Uma notícia recente me fez perceber como as emoções e os pensamentos humanos podem ser (ou são) usados ​​em benefício dos outros. Quase todos vocês conhecem Edward Snowden , o denunciante da NSA bisbilhotando o mundo. A Reuters informou que ele conseguiu que cerca de 20 a 25 pessoas da NSA entregassem suas senhas a ele para recuperar alguns dados que ele vazou mais tarde [1]. Imagine como sua rede corporativa pode ser frágil, mesmo com o melhor e mais forte software de segurança!

O que é Engenharia Social

Fraqueza humana^(Human) , curiosidade, emoções e outras características têm sido frequentemente usadas na extração ilegal de dados – seja em qualquer setor. A indústria de TI^{(IT Industry)} , no entanto, deu-lhe o nome de engenharia social. Eu defino engenharia social como:

“The method whereby an external person gains control over one or more employees of any organization by any means with intention to obtain the organization’s data illegally”

Aqui está outra linha da mesma notícia [1] que quero citar – “ As agências de segurança estão tendo dificuldades com a ideia de que o cara no cubículo ao lado pode não ser confiável^{(Security agencies are having a hard time with the idea that the guy in the next cubicle may not be reliable)} ”. Modifiquei um pouco a declaração para ajustá-la ao contexto aqui. Você pode ler a notícia completa usando o link na seção Referências^(References) .

Em outras palavras, você não tem controle total sobre a segurança de suas organizações com a engenharia social evoluindo muito mais rápido do que as técnicas para lidar com isso. A engenharia social^(Social) pode ser qualquer coisa como ligar para alguém dizendo que você é o suporte técnico e pedir suas credenciais de login. Você deve ter recebido e-mails de phishing sobre loterias, pessoas ricas no Oriente Médio^{(Mid East)} e na África^(Africa) querendo parceiros de negócios e ofertas de emprego para pedir seus detalhes.

Ao contrário dos ataques de phishing, a engenharia social é muito de interação direta de pessoa para pessoa. O primeiro (phishing) emprega uma isca – ou seja, as pessoas “pescando” estão lhe oferecendo algo esperando que você caia nessa. A engenharia social^(Social) é mais sobre ganhar a confiança dos funcionários internos para que eles divulguem os detalhes da empresa que você precisa.

Leia: ^(Read:) Métodos populares de Engenharia Social .

Técnicas Conhecidas de Engenharia Social

Existem muitos, e todos eles usam tendências humanas básicas para entrar no banco de dados de qualquer organização. A técnica de engenharia social mais usada (provavelmente desatualizada) é ligar e conhecer pessoas e fazê-las acreditar que são do suporte técnico que precisam checar seu computador. Eles também podem criar cartões de identificação falsos para estabelecer confiança. Em alguns casos, os culpados se apresentam como funcionários do Estado.

Outra técnica famosa é empregar sua pessoa como funcionário na organização-alvo. Agora, já que este golpista é seu colega, você pode confiar nele os detalhes da empresa. O funcionário externo pode te ajudar em alguma coisa, então você se sente obrigado, e é aí que ele consegue dar o máximo.

Também li alguns relatos sobre pessoas que usam presentes eletrônicos. Um pendrive^(USB) sofisticado entregue a você no endereço da sua empresa ou um pen drive no seu carro pode ser um desastre. Em um caso, alguém deixou algumas unidades USB deliberadamente no estacionamento como isca [2].

Se a rede da sua empresa tiver boas medidas de segurança em cada nó, você será abençoado. Caso contrário, esses nós fornecem uma passagem fácil para malware – naquele presente ou pen drives “esquecidos” – para os sistemas centrais.

Como tal, não podemos fornecer uma lista abrangente de métodos de engenharia social. É uma ciência no núcleo, combinada com a arte no topo. E você sabe que nenhum deles tem limites. Os caras da engenharia social^(Social) continuam sendo criativos enquanto desenvolvem software que também pode usar indevidamente dispositivos sem fio, obtendo acesso ao Wi-Fi da^(Wi-Fi) empresa .

