(11) 3323-3323

CompugrafCompugraf

  • A Compugraf
    • Sobre
    • Talentos
  • Soluções
    • Redes Corporativas
      • WAN e SD-WAN
      • Consultoria e Gestão
    • Segurança da Informação
      • Applications
      • Cloud
      • Endpoint
      • Mobile
      • Network
      • Privacidade de Dados
    • Serviços
      • Automações e Integrações
      • Serviços Gerenciados
      • Treinamento e Consultoria
    • Segmentos
      • Educação
      • Financeiro
      • Saúde
      • Varejo
      • Indústria
  • Parceiros
  • Materiais
  • Blog
  • Contato
  • Restrito

Quem é quem em um ataque de Engenharia Social

terça-feira, 28 abril 2020 by Rodrigo Santos

Se a Engenharia Social pode atingir qualquer nível de usuário, como traçar o perfil de quem a pratica com más intenções e quem sofre com suas consequências?

multidão engenharia social

Um ataque de Engenharia Social envolve abordagens que podem despertar o interesse do alvo pela ativação de algum senso emotivo.

Diferente de ataques focados em tecnologia, a aproximação do engenheiro social pode ter diferentes caras e afinidades, tudo vai depender do que o criminoso sabe previamente o alvo.

Se um ataque de Engenharia Social pode fazer de qualquer um uma vítima, definir os alvos prioritários de um possível ataque deve ser baseado em algumas outras características.

Para chegarmos nas vítimas mais vulneráveis, iremos abordar neste artigo:

  • Como funciona um ataque de Engenharia Social
  • Quais os principais tipos de ataque
  • Os dados mais importantes que sua empresa precisa proteger?
  • O Perfil do Engenheiro Social
  • Quem é a Vítima de Engenharia Social
  • Como Proteger Funcionários da Engenharia Social

Vamos lá?

Como funciona um Ataque de Engenharia Social na Segurança da Informação

Para entendermos como os ataques de Engenharia Social, ainda que semelhantes, possam ter impactos diferentes, é importante compreender que seu sistema funciona na base de tentativa e erro:

Coleta de informações, planejamento de ataques, aquisição das ferramentas necessárias, ataque, uso das informações coletadas.

ciclo da engenharia social

Sendo assim, novas tentativas de ataques podem ser mais convincentes por trazerem elementos que as tornem mais verídicas, com os dados coletados na tentativa anterior.

Principais ataques realizados com Engenharia Social

os principais ataques

Phishing

O Phishing é o ataque da engenharia social mais comum da atualidade, em suas dezenas de versões.

O crime consiste na obtenção de dados de uma pessoa ou organização através de técnicas de comunicação que resultam na persuasão da vítima.

No ambiente corporativo, qualquer usuário pode ser uma porta de entrada para uma brecha de segurança por saber, ter acesso ou simplesmente saber quem sabe de algo importante.

O contato do criminoso pode ocorrer a partir de qualquer meio de comunicação, como telefone, e-mail, ou SMS – na tentativa de fazer com que pessoas caiam em um golpe.

Fácil de ser executado, o phishing também não é um ataque difícil de ser reconhecido quando observado com atenção. Por isso, a chance de sucesso da prática depende de dois fatores: O momento certo e a desatenção do usuário.

Quem é exposto a essa tática pode ser surpreendido com algum contato em um momento em que aquele contato faça sentido, por exemplo.

Pretexting

O Pretexting é uma ação maliciosa que consiste na tentativa de se obter dados pessoais ou sobre uma empresa de maneira voluntária por uma falsa causa.

Este golpe pode vir disfarçado de uma causa ou confirmação de informações e com isso, despertar a generosidade do alvo.

Suas vítimas podem receber um e-mail suspeito, um telefone ou até mesmo mensagem de texto no WhatsApp.

Quid pro quo

O Quid pro quo é uma abordagem de troca inconsciente. Alguém oferece algo em troca de outra coisa.

Uma vítima desta abordagem pode receber ajuda técnica por algo, que embora seja resolvido pelo criminoso, dá a ele o poder de instalar ou induzir a instalação de arquivos maliciosos no dispositivo.

É uma falsa sensação de benefício em troca de dados pessoais ou problemas técnicos maiores no futuo.

Sextorsão

A sextorsão (sexo + extorsão) é um crime virtual em que a vítima é chantageada a realizar uma ação caso não queira que algum conteúdo íntimo seja divulgados.

Quando uma vítima possue algum e-mail ou número de celular exposto e que possam ser encontrado por botnets, é muito provável que receba tentativas de diversos tipos de ataques, incluindo a sextorsão.

É uma prática que se apoia muito na informação que coleta sobre um alvo, por muitas vezes ele não possui, realmente, um arquivo confidencial, mas sua abordagem (mais informada do que a maioria) vai fazer a vítima acreditar que sim.

Dumpster Diving

O dumpster diving é uma das práticas mais comuns e cotidianas que não utilizam dispositivos eletrônicos.

Trata-se do ato de vasculhar o lixo alheio para obter algum bem.

No mundo da tecnologia, vasculhar o lixo não é apenas uma ação de desespero, pois resíduos, peças ou até mesmo dispositivos com falhas podem ser descartados pelas companhias e tornarem-se alvo de algum tipo de vazamento ou boato.

Muitas organizações já possuem políticas de descarte para formalizar a ação e blindar qualquer tipo de vazamento ao tornar os itens inutilizáveis.

Shoulder Surfing

O Shoulder Surfing consiste na prática de observar as ações que uma pessoa está realizando em dispositivos como um celular ou computadores.

Para os engenheiros sociais, a ação pode representar mais do que uma simples curiosidade e tornar-se uma oportunidade para descobrir e memorizar senhas ou informações da vítima ou empresa que trabalha.

Tailgating

O tailgating é uma tática mais complexa que consiste no acesso presencial a lugares restritos por pessoas não autorizadas.

Considerada a mais antiga das abordagens de engenharia social, utiliza-se na maioria das vezes da bondade da vítima, como quando alguém está com as mãos tão ocupadas que uma pessoa gentil decide ajudar ao abrir e segurar a porta.

Quais informações mais importantes que sua empresa precisa proteger

Talvez sua empresa colete muitos dados bancários de usuários, por envolver o credenciamento para alguma plataforma financeira (como uma fintech).

Ou talvez ela simplesmente envolva dados particulares e identificáveis, como documentos e as preferências de cada um, como em uma rede social.

O mais importante a se compreender é que toda empresa possui um dado que acaba sendo mais importante que o outro pelo valor que representa para o negócio.

Para traçar o perfil de quem é vítima e engenheiro social nesse tipo de ataque, é importante primeiro entender qual a informação mais importante para cada marca.

Talvez a informação mais relevante para o setor de limpeza, por exemplo, seja o calendário de locais que precisam ser limpos, listagem de produtos, dentre outras coisas neste sentido, mas o mesmo funcionário pode ter acesso a lugares críticos.

E é por isso que não importa necessariamente quem você é, e sim o que você sabe ou os locais para os quais você tem acesso.

Quem é o Engenheiro Social

o engenheiro social

Apesar do nome, um engenheiro social não é um especialista na área de roubar informações.

Até porque a formação ainda não existe. Ao menos não formalmente.

Mas para que alguém execute ataques de engenharia social, algumas habilidades podem ser necessárias:

  • Capacidade de contar uma boa história de maneira convincente.
  • Habilidade para utilizar as informações coletadas a seu favor.
  • Poder de persuadir para conseguir que as ações sejam voluntárias.
  • Inteligência analítica necessária para estudar o alvo ou público-alvo com precisão.

Quem é a Vítima de Engenharia Social

a vítima e engenharia social

A engenharia social está presente em todo lugar, qualquer sinal ou ação pode ser o suficiente para que alguém obtenha alguma informação da vítima.

A maior brecha dos sistemas de segurança não é sua tecnologia, mas as pessoas.

Todos os seres humanos possuem características (como o gosto por algum estilo musical), padrões de comportamento e psicológicos. É na observação dessas características que um engenheiro social obtêm o que precisa.

Seja o colaborador um profissional da área técnica ou mais humanizada, todos estão sujeitos a falhar na proteção contra um ataque deste tipo, pois possuem vulnerabilidades humanas.

Em situações cotidianas, vítimas podem ser feitas:

  • Quando desatentos – em modo “automático” na realização de suas tarefas.
  • Ocasião em que não verificam a autenticidade das mensagens recebidas.
  • Ao passo que vivenciam algum problema pessoal e a mensagem soa como a oportunidade de melhorar as coisas.
  • No momento em que se sensibilizam com a mensagem recebida e tem intenções de ajudar.
  • Na hora em que precisa de ajuda e não possui muitas habilidades técnicas.

Como proteger funcionários da Engenharia Social

Muitas empresas erram na prevenção contra golpes virtuais ao só importarem-se com eles após uma primeira ocorrência.

A verdade é que quando falamos que a maior vulnerabilidade de segurança no ambiente corporativo é o fator humano e não suas tecnologias, não estamos falando que os funcionários são menos competentes, mas sim, que todos podem ser persuadidos.

É por isso que uma boa estratégica para combater a engenharia social possui duas características:

  • Prevenção.
  • Constância.

O fato de ser preventiva mostra que a organização já está preparada para caso algo aconteça, ela reconhece o problema e suas probabilidades, e só isso já é o suficiente para afastar muitos criminosos entusiastas.

Quanto a ser constante, é para que os funcionários também estejam sempre alertas sobre o perigo e não apenas em campanhas específicas ou ações reativas a ataques sofridos.

Em outras palavras, a prevenção é a melhor arma contra ataques de engenharia social. Confira algumas dicas que podem ser lembradas dentro do ambiente corporativo:

Manter gavetas e armários fechados.

Holerites, documentos e diversos outros arquivos impressos, com informações sensíveis, podem tornar-se uma vulnerabilidade ao serem facilmente vistas por colegas no ambiente corporativo.

Por isso, é importante manter as gavetas e armários fechados, e instruir os funcionários a levarem tudo o que for crítico para casa no final do expediente, ou disponibilizar um armazenamento específico para este fim.

Minimizar ou encerrar softwares que exponham dados da empresa ou funcionário.

Especialmente em empresas em que as mesas e computadores estiverem expostas em ambiente aberto, é muito comum que, quase inconscientemente, funcionários “bisbilhotam” o que outros estão executando no dispositivo.

Embora na maioria das vezes isso não represente nenhum problema, pode representar uma vulnerabilidade ao gerar oportunidades para pessoas com más intenções.

Não compartilhar login e senha com nenhum colega de trabalho.

Talvez a prática mais comumente difundida em qualquer ambiente, o compartilhamento de senhas é uma das práticas simples que podem causar as piores consequências a um trabalhador.

Imagine que ao fornecer a senha, a pessoa não apenas ganhar acesso total aos recursos disponibilizados para o dono da conta como também abre uma nova vulnerabilidade para seus dados pessoais, que podem a qualquer momento ser obtidos por algum usuário mal intencionado dependendo da prática do novo portador das informações de acesso.

Na necessidade de ausentar-se da mesa de trabalho, realizar o logout até o retorno.

Isso pode ser feito através do menu iniciar ou CTRL + Alt + Del caso esteja utilizando o Windows como sistema operacional.

Da mesma maneira que é importante fechar gavetas e armários que contenham documentos críticos, é essencial que os integrantes de qualquer equipe em uma empresa recebam o treinamento adequado para adquirirem o hábito de, ao ausentar-se da mesa de trabalho, encerrem a sessão de login no computador.

Isso porque ao manter o sistema logado o usuário abre brechas para que outras pessoas acessem ou alterem um arquivo específico que possa comprometer a vítima.

Não jogue documentos inteiros no lixo, rasgue-o ou fragmente caso seja uma opção no local de trabalho.

Jogar documentos e itens críticos como cartões de crédito, exames ou papéis com outras informações podem abrir brechas para a prática de no-hacking conhecida como “dumpster diving”, que consiste basicamente na vulnerabilidade encontrada num lugar muito comum: as lixeiras.

Em situações externas, evitar ao máximo mencionar informações internas da empresa (quadro de funcionários, rotinas, procedimentos).

Exceto quando receber instruções específicas e treinamento de uma assessoria de imprensa, por exemplo.

Colaboradores bem informados sobre a própria organização nunca representarão algo negativo.

No entanto, é importante que os mesmos sejam instruídos nos lugares e momentos em que poderão falar sobre os temas internas.

Pessoas passam por diversos ambientes, além da empresa, ao longo do dia: transportes públicos, outras empresas e claro, a própria residência.

Todos os lugares externos podem abrir vulnerabilidades para que pessoas de fora ganhem acesso a informações privadas e que podem usar para finalidades de impacto negativo.

Coletar documentos impressos logo em seguida.

Impressão em rede é um excelente recurso para a maioria das empresas, afinal, diminui a necessidade de espaços físicos para diversas impressoras e permite que os funcionários compartilhem um mesmo equipamento.

No entanto, o compartilhamento desse dispositivo pode abrir vulnerabilidades para que pessoas tenham acesso ao que foi impresso antes mesmo de quem o solicitou.

E por isso recomendação geral é de que os documentos sejam coletados logo depois da impressão ser solicitada.

Um guia sobre Engenharia Social

Guia de Engenharia Social

Todos estão vulneráveis

Como visto, todos podem tornar-se alvos de um engenheiro social, tudo irá depender dos seguintes fatores:

  • As intenções do criminoso
  • As informações que a vítima sabe, as pessoas que conhece ou os lugares para os quais tem acesso
  • Seu estado emocional

É por isso que embora pessoas com os maiores cargos sejam alvos maiores, a hierarquização não funciona para traçar o impacto de um ataque, pois algo que um novo funcionário saiba ou o local para o qual tem acesso pode ser suficiente.

Quer saber o que sua empresa pode fazer ainda hoje para prevenir os ataques de Engenharia Social? Consulte os Especialistas em Segurança da Informação da Compugraf.

engenharia socialphishingsegurança da informação
Read more
  • Published in Segurança da Informação
No Comments

Como identificar e-mails falsos de Engenharia Social

sexta-feira, 24 abril 2020 by Rodrigo Santos

Descubra como identificar e-mails falsos utilizados para os ataques de Engenharia Social

email falso

E-mails são a principal forma de comunicação interna e externa para muitas empresas, dos mais variados setores.

Enquanto contatos via telefone ou pessoalmente são mais difíceis de serem forjados, principalmente quando existe uma pré-relação entre as duas partes, os e-mails podem mascarar melhor uma falsa comunicação.

Para desvendar o que pode diferenciar um e-mail autêntico de um falso, preparamos este guia, onde iremos discutir:

  • O que é Engenharia Social
  • Quais os Principais Ataques de Engenharia Social
  • Como identificar e-mails falsos
  • Como proteger funcionários da Engenharia Social

O que é Engenharia Social

A Engenharia Social como conhecemos hoje, existe para tratar ameaças que possuem como vítima uma pessoa.

Mas antes de nos aprofundarmos no tema, é preciso entender o que é a segurança da informação e porque é importante estudarmos sobre a engenharia social:

A segurança da informação é baseada em um conjunto de ações para a proteção de dados, desde um dado corporativo sigiloso até as informações sobre um funcionário ou cliente.

Principais ataques de Engenharia Social

ataques engenharia social

Phishing

O Phishing é o ataque da engenharia social mais comum da atualidade, em suas dezenas de versões.

O crime consiste na obtenção de dados de uma pessoa ou organização através de técnicas de comunicação que resultam na persuasão da vítima.

No ambiente corporativo, qualquer usuário pode ser uma porta de entrada para uma brecha de segurança por saber, ter acesso ou simplesmente saber quem sabe de algo importante.

O contato do criminoso pode ocorrer a partir de qualquer meio de comunicação, como telefone, e-mail, ou SMS – na tentativa de fazer com que pessoas caiam em um golpe.

Fácil de ser executado, o phishing também não é um ataque difícil de ser reconhecido quando observado com atenção. Por isso, a chance de sucesso da prática depende de dois fatores: O momento certo e a desatenção do usuário.

Quem é exposto a essa tática pode ser surpreendido com algum contato em um momento em que aquele contato faça sentido, por exemplo.

Pretexting

O Pretexting é uma ação maliciosa que consiste na tentativa de se obter dados pessoais ou sobre uma empresa de maneira voluntária por uma falsa causa.

Este golpe pode vir disfarçado de uma causa ou confirmação de informações e com isso, despertar a generosidade do alvo.

Suas vítimas podem receber um e-mail suspeito, um telefone ou até mesmo mensagem de texto no WhatsApp.

Quid pro quo

O Quid pro quo é uma abordagem de troca inconsciente. Alguém oferece algo em troca de outra coisa.

Uma vítima desta abordagem pode receber ajuda técnica por algo, que embora seja resolvido pelo criminoso, dá a ele o poder de instalar ou induzir a instalação de arquivos maliciosos no dispositivo.

É uma falsa sensação de benefício em troca de dados pessoais ou problemas técnicos maiores no futuo.

Sextorsão

A sextorsão (sexo + extorsão) é um crime virtual em que a vítima é chantageada a realizar uma ação caso não queira que algum conteúdo íntimo seja divulgados.

Quando uma vítima possue algum e-mail ou número de celular exposto e que possam ser encontrado por botnets, é muito provável que receba tentativas de diversos tipos de ataques, incluindo a sextorsão.

É uma prática que se apoia muito na informação que coleta sobre um alvo, por muitas vezes ele não possui, realmente, um arquivo confidencial, mas sua abordagem (mais informada do que a maioria) vai fazer a vítima acreditar que sim.

Dumpster Diving

O dumpster diving é uma das práticas mais comuns e cotidianas que não utilizam dispositivos eletrônicos.

Trata-se do ato de vasculhar o lixo alheio para obter algum bem.

No mundo da tecnologia, vasculhar o lixo não é apenas uma ação de desespero, pois resíduos, peças ou até mesmo dispositivos com falhas podem ser descartados pelas companhias e tornarem-se alvo de algum tipo de vazamento ou boato.

Muitas organizações já possuem políticas de descarte para formalizar a ação e blindar qualquer tipo de vazamento ao tornar os itens inutilizáveis.

Shoulder Surfing

O Shoulder Surfing consiste na prática de observar as ações que uma pessoa está realizando em dispositivos como um celular ou computadores.

Para os engenheiros sociais, a ação pode representar mais do que uma simples curiosidade e tornar-se uma oportunidade para descobrir e memorizar senhas ou informações da vítima ou empresa que trabalha.

Tailgating

O tailgating é uma tática mais complexa que consiste no acesso presencial a lugares restritos por pessoas não autorizadas.

Considerada a mais antiga das abordagens de engenharia social, utiliza-se na maioria das vezes da bondade da vítima, como quando alguém está com as mãos tão ocupadas que uma pessoa gentil decide ajudar ao abrir e segurar a porta.

Como identificar e-mails falsos de Engenharia Social

Reconhecer um e-mail falso pode parecer uma tarefa fácil, até mesmo automática para muitas pessoas. Mas a verdade é que a tarefa está se tornando um pouco mais complexa do que costumava ser.

Se antes bastava conferir o remetente da mensagem @empresa, hoje diversos serviços de disparo de e-mail já não recebem um endereço personalizado, mas sim, um gerado automaticamente pelo serviço, o que dificulta que o reconhecimento ocorra dessa maneira.

Outro detalhe é que visualmente os e-mails falsos estão idênticos as suas versões originais.

Então como identificar e-mails falsos?

Confira o remetente da mensagem

Embora e-mails gerados automaticamente estejam dificultando o reconhecimento de alguns remetentes, no geral, os e-mails falsos tentam replicar o endereço original da empresa para confundir o usuário na desatenção.

Para isso eles criam, por exemplo, endereços parecidos porém com detalhes numéricos.

E em tentativas de golpes de menor qualidade, o próprio e-mail entrega não se tratar de algo legítimo e dependendo do domínio ou formato, o serviço de e-mails por desconhecer ou ter casos recorrente de endereços parecidos, nem mesmo permite que a mensagem chegue ao usuário final, ativando a proteção contra spam.

Links internos

No processo para identificar e-mails falsos é importante observar que sempre que um e-mail contêm links ao longo da mensagem, a proteção spam de um serviço de e-mail de qualidade já o analisa de uma outra maneira, sendo que caso o link seja popularmente malicioso, a proteção é ativada automaticamente.

Mas o sistema não é perfeito e falha em inúmeros casos, pois alguns domínios são novos e ainda não tem nenhuma reputação (negativa ou positiva), por exemplo.

Neste caso, é importante analisar duas coisas:

Em que parte do texto os links são inseridos

Quando um hiperlink é criado em cima de um texto, por exemplo “acesse o site”, a primeira coisa que deve ser verificada é se o link corresponde ao texto.

Verifique o formato de link

Existem links que se assemelham ao original com o detalhe de algum caractere especial para possibilitar o registro do domínio.

Mas no geral, muitos links maliciosos terão um formato diferente, nada familiares. Caso ao passar o mouse por cima do link e notar que o mesmo possui um formato diferente, não clique.

O ideal é pesquisar pelo domínio principal e ver os resultados que aparecem. Caso não há muito material disponível na internet, desconfie. Entre em contato com a empresa antes de clicar em qualquer coisa, assim é possível garantir a segurança do link.

