(11) 3323-3323

CompugrafCompugraf

  • A Compugraf
    • Sobre
    • Talentos
  • Soluções
    • Segurança da Informação
      • Applications
      • Cloud
      • Endpoint
      • Mobile
      • Network
    • Privacidade de Dados
      • LGPD
    • Redes Corporativas
      • WAN e SD-WAN
      • Consultoria e Gestão
    • Item do menu
    • Serviços
      • Automações e Integrações
      • Serviços Gerenciados
      • Treinamento e Consultoria
    • Segmentos
      • Educação
      • Financeiro
      • Saúde
      • Varejo
      • Indústria
  • Parceiros
  • Materiais
  • Blog
  • Contato
  • Restrito

Como a guerra entre Rússia e Ucrânia afeta a cibersegurança mundial

sexta-feira, 18 março 2022 by Anna Carolina Rizzon

No dia 24 de fevereiro de 2022, a Rússia invadiu a Ucrânia, atacando instalações militares e ocupando, no dia seguinte, a capital do país, Kiev, sob a justificativa de uma missão de desmilitarização e “desnazificação” do país.

Em meio ao ataque, que já se estende por quase um mês, tropas militares russas já comprometeram núcleos industriais, militares e até mesmo nucleares, como foi o caso da usina de Zaporizhzhia, além da devastação de áreas civis que forçou uma migração em massa de cidadãos ucranianos para países vizinhos do Leste Europeu.

As consequências socioeconômicas dessa guerra já respingam sobre diversos setores do mercado global, bagunçam investimentos e alertam para as consequências cruéis de um conflito entre países com tamanho nível de desenvolvimento nuclear. E o setor de tecnologia e cibersegurança não fica atrás, uma vez que tanto a Rússia quanto a Ucrânia são alguns dos principais fornecedores de matéria-prima para hardwares, além de – sobretudo a Rússia – abrigarem alguns dos principais grupos de hackers da atualidade.

Se os desdobramentos da pandemia da COVID-19 ao longo de 2020 e 2021 pareciam querer dar um respiro em 2022, agora, porém, o cenário é bem diferente.

Mercado de chips e hardwares em queda

A Ucrânia é um dos polos de produção de gás neon, matéria-prima para a produção de chips. Já a Rússia é responsável por 35% da exportação de paládio, metal raro utilizado na fabricação de componentes de memórias e sensores eletrônicos.

Além disso, o neônio, semicondutor, é subproduto da siderurgia da Rússia, purificado na Ucrânia; ambos os países respondem por 90% da exportação do gás para os Estados Unidos.

De acordo com dados Abinee, a Associação Brasileira da Indústria Elétrica e Eletrônica, só na pandemia o mercado de produtos eletrônicos viu uma interrupção de 15% na fabricação de componentes eletrônicos. 73% dos fabricantes têm dificuldade em encontrar semicondutores.

Com os ataques da Rússia à Ucrânia, o fornecimento de matéria-prima é comprometido, o que eleva o custo de aquisição de gases e metais essenciais para a produção de chips e outros componentes. Somada à crise anterior, provocada pela pandemia, as consequências são ainda piores.

Para o consumidor final, a questão se reflete em um aumento significativo no preço de celulares, notebooks, televisores, dentre outros eletrônicos.

Rússia cria seus próprios certificados de segurança

Já adentrando a cibersegurança, o conflito Rússia-Ucrânia traz modificações interessantes em soluções de segurança cibernética internacionais.

Recentemente, a Rússia está fornecendo a sua própria autoridade de certificação (CA) de Transport Layer Security (TLS), paraa fim de substituir os certificados que precisam ser renovados por países estrangeiros.

Isso porque muitas das sanções impostas após a invasão da Ucrânia está prejudicando o acesso dos cidadãos russos a diferentes websites.

Mais comumente conhecido como SSL, ou TLS/SSL –, o TLS é um protocolo de segurança que criptografa os dados compartilhados entre um navegador, os sites que o usuário visita e o servidor do site. Os certificados mantêm a transmissão de dados privada e evitam sua modificação, perda ou roubo.

Porém, atualmente, os sites russos foram bloqueados e se viram incapazes de renovar seus certificados porque as sanções continuam sendo assinadas por autoridades em muitos países que não estão aceitando pagamentos da Rússia.

Em larga escala, a impossibilidade de renovar medidas de segurança por sanções e boicotes a um governo – qualquer que seja – pode abrir brechas altamente estratégicas para agentes mal-intencionados terem acessos a dados desprotegidos.

Ataques de phishing explorando a situação Rússia-Ucrânia

Como de praxe, ameaças cibernéticas também têm explorado o conflito para fazer vítimas. Em março, e-mails de phishing foram enviados para usuários da Microsoft, teoricamente alertando sobre “hackers liderados por Moscou que buscam roubar contas de usuários”; a campanha, porém, tem como objetivo levantar credenciais e outros detalhes pessoais desses usuários, que poderão ser usados em outros ataques mais graves.

Os e-mails fornecem um botão para “denunciar o usuário” e uma opção de cancelamento de assinatura, de acordo com uma análise da Malwarebytes.

Contudo, clicar no botão cria uma nova mensagem com a linha de assunto “Denunciar o usuário”. O endereço de e-mail do destinatário faz referência à proteção de conta da Microsoft. As pessoas que enviam uma resposta a essa mensagem quase certamente receberão uma solicitação de detalhes de login e possivelmente informações de pagamento por meio de uma página de phishing falsa.

Se ela fornecer seus dados, eles caem nas mãos de cibercriminosos.

A tendência é…?

Esses são apenas alguns exemplos de como a guerra entre Rússia e Ucrânia vem afetando o setor de tecnologia e cibersegurança. Mesmo com os países negociando um cessar-fogo, a expectativa é que as consequências do conflito continuem afetando, direta ou indiretamente, o fornecimento de recursos primários para a produção de eletrônicos e, com cada vez mais nações se aliando à Ucrânia, novas sanções podem mudar a forma como pensamos cibersegurança mundialmente.

Alguns especialistas dizem que a tendência é piorar; outros, que a coligação em prol de impedir a escalada do conflito tende a trazer alianças importantes, pelo menos no que diz respeito à segurança global.

Continue por dentro dos principais assuntos de cibersegurança. Inscreva-se na newsletter da Compugraf e receba conteúdo exclusivo direto no seu e-mail!

notíciasphishingsegurança da informação
Read more
  • Published in Noticias
No Comments

Novo ataque de phishing usa arquivo Excel como arma

sexta-feira, 29 outubro 2021 by lmita@compugraf.com.br

Pesquisadores de segurança alertam sobre uma campanha furtiva de phishing que utiliza Excel, desenvolvida por um dos grupos de cibercriminosos mais criativos da internet

Uma nova campanha de phishing tem como alvo funcionários de serviços do setor financeiro. Sua arma principal é um conjunto de links para download do que pesquisadores chamam de “Excel armado”.

