Brasil aprova legislação mais rígida para combater o cibercrime
Cibercriminosos podem pegar até 8 anos de prisão, de acordo com a legislação atualizada
O governo brasileiro aprovou uma nova legislação introduzindo medidas mais duras contra fraudes e crimes perpetrados em ambientes digitais.
De acordo com a atualização da Lei nº 14.155, sancionada no dia 27 de maio de 2021, o Código Penal Brasileiro foi alterado para incluir penas mais severas em relação a invasão de dispositivos, furtos e má conduta em ambientes de mídia digital, bem como crimes cometidos com informações prestadas por indivíduo que foi induzido erroneamente por meio de e-mails fraudulentos, redes sociais ou contatos via telefone.
Conforme consta na lei, a sanção de 27 de maio “altera o Decreto-Lei nº 2.848, de 7 de dezembro de 1940 (Código Penal), para tornar mais graves os crimes de violação de dispositivo informático, furto e estelionato cometidos de forma eletrônica ou pela internet”.
Os crimes que fazem parte do escopo da nova legislação incluem a clonagem de aplicativos de mensagens como WhatsApp e Telegram – por meio dos quais criminosos podem, por exemplo, solicitar dinheiro aos contatos da vítima – e phishing – que fornecem links falsos e anexos maliciosos, bem como são a porta de entrada, muitas vazes, para ataques ainda mais graves.
O Brasil é líder mundial em ataques de phishing, com um em cada cinco usuários de Internet no país tendo sido alvo desse tipo de ataque pelo menos uma vez em 2020.
A lei atualizada estabelece sentenças e multas, com aumento da duração da pena de prisão caso a vítima sofra danos econômicos por crimes relativos à invasão de dispositivos eletrônicos, como smartphones e computadores, com o objetivo de obter, adulterar ou destruir informações sem o consentimento de usuários, ou com o objetivo de instalar software para obter uma vantagem ilícita.
“Invadir dispositivo informático de uso alheio, conectado ou não à rede de computadores, com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do usuário do dispositivo ou de instalar vulnerabilidades para obter vantagem ilícita, [implica em] […] pena de reclusão, de 4 (quatro) a 8 (oito) anos, e multa, se o furto mediante fraude é cometido por meio de dispositivo eletrônico ou informático, conectado ou não à rede de computadores, com ou sem a violação de mecanismo de segurança ou a utilização de programa malicioso, ou por qualquer outro meio fraudulento análogo.”
Além disso, a lei atualizada também se refere ao furto por fraude por meio de dispositivos eletrônicos, com ou sem violação dos mecanismos de segurança em vigor, pelo uso de software malicioso, ou por qualquer outro meio fraudulento.
O que muda na lei
De acordo com a legislação recentemente sancionada, as sentenças para cibercriminosos podem chegar a até 8 anos, contra os 4 anteriores, além das multas, com as punições aumentando se os crimes forem cometidos por meio de infraestrutura de servidores com sede fora do Brasil, ou se a vítima for idosa ou vulnerável.
A introdução de penas mais duras para os cibercriminosos no Brasil segue outra legislação aprovada em março, que criminaliza a perseguição online e em ambientes físicos. A pena para essas práticas, que pode ser ampliada por meio das redes sociais, é a pena de prisão que pode variar de 6 meses a 2 anos, além de multa.
Essas sanções também complementam um movimento mais assertivo do país rumo à conscientização sobre cibersegurança. O Brasil aloca apenas 10% de seu orçamento de TI para proteção de suas redes corporativas, e menos de 1/3 das organizações investe em equipes de segurança.
Ainda há passos largos a serem dados, mas, aos poucos, vamos caminhando.
Quer manter sua empresa protegida? Conheça as soluções da Compugraf, nós podemos te ajudar!
- Published in Noticias
Com cerca de 200 milhões de usuários, plataforma Zoom é alvo de novos ciberataques
Cibercriminosos utilizam e-mails de phishing para tentar roubar credenciais. Saiba como se prevenir!
No final do ano passado, a plataforma de videoconferência Zoom hospedava 10 milhões de usuários. Esse número subiu para cerca de 200 milhões hoje, com a pandemia do COVID-19 e o home office resultante da necessidade de isolamento social.
E, naturalmente, os cibercriminosos seguem o dinheiro. Logo, não é surpresa que agora eles estejam de olho nos milhões de usuários do Zoom para tentar ludibriá-los a divulgar suas credenciais de login ou baixar malware.
O instrumento para um ataque complexo é muito simples: o e-mail dos usuários. De acordo com os pesquisadores de segurança cibernética da Proofpoint, empresa de segurança corporativa, existe uma nova onda de e-mails de phishing com a intenção de roubar credenciais do Zoom e espalhar malware.
Em quais e-mail você precisa ficar de olho?
Os ataques são majoritariamente direcionados a indivíduos e empresas nos setores de transporte, governo, telecomunicações e manufatura, avisa a Proofpoint.
Existem três e-mails a serem observados. O primeiro tem o assunto “Sua conta do Zoom” e inclui uma mensagem de boas-vindas a novos usuários. No entanto, os invasores incentivam a clicar em um link e ativar sua conta Zoom inserindo seus detalhes de login – que o criminoso roubará.
O segundo e-mail, com a linha de assunto “Reunião perdida no Zoom”, informa que você acabou de perder uma reunião no Zoom. Os invasores pedem que você clique em um link para “verificar sua conferência perdida” e, em seguida, solicitam que você insira novamente os dados que eles podem roubar.
Outra iniciativa, menos comum, tem como alvo empresas dos setores de energia, manufatura industrial, marketing e publicidade, tecnologia, TI e construção. Nesse caso, os cibercriminosos utilizam o malware como arma principal.
Com as linhas de assunto do email, incluindo “Reunião cancelada – podemos fazer uma chamada no Zoom?”, os invasores esperam que os usuários os ajudem a obter acesso a seus arquivos e informações, incluindo nomes de usuário, senhas e dados de cartão de crédito.
Quais são os riscos e o que fazer?
O Zoom já está sendo criticado pelos usuários por violações à privacidade e por alegações de que a plataforma é criptografada de ponta a ponta, mas está implementando medidas para tentar melhorar.
Porém, essa ameaça mais recente não é culpa do Zoom; simplesmente acontece porque mais usuários significa “mais pessoas vulneráveis a um ataque”.
A videoconferência se tornou muito popular muito rapidamente, então os invasores vão tentar capitalizar essa popularidade e força da marca, comentam especialistas.
E quais são os riscos? Credenciais de conta roubadas podem ser usadas para fazer login em contas de videoconferências corporativa, vendidas no mercado negro ou usadas para obter mais informações sobre possíveis alvos, promovendo ataques adicionais e mais graves.
Como se prevenir e deixar suas videochamadas mais seguras?
Os e-mails de phishing vão continuar mirando em serviços ou aplicativos bem-sucedido, e a maneira mais eficaz de evitar se tornar uma vítima é estar ciente desses riscos e prestar excepcional atenção a e-mails que parecerem estranhos.
Procure erros de ortografia e nomes de remetentes estranhos e evite inserir suas credenciais em um site por e-mail. Em vez disso, faça login diretamente no aplicativo e veja se é necessário executar alguma ação.
Confira abaixo outras dicas que podem tornar suas videoconferências mais seguras, independentemente da plataforma:
Tranque a porta
Muitas videoconferências começam com um “invite” – um link de convite para participação. Proteja o seu com o máximo de cuidado. Não o coloque em postagens públicas nas redes sociais, e-mails de grupos muito grandes, perfis online ou em qualquer outro lugar em que o link possa ser descoberto e roubado.
A maioria dos aplicativos de videochamadas também oferece a possibilidade de proteger suas chamadas com uma senha; aproveite essa vantagem sempre que puder e tenha cuidado com a distribuição de informações de login para convidados. Assegure-se de que não é uma senha fácil de adivinhar (como o nome da empresa, por exemplo).
Cuidado com o que você está compartilhando
Você sempre deve ter cuidado com o que compartilha online, e isso inclui o que você diz e faz nas vídeo chamadas. Mantenha suas informações pessoais em sigilo o máximo possível!
Se você não quiser que os participantes dêem uma olhada na sua estante de livros, nas fotos dos seus filhos ou em qualquer planta pendurada perto da janela, vá para algum lugar neutro da sua casa, ou procure uma opção de privacidade no aplicativo que você está usando. O Zoom, por exemplo, possui fundos virtuais em suas configurações de vídeo, enquanto o Skype possui uma chave seletora que desfocará tudo o que estiver atrás de você.
Mantenha seu software atualizado
Essa é outra precaução que você deve ter de maneira geral, não apenas com os aplicativos de chamadas de vídeo. Mantenha seus apps atualizados, bem como os dispositivos em que estão sendo executados, se desejar ter a melhor proteção contra possíveis falhas de segurança.