Leia: ^(Read:) O que é malware de engenharia social .

Prevenir Engenharia Social

Pessoalmente, não acho que exista algum teorema que os administradores possam usar para evitar hacks de engenharia social. As técnicas de engenharia social continuam mudando e, portanto, torna-se difícil para os administradores de TI acompanhar o que está acontecendo.

É claro que é necessário ficar de olho nas notícias de engenharia social para que se esteja informado o suficiente para tomar as medidas de segurança apropriadas. Por exemplo, no caso de dispositivos USB , os administradores podem bloquear drives USB em nós individuais, permitindo-os apenas no servidor que possui um sistema de segurança melhor. Da mesma forma^(Likewise) , o Wi-Fi^(Wi-Fi) precisaria de uma criptografia melhor do que a maioria dos ISPs locais fornecem.

Treinar funcionários e realizar testes aleatórios em diferentes grupos de funcionários pode ajudar a identificar pontos fracos na organização. Seria fácil treinar e advertir os indivíduos mais fracos. Prontidão^(Alertness) é a melhor defesa. A ênfase deve ser que as informações de login não devem ser compartilhadas nem mesmo com os líderes da equipe – independentemente da pressão. Se um líder de equipe precisar acessar o login de um membro, ele poderá usar uma senha mestra. Essa é apenas uma sugestão para se manter seguro e evitar hacks de engenharia social.

A conclusão é que, além do malware e dos hackers online, o pessoal de TI também precisa cuidar da engenharia social. Ao identificar métodos de violação de dados (como anotar senhas etc.), os administradores também devem garantir que sua equipe seja inteligente o suficiente para identificar uma técnica de engenharia social para evitá-la completamente. Quais você acha que são os melhores métodos para evitar a engenharia social? Se você se deparou com algum caso interessante, compartilhe conosco.

Baixe este e-book sobre Ataques de Engenharia Social lançado pela Microsoft e saiba como você pode detectar e prevenir tais ataques em sua organização.^{(Download this ebook on Social Engineering Attacks released by Microsoft and learn how you can detect and prevent such attacks in your organization.)}

Referências^(References)

[1] Reuters , Snowden persuadiu funcionários da NSA a obter suas ^{(NSA Employees Into)}informações^(Info) de login

[2] Boing Net , Pen Drives Usados ​​para Espalhar Malware^{(Spread Malware)} .

Understand Social Engineering - Protection against Human Hacking

A piece of recent newѕ made me reаlize how human emotions and thoughts can be (or, are) used for others’ benefit. Almost everу one of yоu knows Edward Snowden, the whistleblower of NSA snooping the world over. Reuters reported that he got around 20-25 NSA рeople to hand over their passwords to him fоr recoverіng sоme data he lеaked later [1]. Imagine how fragile уour corporate network can be, even with the strongest and best of secυrity software!

What is Social Engineering

Human weakness, curiosity, emotions, and other characteristics have often been used in extracting data illegally – be it any industry. The IT Industry has, however, given it the name of social engineering. I define social engineering as:

“The method whereby an external person gains control over one or more employees of any organization by any means with intention to obtain the organization’s data illegally”

Here is another line from the same news story [1] that I want to quote – “Security agencies are having a hard time with the idea that the guy in the next cubicle may not be reliable“. I modified the statement a bit to fit it into the context here. You can read the full news piece using the link in the References section.

In other words, you do not have complete control over the security of your organizations with social engineering evolving much faster than techniques to cope with it. Social engineering can be anything like calling up someone saying you are tech support and ask them for their login credentials. You must have been receiving phishing emails about lotteries, rich people in Mid East and Africa wanting business partners, and job offers to ask you your details.

Unlike phishing attacks, social engineering is much of direct person-to-person interaction. The former (phishing) employs a bait – that is, the people “fishing” is offering you something hoping that you will fall for it. Social engineering is more about winning the confidence of internal employees so that they divulge the company details you need.