Apelidada de MirrorBlast, a campanha foi detectada por uma empresa de segurança no início de setembro deste ano. Outra empresa aproveitou as informações e analisou o malware e suas consequências, e observa que esses arquivos maliciosos do Excel podem contornar os sistemas de detecção de malware porque contêm macros extremamente leves incorporadas, tornando-o “particularmente perigoso” para organizações que dependem de segurança baseada em detecção e sandboxing – mecanismo de segurança utilizado para detectar e mitigar falhas de software.

Macros – que nada mais são do que scripts criados para automatizar tarefas – tornaram-se um recurso popular entre ciberataques recentes. Embora as macros estejam, por padrão, desabilitadas no Excel, invasores podem usar estratégias de engenharia social para enganar as vítimas em potencial e habilitá-las.

Ainda que, aparentemente, seja uma técnica básica, as macros têm sido muito usadas por hackers patrocinados pelo Estado porque, ao que tudo indica, costumam funcionar. No início de 2021, por exemplo, a Microsoft no início expandiu sua Antimalware Scan Interface (AMSI) para antivírus a fim de lidar com o aumento no número de incidentes de malware macro.

Além disso, é uma nova tendência dos invasores usar macros legados do Excel 4.0 XLM (em vez de macros VBA mais novas) para contornar os sistemas anti-malware.

A campanha e seus responsáveis

De acordo com a empresa que abalisou a campanha, a cadeia de ataque da MirrorBlast se assemelha às técnicas usadas por um grupo cibercriminoso bem estabelecido e financeiramente motivado, baseado na Rússia, que é rastreado pelos pesquisadores sob a nomenclatura TA505. O grupo está ativo desde pelo menos 2014 e é conhecido pela grande variedade de ferramentas que utiliza.

“O TA505 é mais conhecido por mudar frequentemente o malware utilizado pelo grupo, bem como por ser pioneiro nas tendências globais de distribuição de malware”, observa um pesquisador na análise divulgada uma postagem de blog.

Embora o ataque comece com um documento anexado a um e-mail, ele, eventualmente, evolui para usar uma URL feedproxy do Google com iscas do SharePoint e do OneDrive, se apresentando como uma solicitação de compartilhamento de arquivo. Ao clicar na URL, o usuário é direcionado a um site do SharePoint comprometido ou a um site falso do OneDrive. Ambas as versões levam ao documento de Excel infectado.

No e-mail que os pesquisadores analisam como exemplo, é evidente que os invasores estão explorando informações emitidas pelas empresas sobre mudanças nas dinâmicas de trabalho relacionadas ao COVID.

A análise observa que o código de macro pode ser executado apenas em uma versão de 32 bits do Office devido a razões de compatibilidade com objetos ActiveX. A própria macro executa um script JavaScript projetado para ignorar o sandboxing, verificando se o computador está sendo executado no modo de administrador. Em seguida, o malware inicia o processo msiexec.exe, que baixa e instala um pacote de instalação.

Foram encontradas duas variantes do instalador que usavam ferramentas de script legítimas chamadas KiXtart e REBOL.

O script KiXtart enviava as informações da máquina da vítima ao servidor de comando e controle do invasor, como domínio, nome do computador, nome do usuário e lista de processos. Em seguida, o servidor respondia com um número instruindo se deveria-se prosseguir com a variante Rebol.

De acordo com a análise, o script Rebol leva a uma ferramenta de acesso remoto chamada FlawedGrace, que já foi usada pelo grupo em ataques anteriores.

“O TA505 é um dos muitos grupos de ameaças com motivações financeiras ativos atualmente no mercado. Eles também são um dos mais criativos, pois têm a tendência de mudar constantemente os ataques que utilizam para atingir seus objetivos”, finaliza o relatório.

Mantenha sua empresa protegida. Conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar!

engenharia socialphishingsegurança da informação
Read more
  • Published in Noticias
No Comments

Campanha de phishing compromete compartilhamento de arquivos pelo SharePoint

terça-feira, 14 setembro 2021 by lmita@compugraf.com.br

Pesquisadores da Microsoft descobriram que cibercriminosos falsificam endereços de e-mail de remetentes de arquivos em uma campanha engenhosa que pode passar despercebida por sistemas de defesa nativos

Diversos cibercriminosos estão usando endereços de e-mail falsificados e iscas do Microsoft SharePoint em uma nova campanha de phishing que, de acordo com especialistas, se destacar por ser “mais sorrateira do que o normal”, uma vez que pode passar despercebida pelas proteções usuais e por sistemas de segurança nativos dos dispositivos (isto é, aqueles que já vêm pré-instalados).

O objetivo da campanha divulgada recentemente é enganar usuários do compartilhador de arquivos para que eles forneçam suas credenciais, que depois poderão ser aproveitadas em ataques mais graves, descobriram pesquisadores da Microsoft.

O grupo de agentes de segurança filiados ao Microsoft Security Intelligence descobriram, também, que a campanha visa sobretudopara organizações que usam o Microsoft Office 365. Detalhes foram revelados em um tweet no fim de julho.

Detalhes da campanha baseada em SharePoint

As falsificações características da campanha exibem endereços de remetentes que contêm nomes de usuário e domínios-alvo relevantes, de corporações visadas, bem como nomes de fachada “que imitam serviços legítimos para tentar escapar de filtros de segurança de e-mail”, disseram os pesquisadores.

Além disso, os cibercriminosos enviam e-mails que “se fazem passar pelos serviços do Sharepoint no nome de exibição e na mensagem enviada no corpo dos e-mails”, disseram os pesquisadores. “Esta campanha está ativa com vários temas sendo usados como bait”, eles tuitaram.

Por exemplo: o e-mail geralmente alerta um destinatário sobre uma solicitação de compartilhamento de arquivo de alguém que parece ser um colega de sua empresa, que pode ter perdido o arquivo em questão, e inclui um link para uma página de phishing. Para parecer autêntica, a mensagem indica que o arquivo contém algum tipo de conteúdo comercial legítimo, como relatórios de equipe, arquivos estratégicas ou planilhas orçamentárias, observaram os pesquisadores.

Se um usuário “morde a isca”, ele acaba sendo direcionado para uma segunda página, que exige que ele faça login no Office 365 com suas credenciais legítimas, completa a Microsoft.

Por que o SharePoint?

Devido ao seu amplo uso entre muitos clientes corporativos, a plataforma de colaboração do SharePoint é um alvo popular para os agentes de ameaças não é de hoje.

Mais do que isso, o serviço de compartilhamento de arquivos, quando combinado a estratégias de falsificação, é uma maneira particularmente eficaz de induzir as vítimas a revelar credenciais, observam agentes de segurança.

“Quando se trata de spoofing de e-mail, sistemas de segurança podem considerar que, se o e-mail recebido veio de uma entidade confiável, de um domínio considerado seguro, então o e-mail está ‘limpo’; mas, infelizmente, quaisquer links existentes no e-mail podem acabar infectando você com malware”, comentou uma especialista em cibersegurança em uma postagem sobre o tema.

Sinais suspeitos que colaboradores e executivos devem levar em consideração

Apesar da astúcia desta última campanha, existem alguns sinais bastante significativos de que os e-mails não são confiáveis, de acordo com a Microsoft.