Vulnerabilidades de segurança e violações de privacidade geralmente acontecem em versões mais antigas e desatualizadas de aplicativos.
Se você tiver tempo, fique atento às notícias sobre atualizações de aplicativos, como as melhorias de segurança lançadas recentemente pelo Zoom, que ocultam os IDs das reuniões e ativam as senhas como padrão. Ao fazer isso, você terá uma ideia mais clara dos vários recursos de privacidade e segurança a seu dispor.
Personalize sua privacidade
Finalmente, sempre vale a pena buscar nas configurações quais alternativas atendem às suas necessidades. Em algumas plataformas, você pode controlar se os demais usuários podem encontrá-lo por número de telefone ou endereço de e-mail, inibindo o acesso de desconhecidos.
Além disso, nas redes da Compugraf estamos compartilhando conteúdos riquíssimos para maior segurança em tempos de trabalho remoto. Não deixe de dar uma olhada e de enviar para o seu time!
- Published in Segurança da Informação
Como funciona um ataque de Engenharia Social
Entendendo a lógica por trás de como funciona um ataque de engenharia social.
A Engenharia Social na Segurança da Informação é resultado de uma interação social entre o criminoso e vítimas.
Mais antiga do que a própria existência de computadores, como esses ataques ganham cada vez mais poder ao longo do tempo?
Será que o excesso de informação e o costume com comunicações cada vez mais mecânicas, como resultado dos chatbots e outros métodos de comunicação robotizada, nos torna menos críticos em comunicações digitais?
Talvez essas sejam algumas das perguntas que devemos responder na hora de buscar maior conscientização diante de perigos recorrentes.
Neste artigo vamos entender:
- Como funciona um ataque de Engenharia Social
- Os Sentimentos Explorados pela Engenharia Social
- Principais Ataques Realizados com Engenharia Social
- 10 empresas que sofreram ataques de Engenharia Social na última década
Podemos começar?
Como funciona um Ataque de Engenharia Social na Segurança da Informação
Os ataque de Engenharia Social funcionam no sistema de tentativa e erro, mas diferente de outras ofensivas, ele retorna cada vez mais forte.
Isso porque o ciclo de atuação da Engenharia Social é baseado no seguinte ciclo:
Coleta de informações, planejamento de ataques, aquisição das ferramentas necessárias, ataque, uso das informações coletadas (para tornar-se próximo do verídico)
Em outras palavras, novas tentativas de ataques serão sempre mais convincentes por serem mais “inteligentes” com os dados coletados na tentativa anterior.
O que é Persuasão?
A Engenharia Social na Segurança da Informação tem como finalidade o ato de persuadir. Mas afinal, o que é a persuasão?
O ato de persuadir ocorre quando alguém consegue, através da argumentação, convencer alguém a fazer alguma coisa.
A habilidade recorre a meios emocionais e lógicos para envolver o/os alvos e seu sucesso é baseado na realização, por vontade própria, da ação desejada.
Diferente do senso comum, persuadir e manipular são coisas distintas.
Pois a persuasão ocorre somente quando tentamos entender o que é necessário para convencer alguém a fazer alguma coisa.
Existe também o conceito de manipulação psicológica, que pode ser confundido com o ato de persuadir.
Mas assim como no caso da manipulação, trata-se de um processo diferente em que a influência social é maior e tem como objetivo a mudança de comportamentos.
É muito semelhante ao conceito de Engenharia Social na psicologia, utilizando-se de percepções com táticas indiretas, que na maioria dos vezes pode envolver informações convenientes, enganosas ou dissimuladas.
Outra habilidade semelhante mas que pode ser diferenciada do ato de persuadir, é o convencimento.
É possível convencer pessoas em relação a uma ideia, mas somente a persuasão resulta em uma ação voluntária, de modo que a pessoa acredite que aquilo parte de sua própria vontade.
Também conhecida como “Teoria da Persuasão” ou “ Teoria Empírico-experimental”, os primeiros registros da persuasão como estudo vêm dos anos 40.
E desde os primórdios tratou da busca em estudar a relação entre estímulo e resposta.
Hoje é um tema amplamente estudado em cursos como administração (para negociação) e comunicação.
A persuasão na engenharia social é a grande protagonista, o sucesso da maioria dos ataques é relacionado a habilidade do criminoso em persuadir.
Sentimentos explorados pela Engenharia Social na Segurança da Informação
A Engenharia Social explora emocionalmente suas vítimas, testado diversas iscas até ativar o gatilho que vulnerabiliza o alvo.
Ela também pode se aproveitar de temas atuais, promoções boas demais para serem verdade ou falsos anúncios de premiações.
Por alguns ataques exigirem pouco ou nenhum conhecimento técnico, a engenharia social também pode acontecer sem a necessidade de dispositivos eletrônicos, a abordagem no caso é conhecida como no-tech hacking.
Quando a vítima se dá conta da comunicação suspeita, o criminoso pode já ter colhido as informações necessárias para uma tentativa de ataque.
E o processo, na maioria dos casos, pode envolver um ou mais dos sentimentos a seguir:
Curiosidade
Quase todo ataque de engenharia social inicia a partir da curiosidade do alvo. No caso de phishing, por exemplo, é o benefício imperdível que ele poderá adquirir naquele momento, se seguir as instruções.
Após a surpresa inicial, o usuário certamente vai ter curiosidade para entender melhor do que se trata a mensagem recebida. E para validar sua opinião, ele pode acabar clicando em algum link malicioso ou preenchendo algum formulário.
Preguiça
Por que um funcionário iria digitar as senhas manualmente toda vez que forem acessar alguma coisa?
Ou até mesmo optar voluntariamente pela autenticação de dois fatores se tudo pode ser preenchido automaticamente?
Com atalhos nos tornamos, na maioria das vezes, mais vulneráveis.
É importante que todos sejam conscientizados não apenas sobre as medidas a serem tomadas na rotina dentro da empresa, mas também, a importância de cada uma delas.
Solidariedade
Ajudar um colega de trabalho é uma prática simples e naturalmente aplicada em um ambiente saudável.
Mas não só isso.
Como já dizia um velho ditado “Quando a esmola é demais, o santo desconfia”.
E o engenheiro social utiliza muito bem o recurso ao criar campanhas de doações falsas, descontos imperdíveis que serão revertidos em prol de alguma causa, etc.
É importante despertar nos funcionários o entendimento da importância de se questionar tudo com o que interagem ao longo do dia.
Até mesmo na voluntária ajuda alheia.
Vaidade
O modelo mais recente de um smartphone ou o luxo de realizar alguma atividade são características que envolvem a vaidade da vítima.
Funcionários podem ser seduzidos por uma oferta de empréstimo, compra ou até mesmo um novo emprego.
É pensando na própria fragilidade que todos devem ser conscientizados sobre separar o que precisam do que podem ter em um outro momento. pois a engenharia social utiliza muito bem a vaidade ao seduzir as vítimas a partir do consumo.
Ansiedade
Em uma realidade em que o problema de grandes cidades e muitos ambientes corporativos é a ansiedade, a engenharia social aproveita-se muito do fato.
Tudo deve ser feito rapidamente, as ofertas são irrecusáveis e a sensação de urgência torna-se protagonista a ponto de muitos não atentarem-se ao que chega a eles.
É neste momento que as maiores vítimas são pegas, na pressa do momento, pois não são capazes de criar suspeitas sobre a situação.
Principais ataques realizados com Engenharia Social
Phishing
O Phishing é o ataque da engenharia social mais comum da atualidade, em suas dezenas de versões.
O crime consiste na obtenção de dados de uma pessoa ou organização através de técnicas de comunicação que resultam na persuasão da vítima.
No ambiente corporativo, qualquer usuário pode ser uma porta de entrada para uma brecha de segurança por saber, ter acesso ou simplesmente saber quem sabe de algo importante.
O contato do criminoso pode ocorrer a partir de qualquer meio de comunicação, como telefone, e-mail, ou SMS – na tentativa de fazer com que pessoas caiam em um golpe.
Fácil de ser executado, o phishing também não é um ataque difícil de ser reconhecido quando observado com atenção. Por isso, a chance de sucesso da prática depende de dois fatores: O momento certo e a desatenção do usuário.
Quem é exposto a essa tática pode ser surpreendido com algum contato em um momento em que aquele contato faça sentido, por exemplo.
Pretexting
O Pretexting é uma ação maliciosa que consiste na tentativa de se obter dados pessoais ou sobre uma empresa de maneira voluntária por uma falsa causa.
Este golpe pode vir disfarçado de uma causa ou confirmação de informações e com isso, despertar a generosidade do alvo.
Suas vítimas podem receber um e-mail suspeito, um telefone ou até mesmo mensagem de texto no WhatsApp.