Ao analisar essas duas características será muito mais fácil de identificar e-mails falsos e, principalmente, a segurança dos links apontados no corpo dele.

Desconfie de ofertas inesperadas muito vantajosas

Embora todos queiram acreditar que foram contemplados com alguma promoção, é preciso tomar cuidado quando a oferta parece ser boa demais para ser verdade.

Por isso, antes de qualquer ação em um e-mail desse tipo, verifique as informações diretamente com o remetente – no caso a empresa que enviou o e-mail.

Um e-mail falso é um dos principais meios de contato para a aplicação de um golpe por phishing.

Portanto, é preciso tomar cuidado com abordagens não esperadas que apresentem uma oferta muito vantajosa, tanto de empresas conhecidas como desconhecidas.

O e-mail acompanha anexo um boleto, nota fiscal ou fatura

Empresas que enviam qualquer tipo de cobrança ou nota fiscal por e-mail devem apresentar algum tipo de comprovação de que os arquivos são legítimos, além do mais, é importante refletir se um desses documentos é necessário – como resultado de alguma transação realizada.

Jamais faça o download sem ter certeza de que o arquivo é legítimo e muito menos o pagamento.

No caso de cobranças recorrentes, como assinaturas de telefone, celular, internet, basta atentar-se aos valores e dados informados no corpo do e-mail, caso não especifique o titular correto ou o valor esteja diferente do usual, confirme diretamente com o remetente.

Caso exista alguma pendência, solicite um novo boleto para garantir o pagamento da versão correta de preferência.

O próprio e-mail se contradiz ou possui muitos erros de português

Erros básicos podem ser cometidos em e-mails falsos.

Às vezes, as cores e fonte não batem com a identidade da marca, ou o texto possui muitos erros de português ou ainda, possuem um discurso contraditório.

É por isso que grande parte do processo de identificar um e-mail falso é a atenção do usuário ao observar as características mencionadas acima.

Para identificar e-mails falsos também é possível verificar a existência de um e-mail através da ferramenta gratuita CaptainVerify.

Como proteger funcionários da Engenharia Social

proteção de funcionários

Muitas empresas erram na prevenção contra golpes virtuais ao só importarem-se com eles após uma primeira ocorrência.

A verdade é que quando falamos que a maior vulnerabilidade de segurança no ambiente corporativo é o fator humano e não suas tecnologias, não estamos falando que os funcionários são menos competentes, mas sim, que todos podem ser persuadidos.

É por isso que uma boa estratégica para combater a engenharia social possui duas características:

  • Prevenção.
  • Constância.

O fato de ser preventiva mostra que a organização já está preparada para caso algo aconteça, ela reconhece o problema e suas probabilidades, e só isso já é o suficiente para afastar muitos criminosos entusiastas.

Quanto a ser constante, é para que os funcionários também estejam sempre alertas sobre o perigo e não apenas em campanhas específicas ou ações reativas a ataques sofridos.

Em outras palavras, a prevenção é a melhor arma contra ataques de engenharia social. Confira algumas dicas que podem ser lembradas dentro do ambiente corporativo:

Manter gavetas e armários fechados.

Holerites, documentos e diversos outros arquivos impressos, com informações sensíveis, podem tornar-se uma vulnerabilidade ao serem facilmente vistas por colegas no ambiente corporativo.

Por isso, é importante manter as gavetas e armários fechados, e instruir os funcionários a levarem tudo o que for crítico para casa no final do expediente, ou disponibilizar um armazenamento específico para este fim.

Minimizar ou encerrar softwares que exponham dados da empresa ou funcionário.

Especialmente em empresas em que as mesas e computadores estiverem expostas em ambiente aberto, é muito comum que, quase inconscientemente, funcionários “bisbilhotam” o que outros estão executando no dispositivo.

Embora na maioria das vezes isso não represente nenhum problema, pode representar uma vulnerabilidade ao gerar oportunidades para pessoas com más intenções.

Não compartilhar login e senha com nenhum colega de trabalho.

Talvez a prática mais comumente difundida em qualquer ambiente, o compartilhamento de senhas é uma das práticas simples que podem causar as piores consequências a um trabalhador.

Imagine que ao fornecer a senha, a pessoa não apenas ganhar acesso total aos recursos disponibilizados para o dono da conta como também abre uma nova vulnerabilidade para seus dados pessoais, que podem a qualquer momento ser obtidos por algum usuário mal intencionado dependendo da prática do novo portador das informações de acesso.

Na necessidade de ausentar-se da mesa de trabalho, realizar o logout até o retorno.

Isso pode ser feito através do menu iniciar ou CTRL + Alt + Del caso esteja utilizando o Windows como sistema operacional.

Da mesma maneira que é importante fechar gavetas e armários que contenham documentos críticos, é essencial que os integrantes de qualquer equipe em uma empresa recebam o treinamento adequado para adquirirem o hábito de, ao ausentar-se da mesa de trabalho, encerrem a sessão de login no computador.

Isso porque ao manter o sistema logado o usuário abre brechas para que outras pessoas acessem ou alterem um arquivo específico que possa comprometer a vítima.

Não jogue documentos inteiros no lixo, rasgue-o ou fragmente caso seja uma opção no local de trabalho.

Jogar documentos e itens críticos como cartões de crédito, exames ou papéis com outras informações podem abrir brechas para a prática de no-hacking conhecida como “dumpster diving”, que consiste basicamente na vulnerabilidade encontrada num lugar muito comum: as lixeiras.

Em situações externas, evitar ao máximo mencionar informações internas da empresa (quadro de funcionários, rotinas, procedimentos).

Exceto quando receber instruções específicas e treinamento de uma assessoria de imprensa, por exemplo.

Colaboradores bem informados sobre a própria organização nunca representarão algo negativo.

No entanto, é importante que os mesmos sejam instruídos nos lugares e momentos em que poderão falar sobre os temas internas.

Pessoas passam por diversos ambientes, além da empresa, ao longo do dia: transportes públicos, outras empresas e claro, a própria residência.

Todos os lugares externos podem abrir vulnerabilidades para que pessoas de fora ganhem acesso a informações privadas e que podem usar para finalidades de impacto negativo.

Coletar documentos impressos logo em seguida.

Impressão em rede é um excelente recurso para a maioria das empresas, afinal, diminui a necessidade de espaços físicos para diversas impressoras e permite que os funcionários compartilhem um mesmo equipamento.

No entanto, o compartilhamento desse dispositivo pode abrir vulnerabilidades para que pessoas tenham acesso ao que foi impresso antes mesmo de quem o solicitou.

E por isso recomendação geral é de que os documentos sejam coletados logo depois da impressão ser solicitada.

E-mails não são o único canal de comunicação

Ficou com dúvidas mesmo após as dicas acima?

Reforce a importância de alternância de meios de comunicação dentro da empresa, assim, as equipes podem reduzir as chances de um ataque oportunista funcionar.

Conforme as recomendações, e caso isso não seja possível, crie políticas internas, como frases ou códigos especiais que possam autenticar os autores originais das mensagens. E lembre-se, atenção é a melhor prevenção de todas.

O Brasil no foco dos ataques de Phishing

Infográfico - Engenharia Social

Tire suas dúvidas com nosso time

Consulte os especialistas de Segurança da Informação da Compugraf.

email falsoengenharia socialphishing
Read more
  • Published in Segurança da Informação
No Comments

Ciberataques em vias aéreas: hackers violam sites do aeroporto de São Francisco

quinta-feira, 23 abril 2020 by Ricardo Cestari Junior

Funcionários revelam que nomes de usuário e senhas foram roubados

 

O Aeroporto Internacional de São Francisco divulgou que hackers roubaram nomes de usuário e senhas de dois de seus sites em março.

De acordo com uma notificação recente, disponíveis em seus canais de comunicação, os sites invadidos foram o SFOConnect.com, que fornece atualizações sobre o aeroporto para passageiros e viajantes, e o Flysfo.com, que contém informações sobre projetos de reforma, construção e expansão do aeroporto.

Até segunda-feira (13/04), o site SFOConnect já estava funcionando normalmente, fornecendo informações sobre serviços de passageiros, de voo e os efeitos da pandemia do COVID-19 no aeroporto. O site SFOConstruction, contudo, ainda está fora do ar, redirecionando apenas para a página de notificação da violação.

Embora a notificação ressalte que o incidente ocorreu em março e que as autoridades aeroportuárias ainda estão investigando, ainda não foi não divulgado quantas senhas e nomes de usuários podem ter sido comprometidos e se a violação afetou passageiros, funcionários do aeroporto ou ambos.

O Aeroporto Internacional de São Francisco é considerado o sétimo aeroporto mais movimentado dos EUA e seu site diz que ele normalmente recebe cerca de 58 milhões de passageiros por ano. Pertence e é operado pela cidade de San Francisco, quarta cidade mais populosa do estado da Califórnia.

Como aconteceu o ciberataque ao aeroporto de San Francisco

Segundo a notificação de violação, os hackers inseriram códigos maliciosos nos dois sites para roubar as credenciais de login dos usuários. A notificação não esclarece se o ataque começou com um email de phishing ou uma exploração de uma vulnerabilidade.

“Os usuários possivelmente afetados por esse ataque incluem aqueles que acessam esses sites de fora da rede do aeroporto pelo Internet Explorer em um dispositivo pessoal baseado no Windows ou em um dispositivo não mantido pelo Aeroporto Internacional de São Francisco”, diz a nota de esclarecimento.

Depois que o hacking foi identificado, os dois sites foram tirados do ar e o código malicioso foi removido, de acordo com a notificação. As autoridades do aeroporto forçaram a redefinição de todas as senhas de e-mail e de rede no dia 23 de março.

Agora, elas pedem que qualquer pessoa que tenha visitado ou que tenha configurado uma conta esses dois sites para redefinir suas senhas e nomes de usuários urgentemente, especialmente se eles usarem um dispositivo cujo sistema operacional é o Windows.

“Embora não esteja claro qual foi a motivação por trás desse ataque, os dois sites parecem confiar na autenticação de login único, o que os tornou mais suscetíveis a esse tipo de hacking”, diz Fausto Oliveira, principal arquiteto de segurança da empresa especializada em cibersegurança Acceptto.

“O site SFOConstruction.com exige [para login] um código de registro publicado no próprio site, o que dificilmente é uma medida eficaz para impedir a aquisição de contas no primeiro uso e que pode ser facilmente explorado por hackers que usam ataques de engenharia social mais simples”, diz Oliveira à Information Grupo de mídia de segurança.

“Da mesma forma, o SFOConnect.com revela dados que ajudam a entender a composição das informações hospedadas, e há um site do SharePoint que contém informações de comissões de aeroportos. Esse tipo de dados nunca deve ser exposto a usuários não autenticados”.

Oliveira diz que mesmo um processo simples de autenticação de dois fatores pode ter impedido a exposição de alguns dados.

Não é a primeira vez que aeroportos são alvos de ciberataques

Em outro incidente recente envolvendo hackers e vazamento de dados de aeroportos, autoridades do Aeroporto Internacional de Albany (Nova York) divulgaram em janeiro que tiveram que pagar uma gangue de cibercriminosos depois que os sistemas da instalação foram atingidos pelo ransomware Sodiniokibi no Natal, a fim de que suas atividades fossem normalizadas. O incidente permanece sob investigação do FBI e do Cyber ​​Command do Estado de Nova York.

Em 2015, na Polônia, ataques de hackers chegaram a resultar em cancelamentos e atrasos no aeroporto de Chopin, na Varsóvia, depois que um ataque cibernético afetou os sistemas da companhia aérea polonesa Lot, impedindo os computadores de criarem planos de voo.

Em 2017, na Ucrânia, ataques cibernéticos atingiram o aeroporto ucraniano de Odessa e o sistema de metrô em Kiev. Não se sabe ao certo os motivos, mas o aeroporto de Odessa informou que intensificou as medidas de segurança, enquanto o metrô de Kiev reportou um ataque ao seu sistema de pagamento.

Já em 2018, em Atlanta, o Aeroporto Internacional Hartsfield-Jackson foi forçado a desligar sua rede de Wi-Fi interna como medida de segurança, depois que a rede do governo da cidade de Atlanta sofreu um ataque de ransomware.

Nesse caso, o problema foi mais grave: os arquivos presentes na rede foram criptografados e mantidos como “reféns” em vários dos computadores oficiais. O aeroporto de Atlanta desativou o serviço Wi-Fi para evitar que qualquer ransomware malicioso se espalhasse pelos computadores das autoridades aeroportuárias, das companhias aéreas e, possivelmente, dos clientes.

No Brasil, em 2019, um hacker identificou uma brecha de segurança em um aplicativo da LATAM que permitiria usuários mal intencionados acessarem notebooks e celulares de clientes da companhia aérea, através da transferência de malware por um procedimento de phishing interno.

A principal preocupação era que a vulnerabilidade detectada também permitiria que o hacker gerasse um falso formulário de compra para roubar informações mais sensíveis, como nome completo e dados de cartão de crédito — o que abriria margem para uma série de fraudes e golpes de falsificação ideológica. Em nota emitida pela LATAM, a companhia alegou que testes e correções foram encaminhados imediatamente após a notificação.

Ataques a aeroportos ou em sistemas de companhias aéreas não são incomuns. Isso porque estamos lidando com locais que combinam total dependência de soluções tecnológicas com uso de informações sensíveis sobre funcionários e passageiros.

O investimento em segurança deve cobrir todas as possíveis frentes de ataque e ir além do básico; é preciso presumir que estamos sempre sob risco de sofrer um ataque cibernético e cuidar tanto de nossos sistemas quanto de nossas atitudes como usuários.

Nas redes da Compugraf estamos compartilhando conteúdos riquíssimos para garantir prevenção de ataques. Não deixe de dar uma olhada e compartilhar com seu time!

Aircrafts in an airport
engenharia socialpersuasão
Read more
  • Published in Segurança da Informação
No Comments

Engenharia Social: Como identificar sites falsos

quarta-feira, 22 abril 2020 by Rodrigo Santos

Diversos sites podem ser utilizados para um ataque de engenharia social. Você sabe como identificar sites falsos?

Descubra quais características podem auxiliar na distinção de páginas plagiadas para fins maliciosos.

como identificar sites falsos

Os principais desafios em como identificar sites falsos, incluem um fato importante:

Normalmente, os alvos são páginas que necessitam de credenciamento, citando como exemplo serviços de consumo como Netflix ou até mesmo e-mails, são alvos estratégicos de cibercriminosos de Engenharia Social em busca de roubar informações de acesso.

A maioria das páginas podem ser facilmente distinguidas pela URL na barra de endereços, que irá ser diferente da original.

Mas o que fazer quando os sites são redirecionados para páginas de crimes de Engenharia Social ou a variação não é perceptível?

Neste guia de como identificar sites falsos, separamos as seguintes dicas:

  • Como diferenciar um site falso
  • O que é um certificado SSL e como proteger o site de sua empresa

Como identificar sites falsos na Engenharia Social

Com os sites falsos cada vez mais parecidos com suas versões originais, torna-se cada vez mais difícil diferenciá-los visualmente.

No entanto, ainda sim é possível identificar e apontar suas diferenças técnicas para garantir que o acesso ocorra na versão correta do site.

Durante o check up de um site, é muito importante verificar as seguintes características:

A URL do site

A primeira coisa a ser observada para descobrir se um site está correto ou não, é reparar em sua URL.

Isso porque em muitos casos o domínio não corresponde ao original, ou apesar de ser semelhante, é acompanhado por números e caracteres especiais.

Trata-se de uma prática muito comum nos sites utilizados para prática de Engenharia Social.

A quantidade de anúncios

Embora seja uma fonte de renda para muitos sites, é pouco provável que um site confiável exceda nas propagandas na página e, principalmente, se essas forem invasivas (como é o caso de pop-ups).

Caso já tenha acessado o site anteriormente e notou um aumento estranho na quantidade de anúncios, talvez seja um bom motivo pra desconfiar da veracidade da página.

Ou ainda, observar o conteúdo dos anúncios pode fazer toda diferença, pois se estiverem fora de contexto ou nem ao menos se associarem as suas pesquisas recentes, pode haver algo de errado ou o serviço de anúncios ser de baixa qualidade.

Semelhante, mas é idêntico?

Normalmente, até os sites que “clonam” as versões originais possuem detalhes que se diferenciam, pois as vezes não acompanham suas atualizações ou simplesmente não chegaram no mesmo nível de programação da página.

Por isso, caso já tenha acessado o site anteriormente, vale a pena dar uma olhada mais clínica nos detalhes para verificar as informações.

Esses detalhes muitas vezes são a chave para diferenciar de sites com ataques de Engenharia Social

Velocidade de carregamento

Os sites falsos de Engenharia Social muitas vezes são hospedados em servidores de baixa qualidade, e caso o site original tenha uma estrutura mais ágil, é mais fácil reparar na diferença de qualidade de uma versão para a outra.

Mas também é importante lembrar que em momentos de instabilidade é possível que até mesmo grandes sites tenham problemas momentâneos como erros no carregamento ou na própria velocidade.

Se a necessidade de acesso não é imediata, vale a pena atualizar a página (F5) ou até mesmo aguardar alguns minutos para checar novamente se as coisas seguem da mesma maneira.

Um dos critérios para saber como identificar sites falsos, é verificar se o site possui Certificado SSL

certificado ssl contra engenharia social

O certificado SSL é uma necessidade para todo tipo de site, principalmente se ocorre qualquer tipo de transação dentro do site. Ao longo dos últimos anos o certificado tornou-se tão importante que o Google passou a penalizar, nos resultados de busca, sites que não estejam certificados.

A boa notícia é que não há diferença entre certificados pagos ou gratuitos. Mas existem diferentes tipos de certificado que devem ser considerados de acordo com a finalidade do site.

Protegendo o site de sua empresa contra fraudes de Engenharia Social

Agora que você já sabe os principais pontos a serem observados nos sites acessados para saber como identificar sites falsos, vamos nos aprofundar mais no tema para que sua equipe possa aplicar ou identificar as características no site de sua empresa:

Quais os tipos de certificado existentes

  • Certificado de Validação de Domínio

O certificado de validação de domínio é o mais comum de todos, sendo ideal para sites que precisam de proteção moderada por lidar com um volume menor de dados no dia a dia.

Sua emissão é rápida, simples e ocorre com o comprovante de autoridade sobre o domínio (DNS), sendo também a opção mais acessível do mercado e com alternativas gratuitas como o Let’s Encrypt, uma autoridade certificadora gratuita e de código aberto.

  • Certificado de Validação de uma Organização

O certificado de validação de uma organização possui proteção moderada por provar não apenas a autoridade de um domínio como também a existência da empresa nos termos legais.

Por isso, sua configuração é mais complexa, necessitando de comprovantes institucionais, e uma possível chamada para a confirmação das informações. Sua emissão também é um pouco mais demorada e não existem opções gratuitas.

O certificado neste caso também é mais personalizado do que o de validação de domínio, pois além do cadeado verde também mostra todas as informações confirmadas sobre a empresa, tornando-se uma opção mais confiável e a mais indicada para empresas que precisam garantir o tempo inteiro a sua autenticidade.

  • Certificado de Validação Estendida

O certificado de validação estendida é o melhor no mercado por ser o único que deixa a barra totalmente verde além de exibir o nome fantasia de uma empresa.

Assim como o certificado de validação de organização, também exige o envio de diversos documentos da empresa e informações de acordo com o tipo de atuação.

Sendo o certificado mais caro disponível no mercado, é o mais indicado para empresas que necessitam de muito destaque para mostrar que o site é seguro, como no caso de instituições bancárias.

Sites com certificados gratuitos serão inferiorizados pelo Google?

Embora existam características muito distintas de um certificado simples para o mais avançado, não existem diferenças em relação ao seu nível de segurança, pois o processo de encriptação será semelhante em todos os casos.

Sendo assim, um site com certificado gratuito de validação de domínio não será necessariamente posicionado abaixo de um site que possui o certificado de validação estendida, por exemplo.

Certificado comum, coringa ou multidomínio, quais as diferenças e qual utilizar

O certificado comum (também conhecido como single domain) contempla apenas um único domínio e as páginas dentro dele, não incluindo os subdomínios. Exemplo: https://compugraf.com.br e https://compugraf.com.br/contato estão ambos contemplados por este certificado pelo fato de estarem dentro do mesmo site. É o certificado mais barato e indicado para sites com estruturas menores ou que simplesmente não utilizem subdomínios.

Já o certificado coringa – também conhecido como wildcard, abrange além das páginas dentro de um domínio, todos os subdomínios daquele endereço. Ou seja, https://compugraf.com.br está protegido, assim como https://blog.compugraf.com.br. Esta é a opção mais recomendada para sites que contenham uma estrutura pequena ou média mas que utilizem subdomínios.

Por fim, temos o certificado multi-domínio, que como o próprio nome sugere, abrange domínios diferentes de um mesmo site. sendo possível proteger até 100 domínios diferentes com o mesmo certificado.

Esta é a opção mais recomendada para sites com grandes estruturas e que demandam diferentes servidores e domínios.

