Valor médio de resgate de ransomware cresce mais de 150% em um ano
Novas ameaças, vulnerabilidades não-corrigidas e evolução de estratégias de ransomware preocupam agentes de segurança. O que você vai ler hoje:
- REvil saiu de cena, mas um novo ransomware já ocupa seu lugar
- Cibercriminosos usam extorsão quádrupla para fazer vítimas pagarem por resgates mais caros
- Novo cavalo de Troia atinge usuários de Android e rouba contas de redes sociais
- Novas vulnerabilidades em driver de impressão do Windows se somam a outras ainda não-corrigidas
REvil saiu de cena, mas um novo ransomware já ocupa seu lugar
A gangue de ransomware REvil – também conhecida como Sodinokibi – saiu de cena em julho, logo depois de chamar a atenção do governo dos EUA com um ataque massivo de ransomware que afetou 1.500 organizações em todo o mundo.
Não se sabe se o REvil sumiu de vez, mas cibercriminosos adeptos de esquemas de ransomware não vão esperar para descobrir: eles estão migrando para outros fornecedores e, de acordo com análises feitas por pesquisadores de segurança cibernética, o ransomware LockBit se tornou a alternativa preferida de invasores.
Embora o LockBit não seja tão conhecido quanto algumas outras formas de ransomware, aqueles que o usam têm atingido seu objetivo e lucrado milhares de Bitcoins em pedidos de resgate.
Além disso, os pesquisadores observam que muitos dos que agora recorrem ao LockBit estão usando as mesmas táticas, ferramentas e procedimentos que usavam anteriormente, quando trabalhavam com o REvil.
Cibercriminosos usam extorsão quádrupla para fazer vítimas pagarem por resgates mais caros
O valor médio de resgate de ransomware aumentou 82% ao longo dos últimos anos, e agora está acima de meio milhão de dólares, de acordo com um relatório que analisa o impacto dessa ameaça no primeiro semestre de 2021.
Publicado pela Unidade 42 da Palo Alto Networks, em agosto deste ano, o relatório mostra que especialistas em cibersegurança associados à empresa identificaram e analisaram 121 incidentes de ransomware até agora em 2021 – um aumento de 64% nos ataques do ano passado para cá.
Além disso, alerta que o que ajudou a intensificar os pagamentos de extorsão é os cibercriminosos estarem investindo bastante o dinheiro em “operações de ransomware altamente lucrativas”, escalando de uma estratégia de extorsão dupla para uma extorsão quádrupla.
A extorsão dupla existe há mais de um ano e é quando os agentes da ameaça não só paralisam os sistemas e/ou dados da vítima, mas também ameaçam vazar os dados comprometidos ou usá-los em futuros ataques de spam se as vítimas se recusarem a pagar as demandas de extorsão.
Mas, durante a primeira metade de 2021, os pesquisadores observaram grupos de ransomware geralmente usando até quatro técnicas para fazer as vítimas pagarem:
- Criptografia: as vítimas pagam para recuperar o acesso a dados e sistemas de computador comprometidos;
- Roubo de dados: os hackers divulgam informações confidenciais se o resgate não for pago;
- DoS: gangues de ransomware lançam ataques DoS que bloqueiam os sites públicos da vítima;
- Assédio moral: os cibercriminosos entram em contato com clientes, parceiros, funcionários e mídia para informar que a organização foi hackeada.
Essas táticas “cada vez mais agressivas” inflaram resgates que já vinham se tornando cada vez mais custosos. No ano passado, o pagamento médio subiu 171%, para mais de 312 mil dólares. Durante o primeiro semestre deste ano, porém, esse valor disparou para um recorde de 570 mil dólares, em média.
Novo cavalo de Troia atinge usuários de Android e rouba contas de redes sociais
Um novo cavalo de Troia visando usuários do Android, que atende pelo codinome FlyTrap, atingiu pelo menos 140 países desde março de 2021 e atingiu mais de 10.000 vítimas por meio de sequestro de mídia social, lojas de aplicativos e aplicativos de sideload.
A evidência forense desse ataque ativo aponta para agentes de ameaça do Vietnã, que, ao que tudo indica, estão executando esta campanha de sequestro de sessão desde o primeiro trimestre do ano.
As ameaças foram inicialmente distribuídas por meio do Google Play e de lojas de aplicativos de terceiros. Uma empresa especializada em segurança cibernética relatou as descobertas ao Google, que verificou a pesquisa fornecida e removeu os aplicativos maliciosos da Google Play Store. No entanto, os aplicativos maliciosos ainda estão disponíveis em repositórios de aplicativos terceirizados.
O FlyTrap representa um risco para usuários ao sequestrar suas contas do Facebook por meio de um Trojan que infecta o dispositivo Android. As informações coletadas do dispositivo Android da vítima incluem:
- ID do Facebook
- Localização
- Endereço de e-mail e endereço de IP
- Cookie e tokens associados à conta do Facebook
Essas sessões sequestradas do Facebook podem ser usadas para espalhar o malware abusando da credibilidade social da vítima por meio de mensagens pessoais com links para o Trojan, bem como propagação de propaganda ou campanhas de desinformação usando os detalhes de geolocalização da vítima.
Novas vulnerabilidades em driver de impressão do Windows se somam a outras ainda não-corrigidas
Em junho, informações técnicas e uma exploração de prova de conceito (Proof of Concept, ou PoC) vazaram acidentalmente, detalhando uma vulnerabilidade não-corrigida do Windows que permite a execução remota de código por parte de invasores.
Apesar da necessidade de autenticação, a gravidade do problema é crítica, pois os agentes da ameaça podem usá-lo para assumir o controle de um servidor de domínio do Windows para implantar facilmente malware na rede de uma empresa.
O problema afeta o Windows Print Spooler e, devido à longa lista de bugs que afetaram esse componente ao longo dos anos, os pesquisadores que detalharam a vulnerabilidade o chamaram de PrintNightmare.
Agora, a Microsoft publicou um comunicado para outra vulnerabilidade zero-day do spooler de impressão do Windows, rastreada como CVE-2021-36958, que permite que invasores locais obtenham privilégios de sistema em um computador.
Esta vulnerabilidade usa a diretiva de registro CopyFile para copiar um arquivo DLL que abre um prompt de comando para o cliente junto com um driver de impressão quando o usuário se conecta a uma impressora. Embora as atualizações de segurança recentes da Microsoft tenham alterado o procedimento de instalação do novo driver de impressora para que ele exija privilégios de administrador, não é preciso inserir privilégios de administrador se o driver já estiver instalado em um dispositivo.
Além disso, a conexão com uma impressora remota ainda executará a diretiva CopyFile para usuários não-administradores. Este ponto fraco permite que a DLL do Delpy seja copiada para o usuário e executada para abrir um prompt de comando a nível de sistema.
A Microsoft ainda não lançou uma atualização de segurança para esta falha, mas afirma que é possível remover o vetor de ataque desabilitando o Spooler de Impressão.
Mas como desativar o spooler de impressão impedirá que seu dispositivo imprima qualquer coisa, um método mais eficaz é permitir que seu dispositivo instale apenas impressoras de servidores autorizados.
Essa restrição pode ser feita usando a política “Apontar e imprimir – servidores aprovados”, evitando que usuários não-administrativos instalem drivers de impressão usando essa configuração.
Quer manter sua empresa e seus colaboradores seguros? Conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar!
- Published in Noticias
Quem é quem em um ataque de Engenharia Social
Se a Engenharia Social pode atingir qualquer nível de usuário, como traçar o perfil de quem a pratica com más intenções e quem sofre com suas consequências?
Um ataque de Engenharia Social envolve abordagens que podem despertar o interesse do alvo pela ativação de algum senso emotivo.
Diferente de ataques focados em tecnologia, a aproximação do engenheiro social pode ter diferentes caras e afinidades, tudo vai depender do que o criminoso sabe previamente o alvo.
Se um ataque de Engenharia Social pode fazer de qualquer um uma vítima, definir os alvos prioritários de um possível ataque deve ser baseado em algumas outras características.
Para chegarmos nas vítimas mais vulneráveis, iremos abordar neste artigo:
- Como funciona um ataque de Engenharia Social
- Quais os principais tipos de ataque
- Os dados mais importantes que sua empresa precisa proteger?
- O Perfil do Engenheiro Social
- Quem é a Vítima de Engenharia Social
- Como Proteger Funcionários da Engenharia Social
Vamos lá?
Como funciona um Ataque de Engenharia Social na Segurança da Informação
Para entendermos como os ataques de Engenharia Social, ainda que semelhantes, possam ter impactos diferentes, é importante compreender que seu sistema funciona na base de tentativa e erro:
Coleta de informações, planejamento de ataques, aquisição das ferramentas necessárias, ataque, uso das informações coletadas.
Sendo assim, novas tentativas de ataques podem ser mais convincentes por trazerem elementos que as tornem mais verídicas, com os dados coletados na tentativa anterior.
Principais ataques realizados com Engenharia Social
Phishing
O Phishing é o ataque da engenharia social mais comum da atualidade, em suas dezenas de versões.
O crime consiste na obtenção de dados de uma pessoa ou organização através de técnicas de comunicação que resultam na persuasão da vítima.
No ambiente corporativo, qualquer usuário pode ser uma porta de entrada para uma brecha de segurança por saber, ter acesso ou simplesmente saber quem sabe de algo importante.
O contato do criminoso pode ocorrer a partir de qualquer meio de comunicação, como telefone, e-mail, ou SMS – na tentativa de fazer com que pessoas caiam em um golpe.
Fácil de ser executado, o phishing também não é um ataque difícil de ser reconhecido quando observado com atenção. Por isso, a chance de sucesso da prática depende de dois fatores: O momento certo e a desatenção do usuário.
Quem é exposto a essa tática pode ser surpreendido com algum contato em um momento em que aquele contato faça sentido, por exemplo.
Pretexting
O Pretexting é uma ação maliciosa que consiste na tentativa de se obter dados pessoais ou sobre uma empresa de maneira voluntária por uma falsa causa.
Este golpe pode vir disfarçado de uma causa ou confirmação de informações e com isso, despertar a generosidade do alvo.
Suas vítimas podem receber um e-mail suspeito, um telefone ou até mesmo mensagem de texto no WhatsApp.
Quid pro quo
O Quid pro quo é uma abordagem de troca inconsciente. Alguém oferece algo em troca de outra coisa.
Uma vítima desta abordagem pode receber ajuda técnica por algo, que embora seja resolvido pelo criminoso, dá a ele o poder de instalar ou induzir a instalação de arquivos maliciosos no dispositivo.
É uma falsa sensação de benefício em troca de dados pessoais ou problemas técnicos maiores no futuo.
Sextorsão
A sextorsão (sexo + extorsão) é um crime virtual em que a vítima é chantageada a realizar uma ação caso não queira que algum conteúdo íntimo seja divulgados.
Quando uma vítima possue algum e-mail ou número de celular exposto e que possam ser encontrado por botnets, é muito provável que receba tentativas de diversos tipos de ataques, incluindo a sextorsão.
É uma prática que se apoia muito na informação que coleta sobre um alvo, por muitas vezes ele não possui, realmente, um arquivo confidencial, mas sua abordagem (mais informada do que a maioria) vai fazer a vítima acreditar que sim.
Dumpster Diving
O dumpster diving é uma das práticas mais comuns e cotidianas que não utilizam dispositivos eletrônicos.
Trata-se do ato de vasculhar o lixo alheio para obter algum bem.
No mundo da tecnologia, vasculhar o lixo não é apenas uma ação de desespero, pois resíduos, peças ou até mesmo dispositivos com falhas podem ser descartados pelas companhias e tornarem-se alvo de algum tipo de vazamento ou boato.
Muitas organizações já possuem políticas de descarte para formalizar a ação e blindar qualquer tipo de vazamento ao tornar os itens inutilizáveis.
Shoulder Surfing
O Shoulder Surfing consiste na prática de observar as ações que uma pessoa está realizando em dispositivos como um celular ou computadores.
Para os engenheiros sociais, a ação pode representar mais do que uma simples curiosidade e tornar-se uma oportunidade para descobrir e memorizar senhas ou informações da vítima ou empresa que trabalha.
Tailgating
O tailgating é uma tática mais complexa que consiste no acesso presencial a lugares restritos por pessoas não autorizadas.
Considerada a mais antiga das abordagens de engenharia social, utiliza-se na maioria das vezes da bondade da vítima, como quando alguém está com as mãos tão ocupadas que uma pessoa gentil decide ajudar ao abrir e segurar a porta.
Quais informações mais importantes que sua empresa precisa proteger
Talvez sua empresa colete muitos dados bancários de usuários, por envolver o credenciamento para alguma plataforma financeira (como uma fintech).
Ou talvez ela simplesmente envolva dados particulares e identificáveis, como documentos e as preferências de cada um, como em uma rede social.
O mais importante a se compreender é que toda empresa possui um dado que acaba sendo mais importante que o outro pelo valor que representa para o negócio.
Para traçar o perfil de quem é vítima e engenheiro social nesse tipo de ataque, é importante primeiro entender qual a informação mais importante para cada marca.
Talvez a informação mais relevante para o setor de limpeza, por exemplo, seja o calendário de locais que precisam ser limpos, listagem de produtos, dentre outras coisas neste sentido, mas o mesmo funcionário pode ter acesso a lugares críticos.
E é por isso que não importa necessariamente quem você é, e sim o que você sabe ou os locais para os quais você tem acesso.
Quem é o Engenheiro Social
Apesar do nome, um engenheiro social não é um especialista na área de roubar informações.
Até porque a formação ainda não existe. Ao menos não formalmente.
Mas para que alguém execute ataques de engenharia social, algumas habilidades podem ser necessárias:
- Capacidade de contar uma boa história de maneira convincente.
- Habilidade para utilizar as informações coletadas a seu favor.
- Poder de persuadir para conseguir que as ações sejam voluntárias.
- Inteligência analítica necessária para estudar o alvo ou público-alvo com precisão.
Quem é a Vítima de Engenharia Social
A engenharia social está presente em todo lugar, qualquer sinal ou ação pode ser o suficiente para que alguém obtenha alguma informação da vítima.
A maior brecha dos sistemas de segurança não é sua tecnologia, mas as pessoas.
Todos os seres humanos possuem características (como o gosto por algum estilo musical), padrões de comportamento e psicológicos. É na observação dessas características que um engenheiro social obtêm o que precisa.