Quid pro quo
O Quid pro quo é uma abordagem de troca inconsciente. Alguém oferece algo em troca de outra coisa.
Uma vítima desta abordagem pode receber ajuda técnica por algo, que embora seja resolvido pelo criminoso, dá a ele o poder de instalar ou induzir a instalação de arquivos maliciosos no dispositivo.
É uma falsa sensação de benefício em troca de dados pessoais ou problemas técnicos maiores no futuo.
Sextorsão
A sextorsão (sexo + extorsão) é um crime virtual em que a vítima é chantageada a realizar uma ação caso não queira que algum conteúdo íntimo seja divulgados.
Quando uma vítima possue algum e-mail ou número de celular exposto e que possam ser encontrado por botnets, é muito provável que receba tentativas de diversos tipos de ataques, incluindo a sextorsão.
É uma prática que se apoia muito na informação que coleta sobre um alvo, por muitas vezes ele não possui, realmente, um arquivo confidencial, mas sua abordagem (mais informada do que a maioria) vai fazer a vítima acreditar que sim.
Dumpster Diving
O dumpster diving é uma das práticas mais comuns e cotidianas que não utilizam dispositivos eletrônicos.
Trata-se do ato de vasculhar o lixo alheio para obter algum bem.
No mundo da tecnologia, vasculhar o lixo não é apenas uma ação de desespero, pois resíduos, peças ou até mesmo dispositivos com falhas podem ser descartados pelas companhias e tornarem-se alvo de algum tipo de vazamento ou boato.
Muitas organizações já possuem políticas de descarte para formalizar a ação e blindar qualquer tipo de vazamento ao tornar os itens inutilizáveis.
Shoulder Surfing
O Shoulder Surfing consiste na prática de observar as ações que uma pessoa está realizando em dispositivos como um celular ou computadores.
Para os engenheiros sociais, a ação pode representar mais do que uma simples curiosidade e tornar-se uma oportunidade para descobrir e memorizar senhas ou informações da vítima ou empresa que trabalha.
Tailgating
O tailgating é uma tática mais complexa que consiste no acesso presencial a lugares restritos por pessoas não autorizadas.
Considerada a mais antiga das abordagens de engenharia social, utiliza-se na maioria das vezes da bondade da vítima, como quando alguém está com as mãos tão ocupadas que uma pessoa gentil decide ajudar ao abrir e segurar a porta.
10 empresas que sofreram ataques de Engenharia Social na última década
2010 – Netflix
A empresa sofreu com ataques quando deram a participantes de um concurso o acesso a informações de mais 480,000 assinantes.
A organização, no entanto, recuperou os dados de alguns candidatos.
2011 – Sony PSN
O marketplace Sony PSN, do console PlayStation, deu acesso a participantes de um concurso mais de 1.6 milhões dados,
incluindo cartões de crédito, endereços, datas de aniversário, senhas e respostas para as perguntas de segurança.
2012 – LinkedIn
Em 2012, o LinkedIn teve uma vazamento de dados de mais de 167 milhões de dados,
sendo a maioria e-mails, senhas e endereços.
2013 – Yahoo
Mais de 3 bilhões de dados da Yahoo foram expostos em 2013,
incluindo e-mails, endereços, datas de nascimento e respostas para as perguntas de segurança dos usuários.
Mas o vazamento só foi descoberto 3 anos depois, no final de 2016.
2014 – Sony Pictures Entertainment
Em 2014 a Sony Pictures Entertainment sofreu um pequeno vazamento de dados que envolveu cerca de 47 mil dados,
o que não diminuiu o impacto nas finanças e reputação da empresa.
Os criminosos tiveram acesso a e-mails particulares, filmes não lançados e o contato de celebridades.
2015 – Ashley Madison
A plataforma de relacionamentos extraconjugais teve mais de 37 milhões de dados vazados,
incluindo o cartão de crédito, endereço e número de telefone dos usuários.
2016 – Comitê Nacional Democrático
O Comitê Nacional Democrático dos Estados Unidos teve muitas informações publicamente expostas,
incluindo a de políticos como Hillary Clinton e o atual presidente do país, Donald Trump.
2017 – Equifax
Mais de 143 milhões de norte-americanos tiveram dados como o número de documentos,
cartão de crédito, nome e endereço após um vazamento da Equifax, uma das maiores empresas de crédito do país.
2018 – Facebook
O Facebook sofreu com ao menos 2 vazamentos de dados ao longo de 2018.
Em setembro, foram mais de 50 milhões, e em outubro, 30 milhões, totalizando ao menos 80 milhões de dados expostos.
2019 – OxyData.Io e People Data Labs
Mais de 1.2 bilhões de usuários tiveram dados como e-mail, contas em redes sociais e telefone expostos em 2019,
tornando-se o maior vazamento partindo da mesma fonte.
No caso, envolvia um banco de dados compartilhado entre duas empresas agregadoras de dados: OxyData.Io e People Data Labs.
Um guia sobre Engenharia Social
Uma Comunicação Estruturada
Como combater a Engenharia Social se a tecnologia nos torna menos críticos em comunicações cotidianas com meios de comunicação cada vez mais automatizados?
A prevenção recorrente é uma ótima ferramenta para manter o alerta sobre a importância de continuarmos nos questionando sobre tudo.
Quer saber o que sua empresa pode fazer hoje para combater ataques de Engenharia Social? Converse com um especialista em Segurança da Informação da Compugraf.
- Published in Segurança da Informação
Linha de Tempo – Os maiores golpes da Engenharia Social dos últimos 10 anos
Conheça algumas das principais empresas que sofreram com os maiores golpes da Engenharia Social ao longo dos últimos 10 anos.
A Engenharia Social é o tipo de ataque que mais tem crescido com o desenvolvimento da internet, ainda que tenha nascido antes dela.
Sua abordagem social é capaz de tornar qualquer pessoa uma vítima com o uso da persuasão.
Sendo assim, existe uma necessidade estratégia de que empresas comecem a pensar não apenas nas camadas de proteção digital, mas também na mentalidade das pessoas que atuam nelas.
Ao longo dos últimos 10 anos, grandes corporações foram surpreendidas com golpes de Engenharia Social, mas como tudo isso aconteceu?
Neste artigo, iremos explorar:
- O que é Engenharia Social
- Quais os Principais Golpes da Engenharia Social
- 10 empresas que sofreram golpes nos últimos 10 anos
- Como proteger funcionários
O que é Engenharia Social
A Engenharia Social que conhecemos hoje é utilizada para definir ataques que se utilizem da fragilidade emocional humana para acontecer.
Mas antes de desenvolver a temática, é importante contextualizar o significado de segurança da informação:
É uma série de práticas que visa a proteção de todos os tipos de dados que a empresa armazene.
Quais os Maiores Golpes da Engenharia Social
Phishing
O Phishing é o ataque da engenharia social mais comum da atualidade, em suas dezenas de versões.
O crime consiste na obtenção de dados de uma pessoa ou organização através de técnicas de comunicação que resultam na persuasão da vítima.
No ambiente corporativo, qualquer usuário pode ser uma porta de entrada para uma brecha de segurança por saber, ter acesso ou simplesmente saber quem sabe de algo importante.
O contato do criminoso pode ocorrer a partir de qualquer meio de comunicação, como telefone, e-mail, ou SMS – na tentativa de fazer com que pessoas caiam em um golpe.
Fácil de ser executado, o phishing também não é um ataque difícil de ser reconhecido quando observado com atenção. Por isso, a chance de sucesso da prática depende de dois fatores: O momento certo e a desatenção do usuário.
Quem é exposto a essa tática pode ser surpreendido com algum contato em um momento em que aquele contato faça sentido, por exemplo.
Pretexting
O Pretexting é uma ação maliciosa que consiste na tentativa de se obter dados pessoais ou sobre uma empresa de maneira voluntária por uma falsa causa.
Este golpe pode vir disfarçado de uma causa ou confirmação de informações e com isso, despertar a generosidade do alvo.
Suas vítimas podem receber um e-mail suspeito, um telefone ou até mesmo mensagem de texto no WhatsApp.
Quid pro quo
O Quid pro quo é uma abordagem de troca inconsciente. Alguém oferece algo em troca de outra coisa.
Uma vítima desta abordagem pode receber ajuda técnica por algo, que embora seja resolvido pelo criminoso, dá a ele o poder de instalar ou induzir a instalação de arquivos maliciosos no dispositivo.
É uma falsa sensação de benefício em troca de dados pessoais ou problemas técnicos maiores no futuo.
Sextorsão
A sextorsão (sexo + extorsão) é um crime virtual em que a vítima é chantageada a realizar uma ação caso não queira que algum conteúdo íntimo seja divulgados.
