Quando pensamos em ciber-segurança, a maioria de nós pensa em defender-se contra hackers que usam falhas tecnológicas para atacar redes de dados. Mas há outra forma de entrar em organizações e redes, e isso é tirar proveito das fraquezas humanas. Isto é conhecido como engenharia social, que envolve enganar alguém a divulgar de informações ou permitir o acesso a redes de dados.
Por exemplo, um intruso pode fazer-se passar por pessoal do suporte de TI e pedir aos usuários que forneçam informações como os seus nomes de usuário e senhas. E é surpreendente como muitas pessoas não pensam duas vezes em divulgar essa informação, especialmente se parecer que está sendo solicitada por um representante legítimo.
Simplificando: a engenharia social é o uso da enganação para manipular indivíduos para permitir o acesso ou a divulgação de informações ou dados.
Tipos de ataques de engenharia social
Há vários tipos de ataques de engenharia social. Portanto, é importante entender a definição de engenharia social além de como ela funciona. Uma vez compreendido o modus operandi básico, é muito mais fácil detectar ataques de engenharia social.
Iscas
A isca envolve a criação de uma armadilha, tal como um pen drive USB carregado com malware. Alguém curioso para ver o que está no aparelho coloca-o na sua unidade USB, o que resulta num comprometimento do sistema. Na verdade, há um pen drive USB que pode destruir computadores carregando-se com a energia da unidade USB e depois liberando num intenso pico de energia - danificando o dispositivo onde foi introduzido. (o pen drive USB custa apenas US$ 54).
Pretexto
Este ataque usa um pretexto para chamar a atenção e fisgar a vítima para fornecer informações. Por exemplo, uma pesquisa na Internet pode começar a parecer bastante inocente, mas depois pedir detalhes da conta bancária. Ou alguém com uma prancheta pode aparecer e dizer que está fazendo uma auditoria aos sistemas internos; no entanto, pode não ser quem diz ser, e pode estar a tentar roubar-lhe informações valiosas.
Phishing
Os ataques de phishing envolvem um e-mail ou mensagem de texto fingindo ser de uma fonte confiável - pedindo informações. Um tipo bem conhecido é o e-mail de um banco que quer que seus clientes "confirmem" suas informações de segurança e os direcione para um site falso, onde suas credenciais de login serão registradas. O "spear phishing" tem como alvo uma única pessoa dentro de uma empresa, enviando um e-mail que pretende vir de um executivo de nível superior da empresa pedindo informações confidenciais.
Vishing e smishing
Estes tipos de ataque de engenharia social são variantes de phishing - "o phishing por voz", que significa simplesmente telefonar e pedir dados. O criminoso pode fazer-se passar por colega de trabalho, por exemplo, fingindo ser do suporte de TI e pedindo informações de login. O Smishing usa mensagens SMS para tentar obter esta informação.
Quid pro quo
Dizem que "troca justa não é um roubo", mas neste caso, é sim. Muitos ataques de engenharia social fazem as vítimas acreditarem que estão recebendo algo em troca dos dados ou acesso que fornecem. O "Scareware" funciona desta forma, prometendo aos usuários de computador uma atualização para cuidar de um problema de segurança urgente quando, na verdade, é o próprio scareware que é a ameaça de segurança maliciosa.
Spamming de contatos e hacking de e-mail
Este tipo de ataque envolve invadir as contas de e-mail ou redes sociais de um indivíduo para obter acesso aos contatos. Os contatos podem ser informados de que o indivíduo foi assaltado e perdeu todos os seus cartões de crédito e depois pedir para transferir dinheiro para uma conta de transferência de dinheiro. Ou o "amigo" pode reencaminhar um "vídeo imperdível" que direciona para um malware ou a um cavalo de Troia com keylogger.
Cultivo x caça
Por fim, esteja ciente de que alguns ataques de engenharia social estão muito mais desenvolvidos. A maioria das abordagens simples que descrevemos são uma forma de "caça". Basicamente, entram, pegam a informação e saem.
No entanto, alguns tipos de ataques de engenharia social envolvem a formação de uma relação com o alvo para extrair mais informações ao longo de um período de tempo mais longo. Isto é conhecido como "cultivo" e é mais arriscado para o criminoso: há mais chances de serem descobertos. Mas, se a infiltração for bem sucedida, pode fornecer muito mais informações.