Como a proteção de todos os certificados é igual, diferenciando apenas na abrangência, a melhor escolha é sempre a que se adequa a estrutura planejada para o site. Ou seja, caso exista a intenção de utilizar subdomínios para o próximo ano ou dois, talvez seja mais vantajoso simplificar o processo e instalar apenas uma vez o certificado multidomínio, já pensando na possibilidade de subdomínios no futuro.

O mesmo vale para a opção do certificado coringa.

O que acontece quando o certificado expira?

Na hora da contratação de um certificado SSL, é necessário selecionar o tempo de validade do mesmo. Isso também vale para os certificados gratuitos, que possuem uma data de expiração. Não há como alterar o tempo de validade após o certificado ser contratado.

Sendo assim, quando chegar a data de vencimento de um certificado, a única maneira de manter o site seguro é comprando um novo certificado, processo que irá demandar uma nova instalação. Da mesma maneira, não é possível alterar o tipo de certificado após ser gerado, o processo deve ser feito de maneira estratégica para não ocorrer desperdícios para a empresa.

Alguns serviços e empresas facilitam muito esse processo de nova instalação, muitas vezes realizando tudo de maneira automática após a compra. Mas no geral, é recomendável contratar o certificado para o maior tempo disponível no momento da renovação.

Do contrário, será necessário ajuda técnica na hora de uma nova instalação (o que pode demandar mais gastos) e também é importante que esse processo ocorra antes do processo de vencimento, pois do contrário haverá uma brecha de segurança até tudo ser resolvido novamente.

A instalação de um certificado, assim como sua reinstalação será sempre a responsabilidade da pessoa ou empresa responsável pela compra, sendo um processo simples ou demorado, dependendo do servidor de destino e do tipo de certificação.

Os certificados SSL são compatíveis com diferentes navegadores e dispositivos móveis?

Ainda que não seja possível afirmar a compatibilidade universal, é pouco provável que algum navegador atual, e o mesmo vale para navegadores para dispositivos móveis, não seja compatível com algum certificado. Isso porque a certificação representa também um dos pontos na qualidade de experiência de um usuário.

Caso por algum motivo algum navegador não se mostre compatível, é importante verificar sua versão (para ver se está atualizado) e comunicar imediatamente a empresa certificadora para justificar a incompatibilidade.

Quais as principais empresas certificadoras comerciais?

Enquanto o Let’s Encrypt é uma das opções gratuitas mais conhecidas e utilizadas no mercado, existem diversas alternativas comerciais – os certificados pagos. Algumas das mais populares, são: Geotrust, Symantec, Comodo e GlobalSign.

Os preços variam de uma empresa para outra, porém não há diferença na qualidade do certificado em si, devendo a preferência ser baseada na experiência com a empresa (melhor atendimento, custo benefício, etc), sendo que as marcas são intermediadas por revendedores.

Há desvantagens no certificado gratuito?

Se por um lado o Google não diferencia um certificado gratuito ou comercial em seus resultados de busca, existem algumas desvantagens de um serviço pago do gratuito:

    • Não há suporte

Enquanto uma revendedora provavelmente fornecerá suporte para seus usuários, serviços gratuitos não. Ao menos não gratuitamente. Em geral, todos os serviços (revendedora e certificações) possuem sua própria documentação, mas somente as revendedoras comerciais irão disponibilizar algum tipo de suporte.

    • Não há garantias

Ainda que a opção não deva ser descartada – principalmente se for um projeto em que a verba é limitada, a verdade é que nenhuma certificadora gratuita pode garantir que a criptografia é inquebrável, ou seja, a segurança pode ser falha e o consumidor não terá para onde reclamar. Caso ocorra qualquer quebra de criptografia em um serviço comercial, o cliente será indenizado.

Um certificado SSL garante a proteção de um site contra hackers?

Não. O certificado SSL é responsável pela segurança no tráfego de dados entre usuário e um servidor para impedir que uma terceira pessoa tenha acesso a elas, sendo diferente de uma solução entre vírus, por exemplo.

Para a segurança de um site contra ataques existem outras soluções, como a implementação de um CDN (ou Content Delivery Network), que cria uma camada de segurança além de mantê-lo no ar durante manutenções ao criar uma cópia da versão mais recente.

O que é um certificado auto-assinado?

Além das opções de empresas certificadoras mencionas, existe também uma outra modalidade de certificado: a auto-assinada. Neste caso, a própria empresa ou usuário pode gerar seu certificado, o que a primeiro momento parece ser a melhor opção.

No entanto, existem razões suficientes para descartar a opção na maioria dos casos, pois esses certificados não são reconhecidos pela maioria dos navegadores e embora ele esteja implementado no site, a mesma mensagem de site não seguro continua aparecendo.

Realize uma pesquisa pelo domínio no WHOIS

O WHOIS é um serviço que registra todas as informações do proprietário de um domínio, mas ainda sim não é um recurso útil todas as vezes, pois a maioria das empresas que oferecem o serviço de registro de domínios também possuem o serviço adicional de ocultação das informações de propriedade.

Caso o domínio não tenha as informações ocultadas, é possível ver exatamente a pessoa ou empresa que o registrou, o número do CPF ou CNPJ se for pessoa jurídica. Além disso, também é possível ver a empresa contratada para o registro de domínios, a data de registro e de vencimento do domínio.

Realize uma pesquisa simples no Google

Por mais simples que possa parecer, uma busca simples no Google pode ser bem efetiva para descobrir se um site é legítimo ou não. Buscar pelo nome da empresa/site irá revelar que se trata de um site legítimo (caso o endereço seja compatível) ou até mesmo se outras pessoas tiveram algum tipo de problema – o que pode aumentar as suspeitas da página.

Além disso, o google também possui uma ferramenta de verificação de transparência de um site, contendo diversas informações e dicas de segurança.

Verifique se não sofreu nenhum redirecionamento

Sites afetados por algum tipo de malefício podem apresentar problemas sérios de segurança, como a exibição de anúncios que contenham vírus ou o redirecionamento da página para um site falso, ou seja, apesar de o endereço estar correto e a verificação no Google tenha funcionado, o site sofreu algum tipo de ataque durante uma vulnerabilidade.

O Brasil no foco dos ataques de Phishing

Infográfico - Phishing
iNFO

As pessoas irão olhar o seu site primeiro

Pensar na estratégia de proteção do site da própria empresa é uma etapa de extrema importância, pois da mesma forma que os sites que acessamos todos os dias estão vulneráveis, o nosso também pode estar.

Quer saber mais sobre como proteger o acesso a sites e a própria empresa contra cibercriminosos? Converse com nossos Especialistas em Segurança da Informação.

como identificar páginas falsasengenharia socialfake pagessites falsos
Read more
  • Published in Segurança da Informação
No Comments

Linha de Tempo – Os maiores golpes da Engenharia Social dos últimos 10 anos

quinta-feira, 16 abril 2020 by Rodrigo Santos

Conheça algumas das principais empresas que sofreram com os maiores golpes da Engenharia Social ao longo dos últimos 10 anos.

maiores golpes de engenharia social

A Engenharia Social é o tipo de ataque que mais tem crescido com o desenvolvimento da internet, ainda que tenha nascido antes dela.

Sua abordagem social é capaz de tornar qualquer pessoa uma vítima com o uso da persuasão.

Sendo assim, existe uma necessidade estratégia de que empresas comecem a pensar não apenas nas camadas de proteção digital, mas também na mentalidade das pessoas que atuam nelas.

Ao longo dos últimos 10 anos, grandes corporações foram surpreendidas com golpes de Engenharia Social, mas como tudo isso aconteceu?

Neste artigo, iremos explorar:

  • O que é Engenharia Social
  • Quais os Principais Golpes da Engenharia Social
  • 10 empresas que sofreram golpes nos últimos 10 anos
  • Como proteger funcionários

O que é Engenharia Social

engenharia social

A Engenharia Social que conhecemos hoje é utilizada para definir ataques que se utilizem da fragilidade emocional humana para acontecer.

Mas antes de desenvolver a temática, é importante contextualizar o significado de segurança da informação:

É uma série de práticas que visa a proteção de todos os tipos de dados que a empresa armazene.

Quais os Maiores Golpes da Engenharia Social

Phishing

O Phishing é o ataque da engenharia social mais comum da atualidade, em suas dezenas de versões.

O crime consiste na obtenção de dados de uma pessoa ou organização através de técnicas de comunicação que resultam na persuasão da vítima.

No ambiente corporativo, qualquer usuário pode ser uma porta de entrada para uma brecha de segurança por saber, ter acesso ou simplesmente saber quem sabe de algo importante.

O contato do criminoso pode ocorrer a partir de qualquer meio de comunicação, como telefone, e-mail, ou SMS – na tentativa de fazer com que pessoas caiam em um golpe.

Fácil de ser executado, o phishing também não é um ataque difícil de ser reconhecido quando observado com atenção. Por isso, a chance de sucesso da prática depende de dois fatores: O momento certo e a desatenção do usuário.

Quem é exposto a essa tática pode ser surpreendido com algum contato em um momento em que aquele contato faça sentido, por exemplo.

Pretexting

O Pretexting é uma ação maliciosa que consiste na tentativa de se obter dados pessoais ou sobre uma empresa de maneira voluntária por uma falsa causa.

Este golpe pode vir disfarçado de uma causa ou confirmação de informações e com isso, despertar a generosidade do alvo.

Suas vítimas podem receber um e-mail suspeito, um telefone ou até mesmo mensagem de texto no WhatsApp.

Quid pro quo

O Quid pro quo é uma abordagem de troca inconsciente. Alguém oferece algo em troca de outra coisa.

Uma vítima desta abordagem pode receber ajuda técnica por algo, que embora seja resolvido pelo criminoso, dá a ele o poder de instalar ou induzir a instalação de arquivos maliciosos no dispositivo.

É uma falsa sensação de benefício em troca de dados pessoais ou problemas técnicos maiores no futuo.

Sextorsão

A sextorsão (sexo + extorsão) é um crime virtual em que a vítima é chantageada a realizar uma ação caso não queira que algum conteúdo íntimo seja divulgados.

Quando uma vítima possue algum e-mail ou número de celular exposto e que possam ser encontrado por botnets, é muito provável que receba tentativas de diversos tipos de ataques, incluindo a sextorsão.

É uma prática que se apoia muito na informação que coleta sobre um alvo, por muitas vezes ele não possui, realmente, um arquivo confidencial, mas sua abordagem (mais informada do que a maioria) vai fazer a vítima acreditar que sim.

Dumpster Diving

O dumpster diving é uma das práticas mais comuns e cotidianas que não utilizam dispositivos eletrônicos.

Trata-se do ato de vasculhar o lixo alheio para obter algum bem.

No mundo da tecnologia, vasculhar o lixo não é apenas uma ação de desespero, pois resíduos, peças ou até mesmo dispositivos com falhas podem ser descartados pelas companhias e tornarem-se alvo de algum tipo de vazamento ou boato.

Muitas organizações já possuem políticas de descarte para formalizar a ação e blindar qualquer tipo de vazamento ao tornar os itens inutilizáveis.

Shoulder Surfing

O Shoulder Surfing consiste na prática de observar as ações que uma pessoa está realizando em dispositivos como um celular ou computadores.

Para os engenheiros sociais, a ação pode representar mais do que uma simples curiosidade e tornar-se uma oportunidade para descobrir e memorizar senhas ou informações da vítima ou empresa que trabalha.

Tailgating

O tailgating é uma tática mais complexa que consiste no acesso presencial a lugares restritos por pessoas não autorizadas.

Considerada a mais antiga das abordagens de engenharia social, utiliza-se na maioria das vezes da bondade da vítima, como quando alguém está com as mãos tão ocupadas que uma pessoa gentil decide ajudar ao abrir e segurar a porta.

10 empresas que sofreram os maiores golpes da Engenharia Social nos últimos 10 anos

2010 – Netflix

A empresa sofreu com ataques quando deram a participantes de um concurso o acesso a informações de mais 480,000 assinantes.

A organização, no entanto, recuperou os dados de alguns candidatos.

2011 – Sony PSN

O marketplace Sony PSN, do console PlayStation, deu acesso a participantes de um concurso mais de 1.6 milhões dados,

incluindo cartões de crédito, endereços, datas de aniversário, senhas e respostas para as perguntas de segurança.

2012 – LinkedIn

Em 2012, o LinkedIn teve uma vazamento de dados de mais de 167 milhões de dados,

sendo a maioria e-mails, senhas e endereços.

2013 – Yahoo

Mais de 3 bilhões de dados da Yahoo foram expostos em 2013,

incluindo e-mails, endereços, datas de nascimento e respostas para as perguntas de segurança dos usuários.

Mas o vazamento só foi descoberto 3 anos depois, no final de 2016.

2014 – Sony Pictures Entertainment

Em 2014 a Sony Pictures Entertainment sofreu um pequeno vazamento de dados que envolveu cerca de 47 mil dados,

o que não diminuiu o impacto nas finanças e reputação da empresa.

Os criminosos tiveram acesso a e-mails particulares, filmes não lançados e o contato de celebridades.

2015 – Ashley Madison

A plataforma de relacionamentos extraconjugais teve mais de 37 milhões de dados vazados,

incluindo o cartão de crédito, endereço e número de telefone dos usuários.

2016 – Comitê Nacional Democrático

O Comitê Nacional Democrático dos Estados Unidos teve muitas informações publicamente expostas,

incluindo a de políticos como Hillary Clinton e o atual presidente do país, Donald Trump.

2017 – Equifax

Mais de 143 milhões de norte-americanos tiveram dados como o número de documentos,

cartão de crédito, nome e endereço após um vazamento da Equifax, uma das maiores empresas de crédito do país.

2018 – Facebook

O Facebook sofreu com ao menos 2 vazamentos de dados ao longo de 2018.

Em setembro, foram mais de 50 milhões, e em outubro, 30 milhões, totalizando ao menos 80 milhões de dados expostos.

2019 – OxyData.Io e People Data Labs

Mais de 1.2 bilhões de usuários tiveram dados como e-mail, contas em redes sociais e telefone expostos em 2019,

tornando-se o maior vazamento partindo da mesma fonte.

No caso, envolvia um banco de dados compartilhado entre duas empresas agregadoras de dados: OxyData.Io e People Data Labs.

Como proteger funcionários dos maiores golpes da Engenharia Social

Muitas empresas erram na prevenção contra golpes virtuais ao só importarem-se com eles após uma primeira ocorrência.

A verdade é que quando falamos que a maior vulnerabilidade de segurança no ambiente corporativo é o fator humano e não suas tecnologias, não estamos falando que os funcionários são menos competentes, mas sim, que todos podem ser persuadidos.

É por isso que uma boa estratégica para combater a engenharia social possui duas características:

  • Prevenção.
  • Constância.

O fato de ser preventiva mostra que a organização já está preparada para caso algo aconteça, ela reconhece o problema e suas probabilidades, e só isso já é o suficiente para afastar muitos criminosos entusiastas.

Quanto a ser constante, é para que os funcionários também estejam sempre alertas sobre o perigo e não apenas em campanhas específicas ou ações reativas a ataques sofridos.

Em outras palavras, a prevenção é a melhor arma contra os maiores golpes de engenharia social. Confira algumas dicas que podem ser lembradas dentro do ambiente corporativo:

Manter gavetas e armários fechados.

Holerites, documentos e diversos outros arquivos impressos, com informações sensíveis, podem tornar-se uma vulnerabilidade ao serem facilmente vistas por colegas no ambiente corporativo.

Por isso, é importante manter as gavetas e armários fechados, e instruir os funcionários a levarem tudo o que for crítico para casa no final do expediente, ou disponibilizar um armazenamento específico para este fim.

Minimizar ou encerrar softwares que exponham dados da empresa ou funcionário.

Especialmente em empresas em que as mesas e computadores estiverem expostas em ambiente aberto, é muito comum que, quase inconscientemente, funcionários “bisbilhotam” o que outros estão executando no dispositivo.

Embora na maioria das vezes isso não represente nenhum problema, pode representar uma vulnerabilidade ao gerar oportunidades para pessoas com más intenções.

Não compartilhar login e senha com nenhum colega de trabalho.

Talvez a prática mais comumente difundida em qualquer ambiente, o compartilhamento de senhas é uma das práticas simples que podem causar as piores consequências a um trabalhador.

Imagine que ao fornecer a senha, a pessoa não apenas ganhar acesso total aos recursos disponibilizados para o dono da conta como também abre uma nova vulnerabilidade para seus dados pessoais, que podem a qualquer momento ser obtidos por algum usuário mal intencionado dependendo da prática do novo portador das informações de acesso.

Na necessidade de ausentar-se da mesa de trabalho, realizar o logout até o retorno.

Isso pode ser feito através do menu iniciar ou CTRL + Alt + Del caso esteja utilizando o Windows como sistema operacional.

Da mesma maneira que é importante fechar gavetas e armários que contenham documentos críticos, é essencial que os integrantes de qualquer equipe em uma empresa recebam o treinamento adequado para adquirirem o hábito de, ao ausentar-se da mesa de trabalho, encerrem a sessão de login no computador.

Isso porque ao manter o sistema logado o usuário abre brechas para que outras pessoas acessem ou alterem um arquivo específico que possa comprometer a vítima.

Não jogue documentos inteiros no lixo, rasgue-o ou fragmente caso seja uma opção no local de trabalho.

Jogar documentos e itens críticos como cartões de crédito, exames ou papéis com outras informações podem abrir brechas para a prática de no-hacking conhecida como “dumpster diving”, que consiste basicamente na vulnerabilidade encontrada num lugar muito comum: as lixeiras.

Em situações externas, evitar ao máximo mencionar informações internas da empresa (quadro de funcionários, rotinas, procedimentos).

Exceto quando receber instruções específicas e treinamento de uma assessoria de imprensa, por exemplo.

Colaboradores bem informados sobre a própria organização nunca representarão algo negativo.

No entanto, é importante que os mesmos sejam instruídos nos lugares e momentos em que poderão falar sobre os temas internas.

Pessoas passam por diversos ambientes, além da empresa, ao longo do dia: transportes públicos, outras empresas e claro, a própria residência.

Todos os lugares externos podem abrir vulnerabilidades para que pessoas de fora ganhem acesso a informações privadas e que podem usar para finalidades de impacto negativo.

Coletar documentos impressos logo em seguida.

Impressão em rede é um excelente recurso para a maioria das empresas, afinal, diminui a necessidade de espaços físicos para diversas impressoras e permite que os funcionários compartilhem um mesmo equipamento.

No entanto, o compartilhamento desse dispositivo pode abrir vulnerabilidades para que pessoas tenham acesso ao que foi impresso antes mesmo de quem o solicitou.

E por isso recomendação geral é de que os documentos sejam coletados logo depois da impressão ser solicitada.

O Brasil no foco dos ataques de Phishing

Infográfico Phishing no Brasil

Ninguém está imune

Corporações das mais diversas culturas foram prejudicadas pela engenharia social, através de ataques envolvendo, inicialmente, profissionais de diversos setores.

Para a Compugraf, além das camadas digitais de proteção é preciso dedicar investimentos também na segurança das pessoas que atuam na rotina da empresa.

Quer saber como é possível começar a fazer isso ainda hoje? Consulte nosso Especialista em Segurança da Informação.

ataques de engenharia socialengenharia social
Read more
  • Published in Segurança da Informação
No Comments

Quais sentimentos são explorados na Engenharia Social

terça-feira, 14 abril 2020 by Rodrigo Santos

Quais sentimentos a Engenharia Social consegue despertar para persuadir suas vítimas?

sentimentos explorados na engenharia social

Um ataque de Engenharia Social resulta no sucesso do criminoso em persuadir as vítimas a realizarem o que desejam.

A persuasão por si, é um processo, conhecido também como teoria da persuasão na psicologia.

Para que alcance o objetivo, a prática pode envolver uma vítima emocionalmente de diversas maneiras, e isso faz com que qualquer um seja vulnerável a ela.

Para conhecermos alguns dos sentimentos explorados pela Engenharia Social, separamos:

  • O que é Engenharia Social em Segurança da Informação
  • Como Funciona um ataque de Engenharia Social
  • Quem é quem em um ataque de Engenharia Social
  • Os sentimentos explorados pela Engenharia Social

Seguimos.

O que é Engenharia Social em Segurança da Informação?

A Engenharia Social que conhecemos hoje é utilizada para definir ataques que se utilizem da fragilidade emocional humana para acontecer.

Mas antes de desenvolver a temática, é importante contextualizar o significado de segurança da informação:

É uma série de práticas que visa a proteção de todos os tipos de dados que a empresa armazene.

A base da segurança da informação em 4 pilares:

  • Confidencialidade
  • Integridade
  • Disponibilidade
  • Autenticidade

Por esses princípios que o fator humano torna-se uma parte tão importante no processo de segurança de dados.

É difícil imaginar sua eficiência sem pensar na importância das pessoas e em sua vulnerabilidade como alvos.

Por exemplo, sabe aquele modelo novo do iPhone que você viu antes da Apple divulgar?

Provavelmente partiu de um funcionário que foi alvo de um ataque de engenharia social.

Isso pode gerar prejuízos na empresa já que a concorrência terá acesso ao modelo e pode pensar em um lançamento parecido e até prévio ao Iphone, tirando toda a exclusividade do produto.

Mas é a partir de reações simples (como a desatenção) que ataques de diferentes dimensões podem ocorrer.