Quando uma vítima possue algum e-mail ou número de celular exposto e que possam ser encontrado por botnets, é muito provável que receba tentativas de diversos tipos de ataques, incluindo a sextorsão.
É uma prática que se apoia muito na informação que coleta sobre um alvo, por muitas vezes ele não possui, realmente, um arquivo confidencial, mas sua abordagem (mais informada do que a maioria) vai fazer a vítima acreditar que sim.
Dumpster Diving
O dumpster diving é uma das práticas mais comuns e cotidianas que não utilizam dispositivos eletrônicos.
Trata-se do ato de vasculhar o lixo alheio para obter algum bem.
No mundo da tecnologia, vasculhar o lixo não é apenas uma ação de desespero, pois resíduos, peças ou até mesmo dispositivos com falhas podem ser descartados pelas companhias e tornarem-se alvo de algum tipo de vazamento ou boato.
Muitas organizações já possuem políticas de descarte para formalizar a ação e blindar qualquer tipo de vazamento ao tornar os itens inutilizáveis.
Shoulder Surfing
O Shoulder Surfing consiste na prática de observar as ações que uma pessoa está realizando em dispositivos como um celular ou computadores.
Para os engenheiros sociais, a ação pode representar mais do que uma simples curiosidade e tornar-se uma oportunidade para descobrir e memorizar senhas ou informações da vítima ou empresa que trabalha.
Tailgating
O tailgating é uma tática mais complexa que consiste no acesso presencial a lugares restritos por pessoas não autorizadas.
Considerada a mais antiga das abordagens de engenharia social, utiliza-se na maioria das vezes da bondade da vítima, como quando alguém está com as mãos tão ocupadas que uma pessoa gentil decide ajudar ao abrir e segurar a porta.
10 empresas que sofreram os maiores golpes da Engenharia Social nos últimos 10 anos
2010 – Netflix
A empresa sofreu com ataques quando deram a participantes de um concurso o acesso a informações de mais 480,000 assinantes.
A organização, no entanto, recuperou os dados de alguns candidatos.
2011 – Sony PSN
O marketplace Sony PSN, do console PlayStation, deu acesso a participantes de um concurso mais de 1.6 milhões dados,
incluindo cartões de crédito, endereços, datas de aniversário, senhas e respostas para as perguntas de segurança.
2012 – LinkedIn
Em 2012, o LinkedIn teve uma vazamento de dados de mais de 167 milhões de dados,
sendo a maioria e-mails, senhas e endereços.
2013 – Yahoo
Mais de 3 bilhões de dados da Yahoo foram expostos em 2013,
incluindo e-mails, endereços, datas de nascimento e respostas para as perguntas de segurança dos usuários.
Mas o vazamento só foi descoberto 3 anos depois, no final de 2016.
2014 – Sony Pictures Entertainment
Em 2014 a Sony Pictures Entertainment sofreu um pequeno vazamento de dados que envolveu cerca de 47 mil dados,
o que não diminuiu o impacto nas finanças e reputação da empresa.
Os criminosos tiveram acesso a e-mails particulares, filmes não lançados e o contato de celebridades.
2015 – Ashley Madison
A plataforma de relacionamentos extraconjugais teve mais de 37 milhões de dados vazados,
incluindo o cartão de crédito, endereço e número de telefone dos usuários.
2016 – Comitê Nacional Democrático
O Comitê Nacional Democrático dos Estados Unidos teve muitas informações publicamente expostas,
incluindo a de políticos como Hillary Clinton e o atual presidente do país, Donald Trump.
2017 – Equifax
Mais de 143 milhões de norte-americanos tiveram dados como o número de documentos,
cartão de crédito, nome e endereço após um vazamento da Equifax, uma das maiores empresas de crédito do país.
2018 – Facebook
O Facebook sofreu com ao menos 2 vazamentos de dados ao longo de 2018.
Em setembro, foram mais de 50 milhões, e em outubro, 30 milhões, totalizando ao menos 80 milhões de dados expostos.
2019 – OxyData.Io e People Data Labs
Mais de 1.2 bilhões de usuários tiveram dados como e-mail, contas em redes sociais e telefone expostos em 2019,
tornando-se o maior vazamento partindo da mesma fonte.
No caso, envolvia um banco de dados compartilhado entre duas empresas agregadoras de dados: OxyData.Io e People Data Labs.
Como proteger funcionários dos maiores golpes da Engenharia Social
Muitas empresas erram na prevenção contra golpes virtuais ao só importarem-se com eles após uma primeira ocorrência.
A verdade é que quando falamos que a maior vulnerabilidade de segurança no ambiente corporativo é o fator humano e não suas tecnologias, não estamos falando que os funcionários são menos competentes, mas sim, que todos podem ser persuadidos.
É por isso que uma boa estratégica para combater a engenharia social possui duas características:
- Prevenção.
- Constância.
O fato de ser preventiva mostra que a organização já está preparada para caso algo aconteça, ela reconhece o problema e suas probabilidades, e só isso já é o suficiente para afastar muitos criminosos entusiastas.
Quanto a ser constante, é para que os funcionários também estejam sempre alertas sobre o perigo e não apenas em campanhas específicas ou ações reativas a ataques sofridos.
Em outras palavras, a prevenção é a melhor arma contra os maiores golpes de engenharia social. Confira algumas dicas que podem ser lembradas dentro do ambiente corporativo:
Manter gavetas e armários fechados.
Holerites, documentos e diversos outros arquivos impressos, com informações sensíveis, podem tornar-se uma vulnerabilidade ao serem facilmente vistas por colegas no ambiente corporativo.
Por isso, é importante manter as gavetas e armários fechados, e instruir os funcionários a levarem tudo o que for crítico para casa no final do expediente, ou disponibilizar um armazenamento específico para este fim.
Minimizar ou encerrar softwares que exponham dados da empresa ou funcionário.
Especialmente em empresas em que as mesas e computadores estiverem expostas em ambiente aberto, é muito comum que, quase inconscientemente, funcionários “bisbilhotam” o que outros estão executando no dispositivo.
Embora na maioria das vezes isso não represente nenhum problema, pode representar uma vulnerabilidade ao gerar oportunidades para pessoas com más intenções.
Não compartilhar login e senha com nenhum colega de trabalho.
Talvez a prática mais comumente difundida em qualquer ambiente, o compartilhamento de senhas é uma das práticas simples que podem causar as piores consequências a um trabalhador.
Imagine que ao fornecer a senha, a pessoa não apenas ganhar acesso total aos recursos disponibilizados para o dono da conta como também abre uma nova vulnerabilidade para seus dados pessoais, que podem a qualquer momento ser obtidos por algum usuário mal intencionado dependendo da prática do novo portador das informações de acesso.
Na necessidade de ausentar-se da mesa de trabalho, realizar o logout até o retorno.
Isso pode ser feito através do menu iniciar ou CTRL + Alt + Del caso esteja utilizando o Windows como sistema operacional.
Da mesma maneira que é importante fechar gavetas e armários que contenham documentos críticos, é essencial que os integrantes de qualquer equipe em uma empresa recebam o treinamento adequado para adquirirem o hábito de, ao ausentar-se da mesa de trabalho, encerrem a sessão de login no computador.
Isso porque ao manter o sistema logado o usuário abre brechas para que outras pessoas acessem ou alterem um arquivo específico que possa comprometer a vítima.
Não jogue documentos inteiros no lixo, rasgue-o ou fragmente caso seja uma opção no local de trabalho.
Jogar documentos e itens críticos como cartões de crédito, exames ou papéis com outras informações podem abrir brechas para a prática de no-hacking conhecida como “dumpster diving”, que consiste basicamente na vulnerabilidade encontrada num lugar muito comum: as lixeiras.
Em situações externas, evitar ao máximo mencionar informações internas da empresa (quadro de funcionários, rotinas, procedimentos).
Exceto quando receber instruções específicas e treinamento de uma assessoria de imprensa, por exemplo.
Colaboradores bem informados sobre a própria organização nunca representarão algo negativo.
No entanto, é importante que os mesmos sejam instruídos nos lugares e momentos em que poderão falar sobre os temas internas.
Pessoas passam por diversos ambientes, além da empresa, ao longo do dia: transportes públicos, outras empresas e claro, a própria residência.
Todos os lugares externos podem abrir vulnerabilidades para que pessoas de fora ganhem acesso a informações privadas e que podem usar para finalidades de impacto negativo.
Coletar documentos impressos logo em seguida.
Impressão em rede é um excelente recurso para a maioria das empresas, afinal, diminui a necessidade de espaços físicos para diversas impressoras e permite que os funcionários compartilhem um mesmo equipamento.
No entanto, o compartilhamento desse dispositivo pode abrir vulnerabilidades para que pessoas tenham acesso ao que foi impresso antes mesmo de quem o solicitou.