Por um lado, os endereços do remetente original usam vários domínios de nível superior, incluindo o domínio com[.]com, que é popularmente usado por campanhas de phishing para spoofing e typosquatting, pesquisadores observaram no Twitter.

Outras pistas para a intenção maliciosa da campanha são encontradas no uso de URLs que levam as vítimas potenciais à página de phishing para inserir suas credenciais, pois os invasores usam dduas URLs com cabeçalhos HTTP malformados.

A URL de phishing principal é um recurso de armazenamento do Google que direciona para um domínio AppSpot exigindo que o usuário faça login “antes de finalmente servir outro domínio de conteúdo com uma página de phishing do Office 365”, disseram os pesquisadores.

A segunda URL usada na campanha é encontrada nas configurações de notificação. Ela leva a um site do SharePoint comprometido, “que os invasores usam para adicionar legitimidade ao ataque”, de acordo com a Microsoft.

Ambas as URLs exigem que vítimas em potencial façam login para avançar para a página final, “contornando muitos sistemas de proteção” no caminho, disseram os pesquisadores.

Por fim, os agentes de segurança forneceram uma string de consulta no GitHub, que pode ser executada através do Microsoft 365 Defender para sinalizar qualquer e-mail da campanha que pode ter passado por outros gateways.

Mantenha sua empresa segura e seus colaboradores protegidos. Conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar!

malwarenotíciasphishing
Read more
  • Published in Noticias
No Comments

Empresas brasileiras ainda são altamente vulneráveis quando o assunto é cibersegurança

segunda-feira, 12 julho 2021 by lmita@compugraf.com.br

Brasil ainda tem muito a evoluir na cibersegurança. Enquanto isso, ciberataques se reiventam ao redor do mundo durante a pandemia.

O que você vai ler hoje:

  • Menos de ⅓ das organizações brasileiras investe em equipes de segurança
  • Golpes de phishing usam outros ciberataques para atrair vítimas
  • Ataques de fraude bancária crescem 159% na pandemia
  • Polícia asiática intercepta 83 milhões de dólares que iriam para cibercriminosos

Menos de ⅓ das organizações brasileiras investe em equipes de segurança

Menos de um terço das organizações brasileiras conta com equipes de segurança, embora a maioria delas frequentemente sofra ataques cibernéticos, de acordo com nova pesquisa do Instituto Datafolha, encomendada pela Mastercard.

57% das empresas de educação, serviços financeiros, seguros, tecnologia e telecomunicações, saúde e varejo são alvo de cibercriminosos com frequência, mostram as análises. Por outro lado, descobriu-se que apenas 32% das organizações pesquisadas têm equipes dedicadas à segurança cibernética.

Embora 80% dos entrevistados afirmem que as questões de segurança digital são importantes para eles e a maioria tenha algum tipo de plano de contingência para lidar com ataques cibernéticos em potencial, a segurança não está entre as prioridades orçamentárias para 39% dos entrevistados.

Serviços financeiros, seguros, tecnologia e telecomunicações estão entre os segmentos mais preparados para lidar com ciberataques, em termos de prontidão e infraestrutura de cibersegurança. Por outro lado, os setores de educação e saúde são os mais vulneráveis e as áreas mais suscetíveis a ataques de hackers são o departamento financeiro das organizações e bancos de dados de clientes.

A pesquisa entrevistou 351 tomadores de decisão no Brasil em fevereiro de 2021.

Ela ecoa as conclusões de outro estudo sobre as percepções do risco de segurança cibernética na América Latina desde o início da pandemia do Covid-19, realizado pela Marsh em nome da Microsoft.

De acordo com esse estudo, a maioria das empresas brasileiras não aumentou seus investimentos em segurança da informação e cibersegurança desde o início da pandemia, em março de 2020. Isso apesar do aumento das ameaças, observaram os pesquisadores, ressaltando que a maioria das empresas brasileiras investe apenas 10% ou menos de seu orçamento de TI nessa área.

Golpes de phishing usam outros ciberataques para atrair vítimas

Criminosos estão explorando a notoriedade de outros ataques para alavancar campanhas de phishing, de acordo com as descobertas de uma empresa de segurança cibernética.

Um exemplo é o uso de notícias sobre o ataque de ransomware ao oleoduto da Colonial Pipeline, ocorrido nos EUA no mês passado.

É comum que invasores usem notícias amplamente difundidas para fazer as pessoas clicarem em e-mails e links maliciosos, e pesquisadores de segurança de uma empresa privada disseram ter recebido vários e-mails de helpdesk sobre mensagens suspeitas enviadas para seus clientes, onde se discutia o ataque de ransomware ao Colonial Pipeline e pediam para baixar “atualizações do sistema de ransomware”, a fim de proteger a organização de um ataque semelhante.

Os links maliciosos levavam os usuários a sites com nomes convincentes – ms-sysupdate.com e selectedpatch.com – ambos recém-criados e registrados pelo NameCheap. O mesmo domínio que enviou os e-mails também controlava os links maliciosos.

Além disso, os criminosos por trás do ataque fizeram com que os sites falsos parecessem ainda mais convincentes, aplicando logotipo e imagens das empresas-alvo na landing page maliciosa. Por fim, um botão de download na página baixava um arquivo “Cobalt Strike” no computador do usuário, intitulado Ransomware_Update.exe.

Além de capitalizar em cima do medo legítimo de um ataque de ransomware, os invasores faziam com que os e-mails e sites falsos parecessem ter vindo da própria empresa do usuário, o que lhes dava um ar de legitimidade, alertando para o fato de que mais e mais os ataques estão se sofisticando, explorando as mais diversas vulnerabilidades e usando outros ataques como alavancas.

Ataques de fraude bancária crescem 159% na pandemia

A plataforma de monitoramento de crimes financeiros Feedzai anunciou, este mês, os resultados de seu mais recente relatório sobre cibercrime, analisando 12 bilhões de transações globais de janeiro a março deste ano, a fim de identificar as últimas fraudes e tendências de consumo de clientes bancários.

Os ataques de fraude bancária aumentaram 159% no ano passado, e a aplicação de golpes por telefone teve um aumento de 728%. Mais de 90% dos ataques de fraude ocorreram online.

Os saltos seguem uma lógica pós-pandêmica. Com o fim do isolamento em alguns locais, as pessoas estão começando a gastar mais dinheiro dentro e fora de seus países. O período coberto pelo relatório viu um aumento de 410% nas transações internacionais, por exemplo. Os volumes de transações estão voltando aos níveis pré-pandêmicos, e a fraude acompanha o movimento.

Concomitantemente, uma maior dependência de serviços digitais durante a pandemia colocou os consumidores em maior risco de fraude cibernética e telefônica. De acordo com o relatório, o banco é o principal canal para os fraudadores.

Finalmente, dispositivos Android apresentam 1,9 vezes mais fraudes do que os dispositivos iOS, apesar de responderem por ¼ do volume de transações financeiras. O relatório sugere que o controle mais rígido da Apple sobre os aplicativos na App Store torna mais difícil para os fraudadores se infiltrarem na plataforma, de modo que a Play Store é um ambiente mais propício para fraudes de apps bancários e outros.