Não por acaso que diversos produtos no mercado, como os próprios iphones, já são hoje armazenados em locais que poucas pessoas têm acesso.

E se todos podem ser vítimas de ataques de Engenharia Social, isso nunca irá resolver o problema mas, mas pode ajudar na hora de identificar a origem da vulnerabilidade.

E é por este raciocínio que chegamos a Engenharia Social.

É possível separar as ameaças na segurança de dados em duas categorias: tecnológicas e humanas.

A primeira, envolve recursos tecnológicos e por isso exige maiores habilidades do criminoso, já as ameaças humanas – também conhecidas como fator humano, exigem pouco ou nenhuma habilidade tecnológica do infrator.

Não é só para o mal

Embora desde sua origem tenha sido utilizada para fins negativos, as técnicas de Engenharia Social podem e já são incorporadas em muitas situações benéficas.

Traçar o uso de dispositivo de uma pessoa desaparecida, por exemplo, pode auxiliar na busca.

A polícia pode se beneficiar do recurso para muitas investigações.

E empresas podem oferecer treinamentos internos mais realistas ao aplicar nos próprios funcionários ou em processos seletivos, tudo depende dos dados coletados e a finalidade da ação.

Como funciona um Ataque de Engenharia Social na Segurança da Informação

Para entendermos como os ataques de Engenharia Social, ainda que semelhantes, possam ter impactos diferentes, é importante compreender que seu sistema funciona na base de tentativa e erro:

Coleta de informações, planejamento de ataques, aquisição das ferramentas necessárias, ataque, uso das informações coletadas.

Sendo assim, novas tentativas de ataques podem ser mais convincentes por trazerem elementos que as tornem mais verídicas, com os dados coletados na tentativa anterior.

Quem é quem em um ataque de Engenharia Social

O Engenheiro Social

engenheiro social

Apesar do nome, um engenheiro social não é um especialista na área de roubar informações.

Até porque a formação ainda não existe. Ao menos não formalmente.

Mas para que alguém execute ataques de engenharia social, algumas habilidades podem ser necessárias:

  • Capacidade de contar uma boa história de maneira convincente.
  • Habilidade para utilizar as informações coletadas a seu favor.
  • Poder de persuadir para conseguir que as ações sejam voluntárias.
  • Inteligência analítica necessária para estudar o alvo ou público-alvo com precisão.

A Vítima de Engenharia Social

a vítima de engenharia social

A engenharia social está presente em todo lugar, qualquer sinal ou ação pode ser o suficiente para que alguém obtenha alguma informação da vítima.

A maior brecha dos sistemas de segurança não é sua tecnologia, mas as pessoas.

Todos os seres humanos possuem características (como o gosto por algum estilo musical), padrões de comportamento e psicológicos. É na observação dessas características que um engenheiro social obtêm o que precisa.

Seja o colaborador um profissional da área técnica ou mais humanizada, todos estão sujeitos a falhar na proteção contra um ataque deste tipo, pois possuem vulnerabilidades humanas.

Em situações cotidianas, vítimas podem ser feitas:

  • Quando desatentos – em modo “automático” na realização de suas tarefas.
  • Ocasião em que não verificam a autenticidade das mensagens recebidas.
  • Ao passo que vivenciam algum problema pessoal e a mensagem soa como a oportunidade de melhorar as coisas.
  • No momento em que se sensibilizam com a mensagem recebida e tem intenções de ajudar.
  • Na hora em que precisa de ajuda e não possui muitas habilidades técnicas.

Sentimentos explorados pela Engenharia Social

A Engenharia Social explora vulnerabilidades emocionais da vítima e usa como isca assuntos atuais, promoções ou até mesmo falsas premiações.

Por não exigir conhecimentos técnicos, a engenharia social também existe sem tecnologia, algo conhecido como no-tech hacking.

Por ser tão simples, as vítimas de um engenheiro social podem demorar a duvidar da comunicação.

E talvez até chegar a isso, o criminoso já a terá atingido através de diferentes emoções, sendo algumas delas:

Curiosidade

Quase todo ataque de engenharia social inicia a partir da curiosidade do alvo. No caso de phishing, por exemplo, é o benefício imperdível que ele poderá adquirir naquele momento, se seguir as instruções.

Após a surpresa inicial, o usuário certamente vai ter curiosidade para entender melhor do que se trata a mensagem recebida. E para validar sua opinião, ele pode acabar clicando em algum link malicioso ou preenchendo algum formulário.

Preguiça

Por que um funcionário iria digitar as senhas manualmente toda vez que forem acessar alguma coisa?

Ou até mesmo optar voluntariamente pela autenticação de dois fatores se tudo pode ser preenchido automaticamente?

Com atalhos nos tornamos, na maioria das vezes, mais vulneráveis.

Cortar caminho nem sempre é o melhor a ser feito.

É importante que todos sejam conscientizados não apenas sobre as medidas a serem tomadas na rotina dentro da empresa, mas também, a importância de cada uma delas.

Solidariedade

Ajudar um colega de trabalho é uma prática simples e naturalmente aplicada em um ambiente saudável.

Mas não só isso.

Como já dizia um velho ditado “Quando a esmola é demais, o santo desconfia”.

E o engenheiro social utiliza muito bem o recurso ao criar campanhas de doações falsas, descontos imperdíveis que serão revertidos em prol de alguma causa, etc.

É importante despertar nos funcionários o entendimento da importância de se questionar tudo com o que interagem ao longo do dia.

Até mesmo na voluntária ajuda alheia.

Vaidade

O modelo mais recente de um smartphone ou o luxo de realizar alguma atividade são características que envolvem a vaidade da vítima.

Funcionários podem ser seduzidos por uma oferta de empréstimo, compra ou até mesmo um novo emprego.

É pensando na própria fragilidade que todos devem ser conscientizados sobre separar o que precisam do que podem ter em um outro momento. pois a engenharia social utiliza muito bem a vaidade ao seduzir as vítimas a partir do consumo.

Ansiedade

Em uma realidade em que o problema de grandes cidades e muitos ambientes corporativos é a ansiedade, a engenharia social aproveita-se muito do fato.

Tudo deve ser feito rapidamente, as ofertas são irrecusáveis e a sensação de urgência torna-se protagonista a ponto de muitos não atentarem-se ao que chega a eles.

É neste momento que as maiores vítimas são pegas, na pressa do momento, pois não são capazes de criar suspeitas sobre a situação.

O Brasil no foco dos ataques de Phishing

Phishing infográfico

A vulnerabilidade do Fator Humano

Todos estamos sujeitos a cair em um golpe de Engenharia Social, uma comunicação poderosa não separa o CEO de um outro profissional.

É por isso que os treinamentos de inteligência emocional, ao lado da conscientização e softwares preventivos podem ser essenciais para a segurança de dados de sua empresa.

Quer saber como a Compugraf pode ajudar na tarefa de encontrar as melhores soluções para sua empresa? Fale com nossos especialistas!

engenharia socialpersuasãophishing
Read more
  • Published in Segurança da Informação
No Comments

Quais os principais tipos de ataque de Engenharia Social

sexta-feira, 10 abril 2020 by Rodrigo Santos

Você sabia que é possível sofrer diversos tipos de ataque de engenharia social? Conheça as principais abordagens.

engenharia social

Existe algo precioso na Engenharia Social: todos da organização podem ser um alvo.

Diante disso, as empresas precisam reconhecer que sua maior vulnerabilidade não são as máquinas que são utilizadas, mas sim, os usuários.

Existe um imenso número de ataques cibernéticos – e até mesmo sem necessidade de nenhuma conexão com a internet, que podem se utilizam através da engenharia social.

Aqui neste artigo iremos discutir alguns dos principais tipos de ataque de engenharia social:

  • Phishing
  • Pretexting
  • Quid Pro Quo
  • Sextorsão
  • Dumpster Diving
  • Shoulder Surfing
  • Tailgating

Você já conhecia todos eles?

Também iremos discutir as melhores práticas para proteger os funcionários de sua empresa contra ataques de engenharia social.

Podemos começar?

Como funciona um Ataque de Engenharia Social na Segurança da Informação

como funciona um ataque de engenharia social

Para entendermos como os ataques de Engenharia Social, ainda que semelhantes, possam ter impactos diferentes, é importante compreender que seu sistema funciona na base de tentativa e erro:

Coleta de informações, planejamento de ataques, aquisição das ferramentas necessárias, ataque, uso das informações coletadas.

Sendo assim, novas tentativas de ataques podem ser mais convincentes por trazerem elementos que as tornem mais verídicas, com os dados coletados na tentativa anterior.

Phishing

O Phishing é o ataque da engenharia social mais comum da atualidade, em suas dezenas de versões.

O crime consiste na obtenção de dados de uma pessoa ou organização através de técnicas de comunicação que resultam na persuasão da vítima.

No ambiente corporativo, qualquer usuário pode ser uma porta de entrada para um ataque de engenharia social por saber, ter acesso ou simplesmente saber quem sabe de algo importante.

O contato do criminoso pode ocorrer a partir de qualquer meio de comunicação, como telefone, e-mail, ou SMS – na tentativa de fazer com que pessoas caiam em um golpe.

Fácil de ser executado, o phishing também não é um ataque difícil de ser reconhecido quando observado com atenção. Por isso, a chance de sucesso da prática depende de dois fatores: O momento certo e a desatenção do usuário.

Quem é exposto a essa tática pode ser surpreendido com algum contato em um momento em que aquele contato faça sentido, por exemplo.

Vishing

O Vishing é uma das variações do Phishing, sendo também um ataque de engenharia social.

Enquanto o termo principal é utilizado para descrever a prática de maneira geral, o vishing surgiu para referir-se a ataques realizados especificamente por telefone (voz + phishing).

A prática é bem popular, sendo ainda hoje a mais comum no Brasil e seu funcionamento é exatamente o mesmo do phishing tradicional, alterando apenas o meio de contato, que é por telefone ou através de chamadas de serviços VoIP, este último a escolha favorita dos criminosos pela possibilidade de anonimato.

Em um episódio de Vishing, a vítima recebe uma chamada em que é induzida a realizar alguma ação rapidamente ou compartilhar informações pessoais ou sigilosas de uma empresa, como documentos e números de faturamento, etc.

Um dos casos mais antigos e tradicionais no país é quando os criminosos realizam uma chamada anunciando um suposto sequestro. Na ação, o falso sequestrador simula uma voz infantil em perigo.

Embora seja um golpe fácil de se identificar, caso a chamada ocorra para as pessoas certas (pais) e no momento certo (como quando o filho está na escola) funcionam pois na apreensão do momento, a vítima muitas vezes não se dá conta de se tratar de uma falsa afirmação.

Apesar de já ser uma ação mais conhecida, este golpe de engenharia social continua causando diversos problemas, incluindo o caso recente de um casal de idosos de Belo Horizonte que transferiu R$ 300 mil para salvar a filha de um falso sequestro, dos quais apenas R$ 15 mil foram recuperados pelo banco após a descoberta do caso.

Outro episódio que vale a pena ser mencionado, é o que ocorreu em 2019, envolvendo uma professora do Mato Grosso do Sul que não apenas perdeu R$ 80 mil como também foi feita de refém no hotel em que os criminosos solicitaram a sua presença, tudo após receber uma ligação informando o falso sequestro de sua filha.

O golpe vishing pode partir de simulações de contatos pessoais (como a ligação de um familiar) ou também um falso funcionário de uma grande empresa de serviços como telefonia e internet.

Sendo assim, identificá-lo pode ser um pouco mais trabalhoso do que o phishing.

Mas as abordagens também possuem suas fragilidades:

Nome da vítima

Ao receber uma ligação, antes de confirmar qualquer dado pessoal, tenha certeza de que a pessoa é quem diz ser ao pedir para ela confirmar algo simples como o seu nome completo ou alguma outra informação que não seja número de documentos.

Não confirme nada até que o contato te responda corretamente. Em ataques amplos e aleatórios, dificilmente o criminoso terá a informação correta.

Anúncios de sequestro

Antes de se desesperar por algum anúncio de sequestro, atente-se as informações que o criminoso está compartilhando e, principalmente, confirme a localização da vítima.

Por exemplo, caso seja uma criança que esteja na escola, a primeira ação deve ser uma chamada de confirmação de presença.

Bancos e outros serviços

O nome é uma informação simples porém bem reveladora em todos os casos.

Mas caso queira outra abordagem, basta informar que não pode falar no momento ou tente ligar para o número que está chamando de um outro aparelho telefônico.

O direcionamento correto da chamada para a empresa que supostamente ligou indica a veracidade do contato. Caso seja falso, reporte a empresa logo em seguida.

Smishing

Se o Vishing é a junção de voz + phishing, o Smishing é a mistura de sms + phishing, ou seja, trata-se do phishing que se utiliza das mensagens SMS para pescar suas vítimas. Com o enfraquecimento das mensagens tradicionais e a ascensão de comunicadores instantâneos como o WhatsApp, o smishing se desenvolve na mesma medida.

O smishing foi uma grande ferramenta, em conjunto as fake news, em campanhas eleitorais e na manipulação de informações.

Usualmente, ele é utilizado no compartilhamento de links maliciosos e possui um ciclo de vida menor, porém viral, já que as pessoas também são induzidas a compartilhar a mensagem.

Para detectar e prevenir-se desse tipo de ataque, é importante desconfiar de qualquer mensagem que chegue a partir de pessoas que não fazem de sua lista de contato e principalmente, não clicar em nenhum link não solicitado.

O smishing pode partir também de contatos que já foram pegos, muitas vezes compartilhando o link malicioso sem saber.

Ao receber a mensagem de um contato existente, atente-se ao formato do texto recebido para analisar se a pessoa escreve ou escreveria de tal maneira, pois pessoas normalmente possuem o mesmo padrão e estilo de escrita.

Nigerian 4-1-9 Scam

O golpe que se iniciou na Nigéria, conhecido como Nigerian 4-1-9 Scam possui uma linha de funcionamento semelhante ao phishing tradicional.

Essa técnica de ataque de engenharia social iniciou-se muitos anos atrás com o envio de cartas do país para estrangeiros com histórias falsas envolvendo doações e transferência de dinheiro.

Ao longo dos anos, a técnica se desenvolveu passando para o e-mail e também novas abordagens surgiram, sendo a mais popular a “romance scam”, envolvendo interesses amorosos.

Neste cenário de engenharia social, o criminoso seduz a vítima com alguma história que possa envolvê-la, e se consegue ‘pescá-la’ com sucesso, passa a encenar o desenvolvimento de uma relação a distância, a qual a longo prazo envolverá a solicitação de dinheiro.

Em 2014, uma moradora do interior de São Paulo perdeu R$ 63 mil em um golpe.

Na época, aos 42 anos, ela começou a conversar com um suposto soldado americano em missão no Afeganistão e construiu uma falsa relação com ele até que foi anunciada o fim de sua missão no país e a chegada no Brasil.

Seduzida pela ideia de viver o romance pessoalmente, ela fez de tudo para auxiliar o golpista em sua chegada ao país, que nunca aconteceu.

Embora a abordagem romântica tenha se tornado popular, a relação do criminoso com a vítima pode ter outros objetivos afetivos, como uma amizade – se aproveitando também da empatia para obter dinheiro.

Além de também ser multimídia por se adaptar a diferentes formas de contatos na hora de desenvolvimento da relação entre vítima e criminoso.

Outro fato importante é que embora tenha iniciado na Nigéria, o golpe hoje é replicado a partir de diversos países como Turquia, Iraque e o Brasil.

Por envolver a criação de uma relação mais pessoal com as vítimas, os golpes nigerianos podem ser detectados a partir de alguns parâmetros: como o perfil chegou até o alvo, checagem de informações do perfil e a análise geral da interação.

Basicamente, se as coisas estão rápidas demais, pode ser que tenha algo de errado.

Os aplicativos de relacionamento, por exemplo, recebem muitas reclamações pela existência de perfis falsos (também conhecidos como “fakes”) que usando fotos, nome e personalidade falsos buscam praticar a ação, e é por isso que é necessário ter cuidado redobrado na hora de buscar o “par perfeito” online

Ano passado, ocorreu em Macapá (AP) o caso de uma jovem de 23 anos que se passava por um advogado no Tinder, aplicativo de relacionamentos, para obter vantagens financeiras das vítimas, como empréstimos, ao longo do desenvolvimento da falsa relação.

Ela foi presa no mesmo ano e assumiu o crime.

Por isso, a melhor maneira de detectar um golpe nigeriano é observando o contexto do contato, a autenticidade do perfil e analisar as reais intenções quando as solicitações de dinheiro ou fatos estranhos começarem a ocorrer.

Spear Phishing

Atualmente, uma das subcategorias mais conhecidas de Phishing é o Spear Phishing.

Diferente da metodologia tradicional, é executada de maneira direcionada a um grupo de pessoas bem específico e baseado em dados exatos ou muito próximos da realidade dessas pessoas.

Em outras palavras, é uma tática mais perigosa por envolver informações personalizadas e muitas vezes crível o bastante para enganar até mesmo um funcionário mais atento em sua rotina de trabalho dependendo do momento e da abordagem utilizada.

Um dos casos mais recentes em grande escala dessa técnica ocorreu em 2018, nos Estados Unidos, e como resultado gerou alarde dentre os funcionários do departamento do estado sobre um possível Tsunami.

A notícia ganhou grande repercussão na época e confundiu a população, que não sabia se deveria se preocupar ou não com o desastre natural.

Embora o órgão responsável tenha respondido rapidamente que não existia nenhum tipo de anormalidade para ocorrer tal fenômeno, a falsa informação já havia sido espalhada pelo mundo inteiro, gerando alarde e causando grandes prejuízos financeiros.

O spear phishing é uma variação do phishing altamente segmentada. Funcionários, especialmente os mais novos, podem facilmente ser enganados por um falso e-mail partindo de alguém com cargo superior. De fato é assim que a maioria dos ataques obtêm o sucesso esperado.

As pequenas empresas têm se tornado o principal alvo por parte desses cibercriminosos, pois quando não há o treinamento adequado, logo os funcionários acabam sendo a vulnerabilidade humana e mais frágil do ecossistema corporativo.

Mas não são apenas os colaboradores que podem cair nesse tipo de golpe, muitos executivos e até mesmo profissionais da área podem ser surpreendidos com a comunicação segmentada do spear phishing.

Para se prevenir de um possível ataque, além de oferecer treinamento a equipe, é necessário criar protocolos para que as pessoas da organização possam se comunicar e identificar a autenticidade da mensagem, como uma palavra secreta, por exemplo.

Pretexting

O Pretexting é uma ação maliciosa que consiste na tentativa de se obter dados pessoais ou sobre uma empresa de maneira voluntária por uma falsa causa.

Este golpe pode vir disfarçado de uma causa ou confirmação de informações e com isso, despertar a generosidade do alvo.

Suas vítimas podem receber um e-mail suspeito, um telefone ou até mesmo mensagem de texto no WhatsApp.

Quid pro quo

O Quid pro quo é uma abordagem de troca inconsciente. Alguém oferece algo em troca de outra coisa.

Uma vítima desta abordagem pode receber ajuda técnica por algo, que embora seja resolvido pelo criminoso, dá a ele o poder de instalar ou induzir a instalação de arquivos maliciosos no dispositivo.

É uma falsa sensação de benefício em troca de dados pessoais ou problemas técnicos maiores no futuo.

Sextorsão

A sextorsão (sexo + extorsão) é um crime virtual em que a vítima é chantageada a realizar uma ação caso não queira que algum conteúdo íntimo seja divulgados.

Quando uma vítima possue algum e-mail ou número de celular exposto e que possam ser encontrado por botnets, é muito provável que receba tentativas de diversos tipos de ataques, incluindo a sextorsão.

É uma prática que se apoia muito na informação que coleta sobre um alvo, por muitas vezes ele não possui, realmente, um arquivo confidencial, mas sua abordagem (mais informada do que a maioria) vai fazer a vítima acreditar que sim.

Dumpster Diving

O dumpster diving é uma das práticas mais comuns e cotidianas que não utilizam dispositivos eletrônicos.

Trata-se do ato de vasculhar o lixo alheio para obter algum bem.

No mundo da tecnologia, vasculhar o lixo não é apenas uma ação de desespero, pois resíduos, peças ou até mesmo dispositivos com falhas podem ser descartados pelas companhias e tornarem-se alvo de algum tipo de vazamento ou boato.

Muitas organizações já possuem políticas de descarte para formalizar a ação e blindar qualquer tipo de vazamento ao tornar os itens inutilizáveis.

Shoulder Surfing

O Shoulder Surfing consiste na prática de observar as ações que uma pessoa está realizando em dispositivos como um celular ou computadores.

Para os engenheiros sociais, a ação pode representar mais do que uma simples curiosidade e tornar-se uma oportunidade para descobrir e memorizar senhas ou informações da vítima ou empresa que trabalha.

Tailgating

O tailgating é uma tática mais complexa que consiste no acesso presencial a lugares restritos por pessoas não autorizadas.

Considerada a mais antiga das abordagens de engenharia social, utiliza-se na maioria das vezes da bondade da vítima, como quando alguém está com as mãos tão ocupadas que uma pessoa gentil decide ajudar ao abrir e segurar a porta.