E por isso recomendação geral é de que os documentos sejam coletados logo depois da impressão ser solicitada.
O Brasil no foco dos ataques de Phishing
Ninguém está imune
Corporações das mais diversas culturas foram prejudicadas pela engenharia social, através de ataques envolvendo, inicialmente, profissionais de diversos setores.
Para a Compugraf, além das camadas digitais de proteção é preciso dedicar investimentos também na segurança das pessoas que atuam na rotina da empresa.
Quer saber como é possível começar a fazer isso ainda hoje? Consulte nosso Especialista em Segurança da Informação.
- Published in Segurança da Informação
Ataques de ransomware no Brasil aumentaram 350% em tempos de home office
O país continua sendo uma das principais vítimas de ciberataques que visam o sequestro de dados sensíveis em troca de dinheiro
No primeiro trimestre de 2020, as tentativas de golpes de ransomware – que se caracterizam pelo sequestro de dados de dispositivos e liberação apenas com o pagamento de um “resgate” – aumentaram mais de 350% no Brasil, de acordo com dados da Kaspersky.
O fator agravante? A pandemia do COVID-19.
Com mais pessoas trabalhando de home office, a fim de cumprir com o isolamento social necessário para o combate à proliferação do vírus, os computadores, e os dados sensíveis que eles armazenam, se tornam alvos cada vez mais valiosos para ciberataques.
Não só isso, o próprio tema da doença pode ser uma isca fácil para os usuários.
Mais de 3 mil domínios suspeitos relacionados à pandemia do novo coronavírus foram registrados apenas neste primeiro trimestre, ao passo que 40% das empresas já detectaram um aumento nos ataques digitais contra suas infraestruturas, a maioria deles utilizando a doença como tema para phishing.
Algumas das tentativas envolvem, por exemplo, a venda ou doação de álcool em gel e ofertas gratuitas de assinaturas de streaming. Além disso, ainda segundo a Kaspersky, os criminosos já perceberam que podem fazer bastante dinheiro com ataques a redes corporativas, uma vez que seu impacto pode ser muito maior do que aqueles voltados a usuários comuns.
Faz sentido. Com profissionais de empresas de diferentes portes em home office, as redes corporativas se tornam excepcionalmente vulneráveis, já que os dispositivos de seus colaboradores correm mais risco de estarem potencialmente desprotegidos. Afinal, uma das soluções para o home office é a liberação de redes internas para acesso remoto, com trabalhadores usando as próprias máquinas para o expediente. Ou seja: esses dispositivos não estão mais sob vigilância dos departamentos de TI.
Além disso, há um fator recente que tornou os resgates de dados mais caros: a queda no valor das Bitcoins.
Com a desvalorização da criptomoeda (moeda digital) que costuma ser usada para o pagamento dos ransomwares, os hackers precisam “alinhar os lucros”, ou seja, o preço cobrado pelo resgate dos dados aumenta – especialmente se tratando de empresas.
Brasil, um dos países mais vulneráveis ao ransomware
A quantidade de ataques não é novidade no Brasil. O país já foi considerado um dos que mais sofrem com ransomware na América Latina, com 55% dos ataques de vírus sequestradores atingindo solo brasileiro em 2017 e tendo pequenas e médias empresas como suas maiores vítimas, também de acordo com a Kaspersky.
Ao todo, os ataques do ransomware na AL registraram crescimento anual de 30% entre 2016 e 2017, com 57 mil denúncias em 2016 e 24 mil até setembro de 2017.
Os ataques de são direcionados principalmente ao setor de saúde, além de pequenas e médias empresas. A maioria é por acesso remoto, aproveitando senhas fracas ou serviços incorretamente configurados.
Em 2019, segundo informações do Kaspersky Lab, o Brasil também foi o país que mais sofreu com ataques por phishing no primeiro trimestre. Além disso, o estudo mostra que a maioria dos casos ocorreu como resultado de uma falsa e tentadora oferta de trabalho de uma grande empresa, o que se relaciona com a crise de empregos no início do ano.
Como podemos observar, é uma onda que se movimenta junto às principais vulnerabilidades da nação e seus usuários, dificultando a diferenciação entre informações de fato benéficas e as mal intencionadas.
Em vista disso, é fundamental atenção redobrada nas principais frentes de proteção.
Como se proteger de ataques de ransomware?
Uma das principais recomendações é o uso obrigatório de VPNs para acesso aos recursos corporativos, como forma de garantir que dados não sejam interceptados na rede.
A autenticação em dois fatores para acesso a redes internas também é uma boa forma de se prevenir, bem como a aplicação de criptografia de disco, pois assim, em caso de roubo ou furto dos equipamentos com credenciais salvas, o risco de acesso é reduzido. Esta última solução também possibilita o uso de sistemas que permitem apagar todos os dados caso um aparelho seja perdido.
Já o departamento de TI, mesmo à distância, deve ser o único responsável pelas políticas de atualização e aplicação de patches nos dispositivos dos colaboradores da empresa, impedindo a instalação de softwares ou soluções por parte do próprio usuário. A medida vale também para smartphones, que devem estar sempre protegidos com senha e sem aplicativos de armazenamento em nuvem que não sejam previamente autorizados.
Existe também a necessidade da integração de funcionalidades de acesso remoto às redes corporativas, que devem ser monitoradas pelo time de TI para prevenir acessos indevidos.
Outra dica compete às políticas de segurança que limitam a visualização de dados de acordo com o departamento e cargo do colaborador, de forma que os colaboradores tenham acesso apenas àquilo que é pertinente a eles. Em caso de invasão, isso pode minimizar significativamente o prejuízo, uma vez que o hacker terá acesso limitado a dados sensíveis da empresa.
Finalmente, é imprescindível orientar os colaboradores e conscientizá-los sobre possíveis práticas nocivas, que podem abrir brecha para um ataque.
Nas redes da Compugraf, compartilhamos diversos conteúdo educativos para evitar cair em golpes de phishing, um dos principais potencializadores de ransomware. Não deixe de conferir e de compartilhar com o seu time!
- Published in Segurança da Informação
Quais os principais tipos de ataque de Engenharia Social
Você sabia que é possível sofrer diversos tipos de ataque de engenharia social? Conheça as principais abordagens.
Existe algo precioso na Engenharia Social: todos da organização podem ser um alvo.
Diante disso, as empresas precisam reconhecer que sua maior vulnerabilidade não são as máquinas que são utilizadas, mas sim, os usuários.
Existe um imenso número de ataques cibernéticos – e até mesmo sem necessidade de nenhuma conexão com a internet, que podem se utilizam através da engenharia social.
Aqui neste artigo iremos discutir alguns dos principais tipos de ataque de engenharia social:
- Phishing
- Pretexting
- Quid Pro Quo
- Sextorsão
- Dumpster Diving
- Shoulder Surfing
- Tailgating
Você já conhecia todos eles?
Também iremos discutir as melhores práticas para proteger os funcionários de sua empresa contra ataques de engenharia social.
Podemos começar?
Como funciona um Ataque de Engenharia Social na Segurança da Informação
Para entendermos como os ataques de Engenharia Social, ainda que semelhantes, possam ter impactos diferentes, é importante compreender que seu sistema funciona na base de tentativa e erro:
Coleta de informações, planejamento de ataques, aquisição das ferramentas necessárias, ataque, uso das informações coletadas.
Sendo assim, novas tentativas de ataques podem ser mais convincentes por trazerem elementos que as tornem mais verídicas, com os dados coletados na tentativa anterior.
Phishing
O Phishing é o ataque da engenharia social mais comum da atualidade, em suas dezenas de versões.
O crime consiste na obtenção de dados de uma pessoa ou organização através de técnicas de comunicação que resultam na persuasão da vítima.
No ambiente corporativo, qualquer usuário pode ser uma porta de entrada para um ataque de engenharia social por saber, ter acesso ou simplesmente saber quem sabe de algo importante.
O contato do criminoso pode ocorrer a partir de qualquer meio de comunicação, como telefone, e-mail, ou SMS – na tentativa de fazer com que pessoas caiam em um golpe.
Fácil de ser executado, o phishing também não é um ataque difícil de ser reconhecido quando observado com atenção. Por isso, a chance de sucesso da prática depende de dois fatores: O momento certo e a desatenção do usuário.
Quem é exposto a essa tática pode ser surpreendido com algum contato em um momento em que aquele contato faça sentido, por exemplo.
Vishing
O Vishing é uma das variações do Phishing, sendo também um ataque de engenharia social.
Enquanto o termo principal é utilizado para descrever a prática de maneira geral, o vishing surgiu para referir-se a ataques realizados especificamente por telefone (voz + phishing).
A prática é bem popular, sendo ainda hoje a mais comum no Brasil e seu funcionamento é exatamente o mesmo do phishing tradicional, alterando apenas o meio de contato, que é por telefone ou através de chamadas de serviços VoIP, este último a escolha favorita dos criminosos pela possibilidade de anonimato.