Como evitar ataques de engenharia social
Ataques de engenharia social são particularmente difíceis de se defender porque são expressamente projetados para funcionar com características humanas inatas, como a curiosidade, o respeito pela autoridade e o desejo de ajudar os amigos. Há uma série de dicas que podem ajudar a detectar ataques de engenharia social...
Confira a fonte
Reserve um momento para pensar de onde vem a comunicação; não confie cegamente nela. Um pen drive USB aparece na sua mesa e você não sabe a origem? Um telefonema do nada diz que você herdou 5 milhões de reais? Um e-mail do seu CEO pedindo muitas informações sobre funcionários individuais? Tudo isto soa suspeito e deve ser tratado como tal.
Verificar fontes não é difícil. Por exemplo: com um e-mail, analise o cabeçalho do e-mail e verifique com os e-mails válidos do mesmo remetente. Veja para onde os links direcionam - hiperlinks falsos são fáceis de detectar simplesmente colocando o cursor por cima deles (não clique no link!) Verifique a ortografia: os bancos têm equipes inteiras de pessoas qualificadas dedicadas a produzir comunicações com os clientes, por isso um e-mail com erros gritantes é provavelmente falso.
Em caso de dúvida, acesse o site oficial e entre em contato com um representante da empresa, pois eles poderão confirmar se o e-mail/mensagem é oficial ou falso.
O que eles sabem?
A fonte não tem informações que você esperaria que eles tivessem, como o seu nome completo e afins? Lembre-se, se um banco estiver telefonando para você, eles devem ter todos esses dados disponíveis e sempre farão perguntas de segurança antes de permitir que você faça alterações na sua conta. Se não o fizerem, então as chances de ser um falso e-mail/chamada/mensagem são significativamente maiores e você deve ser cauteloso.
Quebre o jogo
A engenharia social muitas vezes depende de um senso de urgência. Os criminosos esperam que os seus alvos não pensem muito no que está a acontecer. Por isso, só um momento para pensar pode dissuadir estes ataques ou mostrá-los pelo que eles são - falsidades.
Ligue para o número oficial ou passe pelo URL oficial do site, em vez de fornecer dados pelo telefone ou clicar em um link. Use um método diferente de comunicação para verificar a credibilidade da fonte. Por exemplo, se você receber um e-mail de um amigo pedindo que você transfira dinheiro, mande uma mensagem de texto no celular dele ou ligue para ele para verificar se são realmente eles.
Peça identificação
Um dos ataques de engenharia social mais fáceis é contornar a segurança para entrar num edifício, carregando uma caixa grande ou com as mãos cheias de arquivos. Afinal de contas, alguma pessoa útil vai manter a porta aberta. Não caia nessa. Peça sempre a sua identificação.
O mesmo se aplica a outras abordagens. Verificar o nome e o número de quem está a ligar ou a perguntar: "Com quem você trabalha?" deve ser uma resposta básica aos pedidos de informação. Em seguida, basta verificar o gráfico da organização ou a lista telefônica antes de fornecer qualquer informação privada ou dados pessoais. Se você não conhece o indivíduo que pede a informação e ainda não se sente confortável em compartilhar os dados, diga que você precisa verificar com outra pessoa, e você retornará o contato.
Use um bom filtro de spam
Se o seu programa de e-mail não estiver filtrando spam suficiente ou marcando e-mails como suspeitos, você pode querer alterar as configurações. Os bons filtros de spam utilizam vários tipos de informação para determinar quais e-mails são susceptíveis de serem spam. Eles podem detectar arquivos ou links suspeitos, podem ter uma lista negra de endereços IP ou IDs de remetentes suspeitos, ou podem analisar o conteúdo das mensagens para determinar quais são susceptíveis de serem falsas.
Isso é realista?
Alguns ataques de engenharia social funcionam tentando enganá-lo para que não seja crítico e levando o tempo necessário para avaliar se a situação é realista pode ajudar a detectar muitos ataques. Por exemplo:
- Se o seu amigo estivesse realmente preso na China sem saída, será que lhe enviariam um e-mail ou também ligaria/enviaria um SMS?