Seja o colaborador um profissional da área técnica ou mais humanizada, todos estão sujeitos a falhar na proteção contra um ataque deste tipo, pois possuem vulnerabilidades humanas.
Em situações cotidianas, vítimas podem ser feitas:
- Quando desatentos – em modo “automático” na realização de suas tarefas.
- Ocasião em que não verificam a autenticidade das mensagens recebidas.
- Ao passo que vivenciam algum problema pessoal e a mensagem soa como a oportunidade de melhorar as coisas.
- No momento em que se sensibilizam com a mensagem recebida e tem intenções de ajudar.
- Na hora em que precisa de ajuda e não possui muitas habilidades técnicas.
Como proteger funcionários da Engenharia Social
Muitas empresas erram na prevenção contra golpes virtuais ao só importarem-se com eles após uma primeira ocorrência.
A verdade é que quando falamos que a maior vulnerabilidade de segurança no ambiente corporativo é o fator humano e não suas tecnologias, não estamos falando que os funcionários são menos competentes, mas sim, que todos podem ser persuadidos.
É por isso que uma boa estratégica para combater a engenharia social possui duas características:
- Prevenção.
- Constância.
O fato de ser preventiva mostra que a organização já está preparada para caso algo aconteça, ela reconhece o problema e suas probabilidades, e só isso já é o suficiente para afastar muitos criminosos entusiastas.
Quanto a ser constante, é para que os funcionários também estejam sempre alertas sobre o perigo e não apenas em campanhas específicas ou ações reativas a ataques sofridos.
Em outras palavras, a prevenção é a melhor arma contra ataques de engenharia social. Confira algumas dicas que podem ser lembradas dentro do ambiente corporativo:
Manter gavetas e armários fechados.
Holerites, documentos e diversos outros arquivos impressos, com informações sensíveis, podem tornar-se uma vulnerabilidade ao serem facilmente vistas por colegas no ambiente corporativo.
Por isso, é importante manter as gavetas e armários fechados, e instruir os funcionários a levarem tudo o que for crítico para casa no final do expediente, ou disponibilizar um armazenamento específico para este fim.
Minimizar ou encerrar softwares que exponham dados da empresa ou funcionário.
Especialmente em empresas em que as mesas e computadores estiverem expostas em ambiente aberto, é muito comum que, quase inconscientemente, funcionários “bisbilhotam” o que outros estão executando no dispositivo.
Embora na maioria das vezes isso não represente nenhum problema, pode representar uma vulnerabilidade ao gerar oportunidades para pessoas com más intenções.
Não compartilhar login e senha com nenhum colega de trabalho.
Talvez a prática mais comumente difundida em qualquer ambiente, o compartilhamento de senhas é uma das práticas simples que podem causar as piores consequências a um trabalhador.
Imagine que ao fornecer a senha, a pessoa não apenas ganhar acesso total aos recursos disponibilizados para o dono da conta como também abre uma nova vulnerabilidade para seus dados pessoais, que podem a qualquer momento ser obtidos por algum usuário mal intencionado dependendo da prática do novo portador das informações de acesso.
Na necessidade de ausentar-se da mesa de trabalho, realizar o logout até o retorno.
Isso pode ser feito através do menu iniciar ou CTRL + Alt + Del caso esteja utilizando o Windows como sistema operacional.
Da mesma maneira que é importante fechar gavetas e armários que contenham documentos críticos, é essencial que os integrantes de qualquer equipe em uma empresa recebam o treinamento adequado para adquirirem o hábito de, ao ausentar-se da mesa de trabalho, encerrem a sessão de login no computador.
Isso porque ao manter o sistema logado o usuário abre brechas para que outras pessoas acessem ou alterem um arquivo específico que possa comprometer a vítima.
Não jogue documentos inteiros no lixo, rasgue-o ou fragmente caso seja uma opção no local de trabalho.
Jogar documentos e itens críticos como cartões de crédito, exames ou papéis com outras informações podem abrir brechas para a prática de no-hacking conhecida como “dumpster diving”, que consiste basicamente na vulnerabilidade encontrada num lugar muito comum: as lixeiras.
Em situações externas, evitar ao máximo mencionar informações internas da empresa (quadro de funcionários, rotinas, procedimentos).
Exceto quando receber instruções específicas e treinamento de uma assessoria de imprensa, por exemplo.
Colaboradores bem informados sobre a própria organização nunca representarão algo negativo.
No entanto, é importante que os mesmos sejam instruídos nos lugares e momentos em que poderão falar sobre os temas internas.
Pessoas passam por diversos ambientes, além da empresa, ao longo do dia: transportes públicos, outras empresas e claro, a própria residência.
Todos os lugares externos podem abrir vulnerabilidades para que pessoas de fora ganhem acesso a informações privadas e que podem usar para finalidades de impacto negativo.
Coletar documentos impressos logo em seguida.
Impressão em rede é um excelente recurso para a maioria das empresas, afinal, diminui a necessidade de espaços físicos para diversas impressoras e permite que os funcionários compartilhem um mesmo equipamento.
No entanto, o compartilhamento desse dispositivo pode abrir vulnerabilidades para que pessoas tenham acesso ao que foi impresso antes mesmo de quem o solicitou.
E por isso recomendação geral é de que os documentos sejam coletados logo depois da impressão ser solicitada.
Um guia sobre Engenharia Social
Todos estão vulneráveis
Como visto, todos podem tornar-se alvos de um engenheiro social, tudo irá depender dos seguintes fatores:
- As intenções do criminoso
- As informações que a vítima sabe, as pessoas que conhece ou os lugares para os quais tem acesso
- Seu estado emocional
É por isso que embora pessoas com os maiores cargos sejam alvos maiores, a hierarquização não funciona para traçar o impacto de um ataque, pois algo que um novo funcionário saiba ou o local para o qual tem acesso pode ser suficiente.
Quer saber o que sua empresa pode fazer ainda hoje para prevenir os ataques de Engenharia Social? Consulte os Especialistas em Segurança da Informação da Compugraf.
- Published in Segurança da Informação
Como identificar e-mails falsos de Engenharia Social
Descubra como identificar e-mails falsos utilizados para os ataques de Engenharia Social
E-mails são a principal forma de comunicação interna e externa para muitas empresas, dos mais variados setores.
Enquanto contatos via telefone ou pessoalmente são mais difíceis de serem forjados, principalmente quando existe uma pré-relação entre as duas partes, os e-mails podem mascarar melhor uma falsa comunicação.
Para desvendar o que pode diferenciar um e-mail autêntico de um falso, preparamos este guia, onde iremos discutir:
- O que é Engenharia Social
- Quais os Principais Ataques de Engenharia Social
- Como identificar e-mails falsos
- Como proteger funcionários da Engenharia Social
O que é Engenharia Social
A Engenharia Social como conhecemos hoje, existe para tratar ameaças que possuem como vítima uma pessoa.
Mas antes de nos aprofundarmos no tema, é preciso entender o que é a segurança da informação e porque é importante estudarmos sobre a engenharia social:
A segurança da informação é baseada em um conjunto de ações para a proteção de dados, desde um dado corporativo sigiloso até as informações sobre um funcionário ou cliente.
Principais ataques de Engenharia Social
Phishing
O Phishing é o ataque da engenharia social mais comum da atualidade, em suas dezenas de versões.
O crime consiste na obtenção de dados de uma pessoa ou organização através de técnicas de comunicação que resultam na persuasão da vítima.
No ambiente corporativo, qualquer usuário pode ser uma porta de entrada para uma brecha de segurança por saber, ter acesso ou simplesmente saber quem sabe de algo importante.
O contato do criminoso pode ocorrer a partir de qualquer meio de comunicação, como telefone, e-mail, ou SMS – na tentativa de fazer com que pessoas caiam em um golpe.
Fácil de ser executado, o phishing também não é um ataque difícil de ser reconhecido quando observado com atenção. Por isso, a chance de sucesso da prática depende de dois fatores: O momento certo e a desatenção do usuário.
Quem é exposto a essa tática pode ser surpreendido com algum contato em um momento em que aquele contato faça sentido, por exemplo.
Pretexting
O Pretexting é uma ação maliciosa que consiste na tentativa de se obter dados pessoais ou sobre uma empresa de maneira voluntária por uma falsa causa.
Este golpe pode vir disfarçado de uma causa ou confirmação de informações e com isso, despertar a generosidade do alvo.
Suas vítimas podem receber um e-mail suspeito, um telefone ou até mesmo mensagem de texto no WhatsApp.
Quid pro quo
O Quid pro quo é uma abordagem de troca inconsciente. Alguém oferece algo em troca de outra coisa.
Uma vítima desta abordagem pode receber ajuda técnica por algo, que embora seja resolvido pelo criminoso, dá a ele o poder de instalar ou induzir a instalação de arquivos maliciosos no dispositivo.
É uma falsa sensação de benefício em troca de dados pessoais ou problemas técnicos maiores no futuo.
Sextorsão
A sextorsão (sexo + extorsão) é um crime virtual em que a vítima é chantageada a realizar uma ação caso não queira que algum conteúdo íntimo seja divulgados.
Quando uma vítima possue algum e-mail ou número de celular exposto e que possam ser encontrado por botnets, é muito provável que receba tentativas de diversos tipos de ataques, incluindo a sextorsão.
É uma prática que se apoia muito na informação que coleta sobre um alvo, por muitas vezes ele não possui, realmente, um arquivo confidencial, mas sua abordagem (mais informada do que a maioria) vai fazer a vítima acreditar que sim.
Dumpster Diving
O dumpster diving é uma das práticas mais comuns e cotidianas que não utilizam dispositivos eletrônicos.
Trata-se do ato de vasculhar o lixo alheio para obter algum bem.
No mundo da tecnologia, vasculhar o lixo não é apenas uma ação de desespero, pois resíduos, peças ou até mesmo dispositivos com falhas podem ser descartados pelas companhias e tornarem-se alvo de algum tipo de vazamento ou boato.
Muitas organizações já possuem políticas de descarte para formalizar a ação e blindar qualquer tipo de vazamento ao tornar os itens inutilizáveis.
Shoulder Surfing
O Shoulder Surfing consiste na prática de observar as ações que uma pessoa está realizando em dispositivos como um celular ou computadores.
Para os engenheiros sociais, a ação pode representar mais do que uma simples curiosidade e tornar-se uma oportunidade para descobrir e memorizar senhas ou informações da vítima ou empresa que trabalha.
Tailgating
O tailgating é uma tática mais complexa que consiste no acesso presencial a lugares restritos por pessoas não autorizadas.
Considerada a mais antiga das abordagens de engenharia social, utiliza-se na maioria das vezes da bondade da vítima, como quando alguém está com as mãos tão ocupadas que uma pessoa gentil decide ajudar ao abrir e segurar a porta.
Como identificar e-mails falsos de Engenharia Social
Reconhecer um e-mail falso pode parecer uma tarefa fácil, até mesmo automática para muitas pessoas. Mas a verdade é que a tarefa está se tornando um pouco mais complexa do que costumava ser.
Se antes bastava conferir o remetente da mensagem @empresa, hoje diversos serviços de disparo de e-mail já não recebem um endereço personalizado, mas sim, um gerado automaticamente pelo serviço, o que dificulta que o reconhecimento ocorra dessa maneira.
Outro detalhe é que visualmente os e-mails falsos estão idênticos as suas versões originais.
Então como identificar e-mails falsos?
Confira o remetente da mensagem
Embora e-mails gerados automaticamente estejam dificultando o reconhecimento de alguns remetentes, no geral, os e-mails falsos tentam replicar o endereço original da empresa para confundir o usuário na desatenção.
Para isso eles criam, por exemplo, endereços parecidos porém com detalhes numéricos.
E em tentativas de golpes de menor qualidade, o próprio e-mail entrega não se tratar de algo legítimo e dependendo do domínio ou formato, o serviço de e-mails por desconhecer ou ter casos recorrente de endereços parecidos, nem mesmo permite que a mensagem chegue ao usuário final, ativando a proteção contra spam.
Links internos
No processo para identificar e-mails falsos é importante observar que sempre que um e-mail contêm links ao longo da mensagem, a proteção spam de um serviço de e-mail de qualidade já o analisa de uma outra maneira, sendo que caso o link seja popularmente malicioso, a proteção é ativada automaticamente.
Mas o sistema não é perfeito e falha em inúmeros casos, pois alguns domínios são novos e ainda não tem nenhuma reputação (negativa ou positiva), por exemplo.
Neste caso, é importante analisar duas coisas:
Em que parte do texto os links são inseridos
Quando um hiperlink é criado em cima de um texto, por exemplo “acesse o site”, a primeira coisa que deve ser verificada é se o link corresponde ao texto.
Verifique o formato de link
Existem links que se assemelham ao original com o detalhe de algum caractere especial para possibilitar o registro do domínio.
Mas no geral, muitos links maliciosos terão um formato diferente, nada familiares. Caso ao passar o mouse por cima do link e notar que o mesmo possui um formato diferente, não clique.
O ideal é pesquisar pelo domínio principal e ver os resultados que aparecem. Caso não há muito material disponível na internet, desconfie. Entre em contato com a empresa antes de clicar em qualquer coisa, assim é possível garantir a segurança do link.
Ao analisar essas duas características será muito mais fácil de identificar e-mails falsos e, principalmente, a segurança dos links apontados no corpo dele.
Desconfie de ofertas inesperadas muito vantajosas
Embora todos queiram acreditar que foram contemplados com alguma promoção, é preciso tomar cuidado quando a oferta parece ser boa demais para ser verdade.
Por isso, antes de qualquer ação em um e-mail desse tipo, verifique as informações diretamente com o remetente – no caso a empresa que enviou o e-mail.
Um e-mail falso é um dos principais meios de contato para a aplicação de um golpe por phishing.
Portanto, é preciso tomar cuidado com abordagens não esperadas que apresentem uma oferta muito vantajosa, tanto de empresas conhecidas como desconhecidas.
O e-mail acompanha anexo um boleto, nota fiscal ou fatura
Empresas que enviam qualquer tipo de cobrança ou nota fiscal por e-mail devem apresentar algum tipo de comprovação de que os arquivos são legítimos, além do mais, é importante refletir se um desses documentos é necessário – como resultado de alguma transação realizada.