Em um episódio de Vishing, a vítima recebe uma chamada em que é induzida a realizar alguma ação rapidamente ou compartilhar informações pessoais ou sigilosas de uma empresa, como documentos e números de faturamento, etc.
Um dos casos mais antigos e tradicionais no país é quando os criminosos realizam uma chamada anunciando um suposto sequestro. Na ação, o falso sequestrador simula uma voz infantil em perigo.
Embora seja um golpe fácil de se identificar, caso a chamada ocorra para as pessoas certas (pais) e no momento certo (como quando o filho está na escola) funcionam pois na apreensão do momento, a vítima muitas vezes não se dá conta de se tratar de uma falsa afirmação.
Apesar de já ser uma ação mais conhecida, este golpe de engenharia social continua causando diversos problemas, incluindo o caso recente de um casal de idosos de Belo Horizonte que transferiu R$ 300 mil para salvar a filha de um falso sequestro, dos quais apenas R$ 15 mil foram recuperados pelo banco após a descoberta do caso.
Outro episódio que vale a pena ser mencionado, é o que ocorreu em 2019, envolvendo uma professora do Mato Grosso do Sul que não apenas perdeu R$ 80 mil como também foi feita de refém no hotel em que os criminosos solicitaram a sua presença, tudo após receber uma ligação informando o falso sequestro de sua filha.
O golpe vishing pode partir de simulações de contatos pessoais (como a ligação de um familiar) ou também um falso funcionário de uma grande empresa de serviços como telefonia e internet.
Sendo assim, identificá-lo pode ser um pouco mais trabalhoso do que o phishing.
Mas as abordagens também possuem suas fragilidades:
Nome da vítima
Ao receber uma ligação, antes de confirmar qualquer dado pessoal, tenha certeza de que a pessoa é quem diz ser ao pedir para ela confirmar algo simples como o seu nome completo ou alguma outra informação que não seja número de documentos.
Não confirme nada até que o contato te responda corretamente. Em ataques amplos e aleatórios, dificilmente o criminoso terá a informação correta.
Anúncios de sequestro
Antes de se desesperar por algum anúncio de sequestro, atente-se as informações que o criminoso está compartilhando e, principalmente, confirme a localização da vítima.
Por exemplo, caso seja uma criança que esteja na escola, a primeira ação deve ser uma chamada de confirmação de presença.
Bancos e outros serviços
O nome é uma informação simples porém bem reveladora em todos os casos.
Mas caso queira outra abordagem, basta informar que não pode falar no momento ou tente ligar para o número que está chamando de um outro aparelho telefônico.
O direcionamento correto da chamada para a empresa que supostamente ligou indica a veracidade do contato. Caso seja falso, reporte a empresa logo em seguida.
Smishing
Se o Vishing é a junção de voz + phishing, o Smishing é a mistura de sms + phishing, ou seja, trata-se do phishing que se utiliza das mensagens SMS para pescar suas vítimas. Com o enfraquecimento das mensagens tradicionais e a ascensão de comunicadores instantâneos como o WhatsApp, o smishing se desenvolve na mesma medida.
O smishing foi uma grande ferramenta, em conjunto as fake news, em campanhas eleitorais e na manipulação de informações.
Usualmente, ele é utilizado no compartilhamento de links maliciosos e possui um ciclo de vida menor, porém viral, já que as pessoas também são induzidas a compartilhar a mensagem.
Para detectar e prevenir-se desse tipo de ataque, é importante desconfiar de qualquer mensagem que chegue a partir de pessoas que não fazem de sua lista de contato e principalmente, não clicar em nenhum link não solicitado.
O smishing pode partir também de contatos que já foram pegos, muitas vezes compartilhando o link malicioso sem saber.
Ao receber a mensagem de um contato existente, atente-se ao formato do texto recebido para analisar se a pessoa escreve ou escreveria de tal maneira, pois pessoas normalmente possuem o mesmo padrão e estilo de escrita.
Nigerian 4-1-9 Scam
O golpe que se iniciou na Nigéria, conhecido como Nigerian 4-1-9 Scam possui uma linha de funcionamento semelhante ao phishing tradicional.
Essa técnica de ataque de engenharia social iniciou-se muitos anos atrás com o envio de cartas do país para estrangeiros com histórias falsas envolvendo doações e transferência de dinheiro.
Ao longo dos anos, a técnica se desenvolveu passando para o e-mail e também novas abordagens surgiram, sendo a mais popular a “romance scam”, envolvendo interesses amorosos.
Neste cenário de engenharia social, o criminoso seduz a vítima com alguma história que possa envolvê-la, e se consegue ‘pescá-la’ com sucesso, passa a encenar o desenvolvimento de uma relação a distância, a qual a longo prazo envolverá a solicitação de dinheiro.
Em 2014, uma moradora do interior de São Paulo perdeu R$ 63 mil em um golpe.
Na época, aos 42 anos, ela começou a conversar com um suposto soldado americano em missão no Afeganistão e construiu uma falsa relação com ele até que foi anunciada o fim de sua missão no país e a chegada no Brasil.
Seduzida pela ideia de viver o romance pessoalmente, ela fez de tudo para auxiliar o golpista em sua chegada ao país, que nunca aconteceu.
Embora a abordagem romântica tenha se tornado popular, a relação do criminoso com a vítima pode ter outros objetivos afetivos, como uma amizade – se aproveitando também da empatia para obter dinheiro.
Além de também ser multimídia por se adaptar a diferentes formas de contatos na hora de desenvolvimento da relação entre vítima e criminoso.
Outro fato importante é que embora tenha iniciado na Nigéria, o golpe hoje é replicado a partir de diversos países como Turquia, Iraque e o Brasil.
Por envolver a criação de uma relação mais pessoal com as vítimas, os golpes nigerianos podem ser detectados a partir de alguns parâmetros: como o perfil chegou até o alvo, checagem de informações do perfil e a análise geral da interação.
Basicamente, se as coisas estão rápidas demais, pode ser que tenha algo de errado.
Os aplicativos de relacionamento, por exemplo, recebem muitas reclamações pela existência de perfis falsos (também conhecidos como “fakes”) que usando fotos, nome e personalidade falsos buscam praticar a ação, e é por isso que é necessário ter cuidado redobrado na hora de buscar o “par perfeito” online
Ano passado, ocorreu em Macapá (AP) o caso de uma jovem de 23 anos que se passava por um advogado no Tinder, aplicativo de relacionamentos, para obter vantagens financeiras das vítimas, como empréstimos, ao longo do desenvolvimento da falsa relação.
Ela foi presa no mesmo ano e assumiu o crime.
Por isso, a melhor maneira de detectar um golpe nigeriano é observando o contexto do contato, a autenticidade do perfil e analisar as reais intenções quando as solicitações de dinheiro ou fatos estranhos começarem a ocorrer.
Spear Phishing
Atualmente, uma das subcategorias mais conhecidas de Phishing é o Spear Phishing.
Diferente da metodologia tradicional, é executada de maneira direcionada a um grupo de pessoas bem específico e baseado em dados exatos ou muito próximos da realidade dessas pessoas.
Em outras palavras, é uma tática mais perigosa por envolver informações personalizadas e muitas vezes crível o bastante para enganar até mesmo um funcionário mais atento em sua rotina de trabalho dependendo do momento e da abordagem utilizada.
Um dos casos mais recentes em grande escala dessa técnica ocorreu em 2018, nos Estados Unidos, e como resultado gerou alarde dentre os funcionários do departamento do estado sobre um possível Tsunami.
A notícia ganhou grande repercussão na época e confundiu a população, que não sabia se deveria se preocupar ou não com o desastre natural.
Embora o órgão responsável tenha respondido rapidamente que não existia nenhum tipo de anormalidade para ocorrer tal fenômeno, a falsa informação já havia sido espalhada pelo mundo inteiro, gerando alarde e causando grandes prejuízos financeiros.
O spear phishing é uma variação do phishing altamente segmentada. Funcionários, especialmente os mais novos, podem facilmente ser enganados por um falso e-mail partindo de alguém com cargo superior. De fato é assim que a maioria dos ataques obtêm o sucesso esperado.
As pequenas empresas têm se tornado o principal alvo por parte desses cibercriminosos, pois quando não há o treinamento adequado, logo os funcionários acabam sendo a vulnerabilidade humana e mais frágil do ecossistema corporativo.
Mas não são apenas os colaboradores que podem cair nesse tipo de golpe, muitos executivos e até mesmo profissionais da área podem ser surpreendidos com a comunicação segmentada do spear phishing.
Para se prevenir de um possível ataque, além de oferecer treinamento a equipe, é necessário criar protocolos para que as pessoas da organização possam se comunicar e identificar a autenticidade da mensagem, como uma palavra secreta, por exemplo.