Quais informações mais importantes que sua empresa precisa proteger

dados protegidos engenharia social

Talvez sua empresa colete muitos dados bancários de usuários, por envolver o credenciamento para alguma plataforma financeira (como uma fintech).

Ou talvez ela simplesmente envolva dados particulares e identificáveis, como documentos e as preferências de cada um, como em uma rede social.

O mais importante a se compreender é que toda empresa possui um dado que acaba sendo mais importante que o outro pelo valor que representa para o negócio.

Para traçar o perfil de quem é vítima e engenheiro social nesse tipo de ataque, é importante primeiro entender qual a informação mais importante para cada marca.

Talvez a informação mais relevante para o setor de limpeza, por exemplo, seja o calendário de locais que precisam ser limpos, listagem de produtos, dentre outras coisas neste sentido, mas o mesmo funcionário pode ter acesso a lugares críticos.

E é por isso que não importa necessariamente quem você é, e sim o que você sabe ou os locais para os quais você tem acesso.

Os ataques seguem a mesma linha de raciocínio

Todos os ataques de Engenharia Social seguem a mesma linha de funcionamento, por isso, as medidas de proteção para um podem servir para os outros.

Além disso, é importante ter consciência de que na maioria das vezes, diferentes ataques ocorrerão simultaneamente.

Para empresas, é muito importante focar na conscientização constante como principal prevenção, além dos softwares de proteção.

Um grande alvo de Phishings

Você sabia que o Brasil foi um dos principais alvos de Phishing em 2019? Descubra o que nos posicionou entre os primeiros colocados.

Infográfico sobre Phishing

Mais segurança

Quer saber mais sobre como proteger sua empresa? Converse com nossos especialistas em segurança da informação.

ataques de engenharia socialengenharia social
Read more
  • Published in Segurança da Informação
No Comments

Qual a origem da Engenharia Social?

quarta-feira, 08 abril 2020 by Rodrigo Santos

Talvez a Engenharia Social seja mais antiga do que imaginamos, mas qual a origem de sua definição no formato que a conhecemos hoje?

origem da engenharia social

A Engenharia Social é um recurso utilizado por vários golpes que se aproveitam da fragilidade emocional do ser humano para ter sucesso.

Você já notou um olhar estranho enquanto utilizava o celular no elevador?

Caso positivo, saiba que ações simples como essa caracterizam o uso de engenharia social, esteja o sujeito consciente ou não do ato.

Nunca sabemos quando uma informação relevante pode ser exposta em momentos informais.

A paranoia não é a solução

A origem da engenharia social não mente, ela sempre esteve presente, ainda que somente agora esteja ganhando o devido destaque nos estudos de ciberataques.

É difícil combater algo que acontece o tempo inteiro, portanto, conscientizar funcionários não pode significar o mesmo que deixá-los paranoicos.

O cuidado deve ser recorrente, porém orgânico na rotina de trabalho de cada um.

Neste artigo falaremos um pouco de como a engenharia social esteve presente em alguns momentos históricos e como ela ganhou a forma que conhecemos hoje.

Abordaremos:

  • Como a Engenharia Social tornou-se um assunto relevante
  • A Engenharia Social em momentos fictícios e históricos
  • A origem do termo Engenharia Social
  • Principais ataques da última década

Como a Engenharia Social tornou-se um assunto relevante

A segurança da informação

A Engenharia Social hoje, no contexto de segurança da informação, é reconhecida como um método de abordagem que explora as vulnerabilidades emocionais da vítima.

Mas nem sempre foi assim.

Desde que o termo foi utilizado pela primeira vez, teve diferentes significados, de acordo com o campo aplicado:

Sociologia

Em meados do século 19 a Engenharia Social era um termo utilizado popularmente na era do positivismo sociológico, apontando a intervenção cientifica na sociedade.

Acreditava-se que o envolvimento de cientistas nas relações humanas aceleraria o processo de evolução humana, tornando-nos mais civilizados rapidamente.

Durante a época também foi reconhecida como "Engenharia Cultural".

Psicologia

Quando seu uso em sociologia deixou de ser popular, o termo Engenharia Social ganhou novo significado dentro do campo da psicologia.

Dentro deste cenário a palavra como a ganhar a conotação mais próxima do que representa hoje, sendo utilizada para definir a manipulação social.

Sua utilização era tipicamente aplicável em discursos de ciência política e psicologia social, tratando de intervenções com o intuito de mudar os costumes sociais e culturais de um povo.

Segurança da Informação

Quando aplicada no campo de segurança da informação, o significado de Engenharia Social manteve o aspecto de manipulação.

Mas diferente do aspecto psicológico, que busca mudar comportamentos de um grande grupo de pessoas, em tecnologia tornou-se uma ação concentrável em grupos menores ou até mesmo indivíduos.

Além disso, o sucesso da prática tornou-se dependente da habilidade de influenciar e persuadir as vítimas a realizarem algo, não apenas manipular.

O origem do termo Engenharia Social

O origem da Engenharia Social em Segurança da Informação foi contextualizada e popularizada pelo hacker americano mundialmente conhecido, Kevin Mitnick.

Em seu livro "The Art of Deception: Controlling the Human Element of Security" ele define como o campo de segurança da informação se associa ao termo.

No Brasil, o livro foi publicado como "A Arte de Enganar", e o autor traz exemplos reais de como as práticas de engenharia social potencializam as ações de um hacker.

A Engenharia Social em momentos fictícios e históricos

origem da engenharia social

Considerando sua definição, acredita-se que a Engenharia Social seja mais antiga do que os computadores.

É possível identifica-la em situações fictícias e históricas, como:

No livro de gênesis

No primeiro livro de gênesis, Adão e Eva foram os primeiros pecadores da humanidade ao comer o fruto proibido.

Mas o que a Engenharia Social tem a ver com isso?

Segundo o livro, a história iniciou-se pela fraqueza emocional de Eva, que durante comunicação com o Diabo disfarçado acreditou em sua história.

Na figura de uma cobra, o Diabo convenceu-a de que Deus os proibia de comer a maçã porque não queria dividir seus poderes.

E essa foi a abordagem necessária para que ela e Adão despertassem um dos sete pecados capitais: a inveja.

O enredo então resultou no casal realizando o que o Diabo queria, tornando-se um dos exemplos mais antigos de um ataque de Engenharia Social.

Ulysses na Mitologia Grega

O exército grego estava prestes a perder em um conflito contra Troia.

Foi aí que Ulysses, o líder dos soldados gregos decidiu apostar em uma estratégia, a falsa desistência da guerra.

Mas após o anúncio feito, Ulysses foi além ao presentear a realeza de Troia com um cavalo, mas não era qualquer um.

O povo de Troia recebeu um grande e pesado cavalo de madeira para amenizar os efeitos da guerra.

Foi então que no atardecer da noite, quando todos os cidadães de Troia já estavam com a guarda baixa, que descobriram que o peso do cavalo era resultado do exército que carregava dentro de si.

O presente na verdade era um esconderijo e foi então que o exército grego revidou o ataque e ganhou a guerra.

Foi assim, sem computadores ou internet que a Engenharia Social atingiu mais vítimas ao despertar sua vaidade.

Desta história também originou-se o nome de um dos malwares mais conhecidos do mundo, o Cavalo de Troia, que assim como na mitologia, envolve um arquivo disfarçado, que ao ser executado, ataca o dispositivo da vítima.

Nos anos 60

Frank Abagnale, 71 anos, é hoje um consultor de elite na segurança da informação americana, mas sua história mostra que ele nem sempre esteve deste lado.

Dos seus 15 aos 21 anos, ele tornou-se conhecido por fazer exatamente o contrário, foi um grande impostor.

Dentre seus maiores golpes, um em especial repercutiu bastante durante os anos 60.

E tudo começou quando ele passou-se por um estudante de jornalismo para coletar as informações que necessitava para aplicar um de seus maiores golpes.

Foi com os dados coletados que ele foi capaz de enganar toda a tripulação da Pan American World Airways (Pan Am), extinta e na época maior companhia aérea americana.

Durante a vivência do personagem, Frank teve acesso a diversos voos gratuitamente, fraudou contra-cheques e documentos.

Linha de Tempo: 10 empresas que sofreram ataques de Engenharia Social nos últimos 10 anos

2010 – Netflix

Durante a realização de um concurso, a Netflix cedeu voluntariamente os dados de mais de 480,000 assinantes.

Após a polêmica da ação, a empresa pontuou que os dados, que envolviam informações como as preferências dos usuários, eram anônimos.

Mas ainda sim, participantes do concurso alegaram ter entendido o processo de anonimato da plataforma e a possibilidade de identificar os indivíduos.

2011 – Sony PSN

A sony teve um dos maiores vazamentos de dados de 2011 no marketplace de seu console, Sony PSN.

Durante a realização de um concurso, expôs cerca de 1.6 milhões dados, incluindo cartões de crédito, endereços, datas de aniversário, senhas e respostas para as perguntas de segurança.

2012 – LinkedIn

Em 2012, o LinkedIn teve uma vazamento de dados de mais de 167 milhões de dados, incluindo e-mails, senhas e endereços.

Usuários da plataforma foram instruídos a alterar suas senhas e os dados foram reconhecidos pelas vítimas através do site Have I Been Pwned.

2013 – Yahoo

Mais de 3 bilhões de dados da Yahoo foram expostos em 2013, como e-mails, endereços, datas de nascimento e respostas para as perguntas de segurança dos usuários.

Mas a grande polêmica é que a empresa só descobriu o caso 3 anos depois, no final de 2016.

2014 – Sony Pictures Entertainment

Em 2014 a Sony Pictures Entertainment sofreu um pequeno vazamento de cerca de 47 mil dados.

Ainda sim, a brecha ganho grande repercussão por envolver o acesso a e-mails particulares, informações sobre filmes não lançados e o contato de celebridades.

2015 – Ashley Madison

A plataforma de relacionamentos extraconjugais teve mais de 37 milhões de dados vazados, incluindo o cartão de crédito, endereço e número de telefone dos usuários.

2016 – Comitê Nacional Democrático

O Comitê Nacional Democrático dos Estados Unidos teve muitas informações publicamente expostas, incluindo a de políticos como Hillary Clinton e o atual presidente do país, Donald Trump.

2017 – Equifax

Mais de 143 milhões de norte-americanos tiveram dados como o número de documentos, cartão de crédito, nome e endereço comprometidos após um vazamento da Equifax, uma das maiores empresas de crédito do país.

2018 – Facebook

O Facebook sofreu com ao menos 2 vazamentos de dados ao longo de 2018.

Em setembro, foram mais de 50 milhões, e em outubro, 30 milhões, totalizando ao menos 80 milhões de dados expostos.

2019 – OxyData.Io e People Data Labs

Mais de 1.2 bilhões de usuários tiveram dados como e-mail, contas em redes sociais e telefone expostos em 2019, tornando-se o maior vazamento partindo da mesma fonte.

No caso, envolvia um banco de dados compartilhado entre duas empresas agregadoras de dados: OxyData.Io e People Data Labs.

Não permita que sua empresa seja o próximo alvo da Engenharia Social

consulte especialistas da compugraf

Ao longo dos últimos 10 anos diversas empresas grandes foram vítimas de ataques de engenharia social, e isso apenas reforça o seguinte: todos estão vulneráveis.

Para evitar este tipo de golpe, é muito importante que práticas recorrentes de conscientização sejam aplicadas no ambiente corporativo.

Quer ler mais sobre Engenharia Social

Dúvidas sobre como proteger sua empresa?

Consulte nossos especialistas em Segurança da Informação para descobrir o que você pode fazer hoje para proteger sua empresa deste tipo de ataque.

engenharia socialhistória da engenharia socialphishing
Read more
  • Published in Segurança da Informação
No Comments

O que é Engenharia Social na Segurança da Informação

segunda-feira, 06 abril 2020 by Rodrigo Santos

A Engenharia Social ganhou seu próprio significado no contexto da Segurança da Informação. Você já conhece sua definição?

engenharia social na segurança da informação

Em uma organização, os cargos técnicos certamente estão mais protegidos contra ataques hackers do que qualquer outra área.

Mas será que eles também estão imunes contra abordagens sociais?

Segundo o que se entende por Engenharia Social, todos estão vulneráveis a sofrerem com esses tipos de ataque.

Gatilhos que ativam nossa fragilidade

Se por um lado todos possuem e podem desenvolver habilidades cognitivas para duvidar de certas abordagens pessoais, a fragilidade emocional é universal.

Todos possuímos algum assunto, pessoa ou história que nos faz ao menos prestar atenção no que outra pessoa tem a dizer.

Os ataques de Engenharia Social se nutrem das informações coletadas ao longo do processo, e isso significa que quanto mais o cibercriminoso souber, mais forte ele pode voltar em uma próxima tentativa de ataque.

Portanto, a hierarquia pouco importa neste tipo de abordagem, todos devem estar atentos.

Para entendermos melhor o significado da Engenharia Social na Segurança da Informação, iremos abordar os seguintes assuntos:

  • Conceituação: O que é Engenharia Social?
  • A base da segurança de dados
  • Conceituação: O que é Persuasão?
  • Como funciona um ataque de Engenharia Social
  • Quais os sentimentos explorados pela Engenharia Social
  • Quais as consequências dos crimes de Engenharia Social com a chegada da LGPD

Pronto para começar?

O que é Engenharia Social?

engenharia social na segurança da informação

A Engenharia Social que conhecemos hoje é utilizada para definir ataques que se utilizem da fragilidade emocional humana para acontecer.

Mas antes de desenvolver a temática, é importante contextualizar o significado de segurança da informação:

É uma série de práticas que visa a proteção de todos os tipos de dados que a empresa armazene.

A base da segurança da informação em 4 pilares:

  • Confidencialidade
  • Integridade
  • Disponibilidade
  • Autenticidade

Por esses princípios que o fator humano torna-se uma parte tão importante no processo de segurança de dados.

É difícil imaginar sua eficiência sem pensar na importância das pessoas e em sua vulnerabilidade como alvos.

Por exemplo, sabe aquele modelo novo do iPhone que você viu antes da Apple divulgar?

Provavelmente partiu de um funcionário que foi alvo de um ataque de engenharia social.

Isso pode gerar prejuízos na empresa já que a concorrência terá acesso ao modelo e pode pensar em um lançamento parecido e até prévio ao Iphone, tirando toda a exclusividade do produto.

Mas é a partir de reações simples (como a desatenção) que ataques de diferentes dimensões podem ocorrer.

Não por acaso que diversos produtos no mercado, como os próprios iphones, já são hoje armazenados em locais que poucas pessoas têm acesso.

E se todos podem ser vítimas de ataques de Engenharia Social, isso nunca irá resolver o problema mas, mas pode ajudar na hora de identificar a origem da vulnerabilidade.

E é por este raciocínio que chegamos a Engenharia Social.

É possível separar as ameaças na segurança de dados em duas categorias: tecnológicas e humanas.

A primeira, envolve recursos tecnológicos e por isso exige maiores habilidades do criminoso, já as ameaças humanas – também conhecidas como fator humano, exigem pouco ou nenhuma habilidade tecnológica do infrator.

Não é só para o mal

Embora desde sua origem tenha sido utilizada para fins negativos, as técnicas de Engenharia Social podem e já são incorporadas em muitas situações benéficas.

Traçar o uso de dispositivo de uma pessoa desaparecida, por exemplo, pode auxiliar na busca.

A polícia pode se beneficiar do recurso para muitas investigações.

E empresas podem oferecer treinamentos internos mais realistas ao aplicar nos próprios funcionários ou em processos seletivos, tudo depende dos dados coletados e a finalidade da ação.

Conceituação: O que é Persuasão?

o que é persuasão

A Engenharia Social na Segurança da Informação tem como finalidade o ato de persuadir. Mas afinal, o que é a persuasão?

O ato de persuadir ocorre quando alguém consegue, através da argumentação, convencer alguém a fazer alguma coisa.

A habilidade recorre a meios emocionais e lógicos para envolver o/os alvos e seu sucesso é baseado na realização, por vontade própria, da ação desejada.

Diferente do senso comum, persuadir e manipular são coisas distintas.

Pois a persuasão ocorre somente quando tentamos entender o que é necessário para convencer alguém a fazer alguma coisa.

Existe também o conceito de manipulação psicológica, que pode ser confundido com o ato de persuadir.

Mas assim como no caso da manipulação, trata-se de um processo diferente em que a influência social é maior e tem como objetivo a mudança de comportamentos.

É muito semelhante ao conceito de Engenharia Social na psicologia, utilizando-se de percepções com táticas indiretas, que na maioria dos vezes pode envolver informações convenientes, enganosas ou dissimuladas.

Outra habilidade semelhante mas que pode ser diferenciada do ato de persuadir, é o convencimento.

É possível convencer pessoas em relação a uma ideia, mas somente a persuasão resulta em uma ação voluntária, de modo que a pessoa acredite que aquilo parte de sua própria vontade.

Também conhecida como “Teoria da Persuasão” ou “ Teoria Empírico-experimental”, os primeiros registros da persuasão como estudo vêm dos anos 40.

E desde os primórdios tratou da busca em estudar a relação entre estímulo e resposta.

Hoje é um tema amplamente estudado em cursos como administração (para negociação) e comunicação.

A persuasão na engenharia social é a grande protagonista, o sucesso da maioria dos ataques é relacionado a habilidade do criminoso em persuadir.

Como funciona um Ataque de Engenharia Social na Segurança da Informação

Os ataque de Engenharia Social funcionam no sistema de tentativa e erro, mas diferente de outras ofensivas, ele retorna cada vez mais forte.

Isso porque o ciclo de atuação da Engenharia Social é baseado no seguinte ciclo:

Coleta de informações, planejamento de ataques, aquisição das ferramentas necessárias, ataque, uso das informações coletadas (para tornar-se próximo do verídico)

Em outras palavras, novas tentativas de ataques serão sempre mais convincentes por serem mais “inteligentes” com os dados coletados na tentativa anterior.

Sentimentos explorados pela Engenharia Social na Segurança da Informação

sentimentos explorados

A Engenharia Social explora emocionalmente suas vítimas, testado diversas iscas até ativar o gatilho que vulnerabiliza o alvo.

Ela também pode se aproveitar de temas atuais, promoções boas demais para serem verdade ou falsos anúncios de premiações.

Por alguns ataques exigirem pouco ou nenhum conhecimento técnico, a engenharia social também pode acontecer sem a necessidade de dispositivos eletrônicos, a abordagem no caso é conhecida como no-tech hacking.

Quando a vítima se dá conta da comunicação suspeita, o criminoso pode já ter colhido as informações necessárias para uma tentativa de ataque.

E o processo, na maioria dos casos, pode envolver um ou mais dos sentimentos a seguir:

Curiosidade

Quase todo ataque de engenharia social inicia a partir da curiosidade do alvo. No caso de phishing, por exemplo, é o benefício imperdível que ele poderá adquirir naquele momento, se seguir as instruções.

Após a surpresa inicial, o usuário certamente vai ter curiosidade para entender melhor do que se trata a mensagem recebida. E para validar sua opinião, ele pode acabar clicando em algum link malicioso ou preenchendo algum formulário.

Preguiça

Por que um funcionário iria digitar as senhas manualmente toda vez que forem acessar alguma coisa?

Ou até mesmo optar voluntariamente pela autenticação de dois fatores se tudo pode ser preenchido automaticamente?

Com atalhos nos tornamos, na maioria das vezes, mais vulneráveis.

É importante que todos sejam conscientizados não apenas sobre as medidas a serem tomadas na rotina dentro da empresa, mas também, a importância de cada uma delas.

Solidariedade

Ajudar um colega de trabalho é uma prática simples e naturalmente aplicada em um ambiente saudável.

Mas não só isso.

Como já dizia um velho ditado “Quando a esmola é demais, o santo desconfia”.

E o engenheiro social utiliza muito bem o recurso ao criar campanhas de doações falsas, descontos imperdíveis que serão revertidos em prol de alguma causa, etc.

É importante despertar nos funcionários o entendimento da importância de se questionar tudo com o que interagem ao longo do dia.

Até mesmo na voluntária ajuda alheia.

Vaidade

O modelo mais recente de um smartphone ou o luxo de realizar alguma atividade são características que envolvem a vaidade da vítima.

Funcionários podem ser seduzidos por uma oferta de empréstimo, compra ou até mesmo um novo emprego.

É pensando na própria fragilidade que todos devem ser conscientizados sobre separar o que precisam do que podem ter em um outro momento. pois a engenharia social utiliza muito bem a vaidade ao seduzir as vítimas a partir do consumo.

Ansiedade

Em uma realidade em que o problema de grandes cidades e muitos ambientes corporativos é a ansiedade, a engenharia social aproveita-se muito do fato.

Tudo deve ser feito rapidamente, as ofertas são irrecusáveis e a sensação de urgência torna-se protagonista a ponto de muitos não atentarem-se ao que chega a eles.

É neste momento que as maiores vítimas são pegas, na pressa do momento, pois não são capazes de criar suspeitas sobre a situação.

Engenharia Social na Segurança da Informação e a ascensão das Fake News

fake news

A maioria dos golpes de engenharia social possuem o objetivo de obtenção de dados pessoais.

Mas nos últimos anos, o mundo se deparou com uma nova utilidade por trás dessa lógica: a manipulação de informações.