Polícia asiática intercepta 83 milhões de dólares que iriam para cibercriminosos

A repressão ao cibercrime financeiro em todo o continente asiático resultou na interceptação de 83 milhões de dólares enviados por vítimas a grupos criminosos.

A Interpol anunciou no começo de junho que a Operação Haechi-i, que se desdobrou entre setembro de 2020 e março de 2021, se concentrou no combate à fraude de investimentos, golpes românticos, lavagem de dinheiro ligada a jogos de azar online e ilegais, exploração sexual online e phishing de voz.

Faturas foram solicitadas e os dados bancários foram sigilosamente alterados para contas bancárias pertencentes aos cibercriminosos. Aproximadamente 7 milhões de dólares pagos por vítimas desses fraudadores foram encaminhados para contas na Indonésia e Hong Kong.

A Interpol conseguiu interceptar e congelar cerca de metade dos fundos roubados, mas a investigação ainda está em andamento.

O cibercrime financeiro, conduzido por meio de plataformas e serviços online, é um problema global que requer colaboração internacional. A Operação Haechi-i contou com a ajuda de policiais especializados no Camboja, China, Indonésia, Coréia do Sul, Laos, Filipinas, Cingapura, Tailândia e Vietnã. Além disso, é a primeira operação planejada para os próximos três anos pelas autoridades policiais no sudeste da Ásia para combater o cibercrime financeiro no continente.

Proteja sua empresa: conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar!

notíciasphishingsegurança da informação
Read more
  • Published in Noticias
No Comments

Quem é quem em um ataque de Engenharia Social

terça-feira, 28 abril 2020 by admlan

Se a Engenharia Social pode atingir qualquer nível de usuário, como traçar o perfil de quem a pratica com más intenções e quem sofre com suas consequências?

multidão engenharia social

Um ataque de Engenharia Social envolve abordagens que podem despertar o interesse do alvo pela ativação de algum senso emotivo.

Diferente de ataques focados em tecnologia, a aproximação do engenheiro social pode ter diferentes caras e afinidades, tudo vai depender do que o criminoso sabe previamente o alvo.

Se um ataque de Engenharia Social pode fazer de qualquer um uma vítima, definir os alvos prioritários de um possível ataque deve ser baseado em algumas outras características.

Para chegarmos nas vítimas mais vulneráveis, iremos abordar neste artigo:

  • Como funciona um ataque de Engenharia Social
  • Quais os principais tipos de ataque
  • Os dados mais importantes que sua empresa precisa proteger?
  • O Perfil do Engenheiro Social
  • Quem é a Vítima de Engenharia Social
  • Como Proteger Funcionários da Engenharia Social

Vamos lá?

Como funciona um Ataque de Engenharia Social na Segurança da Informação

Para entendermos como os ataques de Engenharia Social, ainda que semelhantes, possam ter impactos diferentes, é importante compreender que seu sistema funciona na base de tentativa e erro:

Coleta de informações, planejamento de ataques, aquisição das ferramentas necessárias, ataque, uso das informações coletadas.

ciclo da engenharia social

Sendo assim, novas tentativas de ataques podem ser mais convincentes por trazerem elementos que as tornem mais verídicas, com os dados coletados na tentativa anterior.

Principais ataques realizados com Engenharia Social

os principais ataques

Phishing

O Phishing é o ataque da engenharia social mais comum da atualidade, em suas dezenas de versões.

O crime consiste na obtenção de dados de uma pessoa ou organização através de técnicas de comunicação que resultam na persuasão da vítima.

No ambiente corporativo, qualquer usuário pode ser uma porta de entrada para uma brecha de segurança por saber, ter acesso ou simplesmente saber quem sabe de algo importante.

O contato do criminoso pode ocorrer a partir de qualquer meio de comunicação, como telefone, e-mail, ou SMS – na tentativa de fazer com que pessoas caiam em um golpe.

Fácil de ser executado, o phishing também não é um ataque difícil de ser reconhecido quando observado com atenção. Por isso, a chance de sucesso da prática depende de dois fatores: O momento certo e a desatenção do usuário.

Quem é exposto a essa tática pode ser surpreendido com algum contato em um momento em que aquele contato faça sentido, por exemplo.

Pretexting

O Pretexting é uma ação maliciosa que consiste na tentativa de se obter dados pessoais ou sobre uma empresa de maneira voluntária por uma falsa causa.

Este golpe pode vir disfarçado de uma causa ou confirmação de informações e com isso, despertar a generosidade do alvo.

Suas vítimas podem receber um e-mail suspeito, um telefone ou até mesmo mensagem de texto no WhatsApp.

Quid pro quo

O Quid pro quo é uma abordagem de troca inconsciente. Alguém oferece algo em troca de outra coisa.

Uma vítima desta abordagem pode receber ajuda técnica por algo, que embora seja resolvido pelo criminoso, dá a ele o poder de instalar ou induzir a instalação de arquivos maliciosos no dispositivo.

É uma falsa sensação de benefício em troca de dados pessoais ou problemas técnicos maiores no futuo.

Sextorsão

A sextorsão (sexo + extorsão) é um crime virtual em que a vítima é chantageada a realizar uma ação caso não queira que algum conteúdo íntimo seja divulgados.

Quando uma vítima possue algum e-mail ou número de celular exposto e que possam ser encontrado por botnets, é muito provável que receba tentativas de diversos tipos de ataques, incluindo a sextorsão.

É uma prática que se apoia muito na informação que coleta sobre um alvo, por muitas vezes ele não possui, realmente, um arquivo confidencial, mas sua abordagem (mais informada do que a maioria) vai fazer a vítima acreditar que sim.

Dumpster Diving

O dumpster diving é uma das práticas mais comuns e cotidianas que não utilizam dispositivos eletrônicos.

Trata-se do ato de vasculhar o lixo alheio para obter algum bem.

No mundo da tecnologia, vasculhar o lixo não é apenas uma ação de desespero, pois resíduos, peças ou até mesmo dispositivos com falhas podem ser descartados pelas companhias e tornarem-se alvo de algum tipo de vazamento ou boato.

Muitas organizações já possuem políticas de descarte para formalizar a ação e blindar qualquer tipo de vazamento ao tornar os itens inutilizáveis.

Shoulder Surfing

O Shoulder Surfing consiste na prática de observar as ações que uma pessoa está realizando em dispositivos como um celular ou computadores.

Para os engenheiros sociais, a ação pode representar mais do que uma simples curiosidade e tornar-se uma oportunidade para descobrir e memorizar senhas ou informações da vítima ou empresa que trabalha.

Tailgating

O tailgating é uma tática mais complexa que consiste no acesso presencial a lugares restritos por pessoas não autorizadas.

Considerada a mais antiga das abordagens de engenharia social, utiliza-se na maioria das vezes da bondade da vítima, como quando alguém está com as mãos tão ocupadas que uma pessoa gentil decide ajudar ao abrir e segurar a porta.

Quais informações mais importantes que sua empresa precisa proteger

Talvez sua empresa colete muitos dados bancários de usuários, por envolver o credenciamento para alguma plataforma financeira (como uma fintech).

Ou talvez ela simplesmente envolva dados particulares e identificáveis, como documentos e as preferências de cada um, como em uma rede social.