Pretexting
O Pretexting é uma ação maliciosa que consiste na tentativa de se obter dados pessoais ou sobre uma empresa de maneira voluntária por uma falsa causa.
Este golpe pode vir disfarçado de uma causa ou confirmação de informações e com isso, despertar a generosidade do alvo.
Suas vítimas podem receber um e-mail suspeito, um telefone ou até mesmo mensagem de texto no WhatsApp.
Quid pro quo
O Quid pro quo é uma abordagem de troca inconsciente. Alguém oferece algo em troca de outra coisa.
Uma vítima desta abordagem pode receber ajuda técnica por algo, que embora seja resolvido pelo criminoso, dá a ele o poder de instalar ou induzir a instalação de arquivos maliciosos no dispositivo.
É uma falsa sensação de benefício em troca de dados pessoais ou problemas técnicos maiores no futuo.
Sextorsão
A sextorsão (sexo + extorsão) é um crime virtual em que a vítima é chantageada a realizar uma ação caso não queira que algum conteúdo íntimo seja divulgados.
Quando uma vítima possue algum e-mail ou número de celular exposto e que possam ser encontrado por botnets, é muito provável que receba tentativas de diversos tipos de ataques, incluindo a sextorsão.
É uma prática que se apoia muito na informação que coleta sobre um alvo, por muitas vezes ele não possui, realmente, um arquivo confidencial, mas sua abordagem (mais informada do que a maioria) vai fazer a vítima acreditar que sim.
Dumpster Diving
O dumpster diving é uma das práticas mais comuns e cotidianas que não utilizam dispositivos eletrônicos.
Trata-se do ato de vasculhar o lixo alheio para obter algum bem.
No mundo da tecnologia, vasculhar o lixo não é apenas uma ação de desespero, pois resíduos, peças ou até mesmo dispositivos com falhas podem ser descartados pelas companhias e tornarem-se alvo de algum tipo de vazamento ou boato.
Muitas organizações já possuem políticas de descarte para formalizar a ação e blindar qualquer tipo de vazamento ao tornar os itens inutilizáveis.
Shoulder Surfing
O Shoulder Surfing consiste na prática de observar as ações que uma pessoa está realizando em dispositivos como um celular ou computadores.
Para os engenheiros sociais, a ação pode representar mais do que uma simples curiosidade e tornar-se uma oportunidade para descobrir e memorizar senhas ou informações da vítima ou empresa que trabalha.
Tailgating
O tailgating é uma tática mais complexa que consiste no acesso presencial a lugares restritos por pessoas não autorizadas.
Considerada a mais antiga das abordagens de engenharia social, utiliza-se na maioria das vezes da bondade da vítima, como quando alguém está com as mãos tão ocupadas que uma pessoa gentil decide ajudar ao abrir e segurar a porta.
Quais informações mais importantes que sua empresa precisa proteger
Talvez sua empresa colete muitos dados bancários de usuários, por envolver o credenciamento para alguma plataforma financeira (como uma fintech).
Ou talvez ela simplesmente envolva dados particulares e identificáveis, como documentos e as preferências de cada um, como em uma rede social.
O mais importante a se compreender é que toda empresa possui um dado que acaba sendo mais importante que o outro pelo valor que representa para o negócio.
Para traçar o perfil de quem é vítima e engenheiro social nesse tipo de ataque, é importante primeiro entender qual a informação mais importante para cada marca.
Talvez a informação mais relevante para o setor de limpeza, por exemplo, seja o calendário de locais que precisam ser limpos, listagem de produtos, dentre outras coisas neste sentido, mas o mesmo funcionário pode ter acesso a lugares críticos.
E é por isso que não importa necessariamente quem você é, e sim o que você sabe ou os locais para os quais você tem acesso.
Os ataques seguem a mesma linha de raciocínio
Todos os ataques de Engenharia Social seguem a mesma linha de funcionamento, por isso, as medidas de proteção para um podem servir para os outros.
Além disso, é importante ter consciência de que na maioria das vezes, diferentes ataques ocorrerão simultaneamente.
Para empresas, é muito importante focar na conscientização constante como principal prevenção, além dos softwares de proteção.
Um grande alvo de Phishings
Você sabia que o Brasil foi um dos principais alvos de Phishing em 2019? Descubra o que nos posicionou entre os primeiros colocados.
Mais segurança
Quer saber mais sobre como proteger sua empresa? Converse com nossos especialistas em segurança da informação.
- Published in Segurança da Informação
O que é Engenharia Social na Segurança da Informação
A Engenharia Social ganhou seu próprio significado no contexto da Segurança da Informação. Você já conhece sua definição?
Em uma organização, os cargos técnicos certamente estão mais protegidos contra ataques hackers do que qualquer outra área.
Mas será que eles também estão imunes contra abordagens sociais?
Segundo o que se entende por Engenharia Social, todos estão vulneráveis a sofrerem com esses tipos de ataque.
Gatilhos que ativam nossa fragilidade
Se por um lado todos possuem e podem desenvolver habilidades cognitivas para duvidar de certas abordagens pessoais, a fragilidade emocional é universal.
Todos possuímos algum assunto, pessoa ou história que nos faz ao menos prestar atenção no que outra pessoa tem a dizer.
Os ataques de Engenharia Social se nutrem das informações coletadas ao longo do processo, e isso significa que quanto mais o cibercriminoso souber, mais forte ele pode voltar em uma próxima tentativa de ataque.
Portanto, a hierarquia pouco importa neste tipo de abordagem, todos devem estar atentos.
Para entendermos melhor o significado da Engenharia Social na Segurança da Informação, iremos abordar os seguintes assuntos:
- Conceituação: O que é Engenharia Social?
- A base da segurança de dados
- Conceituação: O que é Persuasão?
- Como funciona um ataque de Engenharia Social
- Quais os sentimentos explorados pela Engenharia Social
- Quais as consequências dos crimes de Engenharia Social com a chegada da LGPD
Pronto para começar?
O que é Engenharia Social?
A Engenharia Social que conhecemos hoje é utilizada para definir ataques que se utilizem da fragilidade emocional humana para acontecer.
Mas antes de desenvolver a temática, é importante contextualizar o significado de segurança da informação:
É uma série de práticas que visa a proteção de todos os tipos de dados que a empresa armazene.
A base da segurança da informação em 4 pilares:
- Confidencialidade
- Integridade
- Disponibilidade
- Autenticidade
Por esses princípios que o fator humano torna-se uma parte tão importante no processo de segurança de dados.
É difícil imaginar sua eficiência sem pensar na importância das pessoas e em sua vulnerabilidade como alvos.
Por exemplo, sabe aquele modelo novo do iPhone que você viu antes da Apple divulgar?
Provavelmente partiu de um funcionário que foi alvo de um ataque de engenharia social.
Isso pode gerar prejuízos na empresa já que a concorrência terá acesso ao modelo e pode pensar em um lançamento parecido e até prévio ao Iphone, tirando toda a exclusividade do produto.
Mas é a partir de reações simples (como a desatenção) que ataques de diferentes dimensões podem ocorrer.
Não por acaso que diversos produtos no mercado, como os próprios iphones, já são hoje armazenados em locais que poucas pessoas têm acesso.
E se todos podem ser vítimas de ataques de Engenharia Social, isso nunca irá resolver o problema mas, mas pode ajudar na hora de identificar a origem da vulnerabilidade.
E é por este raciocínio que chegamos a Engenharia Social.
É possível separar as ameaças na segurança de dados em duas categorias: tecnológicas e humanas.
A primeira, envolve recursos tecnológicos e por isso exige maiores habilidades do criminoso, já as ameaças humanas – também conhecidas como fator humano, exigem pouco ou nenhuma habilidade tecnológica do infrator.
Não é só para o mal
Embora desde sua origem tenha sido utilizada para fins negativos, as técnicas de Engenharia Social podem e já são incorporadas em muitas situações benéficas.
Traçar o uso de dispositivo de uma pessoa desaparecida, por exemplo, pode auxiliar na busca.
A polícia pode se beneficiar do recurso para muitas investigações.
E empresas podem oferecer treinamentos internos mais realistas ao aplicar nos próprios funcionários ou em processos seletivos, tudo depende dos dados coletados e a finalidade da ação.
Conceituação: O que é Persuasão?
A Engenharia Social na Segurança da Informação tem como finalidade o ato de persuadir. Mas afinal, o que é a persuasão?
O ato de persuadir ocorre quando alguém consegue, através da argumentação, convencer alguém a fazer alguma coisa.
A habilidade recorre a meios emocionais e lógicos para envolver o/os alvos e seu sucesso é baseado na realização, por vontade própria, da ação desejada.
