso a dados confidenciais ou sistemas protegidos. Um exemplo de ataque de pretexting pode ser de um fraudador que finge precisar de dados financeiros, para confirmar a identidade do destinatário ou simula ser membro de uma entidade confiável, como o departamento de TI da empresa, para enganar a vítima a informar dados de login ou conceder acesso a um computador. Ao contrário dos e-mails de phishing, que usam o medo e a urgência a seu favor, os ataques de pretexting dependem da criação de uma falsa sensação de confiança com a vítima. Isso exige que o invasor crie uma história confiável, que deixe pouco espaço para dúvidas por parte do alvo.
- Tailgaiting – É uma técnica física de engenharia social, que ocorre quando pessoas não autorizadas seguem indivíduos autorizados em um local seguro. O objetivo da utilização não autorizada é obter uma propriedade valiosa ou informações confidenciais. A utilização não autorizada pode ocorrer quando alguém observa quando você digita uma senha, pede que você deixe um aplicativo aberto porque esqueceu o cartão de acesso ou pede emprestado seu telefone ou laptop para concluir uma tarefa simples e, em vez disso, instala um malware ou rouba seus dados.
O ser humano é o elo mais fraco na cadeia de segurança. Uma empresa pode ter a melhor tecnologia para compensar o risco de um ataque mal-intencionado, mas qualquer organização que não treine sua equipe ou siga as melhores práticas recomendadas, corre um risco ainda maior.
Basicamente, somos todos possíveis alvos para uma fraude e devemos estar preparados para saber o que está por vir.
– Antônio Silva é GRC and Information Security Consultant da Safeway
A SAFEWAY é uma empresa de Segurança da Informação, reconhecida pelos seus clientes por oferecer soluções de alto valor agregado, através de projetos em Segurança da Informação que atendam integralmente às necessidades do negócio. Nesses anos de experiência, acumulamos, com muito orgulho, diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte, as 100 maiores empresas do Brasil. Hoje através de mais de 22 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas.