Jamais faça o download sem ter certeza de que o arquivo é legítimo e muito menos o pagamento.
No caso de cobranças recorrentes, como assinaturas de telefone, celular, internet, basta atentar-se aos valores e dados informados no corpo do e-mail, caso não especifique o titular correto ou o valor esteja diferente do usual, confirme diretamente com o remetente.
Caso exista alguma pendência, solicite um novo boleto para garantir o pagamento da versão correta de preferência.
O próprio e-mail se contradiz ou possui muitos erros de português
Erros básicos podem ser cometidos em e-mails falsos.
Às vezes, as cores e fonte não batem com a identidade da marca, ou o texto possui muitos erros de português ou ainda, possuem um discurso contraditório.
É por isso que grande parte do processo de identificar um e-mail falso é a atenção do usuário ao observar as características mencionadas acima.
Para identificar e-mails falsos também é possível verificar a existência de um e-mail através da ferramenta gratuita CaptainVerify.
Como proteger funcionários da Engenharia Social
Muitas empresas erram na prevenção contra golpes virtuais ao só importarem-se com eles após uma primeira ocorrência.
A verdade é que quando falamos que a maior vulnerabilidade de segurança no ambiente corporativo é o fator humano e não suas tecnologias, não estamos falando que os funcionários são menos competentes, mas sim, que todos podem ser persuadidos.
É por isso que uma boa estratégica para combater a engenharia social possui duas características:
- Prevenção.
- Constância.
O fato de ser preventiva mostra que a organização já está preparada para caso algo aconteça, ela reconhece o problema e suas probabilidades, e só isso já é o suficiente para afastar muitos criminosos entusiastas.
Quanto a ser constante, é para que os funcionários também estejam sempre alertas sobre o perigo e não apenas em campanhas específicas ou ações reativas a ataques sofridos.
Em outras palavras, a prevenção é a melhor arma contra ataques de engenharia social. Confira algumas dicas que podem ser lembradas dentro do ambiente corporativo:
Manter gavetas e armários fechados.
Holerites, documentos e diversos outros arquivos impressos, com informações sensíveis, podem tornar-se uma vulnerabilidade ao serem facilmente vistas por colegas no ambiente corporativo.
Por isso, é importante manter as gavetas e armários fechados, e instruir os funcionários a levarem tudo o que for crítico para casa no final do expediente, ou disponibilizar um armazenamento específico para este fim.
Minimizar ou encerrar softwares que exponham dados da empresa ou funcionário.
Especialmente em empresas em que as mesas e computadores estiverem expostas em ambiente aberto, é muito comum que, quase inconscientemente, funcionários “bisbilhotam” o que outros estão executando no dispositivo.
Embora na maioria das vezes isso não represente nenhum problema, pode representar uma vulnerabilidade ao gerar oportunidades para pessoas com más intenções.
Não compartilhar login e senha com nenhum colega de trabalho.
Talvez a prática mais comumente difundida em qualquer ambiente, o compartilhamento de senhas é uma das práticas simples que podem causar as piores consequências a um trabalhador.
Imagine que ao fornecer a senha, a pessoa não apenas ganhar acesso total aos recursos disponibilizados para o dono da conta como também abre uma nova vulnerabilidade para seus dados pessoais, que podem a qualquer momento ser obtidos por algum usuário mal intencionado dependendo da prática do novo portador das informações de acesso.
Na necessidade de ausentar-se da mesa de trabalho, realizar o logout até o retorno.
Isso pode ser feito através do menu iniciar ou CTRL + Alt + Del caso esteja utilizando o Windows como sistema operacional.
Da mesma maneira que é importante fechar gavetas e armários que contenham documentos críticos, é essencial que os integrantes de qualquer equipe em uma empresa recebam o treinamento adequado para adquirirem o hábito de, ao ausentar-se da mesa de trabalho, encerrem a sessão de login no computador.
Isso porque ao manter o sistema logado o usuário abre brechas para que outras pessoas acessem ou alterem um arquivo específico que possa comprometer a vítima.
Não jogue documentos inteiros no lixo, rasgue-o ou fragmente caso seja uma opção no local de trabalho.
Jogar documentos e itens críticos como cartões de crédito, exames ou papéis com outras informações podem abrir brechas para a prática de no-hacking conhecida como “dumpster diving”, que consiste basicamente na vulnerabilidade encontrada num lugar muito comum: as lixeiras.
Em situações externas, evitar ao máximo mencionar informações internas da empresa (quadro de funcionários, rotinas, procedimentos).
Exceto quando receber instruções específicas e treinamento de uma assessoria de imprensa, por exemplo.
Colaboradores bem informados sobre a própria organização nunca representarão algo negativo.
No entanto, é importante que os mesmos sejam instruídos nos lugares e momentos em que poderão falar sobre os temas internas.
Pessoas passam por diversos ambientes, além da empresa, ao longo do dia: transportes públicos, outras empresas e claro, a própria residência.
Todos os lugares externos podem abrir vulnerabilidades para que pessoas de fora ganhem acesso a informações privadas e que podem usar para finalidades de impacto negativo.
Coletar documentos impressos logo em seguida.
Impressão em rede é um excelente recurso para a maioria das empresas, afinal, diminui a necessidade de espaços físicos para diversas impressoras e permite que os funcionários compartilhem um mesmo equipamento.
No entanto, o compartilhamento desse dispositivo pode abrir vulnerabilidades para que pessoas tenham acesso ao que foi impresso antes mesmo de quem o solicitou.
E por isso recomendação geral é de que os documentos sejam coletados logo depois da impressão ser solicitada.
E-mails não são o único canal de comunicação
Ficou com dúvidas mesmo após as dicas acima?
Reforce a importância de alternância de meios de comunicação dentro da empresa, assim, as equipes podem reduzir as chances de um ataque oportunista funcionar.
Conforme as recomendações, e caso isso não seja possível, crie políticas internas, como frases ou códigos especiais que possam autenticar os autores originais das mensagens. E lembre-se, atenção é a melhor prevenção de todas.
O Brasil no foco dos ataques de Phishing
Tire suas dúvidas com nosso time
Consulte os especialistas de Segurança da Informação da Compugraf.
- Published in Segurança da Informação
Ciberataques em vias aéreas: hackers violam sites do aeroporto de São Francisco
Funcionários revelam que nomes de usuário e senhas foram roubados
O Aeroporto Internacional de São Francisco divulgou que hackers roubaram nomes de usuário e senhas de dois de seus sites em março.
De acordo com uma notificação recente, disponíveis em seus canais de comunicação, os sites invadidos foram o SFOConnect.com, que fornece atualizações sobre o aeroporto para passageiros e viajantes, e o Flysfo.com, que contém informações sobre projetos de reforma, construção e expansão do aeroporto.
Até segunda-feira (13/04), o site SFOConnect já estava funcionando normalmente, fornecendo informações sobre serviços de passageiros, de voo e os efeitos da pandemia do COVID-19 no aeroporto. O site SFOConstruction, contudo, ainda está fora do ar, redirecionando apenas para a página de notificação da violação.
Embora a notificação ressalte que o incidente ocorreu em março e que as autoridades aeroportuárias ainda estão investigando, ainda não foi não divulgado quantas senhas e nomes de usuários podem ter sido comprometidos e se a violação afetou passageiros, funcionários do aeroporto ou ambos.
O Aeroporto Internacional de São Francisco é considerado o sétimo aeroporto mais movimentado dos EUA e seu site diz que ele normalmente recebe cerca de 58 milhões de passageiros por ano. Pertence e é operado pela cidade de San Francisco, quarta cidade mais populosa do estado da Califórnia.
Como aconteceu o ciberataque ao aeroporto de San Francisco
Segundo a notificação de violação, os hackers inseriram códigos maliciosos nos dois sites para roubar as credenciais de login dos usuários. A notificação não esclarece se o ataque começou com um email de phishing ou uma exploração de uma vulnerabilidade.
“Os usuários possivelmente afetados por esse ataque incluem aqueles que acessam esses sites de fora da rede do aeroporto pelo Internet Explorer em um dispositivo pessoal baseado no Windows ou em um dispositivo não mantido pelo Aeroporto Internacional de São Francisco”, diz a nota de esclarecimento.
Depois que o hacking foi identificado, os dois sites foram tirados do ar e o código malicioso foi removido, de acordo com a notificação. As autoridades do aeroporto forçaram a redefinição de todas as senhas de e-mail e de rede no dia 23 de março.
Agora, elas pedem que qualquer pessoa que tenha visitado ou que tenha configurado uma conta esses dois sites para redefinir suas senhas e nomes de usuários urgentemente, especialmente se eles usarem um dispositivo cujo sistema operacional é o Windows.
“Embora não esteja claro qual foi a motivação por trás desse ataque, os dois sites parecem confiar na autenticação de login único, o que os tornou mais suscetíveis a esse tipo de hacking”, diz Fausto Oliveira, principal arquiteto de segurança da empresa especializada em cibersegurança Acceptto.
“O site SFOConstruction.com exige [para login] um código de registro publicado no próprio site, o que dificilmente é uma medida eficaz para impedir a aquisição de contas no primeiro uso e que pode ser facilmente explorado por hackers que usam ataques de engenharia social mais simples”, diz Oliveira à Information Grupo de mídia de segurança.
“Da mesma forma, o SFOConnect.com revela dados que ajudam a entender a composição das informações hospedadas, e há um site do SharePoint que contém informações de comissões de aeroportos. Esse tipo de dados nunca deve ser exposto a usuários não autenticados”.
Oliveira diz que mesmo um processo simples de autenticação de dois fatores pode ter impedido a exposição de alguns dados.
Não é a primeira vez que aeroportos são alvos de ciberataques
Em outro incidente recente envolvendo hackers e vazamento de dados de aeroportos, autoridades do Aeroporto Internacional de Albany (Nova York) divulgaram em janeiro que tiveram que pagar uma gangue de cibercriminosos depois que os sistemas da instalação foram atingidos pelo ransomware Sodiniokibi no Natal, a fim de que suas atividades fossem normalizadas. O incidente permanece sob investigação do FBI e do Cyber Command do Estado de Nova York.
Em 2015, na Polônia, ataques de hackers chegaram a resultar em cancelamentos e atrasos no aeroporto de Chopin, na Varsóvia, depois que um ataque cibernético afetou os sistemas da companhia aérea polonesa Lot, impedindo os computadores de criarem planos de voo.
Em 2017, na Ucrânia, ataques cibernéticos atingiram o aeroporto ucraniano de Odessa e o sistema de metrô em Kiev. Não se sabe ao certo os motivos, mas o aeroporto de Odessa informou que intensificou as medidas de segurança, enquanto o metrô de Kiev reportou um ataque ao seu sistema de pagamento.
Já em 2018, em Atlanta, o Aeroporto Internacional Hartsfield-Jackson foi forçado a desligar sua rede de Wi-Fi interna como medida de segurança, depois que a rede do governo da cidade de Atlanta sofreu um ataque de ransomware.
Nesse caso, o problema foi mais grave: os arquivos presentes na rede foram criptografados e mantidos como “reféns” em vários dos computadores oficiais. O aeroporto de Atlanta desativou o serviço Wi-Fi para evitar que qualquer ransomware malicioso se espalhasse pelos computadores das autoridades aeroportuárias, das companhias aéreas e, possivelmente, dos clientes.
No Brasil, em 2019, um hacker identificou uma brecha de segurança em um aplicativo da LATAM que permitiria usuários mal intencionados acessarem notebooks e celulares de clientes da companhia aérea, através da transferência de malware por um procedimento de phishing interno.
A principal preocupação era que a vulnerabilidade detectada também permitiria que o hacker gerasse um falso formulário de compra para roubar informações mais sensíveis, como nome completo e dados de cartão de crédito — o que abriria margem para uma série de fraudes e golpes de falsificação ideológica. Em nota emitida pela LATAM, a companhia alegou que testes e correções foram encaminhados imediatamente após a notificação.
Ataques a aeroportos ou em sistemas de companhias aéreas não são incomuns. Isso porque estamos lidando com locais que combinam total dependência de soluções tecnológicas com uso de informações sensíveis sobre funcionários e passageiros.
O investimento em segurança deve cobrir todas as possíveis frentes de ataque e ir além do básico; é preciso presumir que estamos sempre sob risco de sofrer um ataque cibernético e cuidar tanto de nossos sistemas quanto de nossas atitudes como usuários.
Nas redes da Compugraf estamos compartilhando conteúdos riquíssimos para garantir prevenção de ataques. Não deixe de dar uma olhada e compartilhar com seu time!
- Published in Segurança da Informação
Engenharia Social: Como identificar sites falsos
Diversos sites podem ser utilizados para um ataque de engenharia social. Você sabe como identificar sites falsos?
Descubra quais características podem auxiliar na distinção de páginas plagiadas para fins maliciosos.
Os principais desafios em como identificar sites falsos, incluem um fato importante:
Normalmente, os alvos são páginas que necessitam de credenciamento, citando como exemplo serviços de consumo como Netflix ou até mesmo e-mails, são alvos estratégicos de cibercriminosos de Engenharia Social em busca de roubar informações de acesso.
A maioria das páginas podem ser facilmente distinguidas pela URL na barra de endereços, que irá ser diferente da original.
Mas o que fazer quando os sites são redirecionados para páginas de crimes de Engenharia Social ou a variação não é perceptível?
Neste guia de como identificar sites falsos, separamos as seguintes dicas:
Como identificar sites falsos na Engenharia Social
Com os sites falsos cada vez mais parecidos com suas versões originais, torna-se cada vez mais difícil diferenciá-los visualmente.
No entanto, ainda sim é possível identificar e apontar suas diferenças técnicas para garantir que o acesso ocorra na versão correta do site.
Durante o check up de um site, é muito importante verificar as seguintes características:
A URL do site
A primeira coisa a ser observada para descobrir se um site está correto ou não, é reparar em sua URL.
Isso porque em muitos casos o domínio não corresponde ao original, ou apesar de ser semelhante, é acompanhado por números e caracteres especiais.
Trata-se de uma prática muito comum nos sites utilizados para prática de Engenharia Social.
A quantidade de anúncios
Embora seja uma fonte de renda para muitos sites, é pouco provável que um site confiável exceda nas propagandas na página e, principalmente, se essas forem invasivas (como é o caso de pop-ups).
