Compreender a engenharia social - proteção contra hackers humanos
Uma notícia recente me fez perceber como as emoções e os pensamentos humanos podem ser (ou são) usados em benefício dos outros. Quase todos vocês conhecem Edward Snowden , o denunciante da NSA bisbilhotando o mundo. A Reuters informou que ele conseguiu que cerca de 20 a 25 pessoas da NSA entregassem suas senhas a ele para recuperar alguns dados que ele vazou mais tarde [1]. Imagine como sua rede corporativa pode ser frágil, mesmo com o melhor e mais forte software de segurança!
O que é Engenharia Social
Fraqueza humana(Human) , curiosidade, emoções e outras características têm sido frequentemente usadas na extração ilegal de dados – seja em qualquer setor. A indústria de TI(IT Industry) , no entanto, deu-lhe o nome de engenharia social. Eu defino engenharia social como:
“The method whereby an external person gains control over one or more employees of any organization by any means with intention to obtain the organization’s data illegally”
Aqui está outra linha da mesma notícia [1] que quero citar – “ As agências de segurança estão tendo dificuldades com a ideia de que o cara no cubículo ao lado pode não ser confiável(Security agencies are having a hard time with the idea that the guy in the next cubicle may not be reliable) ”. Modifiquei um pouco a declaração para ajustá-la ao contexto aqui. Você pode ler a notícia completa usando o link na seção Referências(References) .
Em outras palavras, você não tem controle total sobre a segurança de suas organizações com a engenharia social evoluindo muito mais rápido do que as técnicas para lidar com isso. A engenharia social(Social) pode ser qualquer coisa como ligar para alguém dizendo que você é o suporte técnico e pedir suas credenciais de login. Você deve ter recebido e-mails de phishing sobre loterias, pessoas ricas no Oriente Médio(Mid East) e na África(Africa) querendo parceiros de negócios e ofertas de emprego para pedir seus detalhes.
Ao contrário dos ataques de phishing, a engenharia social é muito de interação direta de pessoa para pessoa. O primeiro (phishing) emprega uma isca – ou seja, as pessoas “pescando” estão lhe oferecendo algo esperando que você caia nessa. A engenharia social(Social) é mais sobre ganhar a confiança dos funcionários internos para que eles divulguem os detalhes da empresa que você precisa.
Leia: (Read:) Métodos populares de Engenharia Social .
Técnicas Conhecidas de Engenharia Social
Existem muitos, e todos eles usam tendências humanas básicas para entrar no banco de dados de qualquer organização. A técnica de engenharia social mais usada (provavelmente desatualizada) é ligar e conhecer pessoas e fazê-las acreditar que são do suporte técnico que precisam checar seu computador. Eles também podem criar cartões de identificação falsos para estabelecer confiança. Em alguns casos, os culpados se apresentam como funcionários do Estado.
Outra técnica famosa é empregar sua pessoa como funcionário na organização-alvo. Agora, já que este golpista é seu colega, você pode confiar nele os detalhes da empresa. O funcionário externo pode te ajudar em alguma coisa, então você se sente obrigado, e é aí que ele consegue dar o máximo.
Também li alguns relatos sobre pessoas que usam presentes eletrônicos. Um pendrive(USB) sofisticado entregue a você no endereço da sua empresa ou um pen drive no seu carro pode ser um desastre. Em um caso, alguém deixou algumas unidades USB deliberadamente no estacionamento como isca [2].
Se a rede da sua empresa tiver boas medidas de segurança em cada nó, você será abençoado. Caso contrário, esses nós fornecem uma passagem fácil para malware – naquele presente ou pen drives “esquecidos” – para os sistemas centrais.
Como tal, não podemos fornecer uma lista abrangente de métodos de engenharia social. É uma ciência no núcleo, combinada com a arte no topo. E você sabe que nenhum deles tem limites. Os caras da engenharia social(Social) continuam sendo criativos enquanto desenvolvem software que também pode usar indevidamente dispositivos sem fio, obtendo acesso ao Wi-Fi da(Wi-Fi) empresa .
Leia: (Read:) O que é malware de engenharia social .
Prevenir Engenharia Social
Pessoalmente, não acho que exista algum teorema que os administradores possam usar para evitar hacks de engenharia social. As técnicas de engenharia social continuam mudando e, portanto, torna-se difícil para os administradores de TI acompanhar o que está acontecendo.
É claro que é necessário ficar de olho nas notícias de engenharia social para que se esteja informado o suficiente para tomar as medidas de segurança apropriadas. Por exemplo, no caso de dispositivos USB , os administradores podem bloquear drives USB em nós individuais, permitindo-os apenas no servidor que possui um sistema de segurança melhor. Da mesma forma(Likewise) , o Wi-Fi(Wi-Fi) precisaria de uma criptografia melhor do que a maioria dos ISPs locais fornecem.
Treinar funcionários e realizar testes aleatórios em diferentes grupos de funcionários pode ajudar a identificar pontos fracos na organização. Seria fácil treinar e advertir os indivíduos mais fracos. Prontidão(Alertness) é a melhor defesa. A ênfase deve ser que as informações de login não devem ser compartilhadas nem mesmo com os líderes da equipe – independentemente da pressão. Se um líder de equipe precisar acessar o login de um membro, ele poderá usar uma senha mestra. Essa é apenas uma sugestão para se manter seguro e evitar hacks de engenharia social.
A conclusão é que, além do malware e dos hackers online, o pessoal de TI também precisa cuidar da engenharia social. Ao identificar métodos de violação de dados (como anotar senhas etc.), os administradores também devem garantir que sua equipe seja inteligente o suficiente para identificar uma técnica de engenharia social para evitá-la completamente. Quais você acha que são os melhores métodos para evitar a engenharia social? Se você se deparou com algum caso interessante, compartilhe conosco.
Baixe este e-book sobre Ataques de Engenharia Social lançado pela Microsoft e saiba como você pode detectar e prevenir tais ataques em sua organização.(Download this ebook on Social Engineering Attacks released by Microsoft and learn how you can detect and prevent such attacks in your organization.)
Referências(References)
[1] Reuters , Snowden persuadiu funcionários da NSA a obter suas (NSA Employees Into)informações(Info) de login
[2] Boing Net , Pen Drives Usados para Espalhar Malware(Spread Malware) .
Related posts
Internet and Social Networking Sites addiction
Fake News Websites: Um problema crescente e o que significa no mundo de hoje
Como configurar, gravar, editar, publicar Instagram Reels
Como habilitar a autenticação de dois fatores para Reddit account
Conecte-se com o Windows Club
O que acontece com o seu Online Accounts quando você morrer: Digital Assets Management
UniShare permite que você compartilhe em Facebook, Twitter e LinkedIn de uma só vez
Como pesquisar Reddit da maneira mais eficiente
Perigos e Consequências da oversharing Em Social Media
Remova o acesso de terceiros a partir de Instagram, LinkedIn, Dropbox
Como baixar Instagram histórias para PC ou celular
Block Instagram anúncios e conteúdo patrocinado usando Filtergram
Como criar um Group em Telegram e use Voice Chat feature
5 melhores alternativas Facebook você quiser conferir
Blockchain baseado Decentralized Social Networks onde você possui os seus dados
Revoke Acesso de terceiros a partir de Facebook, Google, Microsoft, Twitter
10 Reddit Tips and Tricks para ajudá-lo a se tornar um master Redditor
Como se tornar um LinkedIn influencer
Como adicionar Music, Effects, Enhancements a Instagram Reels
Como você pesquisa Mensagens no Instagram?