Engenharia social, a arte de enganar

Engenharia social, a arte de enganar

A engenharia social é um método de ataque que depende muito da interação humana e geralmente envolve a manipulação de pessoas. Os atores da ameaça usam técnicas de engenharia social para esconder suas verdadeiras identidades e motivos e se apresentam como um indivíduo confiável.

Os criminosos geralmente tentam convencê-los a fornecer suas senhas ou informações bancárias ou acessar seu computador para instalar secretamente softwares mal-intencionados, o que lhes dará acesso à sua conta. senhas e informações bancárias

O que é engenharia social?

Engenharia social é o termo usado para uma série de atividades maliciosas realizadas por meio de interações humanas. Ele usa manipulação psicológica para induzir os usuários a cometerem erros de segurança ou fornecer informações confidenciais.

Os engenheiros sociais usam uma grande variedade de táticas para realizar seus ataques. Geralmente, esses ataques acontecem em uma ou mais etapas.

O primeiro passo na maioria dos ataques de engenharia social é o invasor realizar pesquisas e reconhecimento no alvo. Se o alvo é uma empresa, por exemplo, o hacker pode reunir informações sobre a estrutura do funcionário, operações internas, linguagem comum usada no setor e possíveis parceiros de negócios, entre outras informações.

Uma tática comum dos engenheiros sociais é concentrar-se nos comportamentos e padrões dos funcionários com acesso de baixo nível, o nível operacional, como uma recepcionista.

A partir daí, o hacker pode projetar um ataque baseado nas informações coletadas como nomes de animais de estimação, datas de nascimento dos fundadores da organização, perfil de funcionários das empresas nas redes sociais, para que a partir disso, possa explorar uma fraqueza descoberta durante a fase de reconhecimento.

Tipos de ataques de engenharia social

Os ataques de engenharia social vêm em muitas formas diferentes e podem ser realizados em qualquer lugar onde a interação humana está envolvida. A seguir estão as formas mais comuns de ataques de engenharia social digital.

  • Baiting: Os invasores deixam uma isca, normalmente pen drives infectados por malwares (vírus, trojans, worns, etc), em áreas visíveis onde as vítimas em potencial teram fácil acesso (por exemplo, banheiros, elevadores, estacionamento de uma empresa-alvo). A isca tem uma aparência autêntica, como uma etiqueta que se apresenta como uma lista da folha de pagamento da empresa. As vítimas pegam a isca por curiosidade e a inserem em um computador de trabalho ou doméstico, resultando na instalação automática de malware no sistema.
  • Phishing: Essa técnica ocorre quando uma parte maliciosa envia um email fraudulento disfarçado como um email legítimo, muitas vezes pretendendo ser de uma fonte confiável. Um exemplo é um email enviado aos usuários de um serviço on-line que os alerta sobre uma violação de política que exige ação imediata da parte deles, como uma alteração obrigatória de senha. Ele inclui um link para um site ilegítimo, que tenta se passar por um site genuíno, como uma página web idêntica a do Banco do Brasil.
  • Spear Phishing: É como phishing, mas adaptado para um indivíduo ou organização específica.
  • Exploração da Familiaridade: Os usuários desconfiam menos das pessoas com quem estão familiarizados. Um invasor pode se familiarizar com os usuários antes do ataque de engenharia social. Dessa forma, os usuários ficam mais propensos a revelar respostas enquanto confiam no rosto familiar.
  • Vishing: É conhecida como phishing de voz, é o uso da engenharia social por telefone para coletar informações pessoais e financeiras do alvo.
  • Scareware: Essa técnica envolve enganar a vítima a pensar que seu computador está infectado com malware ou baixou inadvertidamente conteúdo ilegal. O atacante oferece então à vítima uma solução que consertará o problema falso; na realidade, a vítima é simplesmente induzida a baixar e instalar o malware do invasor.
  • Honey trap: Nesse ataque, o engenheiro social finge ser uma pessoa atraente para interagir com uma pessoa online, afim de estabelecer um relacionamento online e coletar informações confidenciais por meio desse relacionamento.

Prevenção contra a engenharia social

Os engenheiros sociais manipulam sentimentos humanos, como a curiosidade ou o medo, para realizar esquemas e atrair vítimas para suas armadilhas.

As dicas a seguir podem ajudar a melhorar sua vigilância em relação a hacks de engenharia social.

  • Não abra e-mails e anexos de fontes suspeitas
  • Desconfie de ofertas tentadoras
  • Mantenha o seu software antivírus atualizado
  • Caso encontre algum pendrive na rua, busque uma maneira segura de formatá-lo.
  • Tente não utilizar as mesmas mídias removíveis como CD, DVD, pendrive para fins pessoais e trabalho.

Especialistas em segurança recomendam que os departamentos de TI realizem regularmente testes de penetração que usam técnicas de engenharia social. Isso ajudará os administradores a saber quais tipos de usuários representam o maior risco para tipos específicos de ataques, além de identificar quais funcionários precisam de treinamento adicional.

O treinamento de conscientização de segurança também pode ajudar bastante na prevenção de ataques de engenharia social. Se as pessoas souberem quais são as formas de ataques de engenharia social, elas estarão menos propensas a se tornarem vítimas.

Assuntos relacionados a Engenharia Social