Caso já tenha acessado o site anteriormente e notou um aumento estranho na quantidade de anúncios, talvez seja um bom motivo pra desconfiar da veracidade da página.
Ou ainda, observar o conteúdo dos anúncios pode fazer toda diferença, pois se estiverem fora de contexto ou nem ao menos se associarem as suas pesquisas recentes, pode haver algo de errado ou o serviço de anúncios ser de baixa qualidade.
Semelhante, mas é idêntico?
Normalmente, até os sites que “clonam” as versões originais possuem detalhes que se diferenciam, pois as vezes não acompanham suas atualizações ou simplesmente não chegaram no mesmo nível de programação da página.
Por isso, caso já tenha acessado o site anteriormente, vale a pena dar uma olhada mais clínica nos detalhes para verificar as informações.
Esses detalhes muitas vezes são a chave para diferenciar de sites com ataques de Engenharia Social
Velocidade de carregamento
Os sites falsos de Engenharia Social muitas vezes são hospedados em servidores de baixa qualidade, e caso o site original tenha uma estrutura mais ágil, é mais fácil reparar na diferença de qualidade de uma versão para a outra.
Mas também é importante lembrar que em momentos de instabilidade é possível que até mesmo grandes sites tenham problemas momentâneos como erros no carregamento ou na própria velocidade.
Se a necessidade de acesso não é imediata, vale a pena atualizar a página (F5) ou até mesmo aguardar alguns minutos para checar novamente se as coisas seguem da mesma maneira.
Um dos critérios para saber como identificar sites falsos, é verificar se o site possui Certificado SSL
O certificado SSL é uma necessidade para todo tipo de site, principalmente se ocorre qualquer tipo de transação dentro do site. Ao longo dos últimos anos o certificado tornou-se tão importante que o Google passou a penalizar, nos resultados de busca, sites que não estejam certificados.
A boa notícia é que não há diferença entre certificados pagos ou gratuitos. Mas existem diferentes tipos de certificado que devem ser considerados de acordo com a finalidade do site.
Protegendo o site de sua empresa contra fraudes de Engenharia Social
Agora que você já sabe os principais pontos a serem observados nos sites acessados para saber como identificar sites falsos, vamos nos aprofundar mais no tema para que sua equipe possa aplicar ou identificar as características no site de sua empresa:
Quais os tipos de certificado existentes
- Certificado de Validação de Domínio
O certificado de validação de domínio é o mais comum de todos, sendo ideal para sites que precisam de proteção moderada por lidar com um volume menor de dados no dia a dia.
Sua emissão é rápida, simples e ocorre com o comprovante de autoridade sobre o domínio (DNS), sendo também a opção mais acessível do mercado e com alternativas gratuitas como o Let’s Encrypt, uma autoridade certificadora gratuita e de código aberto.
- Certificado de Validação de uma Organização
O certificado de validação de uma organização possui proteção moderada por provar não apenas a autoridade de um domínio como também a existência da empresa nos termos legais.
Por isso, sua configuração é mais complexa, necessitando de comprovantes institucionais, e uma possível chamada para a confirmação das informações. Sua emissão também é um pouco mais demorada e não existem opções gratuitas.
O certificado neste caso também é mais personalizado do que o de validação de domínio, pois além do cadeado verde também mostra todas as informações confirmadas sobre a empresa, tornando-se uma opção mais confiável e a mais indicada para empresas que precisam garantir o tempo inteiro a sua autenticidade.
- Certificado de Validação Estendida
O certificado de validação estendida é o melhor no mercado por ser o único que deixa a barra totalmente verde além de exibir o nome fantasia de uma empresa.
Assim como o certificado de validação de organização, também exige o envio de diversos documentos da empresa e informações de acordo com o tipo de atuação.
Sendo o certificado mais caro disponível no mercado, é o mais indicado para empresas que necessitam de muito destaque para mostrar que o site é seguro, como no caso de instituições bancárias.
Sites com certificados gratuitos serão inferiorizados pelo Google?
Embora existam características muito distintas de um certificado simples para o mais avançado, não existem diferenças em relação ao seu nível de segurança, pois o processo de encriptação será semelhante em todos os casos.
Sendo assim, um site com certificado gratuito de validação de domínio não será necessariamente posicionado abaixo de um site que possui o certificado de validação estendida, por exemplo.
Certificado comum, coringa ou multidomínio, quais as diferenças e qual utilizar
O certificado comum (também conhecido como single domain) contempla apenas um único domínio e as páginas dentro dele, não incluindo os subdomínios. Exemplo: https://compugraf.com.br e https://compugraf.com.br/contato estão ambos contemplados por este certificado pelo fato de estarem dentro do mesmo site. É o certificado mais barato e indicado para sites com estruturas menores ou que simplesmente não utilizem subdomínios.
Já o certificado coringa – também conhecido como wildcard, abrange além das páginas dentro de um domínio, todos os subdomínios daquele endereço. Ou seja, https://compugraf.com.br está protegido, assim como https://blog.compugraf.com.br. Esta é a opção mais recomendada para sites que contenham uma estrutura pequena ou média mas que utilizem subdomínios.
Por fim, temos o certificado multi-domínio, que como o próprio nome sugere, abrange domínios diferentes de um mesmo site. sendo possível proteger até 100 domínios diferentes com o mesmo certificado.
Esta é a opção mais recomendada para sites com grandes estruturas e que demandam diferentes servidores e domínios.
Como a proteção de todos os certificados é igual, diferenciando apenas na abrangência, a melhor escolha é sempre a que se adequa a estrutura planejada para o site. Ou seja, caso exista a intenção de utilizar subdomínios para o próximo ano ou dois, talvez seja mais vantajoso simplificar o processo e instalar apenas uma vez o certificado multidomínio, já pensando na possibilidade de subdomínios no futuro.
O mesmo vale para a opção do certificado coringa.
O que acontece quando o certificado expira?
Na hora da contratação de um certificado SSL, é necessário selecionar o tempo de validade do mesmo. Isso também vale para os certificados gratuitos, que possuem uma data de expiração. Não há como alterar o tempo de validade após o certificado ser contratado.
Sendo assim, quando chegar a data de vencimento de um certificado, a única maneira de manter o site seguro é comprando um novo certificado, processo que irá demandar uma nova instalação. Da mesma maneira, não é possível alterar o tipo de certificado após ser gerado, o processo deve ser feito de maneira estratégica para não ocorrer desperdícios para a empresa.
Alguns serviços e empresas facilitam muito esse processo de nova instalação, muitas vezes realizando tudo de maneira automática após a compra. Mas no geral, é recomendável contratar o certificado para o maior tempo disponível no momento da renovação.
Do contrário, será necessário ajuda técnica na hora de uma nova instalação (o que pode demandar mais gastos) e também é importante que esse processo ocorra antes do processo de vencimento, pois do contrário haverá uma brecha de segurança até tudo ser resolvido novamente.
A instalação de um certificado, assim como sua reinstalação será sempre a responsabilidade da pessoa ou empresa responsável pela compra, sendo um processo simples ou demorado, dependendo do servidor de destino e do tipo de certificação.
Os certificados SSL são compatíveis com diferentes navegadores e dispositivos móveis?
Ainda que não seja possível afirmar a compatibilidade universal, é pouco provável que algum navegador atual, e o mesmo vale para navegadores para dispositivos móveis, não seja compatível com algum certificado. Isso porque a certificação representa também um dos pontos na qualidade de experiência de um usuário.
Caso por algum motivo algum navegador não se mostre compatível, é importante verificar sua versão (para ver se está atualizado) e comunicar imediatamente a empresa certificadora para justificar a incompatibilidade.
Quais as principais empresas certificadoras comerciais?
Enquanto o Let’s Encrypt é uma das opções gratuitas mais conhecidas e utilizadas no mercado, existem diversas alternativas comerciais – os certificados pagos. Algumas das mais populares, são: Geotrust, Symantec, Comodo e GlobalSign.
Os preços variam de uma empresa para outra, porém não há diferença na qualidade do certificado em si, devendo a preferência ser baseada na experiência com a empresa (melhor atendimento, custo benefício, etc), sendo que as marcas são intermediadas por revendedores.
Há desvantagens no certificado gratuito?
Se por um lado o Google não diferencia um certificado gratuito ou comercial em seus resultados de busca, existem algumas desvantagens de um serviço pago do gratuito:
- Não há suporte
Enquanto uma revendedora provavelmente fornecerá suporte para seus usuários, serviços gratuitos não. Ao menos não gratuitamente. Em geral, todos os serviços (revendedora e certificações) possuem sua própria documentação, mas somente as revendedoras comerciais irão disponibilizar algum tipo de suporte.
- Não há garantias
Ainda que a opção não deva ser descartada – principalmente se for um projeto em que a verba é limitada, a verdade é que nenhuma certificadora gratuita pode garantir que a criptografia é inquebrável, ou seja, a segurança pode ser falha e o consumidor não terá para onde reclamar. Caso ocorra qualquer quebra de criptografia em um serviço comercial, o cliente será indenizado.
Um certificado SSL garante a proteção de um site contra hackers?
Não. O certificado SSL é responsável pela segurança no tráfego de dados entre usuário e um servidor para impedir que uma terceira pessoa tenha acesso a elas, sendo diferente de uma solução entre vírus, por exemplo.
Para a segurança de um site contra ataques existem outras soluções, como a implementação de um CDN (ou Content Delivery Network), que cria uma camada de segurança além de mantê-lo no ar durante manutenções ao criar uma cópia da versão mais recente.
O que é um certificado auto-assinado?
Além das opções de empresas certificadoras mencionas, existe também uma outra modalidade de certificado: a auto-assinada. Neste caso, a própria empresa ou usuário pode gerar seu certificado, o que a primeiro momento parece ser a melhor opção.
No entanto, existem razões suficientes para descartar a opção na maioria dos casos, pois esses certificados não são reconhecidos pela maioria dos navegadores e embora ele esteja implementado no site, a mesma mensagem de site não seguro continua aparecendo.
Realize uma pesquisa pelo domínio no WHOIS
O WHOIS é um serviço que registra todas as informações do proprietário de um domínio, mas ainda sim não é um recurso útil todas as vezes, pois a maioria das empresas que oferecem o serviço de registro de domínios também possuem o serviço adicional de ocultação das informações de propriedade.
Caso o domínio não tenha as informações ocultadas, é possível ver exatamente a pessoa ou empresa que o registrou, o número do CPF ou CNPJ se for pessoa jurídica. Além disso, também é possível ver a empresa contratada para o registro de domínios, a data de registro e de vencimento do domínio.
Realize uma pesquisa simples no Google
Por mais simples que possa parecer, uma busca simples no Google pode ser bem efetiva para descobrir se um site é legítimo ou não. Buscar pelo nome da empresa/site irá revelar que se trata de um site legítimo (caso o endereço seja compatível) ou até mesmo se outras pessoas tiveram algum tipo de problema – o que pode aumentar as suspeitas da página.
Além disso, o google também possui uma ferramenta de verificação de transparência de um site, contendo diversas informações e dicas de segurança.
Verifique se não sofreu nenhum redirecionamento
Sites afetados por algum tipo de malefício podem apresentar problemas sérios de segurança, como a exibição de anúncios que contenham vírus ou o redirecionamento da página para um site falso, ou seja, apesar de o endereço estar correto e a verificação no Google tenha funcionado, o site sofreu algum tipo de ataque durante uma vulnerabilidade.
O Brasil no foco dos ataques de Phishing
As pessoas irão olhar o seu site primeiro
Pensar na estratégia de proteção do site da própria empresa é uma etapa de extrema importância, pois da mesma forma que os sites que acessamos todos os dias estão vulneráveis, o nosso também pode estar.
Quer saber mais sobre como proteger o acesso a sites e a própria empresa contra cibercriminosos? Converse com nossos Especialistas em Segurança da Informação.
- Published in Segurança da Informação
Linha de Tempo – Os maiores golpes da Engenharia Social dos últimos 10 anos
Conheça algumas das principais empresas que sofreram com os maiores golpes da Engenharia Social ao longo dos últimos 10 anos.
A Engenharia Social é o tipo de ataque que mais tem crescido com o desenvolvimento da internet, ainda que tenha nascido antes dela.
Sua abordagem social é capaz de tornar qualquer pessoa uma vítima com o uso da persuasão.
Sendo assim, existe uma necessidade estratégia de que empresas comecem a pensar não apenas nas camadas de proteção digital, mas também na mentalidade das pessoas que atuam nelas.
Ao longo dos últimos 10 anos, grandes corporações foram surpreendidas com golpes de Engenharia Social, mas como tudo isso aconteceu?
Neste artigo, iremos explorar:
- O que é Engenharia Social
- Quais os Principais Golpes da Engenharia Social
- 10 empresas que sofreram golpes nos últimos 10 anos
- Como proteger funcionários
O que é Engenharia Social
A Engenharia Social que conhecemos hoje é utilizada para definir ataques que se utilizem da fragilidade emocional humana para acontecer.
Mas antes de desenvolver a temática, é importante contextualizar o significado de segurança da informação:
É uma série de práticas que visa a proteção de todos os tipos de dados que a empresa armazene.
Quais os Maiores Golpes da Engenharia Social
Phishing
O Phishing é o ataque da engenharia social mais comum da atualidade, em suas dezenas de versões.
O crime consiste na obtenção de dados de uma pessoa ou organização através de técnicas de comunicação que resultam na persuasão da vítima.
No ambiente corporativo, qualquer usuário pode ser uma porta de entrada para uma brecha de segurança por saber, ter acesso ou simplesmente saber quem sabe de algo importante.
O contato do criminoso pode ocorrer a partir de qualquer meio de comunicação, como telefone, e-mail, ou SMS – na tentativa de fazer com que pessoas caiam em um golpe.
Fácil de ser executado, o phishing também não é um ataque difícil de ser reconhecido quando observado com atenção. Por isso, a chance de sucesso da prática depende de dois fatores: O momento certo e a desatenção do usuário.
Quem é exposto a essa tática pode ser surpreendido com algum contato em um momento em que aquele contato faça sentido, por exemplo.
Pretexting
O Pretexting é uma ação maliciosa que consiste na tentativa de se obter dados pessoais ou sobre uma empresa de maneira voluntária por uma falsa causa.
Este golpe pode vir disfarçado de uma causa ou confirmação de informações e com isso, despertar a generosidade do alvo.