O mais importante a se compreender é que toda empresa possui um dado que acaba sendo mais importante que o outro pelo valor que representa para o negócio.

Para traçar o perfil de quem é vítima e engenheiro social nesse tipo de ataque, é importante primeiro entender qual a informação mais importante para cada marca.

Talvez a informação mais relevante para o setor de limpeza, por exemplo, seja o calendário de locais que precisam ser limpos, listagem de produtos, dentre outras coisas neste sentido, mas o mesmo funcionário pode ter acesso a lugares críticos.

E é por isso que não importa necessariamente quem você é, e sim o que você sabe ou os locais para os quais você tem acesso.

Quem é o Engenheiro Social

o engenheiro social

Apesar do nome, um engenheiro social não é um especialista na área de roubar informações.

Até porque a formação ainda não existe. Ao menos não formalmente.

Mas para que alguém execute ataques de engenharia social, algumas habilidades podem ser necessárias:

  • Capacidade de contar uma boa história de maneira convincente.
  • Habilidade para utilizar as informações coletadas a seu favor.
  • Poder de persuadir para conseguir que as ações sejam voluntárias.
  • Inteligência analítica necessária para estudar o alvo ou público-alvo com precisão.

Quem é a Vítima de Engenharia Social

a vítima e engenharia social

A engenharia social está presente em todo lugar, qualquer sinal ou ação pode ser o suficiente para que alguém obtenha alguma informação da vítima.

A maior brecha dos sistemas de segurança não é sua tecnologia, mas as pessoas.

Todos os seres humanos possuem características (como o gosto por algum estilo musical), padrões de comportamento e psicológicos. É na observação dessas características que um engenheiro social obtêm o que precisa.

Seja o colaborador um profissional da área técnica ou mais humanizada, todos estão sujeitos a falhar na proteção contra um ataque deste tipo, pois possuem vulnerabilidades humanas.

Em situações cotidianas, vítimas podem ser feitas:

  • Quando desatentos – em modo “automático” na realização de suas tarefas.
  • Ocasião em que não verificam a autenticidade das mensagens recebidas.
  • Ao passo que vivenciam algum problema pessoal e a mensagem soa como a oportunidade de melhorar as coisas.
  • No momento em que se sensibilizam com a mensagem recebida e tem intenções de ajudar.
  • Na hora em que precisa de ajuda e não possui muitas habilidades técnicas.

Como proteger funcionários da Engenharia Social

Muitas empresas erram na prevenção contra golpes virtuais ao só importarem-se com eles após uma primeira ocorrência.

A verdade é que quando falamos que a maior vulnerabilidade de segurança no ambiente corporativo é o fator humano e não suas tecnologias, não estamos falando que os funcionários são menos competentes, mas sim, que todos podem ser persuadidos.

É por isso que uma boa estratégica para combater a engenharia social possui duas características:

  • Prevenção.
  • Constância.

O fato de ser preventiva mostra que a organização já está preparada para caso algo aconteça, ela reconhece o problema e suas probabilidades, e só isso já é o suficiente para afastar muitos criminosos entusiastas.

Quanto a ser constante, é para que os funcionários também estejam sempre alertas sobre o perigo e não apenas em campanhas específicas ou ações reativas a ataques sofridos.

Em outras palavras, a prevenção é a melhor arma contra ataques de engenharia social. Confira algumas dicas que podem ser lembradas dentro do ambiente corporativo:

Manter gavetas e armários fechados.

Holerites, documentos e diversos outros arquivos impressos, com informações sensíveis, podem tornar-se uma vulnerabilidade ao serem facilmente vistas por colegas no ambiente corporativo.

Por isso, é importante manter as gavetas e armários fechados, e instruir os funcionários a levarem tudo o que for crítico para casa no final do expediente, ou disponibilizar um armazenamento específico para este fim.

Minimizar ou encerrar softwares que exponham dados da empresa ou funcionário.

Especialmente em empresas em que as mesas e computadores estiverem expostas em ambiente aberto, é muito comum que, quase inconscientemente, funcionários “bisbilhotam” o que outros estão executando no dispositivo.

Embora na maioria das vezes isso não represente nenhum problema, pode representar uma vulnerabilidade ao gerar oportunidades para pessoas com más intenções.

Não compartilhar login e senha com nenhum colega de trabalho.

Talvez a prática mais comumente difundida em qualquer ambiente, o compartilhamento de senhas é uma das práticas simples que podem causar as piores consequências a um trabalhador.

Imagine que ao fornecer a senha, a pessoa não apenas ganhar acesso total aos recursos disponibilizados para o dono da conta como também abre uma nova vulnerabilidade para seus dados pessoais, que podem a qualquer momento ser obtidos por algum usuário mal intencionado dependendo da prática do novo portador das informações de acesso.

Na necessidade de ausentar-se da mesa de trabalho, realizar o logout até o retorno.

Isso pode ser feito através do menu iniciar ou CTRL + Alt + Del caso esteja utilizando o Windows como sistema operacional.

Da mesma maneira que é importante fechar gavetas e armários que contenham documentos críticos, é essencial que os integrantes de qualquer equipe em uma empresa recebam o treinamento adequado para adquirirem o hábito de, ao ausentar-se da mesa de trabalho, encerrem a sessão de login no computador.

Isso porque ao manter o sistema logado o usuário abre brechas para que outras pessoas acessem ou alterem um arquivo específico que possa comprometer a vítima.

Não jogue documentos inteiros no lixo, rasgue-o ou fragmente caso seja uma opção no local de trabalho.

Jogar documentos e itens críticos como cartões de crédito, exames ou papéis com outras informações podem abrir brechas para a prática de no-hacking conhecida como “dumpster diving”, que consiste basicamente na vulnerabilidade encontrada num lugar muito comum: as lixeiras.

Em situações externas, evitar ao máximo mencionar informações internas da empresa (quadro de funcionários, rotinas, procedimentos).

Exceto quando receber instruções específicas e treinamento de uma assessoria de imprensa, por exemplo.

Colaboradores bem informados sobre a própria organização nunca representarão algo negativo.

No entanto, é importante que os mesmos sejam instruídos nos lugares e momentos em que poderão falar sobre os temas internas.

Pessoas passam por diversos ambientes, além da empresa, ao longo do dia: transportes públicos, outras empresas e claro, a própria residência.

Todos os lugares externos podem abrir vulnerabilidades para que pessoas de fora ganhem acesso a informações privadas e que podem usar para finalidades de impacto negativo.

Coletar documentos impressos logo em seguida.

Impressão em rede é um excelente recurso para a maioria das empresas, afinal, diminui a necessidade de espaços físicos para diversas impressoras e permite que os funcionários compartilhem um mesmo equipamento.

No entanto, o compartilhamento desse dispositivo pode abrir vulnerabilidades para que pessoas tenham acesso ao que foi impresso antes mesmo de quem o solicitou.

E por isso recomendação geral é de que os documentos sejam coletados logo depois da impressão ser solicitada.

