Às vezes, somos nós mesmos que colocamos nossa segurança digital em risco. Conheça os caminhos da Engenharia Social.
A engenharia social é a arte de manipular as pessoas, para que elas abandonem informações confidenciais. Os tipos de informações que esses criminosos buscam podem variar, mas quando os indivíduos são direcionados, os criminosos geralmente tentam induzi-lo a fornecer suas senhas ou informações bancárias ou acessar o seu computador para instalar secretamente software malicioso – que lhes dará acesso às suas senhas e informações bancárias, além de fornecer controle sobre seu computador.
Os criminosos usam táticas de engenharia social porque geralmente é mais fácil explorar sua tendência natural de confiar do que descobrir maneiras de invadir seu software. Por exemplo, é muito mais fácil enganar alguém para lhe fornecer a senha do que tentar invadir essa senha (a menos que a mesma seja realmente fraca).
Segurança é tudo quando o assunto é saber em quem e em quê confiar. É importante saber quando e quando não aceitar uma pessoa com suas palavras e quando a pessoa com quem você está se comunicando é quem diz ser. O mesmo se aplica às interações online e ao uso do site: quando você confia que o site que está usando é legítimo ou seguro para fornecer suas informações?
Pergunte a qualquer profissional de segurança e eles dirão que o elo mais fraco da cadeia de segurança é o ser humano que aceita uma pessoa ou cenário pelo valor de face. Não importa quantas fechaduras e trancas estão em suas portas e janelas, ou se há cães de guarda, sistemas de alarme, holofotes, cercas com arame farpado e pessoal de segurança armado; se você confia na pessoa no portão que diz que é o entregador de pizza e você a deixa entrar sem primeiro verificar se é legítima, você está completamente exposto a qualquer risco que ela represente.
Técnicas comuns de ataque de engenharia social
O cenário de ameaças está mudando constantemente, mas no momento, essas são algumas das técnicas mais comuns de engenharia social:
Ataques de phishing – Essa técnica envolve o envio de e-mails para um público amplo que falsifica um endereço de e-mail legítimo ou contém informações de empresa legítima para manipular indivíduos para revelar senhas e outros dados pessoais.
Spear Phishing – Onde as técnicas de phishing visam um grande número de destinatários para atrair uma mordida, o spear phishing se concentra em uma organização ou indivíduo específico. Por exemplo, os hackers podem falsificar o endereço de email do CEO e enviar um email para um membro da equipe financeira, autorizando um pagamento a ser feito na conta bancária offshore dos atacantes.
Pretexting – é possivelmente uma das formas mais comuns de engenharia social no momento. Essa técnica envolve um invasor que finge precisar de informações pessoais para confirmar a identidade da pessoa para quem enviou por e-mail ou ligou. Um cenário comum envolve um scammer que finge ser do banco da vítima e solicita informações pessoais para continuar a ligação.
Scareware – Essa técnica de engenharia social se concentra em nossas emoções e, mais especificamente, no medo. Esse tipo de ataque geralmente se manifesta como software malicioso que induz os usuários a comprar proteção antivírus falsa e outro software potencialmente perigoso.
Acesso não autorizado – exatamente como o nome sugere, o acesso não autorizado envolve a passagem de um usuário não autorizado, acidental ou forçado, atrás de um usuário autorizado para um edifício ou área segura. Essa é uma das ameaças de segurança mais comuns que afetam as organizações atualmente.
Manipulação psicológica – os atacantes geralmente se concentram em quatro emoções humanas ao executar um ataque: medo, ganância, obediência e ajuda. Os ataques podem diferir em sua abordagem, mas, ao aproveitar essas emoções da maneira correta, eles sabem que podem obter as informações de que precisam rapidamente e sem detecção.
O fator de confiança – Existem certas pessoas em quem você pode confiar na vida, como amigos, familiares e certos colegas de trabalho. Os invasores sabem disso e usarão esse fator de confiança para manipulá-lo, enviando links ou downloads maliciosos a partir de um endereço de e-mail em que você confia.
Conhecimento é poder
O conhecimento é a principal arma para proteger-se da engenharia social. Caso você receba e-mails ou visite sites dos quais desconfia da procedência, tenha cuidado. Certifique-se de abrir apenas e-mails cujos conteúdos não pareçam suspeitos. Cuidado com promoções milagrosas ou avisos de protesto, cobrança ou quaisquer outros que pareçam estranhos. Nunca dê informações pessoais ao telefone ou a sites dos quais você não conhece a procedência.
E se precisar de uma proteção mais avançada, conte com a Quality Technology!