Como é um ataque de engenharia social?
O representante, que é na verdade um criminoso, precisará autenticar você, fazer login no sistema deles ou no computador e solicitará que você conceda acesso remoto ao seu computador, para que ele possa consertá-lo ou diga a você os comandos para que você possa consertá-lo com a ajuda deles - onde alguns dos comandos que eles digitarem abrirão uma maneira de o criminoso voltar mais tarde ao seu computador sem seu consentimento e conhecimento.Esses fraudadores usam regularmente parceiros com habilidades de engenharia social (como mostrado na mensagem acima) para preencher as partes que faltam de uma identidade e depois apreendê-las ou vendê-las. A engenharia social engloba tudo o que vimos ultimamente aqui no blog, sobre segurança da informação. Golpes de phishing são provavelmente os tipos mais comuns de ataques de engenharia social usados atualmente. A maioria deles tem as seguintes características: Rafael Soares Ferreira é Diretor Comercial do Grupo Clavis Segurança da Informação. Profissional atuante nas áreas de testes de invasão e auditorias de rede, sistemas e aplicações, e de detecção e resposta a incidentes de segurança.
Como é um ataque de engenharia social?
1 (EC-Council Network Security Administrator). Engenharia Social são as práticas utilizadas que fazem uso da farsa e persuasão para obter acesso a informações importantes não autorizadas ou sigilosas, tanto de organizações quanto de pessoas. Tulio Alvarez está atuando como Consultor em Segurança da Informação e Head of Maritime Cyber Security do grupo CLAVIS-Segurança da Informação. Atuou como pesquisador em Gestão de Riscos Cibernéticos Marítimos pela Faperj/GreenHat. É Mestre em Ciências Navais pela Escola de Guerra Naval (2012), com seu trabalho desenvolvido na área da Defesa Cibernética no setor naval. É Especialista em Redes de Computadores pela PUC-Rio (2006), com desenvolvimento do trabalho na área de Gestão da Segurança da Informação (Norma ISO ABNT 27001); Especialista em Segurança de Redes e Criptografia pela UFF (2008), com trabalho focado em Segurança da Informação; e, Especialista em Gestão Empresarial pela COPPEAD/UFRJ (2012). Aos que ainda não estão familiarizados, Engenharia Social refere-se a conduzir as ações de uma pessoa para que ela faça algo do interesse do atacante.
Vice-Representante da Regional Sào Paulo na ANPPD (Associação Nacional dos Profissionais de Privacidade de Dados), Palestrante em diversos congressos de Segurança como SegInfo, WorkSec e Congresso de TI. Possui as certificações EXIN DPO, ISFS, PDPF, PDPP. Nos últimos anos os tipos de ataque não só aumentaram como estão mais sofisticados. É importante conhecê-los para que possamos nos prevenir de uma forma mais assertiva. Vamos conferir neste artigo o que é a engenharia social e como os hackers a utilizam para fazer suas vítimas. Borge entende que o trabalho em home office/híbrido é uma tendência sem volta e que pode se intensificar com outras tecnologias, como o 5G. Existem algumas formas de praticar Engenharia Social, mas em linhas gerais, é possível dividir este tipo de ataque em três metodologias principais: Nos últimos anos os tipos de ataque não só aumentaram como estão mais sofisticados. É importante conhecê-los para que possamos nos prevenir de uma forma mais assertiva. Vamos conferir neste artigo o que é a engenharia social e como os hackers a utilizam para fazer suas vítimas. Tulio comentou que a Clavis lançará mais uma tradução de um livro voltado para o público de Segurança da Informação.
Afinal, o que é engenharia social?
Mesmo se você usar dispositivos de anonimato, canais privados (criptografados) para se comunicar e tomar várias medidas para proteger e proteger sua privacidade on-line, o que acontecerá se você for vítima de engenharia social e alguém recebe suas credenciais e consegue contornar barreiras de segurança para acessar seu mundo on-line? Luiz Felipe Ferreira tem 16 anos de experiência em Tecnologia da Informação e desde 2008 trabalha com Segurança da Informação. Formado em Tecnologia em Informática pela UniverCidade e com MBA em Gestão de Projetos e Negócios em TI pela UERJ. Atualmente é Data Protection Product Owner no Itaú Unibanco. Apresentador do SegInfocast, um podcast focado em Segurança. Professor universitário na IDESP. Instrutor credenciado EXIN no tema de privacidade e proteção de dados pela Clavis.
Algumas práticas de engenharia social tem como objetivo criar desconfiança ou iniciar conflitos; isso geralmente é realizado por pessoas que você conhece e que estão com raiva de você, mas também é feito por pessoas desagradáveis que estão tentando causar estragos, pessoas que desejam primeiro criar desconfiança em sua mente sobre os outros, para que possam entrar como um herói e ganhe sua confiança, ou por extorsionistas que desejam manipular informações e depois ameaçá-lo com a divulgação. Os criminosos usam táticas de engenharia social porque geralmente é mais fácil explorar sua tendência natural de confiar do que descobrir maneiras de invadir seus softwares. Por exemplo, é muito mais fácil enganar alguém para lhe fornecer a senha do que tentar adivinhar a senha, mesmo com uso de sistemas específicos para essa finalidade (a menos que a sua senha seja realmente fraca). Lembre-se do cavalo oferecido como presente pelos antigos gregos à cidade de Tróia. Embora os ataques de engenharia social não sejam novos, eles são muito eficazes em capturar vítimas com phishing, subtração de informações ou roubo de identidade.