Um guia sobre Engenharia Social

Guia de Engenharia Social

Todos estão vulneráveis

Como visto, todos podem tornar-se alvos de um engenheiro social, tudo irá depender dos seguintes fatores:

  • As intenções do criminoso
  • As informações que a vítima sabe, as pessoas que conhece ou os lugares para os quais tem acesso
  • Seu estado emocional

É por isso que embora pessoas com os maiores cargos sejam alvos maiores, a hierarquização não funciona para traçar o impacto de um ataque, pois algo que um novo funcionário saiba ou o local para o qual tem acesso pode ser suficiente.

Quer saber o que sua empresa pode fazer ainda hoje para prevenir os ataques de Engenharia Social? Consulte os Especialistas em Segurança da Informação da Compugraf.

engenharia socialphishingsegurança da informação
Read more
  • Published in Segurança da Informação
No Comments

Como identificar e-mails falsos de Engenharia Social

sexta-feira, 24 abril 2020 by admlan

Descubra como identificar e-mails falsos utilizados para os ataques de Engenharia Social

email falso

E-mails são a principal forma de comunicação interna e externa para muitas empresas, dos mais variados setores.

Enquanto contatos via telefone ou pessoalmente são mais difíceis de serem forjados, principalmente quando existe uma pré-relação entre as duas partes, os e-mails podem mascarar melhor uma falsa comunicação.

Para desvendar o que pode diferenciar um e-mail autêntico de um falso, preparamos este guia, onde iremos discutir:

  • O que é Engenharia Social
  • Quais os Principais Ataques de Engenharia Social
  • Como identificar e-mails falsos
  • Como proteger funcionários da Engenharia Social

O que é Engenharia Social

A Engenharia Social como conhecemos hoje, existe para tratar ameaças que possuem como vítima uma pessoa.

Mas antes de nos aprofundarmos no tema, é preciso entender o que é a segurança da informação e porque é importante estudarmos sobre a engenharia social:

A segurança da informação é baseada em um conjunto de ações para a proteção de dados, desde um dado corporativo sigiloso até as informações sobre um funcionário ou cliente.

Principais ataques de Engenharia Social

ataques engenharia social

Phishing

O Phishing é o ataque da engenharia social mais comum da atualidade, em suas dezenas de versões.

O crime consiste na obtenção de dados de uma pessoa ou organização através de técnicas de comunicação que resultam na persuasão da vítima.

No ambiente corporativo, qualquer usuário pode ser uma porta de entrada para uma brecha de segurança por saber, ter acesso ou simplesmente saber quem sabe de algo importante.

O contato do criminoso pode ocorrer a partir de qualquer meio de comunicação, como telefone, e-mail, ou SMS – na tentativa de fazer com que pessoas caiam em um golpe.

Fácil de ser executado, o phishing também não é um ataque difícil de ser reconhecido quando observado com atenção. Por isso, a chance de sucesso da prática depende de dois fatores: O momento certo e a desatenção do usuário.

Quem é exposto a essa tática pode ser surpreendido com algum contato em um momento em que aquele contato faça sentido, por exemplo.

Pretexting

O Pretexting é uma ação maliciosa que consiste na tentativa de se obter dados pessoais ou sobre uma empresa de maneira voluntária por uma falsa causa.

Este golpe pode vir disfarçado de uma causa ou confirmação de informações e com isso, despertar a generosidade do alvo.

Suas vítimas podem receber um e-mail suspeito, um telefone ou até mesmo mensagem de texto no WhatsApp.

Quid pro quo

O Quid pro quo é uma abordagem de troca inconsciente. Alguém oferece algo em troca de outra coisa.

Uma vítima desta abordagem pode receber ajuda técnica por algo, que embora seja resolvido pelo criminoso, dá a ele o poder de instalar ou induzir a instalação de arquivos maliciosos no dispositivo.

É uma falsa sensação de benefício em troca de dados pessoais ou problemas técnicos maiores no futuo.

Sextorsão

A sextorsão (sexo + extorsão) é um crime virtual em que a vítima é chantageada a realizar uma ação caso não queira que algum conteúdo íntimo seja divulgados.

Quando uma vítima possue algum e-mail ou número de celular exposto e que possam ser encontrado por botnets, é muito provável que receba tentativas de diversos tipos de ataques, incluindo a sextorsão.

É uma prática que se apoia muito na informação que coleta sobre um alvo, por muitas vezes ele não possui, realmente, um arquivo confidencial, mas sua abordagem (mais informada do que a maioria) vai fazer a vítima acreditar que sim.

Dumpster Diving

O dumpster diving é uma das práticas mais comuns e cotidianas que não utilizam dispositivos eletrônicos.

Trata-se do ato de vasculhar o lixo alheio para obter algum bem.

No mundo da tecnologia, vasculhar o lixo não é apenas uma ação de desespero, pois resíduos, peças ou até mesmo dispositivos com falhas podem ser descartados pelas companhias e tornarem-se alvo de algum tipo de vazamento ou boato.

Muitas organizações já possuem políticas de descarte para formalizar a ação e blindar qualquer tipo de vazamento ao tornar os itens inutilizáveis.

Shoulder Surfing

O Shoulder Surfing consiste na prática de observar as ações que uma pessoa está realizando em dispositivos como um celular ou computadores.

Para os engenheiros sociais, a ação pode representar mais do que uma simples curiosidade e tornar-se uma oportunidade para descobrir e memorizar senhas ou informações da vítima ou empresa que trabalha.

Tailgating

O tailgating é uma tática mais complexa que consiste no acesso presencial a lugares restritos por pessoas não autorizadas.

Considerada a mais antiga das abordagens de engenharia social, utiliza-se na maioria das vezes da bondade da vítima, como quando alguém está com as mãos tão ocupadas que uma pessoa gentil decide ajudar ao abrir e segurar a porta.

Como identificar e-mails falsos de Engenharia Social

Reconhecer um e-mail falso pode parecer uma tarefa fácil, até mesmo automática para muitas pessoas. Mas a verdade é que a tarefa está se tornando um pouco mais complexa do que costumava ser.

Se antes bastava conferir o remetente da mensagem @empresa, hoje diversos serviços de disparo de e-mail já não recebem um endereço personalizado, mas sim, um gerado automaticamente pelo serviço, o que dificulta que o reconhecimento ocorra dessa maneira.

Outro detalhe é que visualmente os e-mails falsos estão idênticos as suas versões originais.

Então como identificar e-mails falsos?

Confira o remetente da mensagem

Embora e-mails gerados automaticamente estejam dificultando o reconhecimento de alguns remetentes, no geral, os e-mails falsos tentam replicar o endereço original da empresa para confundir o usuário na desatenção.

Para isso eles criam, por exemplo, endereços parecidos porém com detalhes numéricos.

E em tentativas de golpes de menor qualidade, o próprio e-mail entrega não se tratar de algo legítimo e dependendo do domínio ou formato, o serviço de e-mails por desconhecer ou ter casos recorrente de endereços parecidos, nem mesmo permite que a mensagem chegue ao usuário final, ativando a proteção contra spam.

Links internos

No processo para identificar e-mails falsos é importante observar que sempre que um e-mail contêm links ao longo da mensagem, a proteção spam de um serviço de e-mail de qualidade já o analisa de uma outra maneira, sendo que caso o link seja popularmente malicioso, a proteção é ativada automaticamente.