Suas vítimas podem receber um e-mail suspeito, um telefone ou até mesmo mensagem de texto no WhatsApp.
Quid pro quo
O Quid pro quo é uma abordagem de troca inconsciente. Alguém oferece algo em troca de outra coisa.
Uma vítima desta abordagem pode receber ajuda técnica por algo, que embora seja resolvido pelo criminoso, dá a ele o poder de instalar ou induzir a instalação de arquivos maliciosos no dispositivo.
É uma falsa sensação de benefício em troca de dados pessoais ou problemas técnicos maiores no futuo.
Sextorsão
A sextorsão (sexo + extorsão) é um crime virtual em que a vítima é chantageada a realizar uma ação caso não queira que algum conteúdo íntimo seja divulgados.
Quando uma vítima possue algum e-mail ou número de celular exposto e que possam ser encontrado por botnets, é muito provável que receba tentativas de diversos tipos de ataques, incluindo a sextorsão.
É uma prática que se apoia muito na informação que coleta sobre um alvo, por muitas vezes ele não possui, realmente, um arquivo confidencial, mas sua abordagem (mais informada do que a maioria) vai fazer a vítima acreditar que sim.
Dumpster Diving
O dumpster diving é uma das práticas mais comuns e cotidianas que não utilizam dispositivos eletrônicos.
Trata-se do ato de vasculhar o lixo alheio para obter algum bem.
No mundo da tecnologia, vasculhar o lixo não é apenas uma ação de desespero, pois resíduos, peças ou até mesmo dispositivos com falhas podem ser descartados pelas companhias e tornarem-se alvo de algum tipo de vazamento ou boato.
Muitas organizações já possuem políticas de descarte para formalizar a ação e blindar qualquer tipo de vazamento ao tornar os itens inutilizáveis.
Shoulder Surfing
O Shoulder Surfing consiste na prática de observar as ações que uma pessoa está realizando em dispositivos como um celular ou computadores.
Para os engenheiros sociais, a ação pode representar mais do que uma simples curiosidade e tornar-se uma oportunidade para descobrir e memorizar senhas ou informações da vítima ou empresa que trabalha.
Tailgating
O tailgating é uma tática mais complexa que consiste no acesso presencial a lugares restritos por pessoas não autorizadas.
Considerada a mais antiga das abordagens de engenharia social, utiliza-se na maioria das vezes da bondade da vítima, como quando alguém está com as mãos tão ocupadas que uma pessoa gentil decide ajudar ao abrir e segurar a porta.
10 empresas que sofreram os maiores golpes da Engenharia Social nos últimos 10 anos
2010 – Netflix
A empresa sofreu com ataques quando deram a participantes de um concurso o acesso a informações de mais 480,000 assinantes.
A organização, no entanto, recuperou os dados de alguns candidatos.
2011 – Sony PSN
O marketplace Sony PSN, do console PlayStation, deu acesso a participantes de um concurso mais de 1.6 milhões dados,
incluindo cartões de crédito, endereços, datas de aniversário, senhas e respostas para as perguntas de segurança.
2012 – LinkedIn
Em 2012, o LinkedIn teve uma vazamento de dados de mais de 167 milhões de dados,
sendo a maioria e-mails, senhas e endereços.
2013 – Yahoo
Mais de 3 bilhões de dados da Yahoo foram expostos em 2013,
incluindo e-mails, endereços, datas de nascimento e respostas para as perguntas de segurança dos usuários.
Mas o vazamento só foi descoberto 3 anos depois, no final de 2016.
2014 – Sony Pictures Entertainment
Em 2014 a Sony Pictures Entertainment sofreu um pequeno vazamento de dados que envolveu cerca de 47 mil dados,
o que não diminuiu o impacto nas finanças e reputação da empresa.
Os criminosos tiveram acesso a e-mails particulares, filmes não lançados e o contato de celebridades.
2015 – Ashley Madison
A plataforma de relacionamentos extraconjugais teve mais de 37 milhões de dados vazados,
incluindo o cartão de crédito, endereço e número de telefone dos usuários.
2016 – Comitê Nacional Democrático
O Comitê Nacional Democrático dos Estados Unidos teve muitas informações publicamente expostas,
incluindo a de políticos como Hillary Clinton e o atual presidente do país, Donald Trump.
2017 – Equifax
Mais de 143 milhões de norte-americanos tiveram dados como o número de documentos,
cartão de crédito, nome e endereço após um vazamento da Equifax, uma das maiores empresas de crédito do país.
2018 – Facebook
O Facebook sofreu com ao menos 2 vazamentos de dados ao longo de 2018.
Em setembro, foram mais de 50 milhões, e em outubro, 30 milhões, totalizando ao menos 80 milhões de dados expostos.
2019 – OxyData.Io e People Data Labs
Mais de 1.2 bilhões de usuários tiveram dados como e-mail, contas em redes sociais e telefone expostos em 2019,
tornando-se o maior vazamento partindo da mesma fonte.
No caso, envolvia um banco de dados compartilhado entre duas empresas agregadoras de dados: OxyData.Io e People Data Labs.
Como proteger funcionários dos maiores golpes da Engenharia Social
Muitas empresas erram na prevenção contra golpes virtuais ao só importarem-se com eles após uma primeira ocorrência.
A verdade é que quando falamos que a maior vulnerabilidade de segurança no ambiente corporativo é o fator humano e não suas tecnologias, não estamos falando que os funcionários são menos competentes, mas sim, que todos podem ser persuadidos.
É por isso que uma boa estratégica para combater a engenharia social possui duas características:
- Prevenção.
- Constância.
O fato de ser preventiva mostra que a organização já está preparada para caso algo aconteça, ela reconhece o problema e suas probabilidades, e só isso já é o suficiente para afastar muitos criminosos entusiastas.
Quanto a ser constante, é para que os funcionários também estejam sempre alertas sobre o perigo e não apenas em campanhas específicas ou ações reativas a ataques sofridos.
Em outras palavras, a prevenção é a melhor arma contra os maiores golpes de engenharia social. Confira algumas dicas que podem ser lembradas dentro do ambiente corporativo:
Manter gavetas e armários fechados.
Holerites, documentos e diversos outros arquivos impressos, com informações sensíveis, podem tornar-se uma vulnerabilidade ao serem facilmente vistas por colegas no ambiente corporativo.
Por isso, é importante manter as gavetas e armários fechados, e instruir os funcionários a levarem tudo o que for crítico para casa no final do expediente, ou disponibilizar um armazenamento específico para este fim.
Minimizar ou encerrar softwares que exponham dados da empresa ou funcionário.
Especialmente em empresas em que as mesas e computadores estiverem expostas em ambiente aberto, é muito comum que, quase inconscientemente, funcionários “bisbilhotam” o que outros estão executando no dispositivo.
Embora na maioria das vezes isso não represente nenhum problema, pode representar uma vulnerabilidade ao gerar oportunidades para pessoas com más intenções.
Não compartilhar login e senha com nenhum colega de trabalho.
Talvez a prática mais comumente difundida em qualquer ambiente, o compartilhamento de senhas é uma das práticas simples que podem causar as piores consequências a um trabalhador.
Imagine que ao fornecer a senha, a pessoa não apenas ganhar acesso total aos recursos disponibilizados para o dono da conta como também abre uma nova vulnerabilidade para seus dados pessoais, que podem a qualquer momento ser obtidos por algum usuário mal intencionado dependendo da prática do novo portador das informações de acesso.
Na necessidade de ausentar-se da mesa de trabalho, realizar o logout até o retorno.
Isso pode ser feito através do menu iniciar ou CTRL + Alt + Del caso esteja utilizando o Windows como sistema operacional.
Da mesma maneira que é importante fechar gavetas e armários que contenham documentos críticos, é essencial que os integrantes de qualquer equipe em uma empresa recebam o treinamento adequado para adquirirem o hábito de, ao ausentar-se da mesa de trabalho, encerrem a sessão de login no computador.
Isso porque ao manter o sistema logado o usuário abre brechas para que outras pessoas acessem ou alterem um arquivo específico que possa comprometer a vítima.
Não jogue documentos inteiros no lixo, rasgue-o ou fragmente caso seja uma opção no local de trabalho.
Jogar documentos e itens críticos como cartões de crédito, exames ou papéis com outras informações podem abrir brechas para a prática de no-hacking conhecida como “dumpster diving”, que consiste basicamente na vulnerabilidade encontrada num lugar muito comum: as lixeiras.
Em situações externas, evitar ao máximo mencionar informações internas da empresa (quadro de funcionários, rotinas, procedimentos).
Exceto quando receber instruções específicas e treinamento de uma assessoria de imprensa, por exemplo.
Colaboradores bem informados sobre a própria organização nunca representarão algo negativo.
No entanto, é importante que os mesmos sejam instruídos nos lugares e momentos em que poderão falar sobre os temas internas.
Pessoas passam por diversos ambientes, além da empresa, ao longo do dia: transportes públicos, outras empresas e claro, a própria residência.
Todos os lugares externos podem abrir vulnerabilidades para que pessoas de fora ganhem acesso a informações privadas e que podem usar para finalidades de impacto negativo.
Coletar documentos impressos logo em seguida.
Impressão em rede é um excelente recurso para a maioria das empresas, afinal, diminui a necessidade de espaços físicos para diversas impressoras e permite que os funcionários compartilhem um mesmo equipamento.
No entanto, o compartilhamento desse dispositivo pode abrir vulnerabilidades para que pessoas tenham acesso ao que foi impresso antes mesmo de quem o solicitou.
E por isso recomendação geral é de que os documentos sejam coletados logo depois da impressão ser solicitada.
O Brasil no foco dos ataques de Phishing
Ninguém está imune
Corporações das mais diversas culturas foram prejudicadas pela engenharia social, através de ataques envolvendo, inicialmente, profissionais de diversos setores.
Para a Compugraf, além das camadas digitais de proteção é preciso dedicar investimentos também na segurança das pessoas que atuam na rotina da empresa.
Quer saber como é possível começar a fazer isso ainda hoje? Consulte nosso Especialista em Segurança da Informação.
- Published in Segurança da Informação
Quais sentimentos são explorados na Engenharia Social
Quais sentimentos a Engenharia Social consegue despertar para persuadir suas vítimas?
Um ataque de Engenharia Social resulta no sucesso do criminoso em persuadir as vítimas a realizarem o que desejam.
A persuasão por si, é um processo, conhecido também como teoria da persuasão na psicologia.
Para que alcance o objetivo, a prática pode envolver uma vítima emocionalmente de diversas maneiras, e isso faz com que qualquer um seja vulnerável a ela.
Para conhecermos alguns dos sentimentos explorados pela Engenharia Social, separamos:
- O que é Engenharia Social em Segurança da Informação
- Como Funciona um ataque de Engenharia Social
- Quem é quem em um ataque de Engenharia Social
- Os sentimentos explorados pela Engenharia Social
Seguimos.
O que é Engenharia Social em Segurança da Informação?
A Engenharia Social que conhecemos hoje é utilizada para definir ataques que se utilizem da fragilidade emocional humana para acontecer.
Mas antes de desenvolver a temática, é importante contextualizar o significado de segurança da informação:
É uma série de práticas que visa a proteção de todos os tipos de dados que a empresa armazene.
A base da segurança da informação em 4 pilares:
- Confidencialidade
- Integridade
- Disponibilidade
- Autenticidade
Por esses princípios que o fator humano torna-se uma parte tão importante no processo de segurança de dados.
É difícil imaginar sua eficiência sem pensar na importância das pessoas e em sua vulnerabilidade como alvos.
Por exemplo, sabe aquele modelo novo do iPhone que você viu antes da Apple divulgar?
Provavelmente partiu de um funcionário que foi alvo de um ataque de engenharia social.
Isso pode gerar prejuízos na empresa já que a concorrência terá acesso ao modelo e pode pensar em um lançamento parecido e até prévio ao Iphone, tirando toda a exclusividade do produto.
Mas é a partir de reações simples (como a desatenção) que ataques de diferentes dimensões podem ocorrer.
Não por acaso que diversos produtos no mercado, como os próprios iphones, já são hoje armazenados em locais que poucas pessoas têm acesso.
E se todos podem ser vítimas de ataques de Engenharia Social, isso nunca irá resolver o problema mas, mas pode ajudar na hora de identificar a origem da vulnerabilidade.
E é por este raciocínio que chegamos a Engenharia Social.
É possível separar as ameaças na segurança de dados em duas categorias: tecnológicas e humanas.
A primeira, envolve recursos tecnológicos e por isso exige maiores habilidades do criminoso, já as ameaças humanas – também conhecidas como fator humano, exigem pouco ou nenhuma habilidade tecnológica do infrator.
Não é só para o mal
Embora desde sua origem tenha sido utilizada para fins negativos, as técnicas de Engenharia Social podem e já são incorporadas em muitas situações benéficas.
Traçar o uso de dispositivo de uma pessoa desaparecida, por exemplo, pode auxiliar na busca.
A polícia pode se beneficiar do recurso para muitas investigações.
E empresas podem oferecer treinamentos internos mais realistas ao aplicar nos próprios funcionários ou em processos seletivos, tudo depende dos dados coletados e a finalidade da ação.
Como funciona um Ataque de Engenharia Social na Segurança da Informação
Para entendermos como os ataques de Engenharia Social, ainda que semelhantes, possam ter impactos diferentes, é importante compreender que seu sistema funciona na base de tentativa e erro:
Coleta de informações, planejamento de ataques, aquisição das ferramentas necessárias, ataque, uso das informações coletadas.
Sendo assim, novas tentativas de ataques podem ser mais convincentes por trazerem elementos que as tornem mais verídicas, com os dados coletados na tentativa anterior.
Quem é quem em um ataque de Engenharia Social
O Engenheiro Social
Apesar do nome, um engenheiro social não é um especialista na área de roubar informações.
Até porque a formação ainda não existe. Ao menos não formalmente.
Mas para que alguém execute ataques de engenharia social, algumas habilidades podem ser necessárias:
- Capacidade de contar uma boa história de maneira convincente.
- Habilidade para utilizar as informações coletadas a seu favor.
- Poder de persuadir para conseguir que as ações sejam voluntárias.
- Inteligência analítica necessária para estudar o alvo ou público-alvo com precisão.
A Vítima de Engenharia Social
A engenharia social está presente em todo lugar, qualquer sinal ou ação pode ser o suficiente para que alguém obtenha alguma informação da vítima.
