O que é engenharia social?

Engenharia social

O que é engenharia social?

É humano cometer erros. De acordo com o Cyber Security Intelligence Index d’IBM, 95% dos incidentes de segurança de TI estão relacionados a erros humanos. Muitos deles são ataques bem-sucedidos de engenharia social. Os invasores externos tiram proveito de nossa falta de conhecimento para atrair usuários para plataformas às quais eles, inadvertidamente, fornecerão acesso a seus dados privados.

Atualmente, sites confiáveis e legítimos são cada vez mais pirateados porque são plataformas nas quais os usuários confiam. No entanto, esses sites comprometidos também são usados para atacar os interesses dos usuários.

Mesmo se você usar dispositivos de anonimato, canais privados (criptografados) para se comunicar e tomar várias medidas para proteger e proteger sua privacidade on-line, o que acontecerá se você for vítima de engenharia social e alguém recebe suas credenciais e consegue contornar barreiras de segurança para acessar seu mundo on-line?

cortando a mente

Source: https://www.veracode.com/blog/2013/03/hacking-the-mind-how-why-social-engineering-works

Lembre-se do cavalo oferecido como presente pelos antigos gregos à cidade de Tróia. Embora os ataques de engenharia social não sejam novos, eles são muito eficazes em capturar vítimas com phishing, subtração de informações ou roubo de identidade.

Qualquer um (até mesmo os profissionais) pode ser vítima de um ataque de engenharia social. “É quase impossível detectar se você tiver sido vítima de um ataque de engenharia social”, disse Cohen, chefe de Gestão do Conhecimento e de negócios do grupo Desenvolvimento RSA FraudAction. Segundo ele, a engenharia social criminosa é um dos mais importantes problemas de segurança. “Enquanto houver uma interface consciente entre o homem e a máquina, a engenharia social continuará a existir. ”

Isso é dinheiro fácil. No mercado negro, um serviço de spam capaz de enviar 500 mil e-mails vale apenas US $ 75. “Dos 500 mil destinatários, algumas pessoas inevitavelmente enviarão bitcoins ou o que você pedir”, disse Cohen. “É por isso que estamos vendo centenas de milhões de dólares em perdas globais em torno de phishing. ”

Phising

perdas globais em torno de phishing

Embora o phishing tenha como alvo tradicional o setor financeiro, pois é fácil comercializar e vender dados de identificação financeira, os hackers estão agora expandindo seus negócios para plataformas móveis e de jogos, bem como para programas de companhias aéreas. Toda empresa pode ser e será um alvo em potencial.

Um dos fatores por trás da disseminação de ataques de phishing é a capacidade de conectar e colaborar anonimamente com fraudadores de todo o mundo em sites da Deep Web. Esses fraudadores usam regularmente parceiros com habilidades de engenharia social (como mostrado na mensagem acima) para preencher as partes que faltam de uma identidade e depois apreendê-las ou vendê-las.

Tipos de ataques de engenharia social mais comuns

PHISHING

Golpes de phishing são provavelmente os tipos mais comuns de ataques de engenharia social usados atualmente. A maioria deles tem as seguintes características:

  • Eles buscam informações pessoais, como nomes, endereços e números de previdência social.
  • Os atalhos de link ou os links internos são usados para redirecionar os usuários para sites suspeitos usando os chamados URLs confiáveis.
  • Para manipular o usuário e pressioná-lo a agir rapidamente, essas mensagens usam ameaças, medo e urgência.

Alguns e-mails de phishing são mais pobres do que outros. Sua mensagem geralmente contém erros de ortografia e gramática. No entanto, essas cartas buscam redirecionar as vítimas para um site ou plataforma falsa onde os hackers podem roubar suas credenciais e outros dados pessoais. Esses ataques são geralmente associados a malwares para serem perfeitos. Como resultado, a máquina do usuário não apenas fornece informações de identidade, mas também é comprometida.

PRETEXTING OU CRIAÇÃO DE PRETEXTOS

O pretexto é outra forma de engenharia social. Os agressores buscam criar um pretexto apropriado ou construir um cenário que possam usar para tentar roubar informações pessoais de suas vítimas. Esses tipos de ataques são geralmente orquestrados por um scammer que afirma precisar de informações de destino para confirmação de identidade.

Os ataques de pretexto são comumente usados para obter informações confidenciais e não confidenciais. Por exemplo, em outubro do ano passado, um grupo de bandidos fingiu ser uma agência de modelos e serviços de acompanhantes. Eles inventaram uma história falsa e entrevistaram perguntas para mulheres, incluindo adolescentes, para enviar grandes quantidades de fotos nuas para comercializá-las no setor de pornografia.

BAITING (atrair/isca)

Isca ou iscar parece de muitas maneiras como phishing. No entanto, a diferença com outras formas de engenharia social é que esse tipo de ataque promete um elemento ou um bem. Os hackers usam isso para atrair suas vítimas. Os “isqueiros” também oferecem downloads gratuitos de filmes ou músicas para os usuários contra a entrega de seus identificadores em um determinado site. Eles também se concentram em explorar a curiosidade humana através do uso de um meio físico. Estratégias de isca não são, portanto, limitadas a modelos online.

ATAQUES “QUID PRO QUO”

Da mesma forma, os ataques “quid pro quo” prometem um benefício em troca de informações. Esses benefícios geralmente têm a forma de um serviço, enquanto a isca costuma ser boa. Um dos ataques mais comuns “quid pro quo” é o seguinte. Os fraudadores se colocam como funcionários de TI e fazem chamadas falsas para direcionar números de todas as possíveis empresas. Eles oferecem suporte de computador a cada uma de suas vítimas para obter acesso para realizar seus próprios atos maliciosos.

TAILGATING

Utilização de tailgating ou piggybacking é outro tipo de ataque de engenharia social. Esse golpe implica que alguém que não tenha a autenticação correta está seguindo um funcionário em uma área restrita.

Colin Greenless, consultor de segurança da Siemens Enterprise Communications, usou essas táticas para acessar vários andares diferentes e a sala de dados de uma empresa financeira listada no índice FTSE. Ele até se mudou para o terceiro andar de uma sala de reuniões para trabalhar por vários dias.

É fundamental lutar contra os ataques de engenharia social, mas este não desaparecerá. Michele Fincher, principal agente influente da Social-Engineer, explica:

“Muitas das decisões que tomamos vêm da natureza do comportamento humano básico e reagimos quando os humanos reagem. Bons engenheiros sociais realmente entendem como trabalhar com isso e isso é algo que a tecnologia não pode protegê-lo. ”

Hackers que realizam ataques de engenharia social atacam suas presas usando psicologia humana e curiosidade para comprometer suas informações. Para entender essa meta centrada no ser humano, cabe principalmente aos usuários estarem preparados para esses atos maliciosos.

Em nossa próxima publicação, você pode encontrar várias dicas para proteger contra os modelos de engenharia social.

Você tem perguntas? Não hesite em contatar o nosso suporte (suporte em mailfence ponto com).

Obtenha suas mensagens privadas !

 

Siga-nos no twitter/reddit e mantenha-se informado em todos os momentos.

– Equipe de Mailfence

 


Espalhe a palavra!

 

 

Você pode gostar...

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

*

code

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.