Tudo começou quando o atual presidente dos Estados Unidos, Donald Trump, acusou um grande veículo de comunicação americana de espalhar “notícias falsas”, durante sua campanha.

Desde então a prática, que já era reconhecida como Hoaxing, ganhou um novo nome: Fake News.

Através de redes sociais, muitas pessoas deixaram de consumir informações imparciais ao participar de grupos que possuam interesses semelhantes, o que abre espaço para perspectivas unilaterais e que muitas vezes não representam a verdade.

Como resposta a isso, grandes empresas como Google e redes sociais como o Facebook passaram a criar políticas específicas para minimizar os danos que foram fortificados graças as suas soluções.

O que apesar de positivo, não impede que as pessoas se envolvam somente em grupos de seu interesse e muito menos impede o compartilhamento de informações distorcidas.

Por questões de segurança, serviços como o WhatsApp possuem conversas criptografadas, o que garante a privacidade mas impede que as empresas identifiquem a origem de muitas das notícias espalhadas.

Quais as consequências dos crimes de Engenharia Social com a chegada da LGPD

Após todos os escândalos envolvendo grandes corporações e o vazamento de dados, diversos países criaram medidas para que a responsabilidade das ocorrências seja maior para empresas de forma a aumentar sua responsabilidade sobre a segurança da informação.

Enquanto a lei de referência é a europeia, conhecida como General Data Protection Regulation (GDPR), o Brasil trabalhou em sua própria versão, a Lei Geral de Proteção de Dados (LGPD), que busca regulamentar o uso de dados no meio corporativo no país.

A LGPD regulamentará qualquer atividade offline ou online que envolva a utilização de dados pessoais e irá responsabilizar as empresas envolvidas no processo.

A LGPD irá abranger qualquer informação que possa servir para identificar alguém.

Além disso, a LGPD também menciona os dados sensíveis, que diferente da documentação, refere-se a questões íntimas, como:

  • Status de Saúde
  • Vida Sexual
  • Dados Genéticos
  • Dados Biométricos
  • Opinião Política
  • Origem Étnica
  • Religião
  • Participação em sindicatos ou organizações não governamentais

Dentre outras informações que expõem aspectos íntimos da pessoa física.

Tudo muito relevante para um ataque de engenharia social, pois o criminoso pode aproximar-se da vítima por afinidade.

Quando a LGPD entrar em vigor, o não cumprimento resultará em processos administrativos e legais, podendo chegar a multas de até R$ 50 milhões.

A alto custo da multa é importante pois assim será muito mais vantajoso adequar-se a Lei do que pagar eventuais multas a longo prazo.

O objetivo por trás da proposta é a transparência da operação de empresas públicas e privadas, solicitando a permissão e o consentimento dos usuários para que seus dados sejam armazenados para devidos fins.

A penalidade financeira da LGPD irá variar de acordo com a gravidade da infração, sendo que as de não conformidade podem custar até 2% do faturamento da empresa, limitando-se ao máximo de R$50 milhões.

Saiba mais sobre Engenharia Social

Não subestime a Engenharia Social

Esperamos que tenha ficado claro a importância de estudar a Engenharia Social na Segurança da Informação.

Empresas que agem preventivamente a esse tipo de ataque tornam-se menos vulneráveis a ela, e isso é uma ótima condição para qualquer corporação.

Sendo a conscientização uma ótima arma contra os ataque.

Ainda restam dúvidas? Converse com um de nossos especialistas e descubra como começar a se proteger ainda hoje.

ataques de engenharia socialengenharia socialo que é engenharia social
Read more
  • Published in Segurança da Informação
No Comments

Engenharia Social: Sua Empresa Está Protegida?

quinta-feira, 02 abril 2020 by Rodrigo Santos

Sua empresa pode estar sofrendo um ataque de Engenharia Social neste momento. Será que seus funcionários estão protegidos contra ela?

A Engenharia Social é um conjunto de técnicas para persuadir uma vítima.

Através dela, é possível obter dados, benefícios ou acesso a locais restritos para diferentes finalidades.

engenharia social

Qual o bem mais valioso de sua organização?

Se como executivo tem consciência da informação mais importante que sua empresa precisa proteger, o processo torna-se muito mais fácil.

Muitos vazamentos ocorrem porque existe preocupação em proteger todos os dados, sem priorizar o que é mais valioso para cibercriminosos.

Mas na verdade pessoas mal intencionadas estão mais preocupadas com o que podem obter com aquilo que irão roubar.

Como a venda do conteúdo, por exemplo; e não necessariamente prejudicar uma empresa em específico.

Proteger tudo significa que todos em contato com as informações estão envolvidos no processo.

Em muitos lugares, isso só significa tecnologias mais robustas, e é este cenário que beneficia um ataque de Engenharia Social.

O fato é preocupante: Enquanto os melhores softwares de segurança da informação criam suas camadas de proteção,

pessoas com acesso pleno a dados não estão sendo conscientizadas sobre sua importância no processo.

Como lidar com a Engenharia Social no ambiente corporativo

Para a Compugraf, práticas de segurança social são tão importantes quanto as soluções que implementamos para nossos clientes.

E por isso, a eficácia de uma está diretamente relacionada a outra no combate a Engenharia Social.

As ações da Engenharia Social na Segurança da Informação são apenas a ponta do Iceberg.

E podem levar ao roubo de informações, assim como também servir de porta de entrada para diversas ameaças tecnológicas.

Neste artigo, reunimos todos as informações relevantes sobre Engenharia Social.

Decidimos falar sobre o tema para assegurar que sua empresa comece a olhar para isto hoje, antes da primeira ocorrência.

Após leitura, você vai saber:

  • O origem da Engenharia Social
  • O que é Engenharia Social na Segurança da Informação
  • Perfil: Quem é quem na Engenharia Social
  • Os Principais ataques realizados com Engenharia Social
  • Como proteger funcionários da Engenharia Social

Podemos começar?

A origem da Engenharia Social

A origem da Engenharia Social

Acredita-se que a Engenharia Social seja mais antiga do que a própria existência de computadores.

Suas características podem ser aplicadas mesmo em histórias em que a sociedade era bem diferente de como a conhecemos hoje:

Ulysses na Mitologia Grega

Na história, o exército grego estava em conflitos contra Troia.

Mas prestes a perder, o líder do exército grego, Ulysses, apostou em uma última estratégia: Uma falsa desistência da guerra.

Para isso, não apenas fez o anúncio como também ofereceu como um presente a realeza concorrente, um cavalo.

Mas não era um cavalo qualquer.

Tratava-se de um grande e pesado cavalo de madeira.

Após o aceite da oferta e o transporte do presente, tudo estava aparentemente bem para Troia. Mas não eram essas as intenções de Ulysses.

Ao longo da mesma noite, quando o exército troiano e população já descansando,

os gregos saíram do esconderijo – o interior do cavalo de madeira, para atacar.

E foi assim, sem a necessidade de computadores ou internet, através de uma mentira que despertou a vaidade dos rivais,

que ocorreu um dos primeiros ataques que hoje reconhecemos como Engenharia Social.

Como curiosidade, é graças a história que um dos malwares mais conhecidos da mundo, o Cavalo de Troia, foi nomeado.

Assim como na mitologia, trata-se de um arquivo disfarçado, que ao ser executado, ataca o dispositivo da vítima.

No livro de gênesis

No primeiro livro de gênesis, Adão e Eva são os primeiros pecadores ao comer o fruto proibido.

Mas como a Engenharia Social se encaixa nesta história?

Bem, segundo o livro, tudo começou quando o Diabo decidiu comunicar-se com Eva, na figura de uma cobra.

A cobra foi capaz de convence-la de que Deus os proibia de comer a maçã por um único motivo: poder.

Ao despertar a ganância de Eva, mentindo sobre o egoísmo de Deus,

o Diabo praticava um dos mais antigos exemplos de Engenharia Social.

E isso resultou na realização da ação desejada por ele, fazendo com que o casal da história consumissem a maçã.

Nos anos 60

Frank Abagnale é um dos impostores americanos mais conhecidos dos anos 60.

Mas sua fama não é uma mera sorte.

Tudo começou quando ele aplicou com sucesso seu maior golpe, envolvendo a tripulação da Pan American World Airways (Pan Am).

Na época, era uma das maiores companhias áreas da época.

Após passar-se como estudante de jornalismo e assim ter acesso a diversas informações sobre o processo de funcionamento da empresa,

ele decidiu que era o momento de arriscar-se mais.

E foi assim que passou-se por um dos pilotos da companhia aérea, tendo acesso a voos gratuitos,

e poder para fraudar documentos e contracheques.

O termo Engenharia Social

O termo Engenharia Social teve diferentes conotações ao longo dos tempos. Mas ainda não é um estudo de “Engenharia” convencional.

Seus estudos já foram da sociologia, psicologia, e hoje,

a engenharia social na segurança da informação utiliza elementos de ambos os campos: sociológicos e psicológicos,

para a coleta e análise de informações somados ao envolvimento emocional da prática.

Para este fim, o termo foi popularizado nos anos 90 por Kevin Mitnick, um hacker mundialmente conhecido da época.

Ele conceitua o uso do termo em seu livro “The Art of Deception: Controlling the Human Element of Security”,

que segue como grande referência para muitos profissionais da área ainda hoje.

Linha de Tempo: 10 empresas que sofreram ataques de Engenharia Social nos últimos 10 anos

2010 – Netflix

A empresa sofreu com ataques quando deram a participantes de um concurso o acesso a informações de mais 480,000 assinantes.

A organização, no entanto, recuperou os dados de alguns candidatos.

2011 – Sony PSN

O marketplace Sony PSN, do console PlayStation, deu acesso a participantes de um concurso mais de 1.6 milhões dados,

incluindo cartões de crédito, endereços, datas de aniversário, senhas e respostas para as perguntas de segurança.

2012 – LinkedIn

Em 2012, o LinkedIn teve uma vazamento de dados de mais de 167 milhões de dados,

sendo a maioria e-mails, senhas e endereços.

2013 – Yahoo

Mais de 3 bilhões de dados da Yahoo foram expostos em 2013,

incluindo e-mails, endereços, datas de nascimento e respostas para as perguntas de segurança dos usuários.

Mas o vazamento só foi descoberto 3 anos depois, no final de 2016.

2014 – Sony Pictures Entertainment

Em 2014 a Sony Pictures Entertainment sofreu um pequeno vazamento de dados que envolveu cerca de 47 mil dados,

o que não diminuiu o impacto nas finanças e reputação da empresa.

Os criminosos tiveram acesso a e-mails particulares, filmes não lançados e o contato de celebridades.

2015 – Ashley Madison

A plataforma de relacionamentos extraconjugais teve mais de 37 milhões de dados vazados,

incluindo o cartão de crédito, endereço e número de telefone dos usuários.

2016 – Comitê Nacional Democrático

O Comitê Nacional Democrático dos Estados Unidos teve muitas informações publicamente expostas,

incluindo a de políticos como Hillary Clinton e o atual presidente do país, Donald Trump.

2017 – Equifax

Mais de 143 milhões de norte-americanos tiveram dados como o número de documentos,

cartão de crédito, nome e endereço após um vazamento da Equifax, uma das maiores empresas de crédito do país.

2018 – Facebook

O Facebook sofreu com ao menos 2 vazamentos de dados ao longo de 2018.

Em setembro, foram mais de 50 milhões, e em outubro, 30 milhões, totalizando ao menos 80 milhões de dados expostos.

2019 – OxyData.Io e People Data Labs

Mais de 1.2 bilhões de usuários tiveram dados como e-mail, contas em redes sociais e telefone expostos em 2019,

tornando-se o maior vazamento partindo da mesma fonte.

No caso, envolvia um banco de dados compartilhado entre duas empresas agregadoras de dados: OxyData.Io e People Data Labs.

Por que é importante falar sobre Engenharia Social: Quais os perigos da prática?

A Engenheiro Social explora as vulnerabilidades emocionais do ser humano,

e isso significa que a proteção contra a prática vai além de métodos tecnológicos, entrando também em uma atmosfera social.

Nos ambientes empresariais, em que pessoas estão atarefadas e muitas vezes aflitas ou ansiosas por algo,

é possível, por exemplo, que se ausentam da mesa com alguma pasta aberta no computador,

ou deixem algum documento importante em cima da mesa.

É uma das situações simples que podem se converter em um verdadeiro pesadelo para a segurança da companhia.

Como todos estão passíveis a isso, a habilidade de como identificar uma abordagem suspeita deve ser constantemente desenvolvida,

seja você o CEO ou um novo funcionário.

Existe certa complexidade no tema, considerando todos os campos de estudos – tecnológicos e sociológicos. E por isso também não é algo tão simples de se criar mecanismos padrões de proteção, mas sim, preventivos.

Ignorar as consequências de um ataque como este pode representar perdas de dados e dinheiro para uma empresa,

especialmente quando entrar em vigor a LGPD – momento em que a regulamentação de dados se tornará mais rígida.

Em termos gerais, a palavra engenharia social possui uma conotação diferente no contexto da segurança da informação,

é mais sobre a ação de controle de pessoas do que um estudo com base em engenharias convencionais,

que tratam da aplicação de métodos científicos dos recursos naturais para o ser humano.

O que é Engenharia Social na Segurança da Informação

O que é Engenharia Social na Segurança da Informação

A Engenharia Social como conhecemos hoje, existe para tratar ameaças que possuem como vítima uma pessoa.

Mas antes de nos aprofundarmos no tema,

é preciso entender o que é a segurança da informação e porque é importante estudarmos sobre a engenharia social:

A segurança da informação é baseada em um conjunto de ações para a proteção de dados,

desde um dado corporativo sigiloso até as informações sobre um funcionário ou cliente.

Uma boa estratégia para a segurança de dados é baseada em 4 pilares:

  • Confidencialidade
  • Integridade
  • Disponibilidade
  • Autenticidade

Logo, é difícil imaginar sua eficiência sem pensar na importância das pessoas na proteção e em sua vulnerabilidade como alvos.

Sabe o iPhone que você viu antes da Apple divulgar?

Provavelmente partiu de um funcionário sem o treinamento necessário ou simplesmente desatento,

que causou o vazamento de informações e, como resultado, abriu uma brecha de segurança para toda organização.

Não por acaso que diversos produtos no mercado, como os próprios iphones, são hoje armazenados em um cofre.

Poucas pessoas possuem acesso autorizado,

algo que não resolve o problema mas certamente ajuda na hora de identificar a origem da vulnerabilidade.

E é por este caminho que chegamos a Engenharia Social.

É possível separar as ameaças na segurança de dados em duas categorias: tecnológicas e humanas.

A primeira, como o nome sugere, envolve recursos tecnológicos e por isso exige maiores habilidades do criminoso,

já as ameaças humanas – também conhecidas como fator humano, exigem pouco ou nenhuma habilidade tecnológica para existirem.

A Engenharia Social ocorre em uma série de ataques com o objetivo de conseguir com que as vítimas:

Compartilhem dados sigilosos, disponibilizem o acesso a áreas restritas ou ajam de maneira prejudicial.

Em geral, essas vítimas são pegas pela falta de atenção – somadas a falta de informação,

e por isso muitos funcionários de empresas sem projetos de conscientização acabam sendo vítimas de crimes deste tipo.

O lado B

Embora seja uma técnica utilizada para fins maliciosos na maioria dos casos,

a Engenharia Social também pode ser útil em situações positivas, como uma investigação policial, treinamentos internos em uma organização,

ou até mesmo em processos seletivos, tudo depende dos dados coletados e a finalidade da ação.

A arte da persuasão

Se a Engenharia Social se apoia no ato de persuadir, o que é a persuasão?

Persuadir alguém é quase como negociar alguma coisa, não é um processo ilegal ou antiético,

trata-se da exploração de argumentos para que alguém se convença de algo e por vontade própria, realize uma ação.

Diferente do que muitos podem pensar, persuadir e manipular são coisas bem diferentes.

Pois a persuasão ocorre somente quando tentamos entender o que é necessário para convencer alguém a fazer alguma coisa.

Já a manipulação psicológica, trata de um processo de influência social que busca mudar comportamentos e percepções com táticas indiretas,

que na maioria dos casos envolve informações convenientes, enganosas ou dissimuladas.

Da mesma maneira, persuadir e convencer não são a mesma coisa.

Pois a primeira resulta em uma ação voluntária,

mas no caso de convencer, pode ser apenas em relação a uma ideia, por exemplo.

Também conhecida como “Teoria da Persuasão” ou “ Teoria Empírico-experimental”, os primeiros registros da persuasão como estudo vêm dos anos 40.

E desde os primórdios tratou da busca em estudar a relação entre estímulo e resposta.

Hoje é um tema amplamente estudado em cursos como administração (para negociação) e comunicação.

Sendo assim, a persuasão na engenharia social é a peça principal,

pois o sucesso da maioria dos ataques vai depender da habilidade do criminoso em persuadir.

A Anatomia de um Ataque de Engenharia Social

Um ataque de Engenharia Social coloca suas vítimas num ciclo de tentativa e erro, diferente de um ataque convencional, que ao ser bloqueado por uma camada de proteção não irá mais perturbar as vítimas.

A engenharia social possui uma curva de evolução até chegar em um nível capaz de fisgar e persuadir a vítima.

Quanto mais segmentado for o ataque, maior será o ciclo de atuação, que normalmente envolve as seguintes fases:

Coleta de informações, planejamento de ataques, aquisição das ferramentas necessárias, ataque, uso das informações coletadas (para tornar-se próximo do verídico)

Sentimentos explorados pela Engenharia Social

A Engenharia Social explora vulnerabilidades emocionais da vítima e usa como isca assuntos atuais, promoções ou até mesmo falsas premiações.

Por não exigir conhecimentos técnicos, a engenharia social também existe sem tecnologia, algo conhecido como no-tech hacking.

Por ser tão simples, as vítimas de um engenheiro social podem demorar a duvidar da comunicação.

E talvez até chegar a isso, o criminoso já a terá atingido através de diferentes emoções, sendo algumas delas:

Curiosidade

Quase todo ataque de engenharia social inicia a partir da curiosidade do alvo. No caso de phishing, por exemplo, é o benefício imperdível que ele poderá adquirir naquele momento, se seguir as instruções.

Após a surpresa inicial, o usuário certamente vai ter curiosidade para entender melhor do que se trata a mensagem recebida. E para validar sua opinião, ele pode acabar clicando em algum link malicioso ou preenchendo algum formulário.

Preguiça

Por que um funcionário iria digitar as senhas manualmente toda vez que forem acessar alguma coisa?

Ou até mesmo optar voluntariamente pela autenticação de dois fatores se tudo pode ser preenchido automaticamente?

Com atalhos nos tornamos, na maioria das vezes, mais vulneráveis.

Cortar caminho nem sempre é o melhor a ser feito.

É importante que todos sejam conscientizados não apenas sobre as medidas a serem tomadas na rotina dentro da empresa, mas também, a importância de cada uma delas.

Solidariedade

Ajudar um colega de trabalho é uma prática simples e naturalmente aplicada em um ambiente saudável.

Mas não só isso.

Como já dizia um velho ditado “Quando a esmola é demais, o santo desconfia”.

E o engenheiro social utiliza muito bem o recurso ao criar campanhas de doações falsas, descontos imperdíveis que serão revertidos em prol de alguma causa, etc.

É importante despertar nos funcionários o entendimento da importância de se questionar tudo com o que interagem ao longo do dia.

Até mesmo na voluntária ajuda alheia.

Vaidade

O modelo mais recente de um smartphone ou o luxo de realizar alguma atividade são características que envolvem a vaidade da vítima.

Funcionários podem ser seduzidos por uma oferta de empréstimo, compra ou até mesmo um novo emprego.

É pensando na própria fragilidade que todos devem ser conscientizados sobre separar o que precisam do que podem ter em um outro momento. pois a engenharia social utiliza muito bem a vaidade ao seduzir as vítimas a partir do consumo.

Ansiedade

Em uma realidade em que o problema de grandes cidades e muitos ambientes corporativos é a ansiedade, a engenharia social aproveita-se muito do fato.

Tudo deve ser feito rapidamente, as ofertas são irrecusáveis e a sensação de urgência torna-se protagonista a ponto de muitos não atentarem-se ao que chega a eles.

É neste momento que as maiores vítimas são pegas, na pressa do momento, pois não são capazes de criar suspeitas sobre a situação.

Engenharia Social e a ascensão das Fake News

Enquanto a maioria dos golpes que se utilizam da engenharia social possuem a função de obter dados pessoais, o mundo todo se depara com uma nova utilidade por trás dessa lógica: a manipulação de informações.

Quando o então candidato à presidência dos Estados Unidos, Donald Trump, acusou um grande veículo de informações americana de espalhar “notícias falsas”, o mundo todo se apropriou do termo fake news.

Até então, a prática era conhecida como Hoaxing e embora tenha sempre existido, nunca foi tão potencializado como ocorre na era da informação.

Isso porque através de redes sociais, muitas pessoas deixaram de consumir informações imparciais ao participar de grupos que possuam interesses semelhantes, o que abre espaço para perspectivas unilaterais e que muitas vezes não representam a verdade.