A maior brecha dos sistemas de segurança não é sua tecnologia, mas as pessoas.
Todos os seres humanos possuem características (como o gosto por algum estilo musical), padrões de comportamento e psicológicos. É na observação dessas características que um engenheiro social obtêm o que precisa.
Seja o colaborador um profissional da área técnica ou mais humanizada, todos estão sujeitos a falhar na proteção contra um ataque deste tipo, pois possuem vulnerabilidades humanas.
Em situações cotidianas, vítimas podem ser feitas:
- Quando desatentos – em modo “automático” na realização de suas tarefas.
- Ocasião em que não verificam a autenticidade das mensagens recebidas.
- Ao passo que vivenciam algum problema pessoal e a mensagem soa como a oportunidade de melhorar as coisas.
- No momento em que se sensibilizam com a mensagem recebida e tem intenções de ajudar.
- Na hora em que precisa de ajuda e não possui muitas habilidades técnicas.
Sentimentos explorados pela Engenharia Social
A Engenharia Social explora vulnerabilidades emocionais da vítima e usa como isca assuntos atuais, promoções ou até mesmo falsas premiações.
Por não exigir conhecimentos técnicos, a engenharia social também existe sem tecnologia, algo conhecido como no-tech hacking.
Por ser tão simples, as vítimas de um engenheiro social podem demorar a duvidar da comunicação.
E talvez até chegar a isso, o criminoso já a terá atingido através de diferentes emoções, sendo algumas delas:
Curiosidade
Quase todo ataque de engenharia social inicia a partir da curiosidade do alvo. No caso de phishing, por exemplo, é o benefício imperdível que ele poderá adquirir naquele momento, se seguir as instruções.
Após a surpresa inicial, o usuário certamente vai ter curiosidade para entender melhor do que se trata a mensagem recebida. E para validar sua opinião, ele pode acabar clicando em algum link malicioso ou preenchendo algum formulário.
Preguiça
Por que um funcionário iria digitar as senhas manualmente toda vez que forem acessar alguma coisa?
Ou até mesmo optar voluntariamente pela autenticação de dois fatores se tudo pode ser preenchido automaticamente?
Com atalhos nos tornamos, na maioria das vezes, mais vulneráveis.
Cortar caminho nem sempre é o melhor a ser feito.
É importante que todos sejam conscientizados não apenas sobre as medidas a serem tomadas na rotina dentro da empresa, mas também, a importância de cada uma delas.
Solidariedade
Ajudar um colega de trabalho é uma prática simples e naturalmente aplicada em um ambiente saudável.
Mas não só isso.
Como já dizia um velho ditado “Quando a esmola é demais, o santo desconfia”.
E o engenheiro social utiliza muito bem o recurso ao criar campanhas de doações falsas, descontos imperdíveis que serão revertidos em prol de alguma causa, etc.
É importante despertar nos funcionários o entendimento da importância de se questionar tudo com o que interagem ao longo do dia.
Até mesmo na voluntária ajuda alheia.
Vaidade
O modelo mais recente de um smartphone ou o luxo de realizar alguma atividade são características que envolvem a vaidade da vítima.
Funcionários podem ser seduzidos por uma oferta de empréstimo, compra ou até mesmo um novo emprego.
É pensando na própria fragilidade que todos devem ser conscientizados sobre separar o que precisam do que podem ter em um outro momento. pois a engenharia social utiliza muito bem a vaidade ao seduzir as vítimas a partir do consumo.
Ansiedade
Em uma realidade em que o problema de grandes cidades e muitos ambientes corporativos é a ansiedade, a engenharia social aproveita-se muito do fato.
Tudo deve ser feito rapidamente, as ofertas são irrecusáveis e a sensação de urgência torna-se protagonista a ponto de muitos não atentarem-se ao que chega a eles.
É neste momento que as maiores vítimas são pegas, na pressa do momento, pois não são capazes de criar suspeitas sobre a situação.
O Brasil no foco dos ataques de Phishing
A vulnerabilidade do Fator Humano
Todos estamos sujeitos a cair em um golpe de Engenharia Social, uma comunicação poderosa não separa o CEO de um outro profissional.
É por isso que os treinamentos de inteligência emocional, ao lado da conscientização e softwares preventivos podem ser essenciais para a segurança de dados de sua empresa.
Quer saber como a Compugraf pode ajudar na tarefa de encontrar as melhores soluções para sua empresa? Fale com nossos especialistas!
- Published in Segurança da Informação
Quais os principais tipos de ataque de Engenharia Social
Você sabia que é possível sofrer diversos tipos de ataque de engenharia social? Conheça as principais abordagens.
Existe algo precioso na Engenharia Social: todos da organização podem ser um alvo.
Diante disso, as empresas precisam reconhecer que sua maior vulnerabilidade não são as máquinas que são utilizadas, mas sim, os usuários.
Existe um imenso número de ataques cibernéticos – e até mesmo sem necessidade de nenhuma conexão com a internet, que podem se utilizam através da engenharia social.
Aqui neste artigo iremos discutir alguns dos principais tipos de ataque de engenharia social:
- Phishing
- Pretexting
- Quid Pro Quo
- Sextorsão
- Dumpster Diving
- Shoulder Surfing
- Tailgating
Você já conhecia todos eles?
Também iremos discutir as melhores práticas para proteger os funcionários de sua empresa contra ataques de engenharia social.
Podemos começar?
Como funciona um Ataque de Engenharia Social na Segurança da Informação
Para entendermos como os ataques de Engenharia Social, ainda que semelhantes, possam ter impactos diferentes, é importante compreender que seu sistema funciona na base de tentativa e erro:
Coleta de informações, planejamento de ataques, aquisição das ferramentas necessárias, ataque, uso das informações coletadas.
Sendo assim, novas tentativas de ataques podem ser mais convincentes por trazerem elementos que as tornem mais verídicas, com os dados coletados na tentativa anterior.
Phishing
O Phishing é o ataque da engenharia social mais comum da atualidade, em suas dezenas de versões.
O crime consiste na obtenção de dados de uma pessoa ou organização através de técnicas de comunicação que resultam na persuasão da vítima.
No ambiente corporativo, qualquer usuário pode ser uma porta de entrada para um ataque de engenharia social por saber, ter acesso ou simplesmente saber quem sabe de algo importante.
O contato do criminoso pode ocorrer a partir de qualquer meio de comunicação, como telefone, e-mail, ou SMS – na tentativa de fazer com que pessoas caiam em um golpe.
Fácil de ser executado, o phishing também não é um ataque difícil de ser reconhecido quando observado com atenção. Por isso, a chance de sucesso da prática depende de dois fatores: O momento certo e a desatenção do usuário.
Quem é exposto a essa tática pode ser surpreendido com algum contato em um momento em que aquele contato faça sentido, por exemplo.
Vishing
O Vishing é uma das variações do Phishing, sendo também um ataque de engenharia social.
Enquanto o termo principal é utilizado para descrever a prática de maneira geral, o vishing surgiu para referir-se a ataques realizados especificamente por telefone (voz + phishing).
A prática é bem popular, sendo ainda hoje a mais comum no Brasil e seu funcionamento é exatamente o mesmo do phishing tradicional, alterando apenas o meio de contato, que é por telefone ou através de chamadas de serviços VoIP, este último a escolha favorita dos criminosos pela possibilidade de anonimato.
Em um episódio de Vishing, a vítima recebe uma chamada em que é induzida a realizar alguma ação rapidamente ou compartilhar informações pessoais ou sigilosas de uma empresa, como documentos e números de faturamento, etc.
Um dos casos mais antigos e tradicionais no país é quando os criminosos realizam uma chamada anunciando um suposto sequestro. Na ação, o falso sequestrador simula uma voz infantil em perigo.
Embora seja um golpe fácil de se identificar, caso a chamada ocorra para as pessoas certas (pais) e no momento certo (como quando o filho está na escola) funcionam pois na apreensão do momento, a vítima muitas vezes não se dá conta de se tratar de uma falsa afirmação.
Apesar de já ser uma ação mais conhecida, este golpe de engenharia social continua causando diversos problemas, incluindo o caso recente de um casal de idosos de Belo Horizonte que transferiu R$ 300 mil para salvar a filha de um falso sequestro, dos quais apenas R$ 15 mil foram recuperados pelo banco após a descoberta do caso.
Outro episódio que vale a pena ser mencionado, é o que ocorreu em 2019, envolvendo uma professora do Mato Grosso do Sul que não apenas perdeu R$ 80 mil como também foi feita de refém no hotel em que os criminosos solicitaram a sua presença, tudo após receber uma ligação informando o falso sequestro de sua filha.
O golpe vishing pode partir de simulações de contatos pessoais (como a ligação de um familiar) ou também um falso funcionário de uma grande empresa de serviços como telefonia e internet.
Sendo assim, identificá-lo pode ser um pouco mais trabalhoso do que o phishing.
Mas as abordagens também possuem suas fragilidades:
Nome da vítima
Ao receber uma ligação, antes de confirmar qualquer dado pessoal, tenha certeza de que a pessoa é quem diz ser ao pedir para ela confirmar algo simples como o seu nome completo ou alguma outra informação que não seja número de documentos.
Não confirme nada até que o contato te responda corretamente. Em ataques amplos e aleatórios, dificilmente o criminoso terá a informação correta.
Anúncios de sequestro
Antes de se desesperar por algum anúncio de sequestro, atente-se as informações que o criminoso está compartilhando e, principalmente, confirme a localização da vítima.
Por exemplo, caso seja uma criança que esteja na escola, a primeira ação deve ser uma chamada de confirmação de presença.
Bancos e outros serviços
O nome é uma informação simples porém bem reveladora em todos os casos.
Mas caso queira outra abordagem, basta informar que não pode falar no momento ou tente ligar para o número que está chamando de um outro aparelho telefônico.
O direcionamento correto da chamada para a empresa que supostamente ligou indica a veracidade do contato. Caso seja falso, reporte a empresa logo em seguida.
Smishing
Se o Vishing é a junção de voz + phishing, o Smishing é a mistura de sms + phishing, ou seja, trata-se do phishing que se utiliza das mensagens SMS para pescar suas vítimas. Com o enfraquecimento das mensagens tradicionais e a ascensão de comunicadores instantâneos como o WhatsApp, o smishing se desenvolve na mesma medida.
O smishing foi uma grande ferramenta, em conjunto as fake news, em campanhas eleitorais e na manipulação de informações.
Usualmente, ele é utilizado no compartilhamento de links maliciosos e possui um ciclo de vida menor, porém viral, já que as pessoas também são induzidas a compartilhar a mensagem.
Para detectar e prevenir-se desse tipo de ataque, é importante desconfiar de qualquer mensagem que chegue a partir de pessoas que não fazem de sua lista de contato e principalmente, não clicar em nenhum link não solicitado.
O smishing pode partir também de contatos que já foram pegos, muitas vezes compartilhando o link malicioso sem saber.
Ao receber a mensagem de um contato existente, atente-se ao formato do texto recebido para analisar se a pessoa escreve ou escreveria de tal maneira, pois pessoas normalmente possuem o mesmo padrão e estilo de escrita.
Nigerian 4-1-9 Scam
O golpe que se iniciou na Nigéria, conhecido como Nigerian 4-1-9 Scam possui uma linha de funcionamento semelhante ao phishing tradicional.
Essa técnica de ataque de engenharia social iniciou-se muitos anos atrás com o envio de cartas do país para estrangeiros com histórias falsas envolvendo doações e transferência de dinheiro.
Ao longo dos anos, a técnica se desenvolveu passando para o e-mail e também novas abordagens surgiram, sendo a mais popular a “romance scam”, envolvendo interesses amorosos.
Neste cenário de engenharia social, o criminoso seduz a vítima com alguma história que possa envolvê-la, e se consegue ‘pescá-la’ com sucesso, passa a encenar o desenvolvimento de uma relação a distância, a qual a longo prazo envolverá a solicitação de dinheiro.
Em 2014, uma moradora do interior de São Paulo perdeu R$ 63 mil em um golpe.
Na época, aos 42 anos, ela começou a conversar com um suposto soldado americano em missão no Afeganistão e construiu uma falsa relação com ele até que foi anunciada o fim de sua missão no país e a chegada no Brasil.
Seduzida pela ideia de viver o romance pessoalmente, ela fez de tudo para auxiliar o golpista em sua chegada ao país, que nunca aconteceu.
Embora a abordagem romântica tenha se tornado popular, a relação do criminoso com a vítima pode ter outros objetivos afetivos, como uma amizade – se aproveitando também da empatia para obter dinheiro.
Além de também ser multimídia por se adaptar a diferentes formas de contatos na hora de desenvolvimento da relação entre vítima e criminoso.
Outro fato importante é que embora tenha iniciado na Nigéria, o golpe hoje é replicado a partir de diversos países como Turquia, Iraque e o Brasil.
Por envolver a criação de uma relação mais pessoal com as vítimas, os golpes nigerianos podem ser detectados a partir de alguns parâmetros: como o perfil chegou até o alvo, checagem de informações do perfil e a análise geral da interação.
Basicamente, se as coisas estão rápidas demais, pode ser que tenha algo de errado.
Os aplicativos de relacionamento, por exemplo, recebem muitas reclamações pela existência de perfis falsos (também conhecidos como “fakes”) que usando fotos, nome e personalidade falsos buscam praticar a ação, e é por isso que é necessário ter cuidado redobrado na hora de buscar o “par perfeito” online
Ano passado, ocorreu em Macapá (AP) o caso de uma jovem de 23 anos que se passava por um advogado no Tinder, aplicativo de relacionamentos, para obter vantagens financeiras das vítimas, como empréstimos, ao longo do desenvolvimento da falsa relação.
Ela foi presa no mesmo ano e assumiu o crime.
Por isso, a melhor maneira de detectar um golpe nigeriano é observando o contexto do contato, a autenticidade do perfil e analisar as reais intenções quando as solicitações de dinheiro ou fatos estranhos começarem a ocorrer.
Spear Phishing
Atualmente, uma das subcategorias mais conhecidas de Phishing é o Spear Phishing.
Diferente da metodologia tradicional, é executada de maneira direcionada a um grupo de pessoas bem específico e baseado em dados exatos ou muito próximos da realidade dessas pessoas.