Read: Popular methods of Social Engineering.

Known Social Engineering Techniques

There are many, and all of them use basic human tendencies for getting into the database of any organization. The most used (probably outdated) social engineering technique is to call and meet people and making them believe they are from technical support who need to check your computer. They can also create fake ID cards to establish confidence. In some cases, the culprits pose as state officials.

Another famous technique is to employ your person as an employee in the target organization. Now, since this con is your colleague, you might trust him with company details. The external employee might help you with something, so you feel obliged, and that is when they can make out the maximum.

I also read some reports about people using electronic gifts. A fancy USB stick delivered to you at your company address or a pen drive lying in your car can prove disasters. In a case, someone left some USB drives deliberately in the parking lot as baits [2].

If your company network has good security measures at each node, you are blessed. Otherwise, these nodes provide an easy passage for malware – in that gift or “forgotten” pen drives – to the central systems.

As such we cannot provide a comprehensive list of social engineering methods. It is a science at the core, combined with art on the top. And you know that neither of them has any boundaries. Social engineering guys keep on getting creative while developing software that can also misuse wireless devices gaining access to company Wi-Fi.

Read: What is Socially Engineered Malware.

Prevent Social Engineering

Personally, I do not think there is any theorem that admins can use to prevent social engineering hacks. The social engineering techniques keep on changing, and hence it becomes difficult for IT admins to keep track on what is happens.

Of course, there is a need to keep a tab on social engineering news so that one is informed enough to take appropriate security measures. For example, in the case of USB devices, admins can block USB drives on individual nodes allowing them only on the server that has a better security system. Likewise, Wi-Fi would need better encryption than most of the local ISPs provide.

Training employees and conducting random tests on different employee groups can help identify weak points in the organization. It would be easy to train and caution the weaker individuals. Alertness is the best defense. The stress should be that login information should not be shared even with the team leaders – irrespective of the pressure. If a team leader needs to access a member’s login, s/he can use a master password. That is just one suggestion to stay safe and avoid social engineering hacks.

The bottom line is, apart from the malware and online hackers, the IT people need to take care of social engineering too. While identifying methods of a data breach (like writing down passwords etc.), the admins should also ensure their staff is smart enough to identify a social engineering technique to avoid it altogether. What do you think are the best methods to prevent social engineering? If you have come across any interesting case, please share with us.

Download this ebook on Social Engineering Attacks released by Microsoft and learn how you can detect and prevent such attacks in your organization.

References

[1] Reuters, Snowden Persuaded NSA Employees Into Obtaining Their Login Info

[2] Boing Net, Pen Drives Used to Spread Malware.

Related posts

• Internet and Social Networking Sites addiction

• Fake News Websites: Um problema crescente e o que significa no mundo de hoje

• Como configurar, gravar, editar, publicar Instagram Reels

• Como habilitar a autenticação de dois fatores para Reddit account

• Conecte-se com o Windows Club

• O que acontece com o seu Online Accounts quando você morrer: Digital Assets Management

• UniShare permite que você compartilhe em Facebook, Twitter e LinkedIn de uma só vez

• Como pesquisar Reddit da maneira mais eficiente

• Perigos e Consequências da oversharing Em Social Media

• Remova o acesso de terceiros a partir de Instagram, LinkedIn, Dropbox

• Como baixar Instagram histórias para PC ou celular

• Block Instagram anúncios e conteúdo patrocinado usando Filtergram

• Como criar um Group em Telegram e use Voice Chat feature

• 5 melhores alternativas Facebook você quiser conferir

• Blockchain baseado Decentralized Social Networks onde você possui os seus dados

• Revoke Acesso de terceiros a partir de Facebook, Google, Microsoft, Twitter

• 10 Reddit Tips and Tricks para ajudá-lo a se tornar um master Redditor

• Como se tornar um LinkedIn influencer

• Como adicionar Music, Effects, Enhancements a Instagram Reels

• Como você pesquisa Mensagens no Instagram?