Como resposta a isso, grandes empresas como Google e redes sociais como o Facebook passaram a criar políticas específicas para minimizar os danos que foram fortificados graças as suas soluções.

O que apesar de positivo, não impede que as pessoas se envolvam somente em grupos de seu interesse e muito menos impede o compartilhamento de informações não verdadeiras ou distorcidas.

Por questões de segurança, serviços como o WhatsApp possuem conversas criptografadas, o que impede também que as empresas identifiquem a origem de muitas das notícias espalhadas.

Empresas de tecnologia – que já possuem maior atenção quando o assunto é segurança da informação, contam com profissionais capacitados para orientar a equipe na hora de trabalhar com mais segurança.

Com a chegada da LGPD, nasce também o cargo de Data Protection Officer (DPO), que ficará responsável por gerenciar os dados coletados, além de fornecer treinamentos aos funcionários ao longo do ano para garantir que as práticas mais recomendadas serão aplicadas.

A Engenharia Social e suas consequências com a chegada da LGPD

Após todos os escândalos envolvendo grandes corporações e o vazamento de dados, diversos países criaram medidas para que a responsabilidade das ocorrências seja maior para empresas de forma a aumentar sua responsabilidade sobre a segurança da informação.

Enquanto a lei de referência é a europeia, conhecida como General Data Protection Regulation (GDPR), o Brasil trabalhou em sua própria versão, a Lei Geral de Proteção de Dados (LGPD), que busca regulamentar o uso de dados no meio corporativo no país.

A LGPD regulamentará qualquer atividade offline ou online que envolva a utilização de dados pessoais e irá responsabilizar todas as empresas envolvidas no processo e o profissional responsável pelo controle desses dados, cargo conhecido como DPO (Data Protection Officer).

A LGPD irá abranger qualquer informação pessoal, como por exemplo: Nome, Endereço, Nº de Documentos, etc.

Todos os dados que possam servir para identificar alguém estão respaldados pela Lei.

Além disso, a LGPD também menciona os dados sensíveis, que diferente da documentação, refere-se a questões como:

  • Status de Saúde
  • Vida Sexual
  • Dados Genéticos
  • Dados Biométricos
  • Opinião Política
  • Origem Étnica
  • Religião
  • Participação em sindicatos ou organizações não governamentais

Dentre outras informações que expõem aspectos íntimos da pessoa física.

Tudo muito relevante para um ataque de engenharia social, pois o criminoso pode aproximar-se da vítima por afinidade ao saber esse tipo de informação sobre ela.

Quando a LGPD entrar em vigor, o não cumprimento resultará em processos administrativos e legais, podendo chegar a multas de até R$ 50 milhões.

A Lei aplica-se a todas as empresas que coletam e armazenam dados (offline ou online), e por isso todas precisam adequar-se a ela.

A alto custo da multa é importante pois, para uma empresa, será muito mais vantajoso adequar-se a Lei do que pagar eventuais multas a longo prazo.

O objetivo por trás da proposta é a transparência da operação de empresas públicas e privadas, solicitando a permissão e o consentimento dos usuários para que seus dados sejam armazenados para devidos fins.

A penalidade financeira da LGPD irá variar de acordo com a gravidade da infração, sendo que as de não conformidade podem custar até 2% do faturamento da empresa limitando-se ao máximo de R$50 milhões.

Também podem ocorrer impedimentos legais de funcionamento parciais ou totais, dependendo do problema causado.

Para que a Lei 13.709/2018 entre em vigor em agosto deste ano, foi criada também a ANPD (ou Autoridade Nacional de Proteção de Dados), que terá como principais funções:

  • Estabelecer diretrizes e padrões técnicos do processo.
  • Gerar relatórios sobre a aplicação da Lei.
  • A fiscalização das empresas, além da aplicação de novas sanções e programas informativos sobre o tema.
  • Definir até quando as empresas poderão se preparar para aplicação da LGPD

Para saber mais sobre a LGPD, confira o guia de implementação da Lei de Proteção de Dados.

Quem é quem na Engenharia Social

Perfil de quem pratica os ataques e de suas possíveis vítimas.

O Engenheiro Social

Apesar do nome, um engenheiro social não é um especialista na área de roubar informações.

O Engenheiro Social

Até porque a formação ainda não existe. Ao menos não formalmente.

Mas para que alguém execute ataques de engenharia social, algumas habilidades podem ser necessárias:

  • Capacidade de contar uma boa história de maneira convincente.
  • Habilidade para utilizar as informações coletadas a seu favor.
  • Poder de persuadir para conseguir que as ações sejam voluntárias.
  • Inteligência analítica necessária para estudar o alvo ou público-alvo com precisão.

A Vítima

A Vítima

A engenharia social está presente em todo lugar, qualquer sinal ou ação pode ser o suficiente para que alguém obtenha alguma informação da vítima.

Sua abrangência a torna um perigo universal: todos podem ser vítimas de um golpe.

A maior brecha de um sistema de segurança não é o sistema, mas sim, as pessoas.

Todos nós, seres humanos, possuímos características (como o gosto por algum estilo musical), padrões de comportamento e psicológicos.

É na observação dessas características que um engenheiro social obtêm o que precisa.

Seja o colaborador um profissional da área técnica ou mais humanizada, todos estão sujeitos a falhar na proteção contra um ataque deste tipo, pois todos possuem vulnerabilidades humanas.

Por isso, muitos executivos buscam por treinamentos com a mídia, por exemplo. É muito arriscado ir despreparado para um bate-papo ou entrevista e acabar respondendo algo que revela algo que não deveria.

No geral, vítimas são feitas:

  • Quando desatentos – em modo “automático” na realização de suas tarefas.
  • Ocasião em que não verificam a autenticidade das mensagens recebidas.
  • Ao passo que vivenciam algum problema pessoal e a mensagem soa como a oportunidade de melhorar as coisas.
  • No momento em que se sensibilizam com a mensagem recebida e tem intenções de ajudar.
  • Na hora em que precisa de ajuda e não possui muitas habilidades técnicas.

Principais ataques realizados com Engenharia Social

Principais ataques realizados com Engenharia Social

Phishing

O Phishing é o ataque da engenharia social mais comum.

O crime consiste na obtenção de dados de uma pessoa ou organização através de técnicas de comunicação e persuasão.

E quando falamos em comunicação corporativa ou serviços gerenciados e utilizados por muitas pessoas, qualquer usuário pode ser uma porta de entrada para uma brecha de segurança.

Em 2013, por exemplo, mais de 110 milhões de informações e números de cartões de crédito foram expostos dos clientes da Target, e após perícia, foi concluído que tudo começou quando um subcontratado da empresa foi vítima do phishing.

Segundo pesquisa da Cyxtera, empresa de segurança digital especializada em fraudes eletrônicos, cerca de 90% dos golpes digitais foram introduzidos a partir de alguma vertente do phishing.

O contato do criminoso pode ocorrer a partir de qualquer meio de comunicação na tentativa de fazer com que pessoas caiam em um golpe (também conhecido como scam).

Fácil de ser executado, o phishing também não é um ataque difícil de ser reconhecido quando observado com atenção.

São e-mails partindo de destinos duvidosos, ligações ou qualquer outra forma de comunicação que seja no mínimo questionável para o alvo, pois é direcionado a um grande público e na maioria das vezes não possui qualquer seleção.

Por isso, a chance de sucesso da prática depende de dois fatores: O momento certo e a desatenção do usuário.

Quem é exposto a essa tática pode ser surpreendido com algum contato em um momento em que aquele contato faça sentido, por exemplo.

Sendo assim, o phishing depende mais da atenção e calma para verificar as informações antes de qualquer ação, embora possa causar desespero e impulsividade em um momento importuno.

Vishing

O Vishing é uma das variações do Phishing.

Enquanto o termo principal é utilizado para descrever a prática de maneira geral, o vishing surgiu para referir-se a ataques realizados especificamente por telefone (voz + phishing).

A prática é bem popular, sendo ainda hoje a mais comum no Brasil e seu funcionamento é exatamente o mesmo do phishing tradicional, alterando apenas o meio de contato, que é por telefone ou através de chamadas de serviços VoIP, este último a escolha favorita dos criminosos pela possibilidade de anonimato.

Em um episódio de Vishing, a vítima recebe uma chamada em que é induzida a realizar alguma ação rapidamente ou compartilhar informações pessoais ou sigilosas de uma empresa, como documentos e números de faturamento, etc.

Um dos casos mais antigos e tradicionais no país é quando os criminosos realizam uma chamada anunciando um suposto sequestro. Na ação, o falso sequestrador simula uma voz infantil em perigo.

Embora seja um golpe fácil de se identificar, caso a chamada ocorra para as pessoas certas (pais) e no momento certo (como quando o filho está na escola) funcionam pois na apreensão do momento, a vítima muitas vezes não se dá conta de se tratar de uma falsa afirmação.

Apesar de já ser uma ação mais conhecida, o golpe continua causando diversos problemas, incluindo o caso recente de um casal de idosos de Belo Horizonte que transferiu R$ 300 mil para salvar a filha de um falso sequestro, dos quais apenas R$ 15 mil foram recuperados pelo banco após a descoberta do caso.

Outro episódio que vale a pena ser mencionado, é o que ocorreu em 2019, envolvendo uma professora do Mato Grosso do Sul que não apenas perdeu R$ 80 mil como também foi feita de refém no hotel em que os criminosos solicitaram a sua presença, tudo após receber uma ligação informando o falso sequestro de sua filha.

O golpe vishing pode partir de simulações de contatos pessoais (como a ligação de um familiar) ou também um falso funcionário de uma grande empresa de serviços como telefonia e internet.

Sendo assim, identificá-lo pode ser um pouco mais trabalhoso do que o phishing.

Mas as abordagens também possuem suas fragilidades:

Nome da vítima

Ao receber uma ligação, antes de confirmar qualquer dado pessoal, tenha certeza de que a pessoa é quem diz ser ao pedir para ela confirmar algo simples como o seu nome completo ou alguma outra informação que não seja número de documentos.

Não confirme nada até que o contato te responda corretamente. Em ataques amplos e aleatórios, dificilmente o criminoso terá a informação correta.

Anúncios de sequestro

Antes de se desesperar por algum anúncio de sequestro, atente-se as informações que o criminoso está compartilhando e, principalmente, confirme a localização da vítima.

Por exemplo, caso seja uma criança que esteja na escola, a primeira ação deve ser uma chamada de confirmação de presença.

Bancos e outros serviços

O nome é uma informação simples porém bem reveladora em todos os casos.

Mas caso queira outra abordagem, basta informar que não pode falar no momento ou tente ligar para o número que está chamando de um outro aparelho telefônico.

O direcionamento correto da chamada para a empresa que supostamente ligou indica a veracidade do contato. Caso seja falso, reporte a empresa logo em seguida.

Smishing

Se o Vishing é a junção de voz + phishing, o Smishing é a mistura de sms + phishing, ou seja, trata-se do phishing que se utiliza das mensagens SMS para pescar suas vítimas. Com o enfraquecimento das mensagens tradicionais e a ascensão de comunicadores instantâneos como o WhatsApp, o smishing se desenvolve na mesma medida.

O smishing foi uma grande ferramenta, em conjunto as fake news, em campanhas eleitorais e na manipulação de informações.

Usualmente, ele é utilizado no compartilhamento de links maliciosos e possui um ciclo de vida menor, porém viral, já que as pessoas também são induzidas a compartilhar a mensagem.

Para detectar e prevenir-se desse tipo de ataque, é importante desconfiar de qualquer mensagem que chegue a partir de pessoas que não fazem de sua lista de contato e principalmente, não clicar em nenhum link não solicitado.

O smishing pode partir também de contatos que já foram pegos, muitas vezes compartilhando o link malicioso sem saber.

Ao receber a mensagem de um contato existente, atente-se ao formato do texto recebido para analisar se a pessoa escreve ou escreveria de tal maneira, pois pessoas normalmente possuem o mesmo padrão e estilo de escrita.

Nigerian 4-1-9 Scam

O golpe que se iniciou na Nigéria, conhecido como Nigerian 4-1-9 Scam possui uma linha de funcionamento semelhante ao phishing tradicional.

A técnica iniciou-se muitos anos atrás com o envio de cartas do país para estrangeiros com histórias falsas envolvendo doações e transferência de dinheiro.

Ao longo dos anos, a técnica se desenvolveu passando para o e-mail e também novas abordagens surgiram, sendo a mais popular a “romance scam”, envolvendo interesses amorosos.

Neste cenário, o criminoso seduz a vítima com alguma história que possa envolvê-la, e se consegue ‘pescá-la’ com sucesso, passa a encenar o desenvolvimento de uma relação a distância, a qual a longo prazo envolverá a solicitação de dinheiro.

Em 2014, uma moradora do interior de São Paulo perdeu R$ 63 mil em um golpe.

Na época, aos 42 anos, ela começou a conversar com um suposto soldado americano em missão no Afeganistão e construiu uma falsa relação com ele até que foi anunciada o fim de sua missão no país e a chegada no Brasil.

Seduzida pela ideia de viver o romance pessoalmente, ela fez de tudo para auxiliar o golpista em sua chegada ao país, que nunca aconteceu.

Embora a abordagem romântica tenha se tornado popular, a relação do criminoso com a vítima pode ter outros objetivos afetivos, como uma amizade – se aproveitando também da empatia para obter dinheiro.

Além de também ser multimídia por se adaptar a diferentes formas de contatos na hora de desenvolvimento da relação entre vítima e criminoso.

Outro fato importante é que embora tenha iniciado na Nigéria, o golpe hoje é replicado a partir de diversos países como Turquia, Iraque e o Brasil.

Por envolver a criação de uma relação mais pessoal com as vítimas, os golpes nigerianos podem ser detectados a partir de alguns parâmetros: como o perfil chegou até o alvo, checagem de informações do perfil e a análise geral da interação.

Basicamente, se as coisas estão rápidas demais, pode ser que tenha algo de errado.

Os aplicativos de relacionamento, por exemplo, recebem muitas reclamações pela existência de perfis falsos (também conhecidos como “fakes”) que usando fotos, nome e personalidade falsos buscam praticar a ação, e é por isso que é necessário ter cuidado redobrado na hora de buscar o “par perfeito” online

Ano passado, ocorreu em Macapá (AP) o caso de uma jovem de 23 anos que se passava por um advogado no Tinder, aplicativo de relacionamentos, para obter vantagens financeiras das vítimas, como empréstimos, ao longo do desenvolvimento da falsa relação.

Ela foi presa no mesmo ano e assumiu o crime.

Por isso, a melhor maneira de detectar um golpe nigeriano é observando o contexto do contato, a autenticidade do perfil e analisar as reais intenções quando as solicitações de dinheiro ou fatos estranhos começarem a ocorrer.

Spear Phishing

Atualmente, uma das subcategorias mais conhecidas de Phishing é o Spear Phishing.

Diferente da metodologia tradicional, é executada de maneira direcionada a um grupo de pessoas bem específico e baseado em dados exatos ou muito próximos da realidade dessas pessoas.

Em outras palavras, é uma tática mais perigosa por envolver informações personalizadas e muitas vezes crível o bastante para enganar até mesmo um funcionário mais atento em sua rotina de trabalho dependendo do momento e da abordagem utilizada.

Um dos casos mais recentes em grande escala dessa técnica ocorreu em 2018, nos Estados Unidos, e como resultado gerou alarde dentre os funcionários do departamento do estado sobre um possível Tsunami.

A notícia ganhou grande repercussão na época e confundiu a população, que não sabia se deveria se preocupar ou não com o desastre natural.

Embora o órgão responsável tenha respondido rapidamente que não existia nenhum tipo de anormalidade para ocorrer tal fenômeno, a falsa informação já havia sido espalhada pelo mundo inteiro, gerando alarde e causando grandes prejuízos financeiros.

O spear phishing é uma variação do phishing altamente segmentada. Funcionários, especialmente os mais novos, podem facilmente ser enganados por um falso e-mail partindo de alguém com cargo superior. De fato é assim que a maioria dos ataques obtêm o sucesso esperado.

As pequenas empresas têm se tornado o principal alvo por parte desses cibercriminosos, pois quando não há o treinamento adequado, logo os funcionários acabam sendo a vulnerabilidade humana e mais frágil do ecossistema corporativo.

Mas não são apenas os colaboradores que podem cair nesse tipo de golpe, muitos executivos e até mesmo profissionais da área podem ser surpreendidos com a comunicação segmentada do spear phishing.

Para se prevenir de um possível ataque, além de oferecer treinamento a equipe, é necessário criar protocolos para que as pessoas da organização possam se comunicar e identificar a autenticidade da mensagem, como uma palavra secreta, por exemplo.

Pretexting

O Pretexting é uma ação maliciosa que consiste na tentativa de se obter dados pessoais ou sobre uma empresa de maneira voluntária por uma falsa causa.

Muitas vezes isso ocorre em perguntas para uma pesquisa ou até mesmo interações com um perfil falso em uma rede social, sendo a última a maneira mais comum de cair no golpe.

O pretexting envolve principalmente confirmações de identidade e contatos suspeitos, logo as melhores práticas para detectá-lo são justamente prestar mais atenção antes de fornecer dados pessoais e evitar compartilhar via redes sociais.

Esse golpe pode vir disfarçado de uma causa ou confirmação de informações e por isso, questione toda ação que solicita dados além do necessário, buscando também por tudo relacionado a empresa e tema.

Parte do processo da realização desse tipo de ataque envolve uma pesquisa intensa sobre a vítima, permitindo que o criminoso possa entrar em contato e trazer mais veracidade para a comunicação ao expor os dados que tem.

Após as confirmações serem realizadas, a vítima pode ser coagida a confirmar e até mesmo acrescentar mais dados.

Ao receber um e-mail suspeito, verifique o remetente e tente entrar em contato a partir de uma outra tecnologia, como telefone, por exemplo.

Ou responda o e-mail solicitando mais detalhes sobre o caso antes de confirmar qualquer coisa.

Quid pro quo

O Quid pro quo é uma abordagem de troca inconsciente. Alguém oferece algo em troca de outra coisa. Um clássico exemplo dessa estratégia seriam as falsas pesquisas, que podem ocorrer nas ruas ou dentro do ambiente empresarial.

Outro cenário para esta prática é no atendimento técnico de pessoas, seja para TI ou outras situações em que alguém com conhecimento avançado em algo pode aproveitar-se da falta de conhecimento de uma outra pessoa para ter acesso a seus dados.

Para evitar o quid pro quo é necessário questionar mais antes de responder qualquer formulário ou pesquisa, pois uma vez que a vítima cede seus dados, não há como voltar atrás.

É uma falsa sensação de benefício em troca de dados pessoais.

Sextorsão

A sextorsão (sexo + extorsão) é um crime virtual em que a vítima é chantageada a realizar uma ação ou transferir algum valor monetário caso não queira que fotos ou vídeos íntimos dela sejam divulgados.

Embora seja uma prática antiga ganhou muita popularidade nos últimos anos pelo vazamento de diversos materiais envolvendo pessoas publicamente expostas, além de também ser utilizada como tática da engenharia social ao dispersar o medo da exposição em ataques por phishing.

Quando uma vítima possue algum e-mail exposto e que possa ser encontrado por botnets, é muito provável que receba tentativas de diversos tipos de ataques, incluindo a sextorsão.

Para se proteger dessas tentativas basta atentar-se aos fatos:

As informações no e-mail recebido fazem sentido para o hábito de exposição do usuário?

Caso negativo, não deve ser uma grande preocupação do usuário.

No entanto, caso o usuário encontre semelhanças com seu padrão de navegação na internet, é melhor investigar antes de responder ou realizar qualquer ação.

Muitos e-mails desse tipo, para validar a legitimidade, informam uma senha que pode ou não ser a senha atual do usuário mas que certamente já foi usada em algum momento e por uma brecha do site em que era utilizada, foi publicamente exposta.

Caso seja a senha atual do e-mail da vítima, é necessário a alteração imediata, incluindo nos outros serviços em que é utilizada.

A Engenharia Social sem tecnologia

Ataques sem tecnologia

Além dos ataques virtuais que se utilizam da engenharia social, existem práticas que dispensam o uso de qualquer tecnologia. Essas práticas são conhecidas como no-tech hacking.

Em ambientes corporativos ou até mesmo em outros lugares recorrentes como transportes públicos e escolas, utilizamos dispositivos móveis e computadores e muitas vezes não nos atentamos aos olhares de pessoas que possam estar observando nossas ações.

Conheça algumas das técnicas:

Dumpster Diving

O dumpster diving (mergulhando na lixeira em uma tradução livre), é uma das práticas mais comuns e cotidianas, sendo que podemos ser vítimas com intenções específicas ou não.

Trata-se do ato de vasculhar o lixo alheio para obter algum bem.

No dia a dia, a prática é vista de maneira não específica principalmente com pessoas em situações de rua, que buscam comida nos lixos jogados pela vizinhança.

Mas no mundo da tecnologia, vasculhar o lixo não é apenas uma ação de desespero, pois resíduos, peças ou até mesmo dispositivos com falhas podem ser descartados pelas companhias e tornarem-se alvo de algum tipo de vazamento ou boato.

Uma das razões da importância de um treinamento para os funcionários e também orientá-los sobre como descartar o que é produzido dentro da companhia.