Em outras palavras, é uma tática mais perigosa por envolver informações personalizadas e muitas vezes crível o bastante para enganar até mesmo um funcionário mais atento em sua rotina de trabalho dependendo do momento e da abordagem utilizada.
Um dos casos mais recentes em grande escala dessa técnica ocorreu em 2018, nos Estados Unidos, e como resultado gerou alarde dentre os funcionários do departamento do estado sobre um possível Tsunami.
A notícia ganhou grande repercussão na época e confundiu a população, que não sabia se deveria se preocupar ou não com o desastre natural.
Embora o órgão responsável tenha respondido rapidamente que não existia nenhum tipo de anormalidade para ocorrer tal fenômeno, a falsa informação já havia sido espalhada pelo mundo inteiro, gerando alarde e causando grandes prejuízos financeiros.
O spear phishing é uma variação do phishing altamente segmentada. Funcionários, especialmente os mais novos, podem facilmente ser enganados por um falso e-mail partindo de alguém com cargo superior. De fato é assim que a maioria dos ataques obtêm o sucesso esperado.
As pequenas empresas têm se tornado o principal alvo por parte desses cibercriminosos, pois quando não há o treinamento adequado, logo os funcionários acabam sendo a vulnerabilidade humana e mais frágil do ecossistema corporativo.
Mas não são apenas os colaboradores que podem cair nesse tipo de golpe, muitos executivos e até mesmo profissionais da área podem ser surpreendidos com a comunicação segmentada do spear phishing.
Para se prevenir de um possível ataque, além de oferecer treinamento a equipe, é necessário criar protocolos para que as pessoas da organização possam se comunicar e identificar a autenticidade da mensagem, como uma palavra secreta, por exemplo.
Pretexting
O Pretexting é uma ação maliciosa que consiste na tentativa de se obter dados pessoais ou sobre uma empresa de maneira voluntária por uma falsa causa.
Este golpe pode vir disfarçado de uma causa ou confirmação de informações e com isso, despertar a generosidade do alvo.
Suas vítimas podem receber um e-mail suspeito, um telefone ou até mesmo mensagem de texto no WhatsApp.
Quid pro quo
O Quid pro quo é uma abordagem de troca inconsciente. Alguém oferece algo em troca de outra coisa.
Uma vítima desta abordagem pode receber ajuda técnica por algo, que embora seja resolvido pelo criminoso, dá a ele o poder de instalar ou induzir a instalação de arquivos maliciosos no dispositivo.
É uma falsa sensação de benefício em troca de dados pessoais ou problemas técnicos maiores no futuo.
Sextorsão
A sextorsão (sexo + extorsão) é um crime virtual em que a vítima é chantageada a realizar uma ação caso não queira que algum conteúdo íntimo seja divulgados.
Quando uma vítima possue algum e-mail ou número de celular exposto e que possam ser encontrado por botnets, é muito provável que receba tentativas de diversos tipos de ataques, incluindo a sextorsão.
É uma prática que se apoia muito na informação que coleta sobre um alvo, por muitas vezes ele não possui, realmente, um arquivo confidencial, mas sua abordagem (mais informada do que a maioria) vai fazer a vítima acreditar que sim.
Dumpster Diving
O dumpster diving é uma das práticas mais comuns e cotidianas que não utilizam dispositivos eletrônicos.
Trata-se do ato de vasculhar o lixo alheio para obter algum bem.
No mundo da tecnologia, vasculhar o lixo não é apenas uma ação de desespero, pois resíduos, peças ou até mesmo dispositivos com falhas podem ser descartados pelas companhias e tornarem-se alvo de algum tipo de vazamento ou boato.
Muitas organizações já possuem políticas de descarte para formalizar a ação e blindar qualquer tipo de vazamento ao tornar os itens inutilizáveis.
Shoulder Surfing
O Shoulder Surfing consiste na prática de observar as ações que uma pessoa está realizando em dispositivos como um celular ou computadores.
Para os engenheiros sociais, a ação pode representar mais do que uma simples curiosidade e tornar-se uma oportunidade para descobrir e memorizar senhas ou informações da vítima ou empresa que trabalha.
Tailgating
O tailgating é uma tática mais complexa que consiste no acesso presencial a lugares restritos por pessoas não autorizadas.
Considerada a mais antiga das abordagens de engenharia social, utiliza-se na maioria das vezes da bondade da vítima, como quando alguém está com as mãos tão ocupadas que uma pessoa gentil decide ajudar ao abrir e segurar a porta.
Quais informações mais importantes que sua empresa precisa proteger
Talvez sua empresa colete muitos dados bancários de usuários, por envolver o credenciamento para alguma plataforma financeira (como uma fintech).
Ou talvez ela simplesmente envolva dados particulares e identificáveis, como documentos e as preferências de cada um, como em uma rede social.
O mais importante a se compreender é que toda empresa possui um dado que acaba sendo mais importante que o outro pelo valor que representa para o negócio.
Para traçar o perfil de quem é vítima e engenheiro social nesse tipo de ataque, é importante primeiro entender qual a informação mais importante para cada marca.
Talvez a informação mais relevante para o setor de limpeza, por exemplo, seja o calendário de locais que precisam ser limpos, listagem de produtos, dentre outras coisas neste sentido, mas o mesmo funcionário pode ter acesso a lugares críticos.
E é por isso que não importa necessariamente quem você é, e sim o que você sabe ou os locais para os quais você tem acesso.
Os ataques seguem a mesma linha de raciocínio
Todos os ataques de Engenharia Social seguem a mesma linha de funcionamento, por isso, as medidas de proteção para um podem servir para os outros.
Além disso, é importante ter consciência de que na maioria das vezes, diferentes ataques ocorrerão simultaneamente.
Para empresas, é muito importante focar na conscientização constante como principal prevenção, além dos softwares de proteção.
Um grande alvo de Phishings
Você sabia que o Brasil foi um dos principais alvos de Phishing em 2019? Descubra o que nos posicionou entre os primeiros colocados.
Mais segurança
Quer saber mais sobre como proteger sua empresa? Converse com nossos especialistas em segurança da informação.
- Published in Segurança da Informação
Qual a origem da Engenharia Social?
Talvez a Engenharia Social seja mais antiga do que imaginamos, mas qual a origem de sua definição no formato que a conhecemos hoje?
A Engenharia Social é um recurso utilizado por vários golpes que se aproveitam da fragilidade emocional do ser humano para ter sucesso.
Você já notou um olhar estranho enquanto utilizava o celular no elevador?
Caso positivo, saiba que ações simples como essa caracterizam o uso de engenharia social, esteja o sujeito consciente ou não do ato.
Nunca sabemos quando uma informação relevante pode ser exposta em momentos informais.
A paranoia não é a solução
A origem da engenharia social não mente, ela sempre esteve presente, ainda que somente agora esteja ganhando o devido destaque nos estudos de ciberataques.
É difícil combater algo que acontece o tempo inteiro, portanto, conscientizar funcionários não pode significar o mesmo que deixá-los paranoicos.
O cuidado deve ser recorrente, porém orgânico na rotina de trabalho de cada um.
Neste artigo falaremos um pouco de como a engenharia social esteve presente em alguns momentos históricos e como ela ganhou a forma que conhecemos hoje.
Abordaremos:
- Como a Engenharia Social tornou-se um assunto relevante
- A Engenharia Social em momentos fictícios e históricos
- A origem do termo Engenharia Social
- Principais ataques da última década
Como a Engenharia Social tornou-se um assunto relevante
A Engenharia Social hoje, no contexto de segurança da informação, é reconhecida como um método de abordagem que explora as vulnerabilidades emocionais da vítima.
Mas nem sempre foi assim.
Desde que o termo foi utilizado pela primeira vez, teve diferentes significados, de acordo com o campo aplicado:
Sociologia
Em meados do século 19 a Engenharia Social era um termo utilizado popularmente na era do positivismo sociológico, apontando a intervenção cientifica na sociedade.
Acreditava-se que o envolvimento de cientistas nas relações humanas aceleraria o processo de evolução humana, tornando-nos mais civilizados rapidamente.
Durante a época também foi reconhecida como "Engenharia Cultural".
Psicologia
Quando seu uso em sociologia deixou de ser popular, o termo Engenharia Social ganhou novo significado dentro do campo da psicologia.
Dentro deste cenário a palavra como a ganhar a conotação mais próxima do que representa hoje, sendo utilizada para definir a manipulação social.
Sua utilização era tipicamente aplicável em discursos de ciência política e psicologia social, tratando de intervenções com o intuito de mudar os costumes sociais e culturais de um povo.
Segurança da Informação
Quando aplicada no campo de segurança da informação, o significado de Engenharia Social manteve o aspecto de manipulação.
Mas diferente do aspecto psicológico, que busca mudar comportamentos de um grande grupo de pessoas, em tecnologia tornou-se uma ação concentrável em grupos menores ou até mesmo indivíduos.
Além disso, o sucesso da prática tornou-se dependente da habilidade de influenciar e persuadir as vítimas a realizarem algo, não apenas manipular.
O origem do termo Engenharia Social
O origem da Engenharia Social em Segurança da Informação foi contextualizada e popularizada pelo hacker americano mundialmente conhecido, Kevin Mitnick.
Em seu livro "The Art of Deception: Controlling the Human Element of Security" ele define como o campo de segurança da informação se associa ao termo.
No Brasil, o livro foi publicado como "A Arte de Enganar", e o autor traz exemplos reais de como as práticas de engenharia social potencializam as ações de um hacker.
A Engenharia Social em momentos fictícios e históricos
Considerando sua definição, acredita-se que a Engenharia Social seja mais antiga do que os computadores.
É possível identifica-la em situações fictícias e históricas, como:
No livro de gênesis
No primeiro livro de gênesis, Adão e Eva foram os primeiros pecadores da humanidade ao comer o fruto proibido.
Mas o que a Engenharia Social tem a ver com isso?
Segundo o livro, a história iniciou-se pela fraqueza emocional de Eva, que durante comunicação com o Diabo disfarçado acreditou em sua história.
Na figura de uma cobra, o Diabo convenceu-a de que Deus os proibia de comer a maçã porque não queria dividir seus poderes.
E essa foi a abordagem necessária para que ela e Adão despertassem um dos sete pecados capitais: a inveja.
O enredo então resultou no casal realizando o que o Diabo queria, tornando-se um dos exemplos mais antigos de um ataque de Engenharia Social.
Ulysses na Mitologia Grega
O exército grego estava prestes a perder em um conflito contra Troia.
Foi aí que Ulysses, o líder dos soldados gregos decidiu apostar em uma estratégia, a falsa desistência da guerra.
Mas após o anúncio feito, Ulysses foi além ao presentear a realeza de Troia com um cavalo, mas não era qualquer um.
O povo de Troia recebeu um grande e pesado cavalo de madeira para amenizar os efeitos da guerra.
Foi então que no atardecer da noite, quando todos os cidadães de Troia já estavam com a guarda baixa, que descobriram que o peso do cavalo era resultado do exército que carregava dentro de si.
O presente na verdade era um esconderijo e foi então que o exército grego revidou o ataque e ganhou a guerra.
Foi assim, sem computadores ou internet que a Engenharia Social atingiu mais vítimas ao despertar sua vaidade.
Desta história também originou-se o nome de um dos malwares mais conhecidos do mundo, o Cavalo de Troia, que assim como na mitologia, envolve um arquivo disfarçado, que ao ser executado, ataca o dispositivo da vítima.
Nos anos 60
Frank Abagnale, 71 anos, é hoje um consultor de elite na segurança da informação americana, mas sua história mostra que ele nem sempre esteve deste lado.
Dos seus 15 aos 21 anos, ele tornou-se conhecido por fazer exatamente o contrário, foi um grande impostor.
Dentre seus maiores golpes, um em especial repercutiu bastante durante os anos 60.
E tudo começou quando ele passou-se por um estudante de jornalismo para coletar as informações que necessitava para aplicar um de seus maiores golpes.
Foi com os dados coletados que ele foi capaz de enganar toda a tripulação da Pan American World Airways (Pan Am), extinta e na época maior companhia aérea americana.
Durante a vivência do personagem, Frank teve acesso a diversos voos gratuitamente, fraudou contra-cheques e documentos.
Linha de Tempo: 10 empresas que sofreram ataques de Engenharia Social nos últimos 10 anos
2010 – Netflix
Durante a realização de um concurso, a Netflix cedeu voluntariamente os dados de mais de 480,000 assinantes.
Após a polêmica da ação, a empresa pontuou que os dados, que envolviam informações como as preferências dos usuários, eram anônimos.
Mas ainda sim, participantes do concurso alegaram ter entendido o processo de anonimato da plataforma e a possibilidade de identificar os indivíduos.
2011 – Sony PSN
A sony teve um dos maiores vazamentos de dados de 2011 no marketplace de seu console, Sony PSN.
Durante a realização de um concurso, expôs cerca de 1.6 milhões dados, incluindo cartões de crédito, endereços, datas de aniversário, senhas e respostas para as perguntas de segurança.
2012 – LinkedIn
Em 2012, o LinkedIn teve uma vazamento de dados de mais de 167 milhões de dados, incluindo e-mails, senhas e endereços.
Usuários da plataforma foram instruídos a alterar suas senhas e os dados foram reconhecidos pelas vítimas através do site Have I Been Pwned.
2013 – Yahoo
Mais de 3 bilhões de dados da Yahoo foram expostos em 2013, como e-mails, endereços, datas de nascimento e respostas para as perguntas de segurança dos usuários.
Mas a grande polêmica é que a empresa só descobriu o caso 3 anos depois, no final de 2016.
2014 – Sony Pictures Entertainment
Em 2014 a Sony Pictures Entertainment sofreu um pequeno vazamento de cerca de 47 mil dados.
Ainda sim, a brecha ganho grande repercussão por envolver o acesso a e-mails particulares, informações sobre filmes não lançados e o contato de celebridades.
2015 – Ashley Madison
A plataforma de relacionamentos extraconjugais teve mais de 37 milhões de dados vazados, incluindo o cartão de crédito, endereço e número de telefone dos usuários.
2016 – Comitê Nacional Democrático
O Comitê Nacional Democrático dos Estados Unidos teve muitas informações publicamente expostas, incluindo a de políticos como Hillary Clinton e o atual presidente do país, Donald Trump.