Mas o sistema não é perfeito e falha em inúmeros casos, pois alguns domínios são novos e ainda não tem nenhuma reputação (negativa ou positiva), por exemplo.

Neste caso, é importante analisar duas coisas:

Em que parte do texto os links são inseridos

Quando um hiperlink é criado em cima de um texto, por exemplo “acesse o site”, a primeira coisa que deve ser verificada é se o link corresponde ao texto.

Verifique o formato de link

Existem links que se assemelham ao original com o detalhe de algum caractere especial para possibilitar o registro do domínio.

Mas no geral, muitos links maliciosos terão um formato diferente, nada familiares. Caso ao passar o mouse por cima do link e notar que o mesmo possui um formato diferente, não clique.

O ideal é pesquisar pelo domínio principal e ver os resultados que aparecem. Caso não há muito material disponível na internet, desconfie. Entre em contato com a empresa antes de clicar em qualquer coisa, assim é possível garantir a segurança do link.

Ao analisar essas duas características será muito mais fácil de identificar e-mails falsos e, principalmente, a segurança dos links apontados no corpo dele.

Desconfie de ofertas inesperadas muito vantajosas

Embora todos queiram acreditar que foram contemplados com alguma promoção, é preciso tomar cuidado quando a oferta parece ser boa demais para ser verdade.

Por isso, antes de qualquer ação em um e-mail desse tipo, verifique as informações diretamente com o remetente – no caso a empresa que enviou o e-mail.

Um e-mail falso é um dos principais meios de contato para a aplicação de um golpe por phishing.

Portanto, é preciso tomar cuidado com abordagens não esperadas que apresentem uma oferta muito vantajosa, tanto de empresas conhecidas como desconhecidas.

O e-mail acompanha anexo um boleto, nota fiscal ou fatura

Empresas que enviam qualquer tipo de cobrança ou nota fiscal por e-mail devem apresentar algum tipo de comprovação de que os arquivos são legítimos, além do mais, é importante refletir se um desses documentos é necessário – como resultado de alguma transação realizada.

Jamais faça o download sem ter certeza de que o arquivo é legítimo e muito menos o pagamento.

No caso de cobranças recorrentes, como assinaturas de telefone, celular, internet, basta atentar-se aos valores e dados informados no corpo do e-mail, caso não especifique o titular correto ou o valor esteja diferente do usual, confirme diretamente com o remetente.

Caso exista alguma pendência, solicite um novo boleto para garantir o pagamento da versão correta de preferência.

O próprio e-mail se contradiz ou possui muitos erros de português

Erros básicos podem ser cometidos em e-mails falsos.

Às vezes, as cores e fonte não batem com a identidade da marca, ou o texto possui muitos erros de português ou ainda, possuem um discurso contraditório.

É por isso que grande parte do processo de identificar um e-mail falso é a atenção do usuário ao observar as características mencionadas acima.

Para identificar e-mails falsos também é possível verificar a existência de um e-mail através da ferramenta gratuita CaptainVerify.

Como proteger funcionários da Engenharia Social

proteção de funcionários

Muitas empresas erram na prevenção contra golpes virtuais ao só importarem-se com eles após uma primeira ocorrência.

A verdade é que quando falamos que a maior vulnerabilidade de segurança no ambiente corporativo é o fator humano e não suas tecnologias, não estamos falando que os funcionários são menos competentes, mas sim, que todos podem ser persuadidos.

É por isso que uma boa estratégica para combater a engenharia social possui duas características:

  • Prevenção.
  • Constância.

O fato de ser preventiva mostra que a organização já está preparada para caso algo aconteça, ela reconhece o problema e suas probabilidades, e só isso já é o suficiente para afastar muitos criminosos entusiastas.

Quanto a ser constante, é para que os funcionários também estejam sempre alertas sobre o perigo e não apenas em campanhas específicas ou ações reativas a ataques sofridos.

Em outras palavras, a prevenção é a melhor arma contra ataques de engenharia social. Confira algumas dicas que podem ser lembradas dentro do ambiente corporativo:

Manter gavetas e armários fechados.

Holerites, documentos e diversos outros arquivos impressos, com informações sensíveis, podem tornar-se uma vulnerabilidade ao serem facilmente vistas por colegas no ambiente corporativo.

Por isso, é importante manter as gavetas e armários fechados, e instruir os funcionários a levarem tudo o que for crítico para casa no final do expediente, ou disponibilizar um armazenamento específico para este fim.

Minimizar ou encerrar softwares que exponham dados da empresa ou funcionário.

Especialmente em empresas em que as mesas e computadores estiverem expostas em ambiente aberto, é muito comum que, quase inconscientemente, funcionários “bisbilhotam” o que outros estão executando no dispositivo.

Embora na maioria das vezes isso não represente nenhum problema, pode representar uma vulnerabilidade ao gerar oportunidades para pessoas com más intenções.

Não compartilhar login e senha com nenhum colega de trabalho.

Talvez a prática mais comumente difundida em qualquer ambiente, o compartilhamento de senhas é uma das práticas simples que podem causar as piores consequências a um trabalhador.

Imagine que ao fornecer a senha, a pessoa não apenas ganhar acesso total aos recursos disponibilizados para o dono da conta como também abre uma nova vulnerabilidade para seus dados pessoais, que podem a qualquer momento ser obtidos por algum usuário mal intencionado dependendo da prática do novo portador das informações de acesso.

Na necessidade de ausentar-se da mesa de trabalho, realizar o logout até o retorno.

Isso pode ser feito através do menu iniciar ou CTRL + Alt + Del caso esteja utilizando o Windows como sistema operacional.

Da mesma maneira que é importante fechar gavetas e armários que contenham documentos críticos, é essencial que os integrantes de qualquer equipe em uma empresa recebam o treinamento adequado para adquirirem o hábito de, ao ausentar-se da mesa de trabalho, encerrem a sessão de login no computador.

Isso porque ao manter o sistema logado o usuário abre brechas para que outras pessoas acessem ou alterem um arquivo específico que possa comprometer a vítima.

Não jogue documentos inteiros no lixo, rasgue-o ou fragmente caso seja uma opção no local de trabalho.

Jogar documentos e itens críticos como cartões de crédito, exames ou papéis com outras informações podem abrir brechas para a prática de no-hacking conhecida como “dumpster diving”, que consiste basicamente na vulnerabilidade encontrada num lugar muito comum: as lixeiras.

Em situações externas, evitar ao máximo mencionar informações internas da empresa (quadro de funcionários, rotinas, procedimentos).

Exceto quando receber instruções específicas e treinamento de uma assessoria de imprensa, por exemplo.

Colaboradores bem informados sobre a própria organização nunca representarão algo negativo.

No entanto, é importante que os mesmos sejam instruídos nos lugares e momentos em que poderão falar sobre os temas internas.

Pessoas passam por diversos ambientes, além da empresa, ao longo do dia: transportes públicos, outras empresas e claro, a própria residência.