Embora os ataques de phishing sejam desenfreados, de curta duração e precisem apenas de alguns usuários para morder uma campanha bem-sucedida, existem métodos para se proteger. A maioria não exige muito mais do que simplesmente prestar atenção aos detalhes à sua frente. Lembre-se do seguinte para evitar ser enganado. Antônio Borge Gestor de Segurança Cibernética, Especialista em Segurança da Informação e Gestão de Redes. Oficial da Ativa da Marinha do Brasil. Possui formação em Processamento de Dados pela UNIABEU (1996) com o desenvolvimento de um sistema para controle do processo licitatório da prefeitura de Mesquita, RJ. Especialista em Gestão da Segurança da Informação, pela Universidade Gama Filho (2010), com o trabalho focado na política de segurança como fator principal para a segurança da informação. Especialização no Curso Superior (C-Sup), pela Escola de Guerra Naval (2011), com o trabalho focado em Guerra Cibernética: Ameaças à infraestrutura de Tecnologia da Informação da Marinha do Brasil.
Criminosos coletaram informações sobre uma empresa situada no 4º andar de um prédio comercial no centro de uma grande cidade. Precisam acessar o local fisicamente para conseguir colocar um dispositivo que coletará dados da rede e permitirá que os criminosos tenham acesso remoto. Por conhecerem a rotina sabem que na hora do almoço de sexta-feira frequentemente a empresa recebe entrega de comida para o almoço. Um dos criminosos se disfarça de entregador de delivery e consegue ter acesso ao prédio sem qualquer verificação. Chegando ao andar vê que a porta está aberta sem nenhum tipo de tranca, ele entra, posiciona o dispositivo em local estratégico sem que os funcionários se deem conta, pois estão tentando descobrir quem pediu a comida. Missão cumprida.
É fundamental lutar contra os ataques de engenharia social, mas este não desaparecerá. Michele Fincher, principal agente influente da Social-Engineer, explica: Existem literalmente milhares de variações nos ataques de engenharia social. O único limite para o número de maneiras pelas quais eles podem projetar socialmente os usuários através desse tipo de exploração é a imaginação do criminoso. E você pode experimentar várias formas de explorações em um único ataque. É provável que o criminoso venda suas informações a outras pessoas, para que elas também façam suas façanhas contra você, seus amigos, amigos de seus amigos e assim por diante, pois os criminosos aproveitam a confiança extraviada das pessoas. Hackers que realizam ataques de engenharia social atacam suas presas usando psicologia humana e curiosidade para comprometer suas informações. Para entender essa meta centrada no ser humano, cabe principalmente aos usuários estarem preparados para esses atos maliciosos. O Pretexting (pretexto) é outra forma de engenharia social.
Já prestou serviços e ministrou cursos e palestras sobre segurança da informação para grandes empresas nacionais, internacionais, órgãos públicos e militares, assim como em diversos eventos, entre eles: GTS Grupo de Trabalho em Segurança de Redes do , CNASI Congresso de Segurança da Informação, Auditoria e Governança TIC, FISL Fórum Internacional de Software Livre, OWASP Day, Bhack Conference, SegInfo Workshop de Segurança da Informação, Bsides SP, entre outros. Na Academia Clavis é instrutor dos seguintes cursos: Certified Ethical Hacker (CEH), Teste de Invasão em Redes e Sistemas, Auditoria de Segurança em Aplicações Web, Análise Forense Computacional, Teste de Invasão em Redes e Sistemas EAD, Auditoria de Segurança em Aplicações Web EAD e Análise Forense Computacional EAD. Possui as certificações CEH v8 (Certified Ethical Hacker), ECSA v4 (EC-Council Certified Security Analyst), CHFI v8 (Computer Hacking Forensic Investigator), CompTia Security+, SANS SSP-CNSA (Stay Sharp Program Computer and Network Security Awareness) e ENSA v4.
Embora o phishing tenha como alvo tradicional o setor financeiro, pois é fácil comercializar e vender dados de identificação financeira, os hackers estão agora expandindo seus negócios para plataformas móveis e de jogos, bem como para programas de companhias aéreas. Toda empresa pode ser e será um alvo em potencial. Existem diversas maneiras que os hackers utilizam para fazer seus ataques. Temos um artigo aqui no blog que fala sobre os principais termos de segurança que são bastante utilizados, onde contém vários tipos de ataques. Alguns ataques comuns de engenharia social incluem alguns deles. Os ataques de Pretexting (pretexto) são comumente usados para obter informações confidenciais e não confidenciais. Por exemplo, em outubro do ano passado, um grupo de bandidos fingiu ser uma agência de modelos e serviços de acompanhantes. Eles inventaram uma história falsa e entrevistaram perguntas para mulheres, incluindo adolescentes, para enviar grandes quantidades de fotos nuas para comercializá-las no setor de pornografia.