2017 – Equifax
Mais de 143 milhões de norte-americanos tiveram dados como o número de documentos, cartão de crédito, nome e endereço comprometidos após um vazamento da Equifax, uma das maiores empresas de crédito do país.
2018 – Facebook
O Facebook sofreu com ao menos 2 vazamentos de dados ao longo de 2018.
Em setembro, foram mais de 50 milhões, e em outubro, 30 milhões, totalizando ao menos 80 milhões de dados expostos.
2019 – OxyData.Io e People Data Labs
Mais de 1.2 bilhões de usuários tiveram dados como e-mail, contas em redes sociais e telefone expostos em 2019, tornando-se o maior vazamento partindo da mesma fonte.
No caso, envolvia um banco de dados compartilhado entre duas empresas agregadoras de dados: OxyData.Io e People Data Labs.
Não permita que sua empresa seja o próximo alvo da Engenharia Social
Ao longo dos últimos 10 anos diversas empresas grandes foram vítimas de ataques de engenharia social, e isso apenas reforça o seguinte: todos estão vulneráveis.
Para evitar este tipo de golpe, é muito importante que práticas recorrentes de conscientização sejam aplicadas no ambiente corporativo.
Quer ler mais sobre Engenharia Social
Dúvidas sobre como proteger sua empresa?
Consulte nossos especialistas em Segurança da Informação para descobrir o que você pode fazer hoje para proteger sua empresa deste tipo de ataque.
- Published in Segurança da Informação
O que é Engenharia Social na Segurança da Informação
A Engenharia Social ganhou seu próprio significado no contexto da Segurança da Informação. Você já conhece sua definição?
Em uma organização, os cargos técnicos certamente estão mais protegidos contra ataques hackers do que qualquer outra área.
Mas será que eles também estão imunes contra abordagens sociais?
Segundo o que se entende por Engenharia Social, todos estão vulneráveis a sofrerem com esses tipos de ataque.
Gatilhos que ativam nossa fragilidade
Se por um lado todos possuem e podem desenvolver habilidades cognitivas para duvidar de certas abordagens pessoais, a fragilidade emocional é universal.
Todos possuímos algum assunto, pessoa ou história que nos faz ao menos prestar atenção no que outra pessoa tem a dizer.
Os ataques de Engenharia Social se nutrem das informações coletadas ao longo do processo, e isso significa que quanto mais o cibercriminoso souber, mais forte ele pode voltar em uma próxima tentativa de ataque.
Portanto, a hierarquia pouco importa neste tipo de abordagem, todos devem estar atentos.
Para entendermos melhor o significado da Engenharia Social na Segurança da Informação, iremos abordar os seguintes assuntos:
- Conceituação: O que é Engenharia Social?
- A base da segurança de dados
- Conceituação: O que é Persuasão?
- Como funciona um ataque de Engenharia Social
- Quais os sentimentos explorados pela Engenharia Social
- Quais as consequências dos crimes de Engenharia Social com a chegada da LGPD
Pronto para começar?
O que é Engenharia Social?
A Engenharia Social que conhecemos hoje é utilizada para definir ataques que se utilizem da fragilidade emocional humana para acontecer.
Mas antes de desenvolver a temática, é importante contextualizar o significado de segurança da informação:
É uma série de práticas que visa a proteção de todos os tipos de dados que a empresa armazene.
A base da segurança da informação em 4 pilares:
- Confidencialidade
- Integridade
- Disponibilidade
- Autenticidade
Por esses princípios que o fator humano torna-se uma parte tão importante no processo de segurança de dados.
É difícil imaginar sua eficiência sem pensar na importância das pessoas e em sua vulnerabilidade como alvos.
Por exemplo, sabe aquele modelo novo do iPhone que você viu antes da Apple divulgar?
Provavelmente partiu de um funcionário que foi alvo de um ataque de engenharia social.
Isso pode gerar prejuízos na empresa já que a concorrência terá acesso ao modelo e pode pensar em um lançamento parecido e até prévio ao Iphone, tirando toda a exclusividade do produto.
Mas é a partir de reações simples (como a desatenção) que ataques de diferentes dimensões podem ocorrer.
Não por acaso que diversos produtos no mercado, como os próprios iphones, já são hoje armazenados em locais que poucas pessoas têm acesso.
E se todos podem ser vítimas de ataques de Engenharia Social, isso nunca irá resolver o problema mas, mas pode ajudar na hora de identificar a origem da vulnerabilidade.
E é por este raciocínio que chegamos a Engenharia Social.
É possível separar as ameaças na segurança de dados em duas categorias: tecnológicas e humanas.
A primeira, envolve recursos tecnológicos e por isso exige maiores habilidades do criminoso, já as ameaças humanas – também conhecidas como fator humano, exigem pouco ou nenhuma habilidade tecnológica do infrator.
Não é só para o mal
Embora desde sua origem tenha sido utilizada para fins negativos, as técnicas de Engenharia Social podem e já são incorporadas em muitas situações benéficas.
Traçar o uso de dispositivo de uma pessoa desaparecida, por exemplo, pode auxiliar na busca.
A polícia pode se beneficiar do recurso para muitas investigações.
E empresas podem oferecer treinamentos internos mais realistas ao aplicar nos próprios funcionários ou em processos seletivos, tudo depende dos dados coletados e a finalidade da ação.
Conceituação: O que é Persuasão?
A Engenharia Social na Segurança da Informação tem como finalidade o ato de persuadir. Mas afinal, o que é a persuasão?
O ato de persuadir ocorre quando alguém consegue, através da argumentação, convencer alguém a fazer alguma coisa.
A habilidade recorre a meios emocionais e lógicos para envolver o/os alvos e seu sucesso é baseado na realização, por vontade própria, da ação desejada.
Diferente do senso comum, persuadir e manipular são coisas distintas.
Pois a persuasão ocorre somente quando tentamos entender o que é necessário para convencer alguém a fazer alguma coisa.
Existe também o conceito de manipulação psicológica, que pode ser confundido com o ato de persuadir.
Mas assim como no caso da manipulação, trata-se de um processo diferente em que a influência social é maior e tem como objetivo a mudança de comportamentos.
É muito semelhante ao conceito de Engenharia Social na psicologia, utilizando-se de percepções com táticas indiretas, que na maioria dos vezes pode envolver informações convenientes, enganosas ou dissimuladas.
Outra habilidade semelhante mas que pode ser diferenciada do ato de persuadir, é o convencimento.
É possível convencer pessoas em relação a uma ideia, mas somente a persuasão resulta em uma ação voluntária, de modo que a pessoa acredite que aquilo parte de sua própria vontade.
Também conhecida como “Teoria da Persuasão” ou “ Teoria Empírico-experimental”, os primeiros registros da persuasão como estudo vêm dos anos 40.
E desde os primórdios tratou da busca em estudar a relação entre estímulo e resposta.
Hoje é um tema amplamente estudado em cursos como administração (para negociação) e comunicação.
A persuasão na engenharia social é a grande protagonista, o sucesso da maioria dos ataques é relacionado a habilidade do criminoso em persuadir.
Como funciona um Ataque de Engenharia Social na Segurança da Informação
Os ataque de Engenharia Social funcionam no sistema de tentativa e erro, mas diferente de outras ofensivas, ele retorna cada vez mais forte.
Isso porque o ciclo de atuação da Engenharia Social é baseado no seguinte ciclo:
Coleta de informações, planejamento de ataques, aquisição das ferramentas necessárias, ataque, uso das informações coletadas (para tornar-se próximo do verídico)
Em outras palavras, novas tentativas de ataques serão sempre mais convincentes por serem mais “inteligentes” com os dados coletados na tentativa anterior.
Sentimentos explorados pela Engenharia Social na Segurança da Informação
A Engenharia Social explora emocionalmente suas vítimas, testado diversas iscas até ativar o gatilho que vulnerabiliza o alvo.
Ela também pode se aproveitar de temas atuais, promoções boas demais para serem verdade ou falsos anúncios de premiações.
Por alguns ataques exigirem pouco ou nenhum conhecimento técnico, a engenharia social também pode acontecer sem a necessidade de dispositivos eletrônicos, a abordagem no caso é conhecida como no-tech hacking.
Quando a vítima se dá conta da comunicação suspeita, o criminoso pode já ter colhido as informações necessárias para uma tentativa de ataque.
E o processo, na maioria dos casos, pode envolver um ou mais dos sentimentos a seguir:
Curiosidade
Quase todo ataque de engenharia social inicia a partir da curiosidade do alvo. No caso de phishing, por exemplo, é o benefício imperdível que ele poderá adquirir naquele momento, se seguir as instruções.
Após a surpresa inicial, o usuário certamente vai ter curiosidade para entender melhor do que se trata a mensagem recebida. E para validar sua opinião, ele pode acabar clicando em algum link malicioso ou preenchendo algum formulário.
Preguiça
Por que um funcionário iria digitar as senhas manualmente toda vez que forem acessar alguma coisa?
Ou até mesmo optar voluntariamente pela autenticação de dois fatores se tudo pode ser preenchido automaticamente?
Com atalhos nos tornamos, na maioria das vezes, mais vulneráveis.
É importante que todos sejam conscientizados não apenas sobre as medidas a serem tomadas na rotina dentro da empresa, mas também, a importância de cada uma delas.
Solidariedade
Ajudar um colega de trabalho é uma prática simples e naturalmente aplicada em um ambiente saudável.
Mas não só isso.
Como já dizia um velho ditado “Quando a esmola é demais, o santo desconfia”.
E o engenheiro social utiliza muito bem o recurso ao criar campanhas de doações falsas, descontos imperdíveis que serão revertidos em prol de alguma causa, etc.
É importante despertar nos funcionários o entendimento da importância de se questionar tudo com o que interagem ao longo do dia.
Até mesmo na voluntária ajuda alheia.
Vaidade
O modelo mais recente de um smartphone ou o luxo de realizar alguma atividade são características que envolvem a vaidade da vítima.
Funcionários podem ser seduzidos por uma oferta de empréstimo, compra ou até mesmo um novo emprego.
É pensando na própria fragilidade que todos devem ser conscientizados sobre separar o que precisam do que podem ter em um outro momento. pois a engenharia social utiliza muito bem a vaidade ao seduzir as vítimas a partir do consumo.
Ansiedade
Em uma realidade em que o problema de grandes cidades e muitos ambientes corporativos é a ansiedade, a engenharia social aproveita-se muito do fato.
Tudo deve ser feito rapidamente, as ofertas são irrecusáveis e a sensação de urgência torna-se protagonista a ponto de muitos não atentarem-se ao que chega a eles.
É neste momento que as maiores vítimas são pegas, na pressa do momento, pois não são capazes de criar suspeitas sobre a situação.
Engenharia Social na Segurança da Informação e a ascensão das Fake News
A maioria dos golpes de engenharia social possuem o objetivo de obtenção de dados pessoais.
Mas nos últimos anos, o mundo se deparou com uma nova utilidade por trás dessa lógica: a manipulação de informações.
Tudo começou quando o atual presidente dos Estados Unidos, Donald Trump, acusou um grande veículo de comunicação americana de espalhar “notícias falsas”, durante sua campanha.
Desde então a prática, que já era reconhecida como Hoaxing, ganhou um novo nome: Fake News.
Através de redes sociais, muitas pessoas deixaram de consumir informações imparciais ao participar de grupos que possuam interesses semelhantes, o que abre espaço para perspectivas unilaterais e que muitas vezes não representam a verdade.
Como resposta a isso, grandes empresas como Google e redes sociais como o Facebook passaram a criar políticas específicas para minimizar os danos que foram fortificados graças as suas soluções.
O que apesar de positivo, não impede que as pessoas se envolvam somente em grupos de seu interesse e muito menos impede o compartilhamento de informações distorcidas.
Por questões de segurança, serviços como o WhatsApp possuem conversas criptografadas, o que garante a privacidade mas impede que as empresas identifiquem a origem de muitas das notícias espalhadas.
Quais as consequências dos crimes de Engenharia Social com a chegada da LGPD
Após todos os escândalos envolvendo grandes corporações e o vazamento de dados, diversos países criaram medidas para que a responsabilidade das ocorrências seja maior para empresas de forma a aumentar sua responsabilidade sobre a segurança da informação.
Enquanto a lei de referência é a europeia, conhecida como General Data Protection Regulation (GDPR), o Brasil trabalhou em sua própria versão, a Lei Geral de Proteção de Dados (LGPD), que busca regulamentar o uso de dados no meio corporativo no país.
A LGPD regulamentará qualquer atividade offline ou online que envolva a utilização de dados pessoais e irá responsabilizar as empresas envolvidas no processo.
A LGPD irá abranger qualquer informação que possa servir para identificar alguém.
Além disso, a LGPD também menciona os dados sensíveis, que diferente da documentação, refere-se a questões íntimas, como:
- Status de Saúde
- Vida Sexual
- Dados Genéticos
- Dados Biométricos
- Opinião Política
- Origem Étnica
- Religião
- Participação em sindicatos ou organizações não governamentais
Dentre outras informações que expõem aspectos íntimos da pessoa física.
Tudo muito relevante para um ataque de engenharia social, pois o criminoso pode aproximar-se da vítima por afinidade.
Quando a LGPD entrar em vigor, o não cumprimento resultará em processos administrativos e legais, podendo chegar a multas de até R$ 50 milhões.
A alto custo da multa é importante pois assim será muito mais vantajoso adequar-se a Lei do que pagar eventuais multas a longo prazo.
O objetivo por trás da proposta é a transparência da operação de empresas públicas e privadas, solicitando a permissão e o consentimento dos usuários para que seus dados sejam armazenados para devidos fins.
A penalidade financeira da LGPD irá variar de acordo com a gravidade da infração, sendo que as de não conformidade podem custar até 2% do faturamento da empresa, limitando-se ao máximo de R$50 milhões.
Saiba mais sobre Engenharia Social
Não subestime a Engenharia Social
Esperamos que tenha ficado claro a importância de estudar a Engenharia Social na Segurança da Informação.
Empresas que agem preventivamente a esse tipo de ataque tornam-se menos vulneráveis a ela, e isso é uma ótima condição para qualquer corporação.
Sendo a conscientização uma ótima arma contra os ataque.
Ainda restam dúvidas? Converse com um de nossos especialistas e descubra como começar a se proteger ainda hoje.
- Published in Segurança da Informação
- 1
- 2