- É provável que um príncipe nigeriano lhe tenha deixado um milhão de reais no seu testamento?
- O banco telefonaria a pedir os detalhes da sua conta? Na verdade, muitos bancos anotam quando enviam e-mails aos seus clientes ou falam com eles ao telefone. Por isso, confirme duas vezes se não tem a certeza.
Vá com calma
Seja particularmente cauteloso quando sentir uma sensação de urgência ao entrar numa conversa. Esta é uma forma padrão para os criminosos fazerem com que seus alvos parem de pensar sobre o assunto. Se você se sentir pressionado, vá com calma. Diga que você precisa de tempo para obter as informações, você precisa perguntar ao seu gerente, você não tem os detalhes certos com você neste momento - qualquer coisa para atrasar as coisas e ganhar tempo para pensar.
Na maioria das vezes, os engenheiros sociais não vão abusar da sorte se perceberem que perderam a vantagem da surpresa.
Proteja seus dispositivos
Também é importante assegurar dispositivos para que um ataque de engenharia social, mesmo que bem sucedido, seja limitado no que pode alcançar. Os princípios básicos são os mesmos, quer se trate de um smartphone, uma rede doméstica básica ou um sistema empresarial importante.
- Mantenha o seu software anti-malware e antivírus atualizados. Isto pode ajudar a evitar que o malware que vem através de e-mails de phishing seja instalado automaticamente. Use um pacote como o Kaspersky Antivirus para manter a sua rede e dados seguros.
- Mantenha o software e firmware regularmente atualizados, especialmente os patches de segurança.
- Não execute o seu telefone com root ou a sua rede ou PC em modo administrador. Mesmo se um ataque de engenharia social conseguir a sua senha de usuário para a sua conta de "usuário", ele não permitirá que eles reconfigurem o seu sistema ou instalem software nele.
- Não use a mesma senha para contas diferentes. Se um ataque de engenharia social conseguir a senha da sua conta de redes sociais, você não quer que eles possam também acessar todas as suas outras contas.
- Para contas críticas, use autenticação de dois fatores para que ter sua senha não seja suficiente para acessar a conta. Isso pode envolver reconhecimento de voz, uso de um dispositivo de segurança, impressão digital ou códigos de confirmação por SMS.
- Se você acabou de informar sua senha para uma conta e acha que pode ter sido enganado, mude a senha imediatamente.
- Mantenha-se informado sobre novos riscos de segurança cibernética , tornando-se um leitor regular do nosso Centro de Recursos. Assim, você saberá tudo sobre novos métodos de ataque à medida que eles surgirem, tornando-o muito menos provável de se tornar uma vítima.
Pense na sua presença digital
Você também pode querer pensar um pouco na sua presença digital. O compartilhamento excessivo de informações pessoais on-line, por exemplo, através das redes sociais, pode ajudar os criminosos. Por exemplo, muitos bancos têm "nome do seu primeiro animal de estimação" como uma possível pergunta de segurança - você compartilhou isso no Facebook? Se for o caso, você pode ficar vulnerável! Além disso, alguns ataques de engenharia social tentarão ganhar credibilidade, referindo-se a eventos recentes que você possa ter compartilhado em redes sociais.
Recomendamos que você configure suas redes sociais para que sejam visíveis para "apenas amigos" e tenha cuidado com o que você compartilha. Você não precisa ser paranoico, apenas cauteloso.
Pense em outros aspectos da sua vida que você compartilha on-line. Se você tem um currículo on-line, por exemplo, você deve considerar a possibilidade de ocultar endereço, número de telefone e data de nascimento - todas as informações úteis para quem planeja um ataque de engenharia social. Enquanto alguns ataques de engenharia social não envolvem profundamente a vítima, outros são meticulosamente preparados - dê a esses criminosos menos informações para trabalhar.
A engenharia social é muito perigosa, porque leva situações perfeitamente normais e as manipula para fins maliciosos. No entanto, ao estar plenamente consciente de como funciona, e adotar as precauções básicas, será muito menos provável que você se torne uma vítima da engenharia social.
Links relacionados