Diferente do senso comum, persuadir e manipular são coisas distintas.
Pois a persuasão ocorre somente quando tentamos entender o que é necessário para convencer alguém a fazer alguma coisa.
Existe também o conceito de manipulação psicológica, que pode ser confundido com o ato de persuadir.
Mas assim como no caso da manipulação, trata-se de um processo diferente em que a influência social é maior e tem como objetivo a mudança de comportamentos.
É muito semelhante ao conceito de Engenharia Social na psicologia, utilizando-se de percepções com táticas indiretas, que na maioria dos vezes pode envolver informações convenientes, enganosas ou dissimuladas.
Outra habilidade semelhante mas que pode ser diferenciada do ato de persuadir, é o convencimento.
É possível convencer pessoas em relação a uma ideia, mas somente a persuasão resulta em uma ação voluntária, de modo que a pessoa acredite que aquilo parte de sua própria vontade.
Também conhecida como “Teoria da Persuasão” ou “ Teoria Empírico-experimental”, os primeiros registros da persuasão como estudo vêm dos anos 40.
E desde os primórdios tratou da busca em estudar a relação entre estímulo e resposta.
Hoje é um tema amplamente estudado em cursos como administração (para negociação) e comunicação.
A persuasão na engenharia social é a grande protagonista, o sucesso da maioria dos ataques é relacionado a habilidade do criminoso em persuadir.
Como funciona um Ataque de Engenharia Social na Segurança da Informação
Os ataque de Engenharia Social funcionam no sistema de tentativa e erro, mas diferente de outras ofensivas, ele retorna cada vez mais forte.
Isso porque o ciclo de atuação da Engenharia Social é baseado no seguinte ciclo:
Coleta de informações, planejamento de ataques, aquisição das ferramentas necessárias, ataque, uso das informações coletadas (para tornar-se próximo do verídico)
Em outras palavras, novas tentativas de ataques serão sempre mais convincentes por serem mais “inteligentes” com os dados coletados na tentativa anterior.
Sentimentos explorados pela Engenharia Social na Segurança da Informação
A Engenharia Social explora emocionalmente suas vítimas, testado diversas iscas até ativar o gatilho que vulnerabiliza o alvo.
Ela também pode se aproveitar de temas atuais, promoções boas demais para serem verdade ou falsos anúncios de premiações.
Por alguns ataques exigirem pouco ou nenhum conhecimento técnico, a engenharia social também pode acontecer sem a necessidade de dispositivos eletrônicos, a abordagem no caso é conhecida como no-tech hacking.
Quando a vítima se dá conta da comunicação suspeita, o criminoso pode já ter colhido as informações necessárias para uma tentativa de ataque.
E o processo, na maioria dos casos, pode envolver um ou mais dos sentimentos a seguir:
Curiosidade
Quase todo ataque de engenharia social inicia a partir da curiosidade do alvo. No caso de phishing, por exemplo, é o benefício imperdível que ele poderá adquirir naquele momento, se seguir as instruções.
Após a surpresa inicial, o usuário certamente vai ter curiosidade para entender melhor do que se trata a mensagem recebida. E para validar sua opinião, ele pode acabar clicando em algum link malicioso ou preenchendo algum formulário.
Preguiça
Por que um funcionário iria digitar as senhas manualmente toda vez que forem acessar alguma coisa?
Ou até mesmo optar voluntariamente pela autenticação de dois fatores se tudo pode ser preenchido automaticamente?
Com atalhos nos tornamos, na maioria das vezes, mais vulneráveis.
É importante que todos sejam conscientizados não apenas sobre as medidas a serem tomadas na rotina dentro da empresa, mas também, a importância de cada uma delas.
Solidariedade
Ajudar um colega de trabalho é uma prática simples e naturalmente aplicada em um ambiente saudável.
Mas não só isso.
Como já dizia um velho ditado “Quando a esmola é demais, o santo desconfia”.
E o engenheiro social utiliza muito bem o recurso ao criar campanhas de doações falsas, descontos imperdíveis que serão revertidos em prol de alguma causa, etc.
É importante despertar nos funcionários o entendimento da importância de se questionar tudo com o que interagem ao longo do dia.
Até mesmo na voluntária ajuda alheia.
Vaidade
O modelo mais recente de um smartphone ou o luxo de realizar alguma atividade são características que envolvem a vaidade da vítima.
Funcionários podem ser seduzidos por uma oferta de empréstimo, compra ou até mesmo um novo emprego.
É pensando na própria fragilidade que todos devem ser conscientizados sobre separar o que precisam do que podem ter em um outro momento. pois a engenharia social utiliza muito bem a vaidade ao seduzir as vítimas a partir do consumo.
Ansiedade
Em uma realidade em que o problema de grandes cidades e muitos ambientes corporativos é a ansiedade, a engenharia social aproveita-se muito do fato.
Tudo deve ser feito rapidamente, as ofertas são irrecusáveis e a sensação de urgência torna-se protagonista a ponto de muitos não atentarem-se ao que chega a eles.
É neste momento que as maiores vítimas são pegas, na pressa do momento, pois não são capazes de criar suspeitas sobre a situação.
Engenharia Social na Segurança da Informação e a ascensão das Fake News
A maioria dos golpes de engenharia social possuem o objetivo de obtenção de dados pessoais.
Mas nos últimos anos, o mundo se deparou com uma nova utilidade por trás dessa lógica: a manipulação de informações.
Tudo começou quando o atual presidente dos Estados Unidos, Donald Trump, acusou um grande veículo de comunicação americana de espalhar “notícias falsas”, durante sua campanha.
Desde então a prática, que já era reconhecida como Hoaxing, ganhou um novo nome: Fake News.
Através de redes sociais, muitas pessoas deixaram de consumir informações imparciais ao participar de grupos que possuam interesses semelhantes, o que abre espaço para perspectivas unilaterais e que muitas vezes não representam a verdade.
Como resposta a isso, grandes empresas como Google e redes sociais como o Facebook passaram a criar políticas específicas para minimizar os danos que foram fortificados graças as suas soluções.
O que apesar de positivo, não impede que as pessoas se envolvam somente em grupos de seu interesse e muito menos impede o compartilhamento de informações distorcidas.
Por questões de segurança, serviços como o WhatsApp possuem conversas criptografadas, o que garante a privacidade mas impede que as empresas identifiquem a origem de muitas das notícias espalhadas.
Quais as consequências dos crimes de Engenharia Social com a chegada da LGPD
Após todos os escândalos envolvendo grandes corporações e o vazamento de dados, diversos países criaram medidas para que a responsabilidade das ocorrências seja maior para empresas de forma a aumentar sua responsabilidade sobre a segurança da informação.
Enquanto a lei de referência é a europeia, conhecida como General Data Protection Regulation (GDPR), o Brasil trabalhou em sua própria versão, a Lei Geral de Proteção de Dados (LGPD), que busca regulamentar o uso de dados no meio corporativo no país.
A LGPD regulamentará qualquer atividade offline ou online que envolva a utilização de dados pessoais e irá responsabilizar as empresas envolvidas no processo.
A LGPD irá abranger qualquer informação que possa servir para identificar alguém.
Além disso, a LGPD também menciona os dados sensíveis, que diferente da documentação, refere-se a questões íntimas, como:
- Status de Saúde
- Vida Sexual
- Dados Genéticos
- Dados Biométricos
- Opinião Política
- Origem Étnica
- Religião
- Participação em sindicatos ou organizações não governamentais
Dentre outras informações que expõem aspectos íntimos da pessoa física.
Tudo muito relevante para um ataque de engenharia social, pois o criminoso pode aproximar-se da vítima por afinidade.
Quando a LGPD entrar em vigor, o não cumprimento resultará em processos administrativos e legais, podendo chegar a multas de até R$ 50 milhões.
A alto custo da multa é importante pois assim será muito mais vantajoso adequar-se a Lei do que pagar eventuais multas a longo prazo.
O objetivo por trás da proposta é a transparência da operação de empresas públicas e privadas, solicitando a permissão e o consentimento dos usuários para que seus dados sejam armazenados para devidos fins.
A penalidade financeira da LGPD irá variar de acordo com a gravidade da infração, sendo que as de não conformidade podem custar até 2% do faturamento da empresa, limitando-se ao máximo de R$50 milhões.
Saiba mais sobre Engenharia Social
Não subestime a Engenharia Social
Esperamos que tenha ficado claro a importância de estudar a Engenharia Social na Segurança da Informação.
Empresas que agem preventivamente a esse tipo de ataque tornam-se menos vulneráveis a ela, e isso é uma ótima condição para qualquer corporação.
Sendo a conscientização uma ótima arma contra os ataque.
Ainda restam dúvidas? Converse com um de nossos especialistas e descubra como começar a se proteger ainda hoje.
- Published in Segurança da Informação