Trata-se do livro Sandworm: A New Era of Cyberwar and the Hunt for the Kremlins Most Dangerous Hackers, o qual já está sendo traduzido para o português e fala sobre os ataques históricos de diversos ransomware ao decorrer dos anos. Os criminosos costumam utilizar essa técnica simples para ver os dados digitados num caixa eletrônico de banco antes de se apropriar do cartão de suas vítimas, por exemplo. Em ambientes corporativos é mais presente quando os criminosos observam suas vítimas digitando a senha de rede ou uma chave usada para abertura de um arquivo criptografado. Pergunte a qualquer profissional de segurança da informação e eles dirão que o elo mais fraco da cadeia de segurança é o ser humano que aceita uma pessoa ou cenário pelo valor de face. Não importa quantas fechaduras e trancas estão em suas portas e janelas, ou se há cães de guarda, sistemas de alarme, holofotes, cercas com arame farpado e pessoal de segurança armado; se você confia na pessoa no portão que diz que é o entregador de pizza e você a deixa entrar sem primeiro verificar se é legítima, você está completamente exposto a qualquer risco que ela represente.
Atua na área de Tecnologia da Informação desde 1988 e especificamente na área de segurança desde 1997. Atualmente está exercendo a função de Adjunto do Estado Maior Conjunto do Comando de Defesa Cibernética do Brasil. Esses esquemas de engenharia social sabem que se você divulgarem algo que as pessoas querem, muitas pessoas mordem a isca. Esses esquemas são frequentemente encontrados em sites ponto a ponto, oferecendo o download de algo como um novo filme ou música recente de sucesso. Mas os esquemas também são encontrados em sites de redes sociais, sites maliciosos que você encontra nos resultados de pesquisa e assim por diante. Qualquer um (até mesmo os profissionais) pode ser vítima de um ataque de engenharia social. É quase impossível detectar se você tiver sido vítima de um ataque de engenharia social, disse Cohen, chefe de Gestão do Conhecimento e de negócios do grupo Desenvolvimento RSA FraudAction. Segundo ele, a engenharia social criminosa é um dos mais importantes problemas de segurança. Enquanto houver uma interface consciente entre o homem e a máquina, a engenharia social continuará a existir. Um dos fatores por trás da disseminação de ataques de phishing é a capacidade de conectar e colaborar anonimamente com fraudadores de todo o mundo em sites da Deep Web.
- #Segurança da informação
- #Técnicas
- #engenharia social
- #práticas
- #hackers
Baiting (Isca ou iscar) parece de muitas maneiras como phishing. No entanto, a diferença com outras formas de engenharia social é que esse tipo de ataque promete um elemento ou um bem. Os hackers usam isso para atrair suas vítimas. Os isqueiros também oferecem downloads gratuitos de filmes ou músicas para os usuários contra a entrega de seus identificadores em um determinado site. Eles também se concentram em explorar a curiosidade humana através do uso de um meio físico. Estratégias de isca não são, portanto, limitadas a modelos online. A Engenharia Social está presente nos ataques digitais e também fora deles há muito, muito tempo. A utilização dessa técnica para ataques digitais é muito significativa e se bem utilizada aumentam as chances dos atacantes terem sucesso em comprometer suas vítimas. Tudo isso porque essa a Engenharia Social se aproveita de um fator considerado por alguns como o elo mais fraco da corrente de segurança da informação, as pessoas.
Os agressores buscam criar um pretexto apropriado ou construir um cenário que possam usar para tentar roubar informações pessoais de suas vítimas. Esses tipos de ataques são geralmente orquestrados por um scammer que afirma precisar de informações de destino para confirmação de identidade. Embora seja mais comum o ataque que se aproveita da fragilidade humana através da Engenharia Social, Rafael comenta que há casos onde somente com uma vulnerabilidade técnica exposta já pode ser possível obter êxito no ataque de ransomware, o que afetaria inclusive os sistemas industriais. No Brasil, o bacharelado é conferido na maioria dos cursos de graduação, como Engenharia, Matemática, Letras, Direito, Sociologia, Economia, Administração, Contabilidade, Comunicação social, Farmácia, Medicina, Odontologia, Fisioterapia, Enfermagem etc. Falamos das três principais ramificações da Engenharia Social, mas não podemos deixar de mencionar o Shoulder Surfing (mesmo não sendo uma das vertentes principais).
Como se proteger de ataques que quase não usam recursos tecnológicos? Bem, na verdade a resposta é bem simples, desconfiando. Daremos algumas dicas de postura que auxiliarão a evitar que os criminosos tenham sucesso nesses tipos de ataque.Source: https://www.isep.ipp.pt