Muitos lugares possuem uma política de descarte para formalizar a ação e blindar qualquer tipo de vazamento ao tornar os itens inutilizáveis, além de aplicar políticas de sustentabilidade.

Em 2003, estudantes de ciência da computação encontraram mais de 5 mil números de cartões de créditos, registros pessoais e empresariais, dados médicos e e-mails ao vasculhar 158 discos descartados por sua universidade.

Shoulder Surfing

O Shoulder Surfing consiste na prática de observar as ações que uma pessoa está realizando em dispositivos como um celular ou um computadores.

Em geral, é algo comum e inocente que muitas vezes realizamos inconscientemente.

Mas para os hackers mal intencionados, o ato pode significar muito mais do que uma simples curiosidade e tornar-se uma oportunidade de descobrir e memorizar combinações, senhas ou informações pessoais da vítima.

A mesma prática também pode ocorrer em outros ambientes, como no uso de um caixa eletrônico, por exemplo. Por isso é preciso estar atento ao que ocorre ao redor, mesmo quando estamos dedicados a algum dispositivo.

Para minimizar esse tipo de ação já existem filtros para celulares que dificultam a visualização do que está sendo exibido na tela quando a pessoa está localizada lateralmente ao aparelho.

Tailgating

O tailgating, diferente das outras práticas, é mais complexa e pode trazer maiores prejuízos, sua ação consiste no acesso a lugares restritos através de pessoas autorizadas, ou seja, o criminoso se aproveita – através da interação com alguma pessoa autorizada, para acessar algum local restrito.

Um exemplo muito simples da prática pode começar em um simples elevador.

O criminoso e funcionário interagem e logo ao chegar no andar da empresa, se aproveita da entrada credenciada do colaborador para entrar no local.

Por ser uma técnica mais complexa, é mais rara de acontecer – especialmente em ambientes mais robustos, como é o caso de grandes empresas que já estão preparadas para combater acessos ilegais.

Considerada a mais antiga das abordagens de engenharia social, e até mesmo precedente a internet, utiliza-se na maioria das vezes da bondade da vítima, como quando alguém está com as mãos tão ocupadas que uma pessoa gentil decide ajudar ao abrir e segurar a porta.

Os objetivos do impostos podem variar mas na maioria das vezes envolve o interesse na obtenção de ativos valiosos ou informações confidenciais para atingir a empresa ou algum funcionário diretamente.

Como proteger funcionários da Engenharia Social

Muitas empresas erram na prevenção contra golpes virtuais ao só importarem-se com eles após uma primeira ocorrência.

A verdade é que quando falamos que a maior vulnerabilidade de segurança no ambiente corporativo é o fator humano e não suas tecnologias, não estamos falando que os funcionários são menos competentes, mas sim, que todos podem ser persuadidos.

É por isso que uma boa estratégica para combater a engenharia social possui duas características:

  • Prevenção.
  • Constância.

O fato de ser preventiva mostra que a organização já está preparada para caso algo aconteça, ela reconhece o problema e suas probabilidades, e só isso já é o suficiente para afastar muitos criminosos entusiastas.

Quanto a ser constante, é para que os funcionários também estejam sempre alertas sobre o perigo e não apenas em campanhas específicas ou ações reativas a ataques sofridos.

Em outras palavras, a prevenção é a melhor arma contra ataques de engenharia social.

Como identificar e-mails falsos

Reconhecer um e-mail falso pode parecer uma tarefa fácil, até mesmo automática para muitas pessoas. Mas a verdade é que a tarefa está se tornando um pouco mais complexa do que costumava ser.

Se antes bastava conferir o remetente da mensagem @empresa, hoje diversos serviços de disparo de e-mail já não recebem um endereço personalizado, mas sim, um gerado automaticamente pelo serviço, o que dificulta que o reconhecimento ocorra dessa maneira.

Outro detalhe é que visualmente os e-mails falsos estão idênticos as suas versões originais.

Então como reconhecer um e-mail falso?

Confira o remetente da mensagem

Embora e-mails gerados automaticamente estejam dificultando o reconhecimento de alguns remetentes, no geral, os e-mails falsos tentam replicar o endereço original da empresa para confundir o usuário na desatenção.

Para isso eles criam, por exemplo, endereços parecidos porém com detalhes numéricos.

E em tentativas de golpes de menor qualidade, o próprio e-mail entrega não se tratar de algo legítimo e dependendo do domínio ou formato, o serviço de e-mails por desconhecer ou ter casos recorrente de endereços parecidos, nem mesmo permite que a mensagem chegue ao usuário final, ativando a proteção contra spam.

Links internos

Sempre que um e-mail contêm links ao longo da mensagem, a proteção spam de um serviço de e-mail de qualidade já o analisa de uma outra maneira, sendo que caso o link seja popularmente malicioso, a proteção é ativada automaticamente.

Mas o sistema não é perfeito e falha em inúmeros casos, pois alguns domínios são novos e ainda não tem nenhuma reputação (negativa ou positiva), por exemplo.

Neste caso, é importante analisar duas coisas:

Em que parte do texto os links são inseridos

Quando um hiperlink é criado em cima de um texto, por exemplo “acesse o site”, a primeira coisa que deve ser verificada é se o link corresponde ao texto.

Verifique o formato de link

Existem links que se assemelham ao original com o detalhe de algum caractere especial para possibilitar o registro do domínio.

Mas no geral, muitos links maliciosos terão um formato diferente, nada familiares. Caso ao passar o mouse por cima do link e notar que o mesmo possui um formato diferente, não clique.

O ideal é pesquisar pelo domínio principal e ver os resultados que aparecem. Caso não há muito material disponível na internet, desconfie. Entre em contato com a empresa antes de clicar em qualquer coisa, assim é possível garantir a segurança do link.

Ao analisar essas duas características será muito mais fácil de identificar a autenticidade de um e-mail e, principalmente, segurança dos links apontados no corpo dele.

Desconfie de ofertas inesperadas muito vantajosas

Embora todos queiram acreditar que foram contemplados com alguma promoção, é preciso tomar cuidado quando a oferta parece ser boa demais para ser verdade.

Por isso, antes de qualquer ação em um e-mail desse tipo, verifique as informações diretamente com o remetente – no caso a empresa que enviou o e-mail.

Um e-mail falso é um dos principais meios de contato para a aplicação de um golpe por phishing.

Portanto, é preciso tomar cuidado com abordagens não esperadas que apresentem uma oferta muito vantajosa, tanto de empresas conhecidas como desconhecidas.

O e-mail acompanha anexo um boleto, nota fiscal ou fatura

Empresas que enviam qualquer tipo de cobrança ou nota fiscal por e-mail devem apresentar algum tipo de comprovação de que os arquivos são legítimos, além do mais, é importante refletir se um desses documentos é necessário – como resultado de alguma transação realizada.

Jamais faça o download sem ter certeza de que o arquivo é legítimo e muito menos o pagamento.

No caso de cobranças recorrentes, como assinaturas de telefone, celular, internet, basta atentar-se aos valores e dados informados no corpo do e-mail, caso não especifique o titular correto ou o valor esteja diferente do usual, confirme diretamente com o remetente.

Caso exista alguma pendência, solicite um novo boleto para garantir o pagamento da versão correta de preferência.

O próprio e-mail se contradiz ou possui muitos erros de português

Erros básicos podem ser cometidos em e-mails falsos.

Às vezes, as cores e fonte não batem com a identidade da marca, ou o texto possui muitos erros de português ou ainda, possuem um discurso contraditório.

É por isso que grande parte do processo de identificar um e-mail falso é a atenção do usuário ao observar as características mencionadas acima.

Também é possível verificar a existência de um e-mail através da ferramenta gratuita CaptainVerify.

Como identificar sites falsos

Com os sites falsos cada vez mais parecidos com suas versões originais, torna-se cada vez mais difícil diferenciá-los visualmente.

No entanto, ainda sim é possível identificar e apontar suas diferenças técnicas para garantir que o acesso ocorra na versão correta do site.

Durante o check up de um site, é muito importante verificar as seguintes características:

A URL do site

A primeira coisa a ser observada para descobrir se um site está correto ou não, é reparar em sua URL.

Isso porque em muitos casos o domínio não corresponde ao original, ou apesar de ser semelhante, é acompanhado por números e caracteres especiais.

A quantidade de anúncios

Embora seja uma fonte de renda para muitos sites, é pouco provável que um site confiável exceda nas propagandas na página e, principalmente, se essas forem invasivas (como é o caso de pop-ups).

Caso já tenha acessado o site anteriormente e notou um aumento estranho na quantidade de anúncios, talvez seja um bom motivo pra desconfiar da veracidade da página.

Ou ainda, observar o conteúdo dos anúncios pode fazer toda diferença, pois se estiverem fora de contexto ou nem ao menos se associarem as suas pesquisas recentes, pode haver algo de errado ou o serviço de anúncios ser de baixa qualidade.

Semelhante, mas é idêntico?

Normalmente, até os sites que “clonam” as versões originais possuem detalhes que se diferenciam, pois as vezes não acompanham suas atualizações ou simplesmente não chegaram no mesmo nível de programação da página.

Por isso, caso já tenha acessado o site anteriormente, vale a pena dar uma olhada mais clínica nos detalhes para verificar as informações.

Velocidade de carregamento

Os sites falsos muitas vezes são hospedados em servidores de baixa qualidade, e caso o site original tenha uma estrutura mais ágil, é mais fácil reparar na diferença de qualidade de uma versão para a outra.

Mas também é importante lembrar que em momentos de instabilidade é possível que até mesmo grandes sites tenham problemas momentâneos como erros no carregamento ou na própria velocidade.

Se a necessidade de acesso não é imediata, vale a pena atualizar a página (F5) ou até mesmo aguardar alguns minutos para checar novamente se as coisas seguem da mesma maneira.

Verifique se o site possui Certificado SSL

O certificado SSL é uma necessidade para todo tipo de site, principalmente se ocorre qualquer tipo de transação dentro do site. Ao longo dos últimos anos o certificado tornou-se tão importante que o Google passou a penalizar, nos resultados de busca, sites que não estejam certificados.

A boa notícia é que não há diferença entre certificados pagos ou gratuitos. Mas existem diferentes tipos de certificado que devem ser considerados de acordo com a finalidade do site.

O que é um certificado SSL?

Um certificado SSL (Secure Socket Layer) é um recurso de segurança para páginas na internet que garante a proteção na troca de dados entre o servidor e o usuário.

Isso é possível através de seu processo de encriptação, que pode possuir diferentes complexidades de acordo com o tipo de certifica, que funciona para apenas um site e no máximo seus subdomínios na maioria dos casos.

O certificado impede que a conexão dos visitantes com um site sejam interceptadas ou ocorra o vazamento de qualquer informação sensível, pois os dados serão mascarados no processo de encriptação.

Como identificar se um site é corretamente encriptado

Junto da penalização do Google, a maioria dos navegadores passou a exibir o termo “não seguro” na barra de endereços para sites que não possuam nenhum certificado configurado.

Caso tudo esteja bem configurado, os usuários verão um cadeado na cor verde na barra de endereços ou até mesmo o nome da empresa dependendo do tipo de certificado, que deve ser superior no caso de empresas que lidam constantemente com dados pessoais de seus usuários.

Como no caso de agências bancárias.

Se o cadeado estiver de outra cor que não seja verde – especialmente vermelho, ou o aviso de “não seguro” esteja aparecendo, considere não preencher nenhum campo que solicite suas informações pessoais, pois isso pode ser o gatilho para alguma série de abordagens maliciosas.

Como conscientizar sobre ataques sem tecnologia

Assim como nas vulnerabilidades tecnológicas, a melhor ferramenta contra os ataques sem tecnologias é a prevenção.

Existem diferentes medidas que podem ser aplicadas em diferentes situações para evitar que roubem informações pessoais ou de sigilo empresarial:

No ambiente de trabalho

Manter gavetas e armários fechados.

Holerites, documentos e diversos outros arquivos impressos, com informações sensíveis, podem tornar-se uma vulnerabilidade ao serem facilmente vistas por colegas no ambiente corporativo.

Por isso, é importante manter as gavetas e armários fechados, e instruir os funcionários a levarem tudo o que for crítico para casa no final do expediente, ou disponibilizar um armazenamento específico para este fim.

Minimizar ou encerrar softwares que exponham dados da empresa ou funcionário.

Especialmente em empresas em que as mesas e computadores estiverem expostas em ambiente aberto, é muito comum que, quase inconscientemente, funcionários “bisbilhotam” o que outros estão executando no dispositivo.

Embora na maioria das vezes isso não represente nenhum problema, pode representar uma vulnerabilidade ao gerar oportunidades para pessoas com más intenções.

Não compartilhar login e senha com nenhum colega de trabalho.

Talvez a prática mais comumente difundida em qualquer ambiente, o compartilhamento de senhas é uma das práticas simples que podem causar as piores consequências a um trabalhador.

Imagine que ao fornecer a senha, a pessoa não apenas ganhar acesso total aos recursos disponibilizados para o dono da conta como também abre uma nova vulnerabilidade para seus dados pessoais, que podem a qualquer momento ser obtidos por algum usuário mal intencionado dependendo da prática do novo portador das informações de acesso.

Na necessidade de ausentar-se da mesa de trabalho, realizar o logout até o retorno.

Isso pode ser feito através do menu iniciar ou CTRL + Alt + Del caso esteja utilizando o Windows como sistema operacional.

Da mesma maneira que é importante fechar gavetas e armários que contenham documentos críticos, é essencial que os integrantes de qualquer equipe em uma empresa recebam o treinamento adequado para adquirirem o hábito de, ao ausentar-se da mesa de trabalho, encerrem a sessão de login no computador.

Isso porque ao manter o sistema logado o usuário abre brechas para que outras pessoas acessem ou alterem um arquivo específico que possa comprometer a vítima.

Não jogue documentos inteiros no lixo, rasgue-o ou fragmente caso seja uma opção no local de trabalho.

Jogar documentos e itens críticos como cartões de crédito, exames ou papéis com outras informações podem abrir brechas para a prática de no-hacking conhecida como “dumpster diving”, que consiste basicamente na vulnerabilidade encontrada num lugar muito comum: as lixeiras.

Em situações externas, evitar ao máximo mencionar informações internas da empresa (quadro de funcionários, rotinas, procedimentos).

Exceto quando receber instruções específicas e treinamento de uma assessoria de imprensa, por exemplo.

Colaboradores bem informados sobre a própria organização nunca representarão algo negativo.

No entanto, é importante que os mesmos sejam instruídos nos lugares e momentos em que poderão falar sobre os temas internas.

Pessoas passam por diversos ambientes, além da empresa, ao longo do dia: transportes públicos, outras empresas e claro, a própria residência.

Todos os lugares externos podem abrir vulnerabilidades para que pessoas de fora ganhem acesso a informações privadas e que podem usar para finalidades de impacto negativo.

Coletar documentos impressos logo em seguida.

Impressão em rede é um excelente recurso para a maioria das empresas, afinal, diminui a necessidade de espaços físicos para diversas impressoras e permite que os funcionários compartilhem um mesmo equipamento.

No entanto, o compartilhamento desse dispositivo pode abrir vulnerabilidades para que pessoas tenham acesso ao que foi impresso antes mesmo de quem o solicitou.

E por isso recomendação geral é de que os documentos sejam coletados logo depois da impressão ser solicitada.

Em dispositivos

Se marketplaces oficiais como a Play Store, com todas as medidas que já tomam para a segurança de seus usuários, Instalar somente softwares e aplicativos de fontes confiáveis.

sofrem com esporádicas falhas na verificação e aprovação de aplicativos, os catálogos alternativos são ainda menos confiáveis.

Manter todo o sistema atualizado.

Os softwares de melhor qualidade atualizam seus protocolos de segurança na medida em que novas vulnerabilidades tornam-se conhecidas. Além de ter uma boa seleção de aplicativos com esta prática, é essencial que as atualizações manuais sejam feitas regularmente.

Realizar uma varredura com o antivírus de preferência antes de abrir qualquer download realizado.

Ao realizar o download de algum arquivo, da fonte menos para a mais confiável, é importante realizar a verificação (quando já não for realizada automaticamente) do arquivo, pois assim é possível reduzir as chances do arquivo instalar algum tipo de vírus no sistema.

Não memorizar senhas em computadores públicos ou de uso compartilhado.

Incentive funcionários a desabilitar a memorização de senhas em computadores públicos ou espaços compartilhados, incluindo contas privadas quando estiverem no espaço de trabalho.

Embora torne as coisas mais rápidas, é também a maneira mais fácil de permitir um acesso fraudulento.

Para que a prática seja funcional, também é essencial que o logout seja realizado ao final do uso.

Em transações bancárias

Acompanhar o extrato bancário de maneira recorrente para garantir que nenhum gasto desconhecido ou suspeito foi realizado.

Não há tempo e nem recomendável visitar agências bancárias ou caixas eletrônicos com grande frequência, no entanto, todo banco possui um aplicativo ou meio de acesso a conta através de um navegador ou smartphone e a maioria avisa em tempo real as transações realizadas.

Mas quando isso não acontece, é importante verificar regularmente o extrato através deste recurso.

Bloquear imediatamente qualquer cartão bancário perdido.

Defina como mandatório o bloqueio de qualquer cartão corporativo perdido por um colaborador, assim como incentivá-los a fazer o mesmo quando ocorrer com seus cartões pessoais.

A maioria dos cartões de crédito permite transações online apenas com os números informados no cartão e o nome do titular.

Nas agências bancárias, aceitar ajuda somente de pessoas devidamente uniformizadas e com as informações no crachá.

Embora muitas pessoas bem intencionadas busquem genuinamente ajudar alguém, o contrário também é possível.

Instrua funcionários a jamais aceitar ajuda de alguém sem algo que o identifique como funcionário do banco, e ainda com a presença de um crachá, evite compartilhar informações sigilosas como a senha do cartão.

Em e-mails e redes sociais

Verificar sempre o remetente do e-mail.

É importante que o remetente de todas as mensagens sejam verificados no ambiente corporativo. Pequenas variações no endereço de e-mail ou até mesmo uma grande diferença podem denunciar uma tentativa de phishing.

Desconfiar de todo e-mail, com remetente desconhecido, que possui anexos e links.

Se além de desconhecido o e-mail demande algo que deve ser feito muito rápido ou disponibiliza algum arquivo não solicitado, jamais realize o download e não faça a abertura de nenhum PDF.

Não compartilhar notícias ou informações que não possam ter a autenticidade comprovada.

As fake news ganham força principalmente por pessoas que observam apenas o título das matérias ou tem afinidade com o tema, ainda que não o tenham conferido.

Por isso é preciso conscientizar os colaboradores para garantir que aprendam a verificar tudo o que compartilham.

Fazer o controle de privacidade nas principais redes sociais.

Com a chegada da GDPR, todas as redes sociais passaram a possuir uma área restrita que permite a personalização da privacidade de dados.

Se no trabalho os funcionários precisam utilizar alguma rede social, ensine-os a configurarem o setor da maneira correta.

Evitar o envio de dados sensíveis por e-mail ou telefone, ainda que venham de algum colega de trabalho.

Aplique protocolos na organização que impeçam a troca de dados sensíveis por redes sociais ou em alguns casos, até mesmo através de e-mails.

Sua empresa está preparada?

Vimos que a Engenharia Social pode ser devastadora para uma organização.

sua abordagem explora características emocionais que tornam qualquer ser humano uma possível vítima.

E é por isso que para combatê-la, é necessário uma mudança de cultura em que todos sintam-se incentivados a:

Ter mais consciência

das informações que estão sendo compartilhadas – Isso vale para momentos de comunicação verbal (fora e dentro do trabalho) e também para redes sociais ou ferramentas de comunicação interna.

Definir as informações mais importantes

que precisa proteger, pois assim o processo de tomada de decisões emergenciais torna-se mais fácil ao dar prioridade na segurança desses dados.

Abraçar a cultura de sentimento de dono

para que todos os funcionários sintam-se responsáveis pelas informações e segurança da empresa de maneira autêntica.

Questionar mais.

Assim até mesmo o fator humano adquire sua própria “camada de proteção”.

Preparamos um guia sobre Engenharia Social

É possível que após ler o conteúdo você queira saber ainda mais sobre Engenharia Social, e o principal, como dar os primeiros passos na prevenção.

Pensando nisso, preparamos um guia exclusivo com tudo o que você precisa saber para proteger sua organização:

Quer começar a agir? A gente pode ajudar!

Converse com um especialista em segurança da informação da Compugraf para descobrir como sua empresa pode começar a se prevenir dos ataques de engenharia social ainda hoje.

engenharia socialphishing
Read more
  • Published in Segurança da Informação
No Comments

Procurar Fóruns

Somos especialistas em segurança
digital e comunicação corporativa, oferecendo estratégias inovadoras e larga experiência em projetos de segurança da informação.

Endereço
Av. Angélica, 2346, São Paulo SP
Telefone
(11) 3323-3323
Central de Suporte
(11) 3323-3322 | 3003-4747
Onde nos encontrar
  • Home
  • A Compugraf
  • Parceiros
  • Blog
  • Contato
  • Código de Conduta e Ética

2018 todos os direitos reservados - ® - Compugraf | Desenvolvido por UP2Place Digital

TOP