Todos os lugares externos podem abrir vulnerabilidades para que pessoas de fora ganhem acesso a informações privadas e que podem usar para finalidades de impacto negativo.

Coletar documentos impressos logo em seguida.

Impressão em rede é um excelente recurso para a maioria das empresas, afinal, diminui a necessidade de espaços físicos para diversas impressoras e permite que os funcionários compartilhem um mesmo equipamento.

No entanto, o compartilhamento desse dispositivo pode abrir vulnerabilidades para que pessoas tenham acesso ao que foi impresso antes mesmo de quem o solicitou.

E por isso recomendação geral é de que os documentos sejam coletados logo depois da impressão ser solicitada.

E-mails não são o único canal de comunicação

Ficou com dúvidas mesmo após as dicas acima?

Reforce a importância de alternância de meios de comunicação dentro da empresa, assim, as equipes podem reduzir as chances de um ataque oportunista funcionar.

Conforme as recomendações, e caso isso não seja possível, crie políticas internas, como frases ou códigos especiais que possam autenticar os autores originais das mensagens. E lembre-se, atenção é a melhor prevenção de todas.

O Brasil no foco dos ataques de Phishing

Infográfico - Engenharia Social

Tire suas dúvidas com nosso time

Consulte os especialistas de Segurança da Informação da Compugraf.

email falsoengenharia socialphishing
Read more
  • Published in Segurança da Informação
No Comments

Quais sentimentos são explorados na Engenharia Social

terça-feira, 14 abril 2020 by admlan

Quais sentimentos a Engenharia Social consegue despertar para persuadir suas vítimas?

sentimentos explorados na engenharia social

Um ataque de Engenharia Social resulta no sucesso do criminoso em persuadir as vítimas a realizarem o que desejam.

A persuasão por si, é um processo, conhecido também como teoria da persuasão na psicologia.

Para que alcance o objetivo, a prática pode envolver uma vítima emocionalmente de diversas maneiras, e isso faz com que qualquer um seja vulnerável a ela.

Para conhecermos alguns dos sentimentos explorados pela Engenharia Social, separamos:

  • O que é Engenharia Social em Segurança da Informação
  • Como Funciona um ataque de Engenharia Social
  • Quem é quem em um ataque de Engenharia Social
  • Os sentimentos explorados pela Engenharia Social

Seguimos.

O que é Engenharia Social em Segurança da Informação?

A Engenharia Social que conhecemos hoje é utilizada para definir ataques que se utilizem da fragilidade emocional humana para acontecer.

Mas antes de desenvolver a temática, é importante contextualizar o significado de segurança da informação:

É uma série de práticas que visa a proteção de todos os tipos de dados que a empresa armazene.

A base da segurança da informação em 4 pilares:

  • Confidencialidade
  • Integridade
  • Disponibilidade
  • Autenticidade

Por esses princípios que o fator humano torna-se uma parte tão importante no processo de segurança de dados.

É difícil imaginar sua eficiência sem pensar na importância das pessoas e em sua vulnerabilidade como alvos.

Por exemplo, sabe aquele modelo novo do iPhone que você viu antes da Apple divulgar?

Provavelmente partiu de um funcionário que foi alvo de um ataque de engenharia social.

Isso pode gerar prejuízos na empresa já que a concorrência terá acesso ao modelo e pode pensar em um lançamento parecido e até prévio ao Iphone, tirando toda a exclusividade do produto.

Mas é a partir de reações simples (como a desatenção) que ataques de diferentes dimensões podem ocorrer.

Não por acaso que diversos produtos no mercado, como os próprios iphones, já são hoje armazenados em locais que poucas pessoas têm acesso.

E se todos podem ser vítimas de ataques de Engenharia Social, isso nunca irá resolver o problema mas, mas pode ajudar na hora de identificar a origem da vulnerabilidade.

E é por este raciocínio que chegamos a Engenharia Social.

É possível separar as ameaças na segurança de dados em duas categorias: tecnológicas e humanas.

A primeira, envolve recursos tecnológicos e por isso exige maiores habilidades do criminoso, já as ameaças humanas – também conhecidas como fator humano, exigem pouco ou nenhuma habilidade tecnológica do infrator.

Não é só para o mal

Embora desde sua origem tenha sido utilizada para fins negativos, as técnicas de Engenharia Social podem e já são incorporadas em muitas situações benéficas.

Traçar o uso de dispositivo de uma pessoa desaparecida, por exemplo, pode auxiliar na busca.

A polícia pode se beneficiar do recurso para muitas investigações.

E empresas podem oferecer treinamentos internos mais realistas ao aplicar nos próprios funcionários ou em processos seletivos, tudo depende dos dados coletados e a finalidade da ação.

Como funciona um Ataque de Engenharia Social na Segurança da Informação

Para entendermos como os ataques de Engenharia Social, ainda que semelhantes, possam ter impactos diferentes, é importante compreender que seu sistema funciona na base de tentativa e erro:

Coleta de informações, planejamento de ataques, aquisição das ferramentas necessárias, ataque, uso das informações coletadas.

Sendo assim, novas tentativas de ataques podem ser mais convincentes por trazerem elementos que as tornem mais verídicas, com os dados coletados na tentativa anterior.

Quem é quem em um ataque de Engenharia Social

O Engenheiro Social

engenheiro social

Apesar do nome, um engenheiro social não é um especialista na área de roubar informações.

Até porque a formação ainda não existe. Ao menos não formalmente.

Mas para que alguém execute ataques de engenharia social, algumas habilidades podem ser necessárias:

  • Capacidade de contar uma boa história de maneira convincente.
  • Habilidade para utilizar as informações coletadas a seu favor.
  • Poder de persuadir para conseguir que as ações sejam voluntárias.
  • Inteligência analítica necessária para estudar o alvo ou público-alvo com precisão.

A Vítima de Engenharia Social

a vítima de engenharia social

A engenharia social está presente em todo lugar, qualquer sinal ou ação pode ser o suficiente para que alguém obtenha alguma informação da vítima.

A maior brecha dos sistemas de segurança não é sua tecnologia, mas as pessoas.

Todos os seres humanos possuem características (como o gosto por algum estilo musical), padrões de comportamento e psicológicos. É na observação dessas características que um engenheiro social obtêm o que precisa.

Seja o colaborador um profissional da área técnica ou mais humanizada, todos estão sujeitos a falhar na proteção contra um ataque deste tipo, pois possuem vulnerabilidades humanas.

Em situações cotidianas, vítimas podem ser feitas:

  • Quando desatentos – em modo “automático” na realização de suas tarefas.
  • Ocasião em que não verificam a autenticidade das mensagens recebidas.
  • Ao passo que vivenciam algum problema pessoal e a mensagem soa como a oportunidade de melhorar as coisas.
  • No momento em que se sensibilizam com a mensagem recebida e tem intenções de ajudar.
  • Na hora em que precisa de ajuda e não possui muitas habilidades técnicas.

Sentimentos explorados pela Engenharia Social

A Engenharia Social explora vulnerabilidades emocionais da vítima e usa como isca assuntos atuais, promoções ou até mesmo falsas premiações.

Por não exigir conhecimentos técnicos, a engenharia social também existe sem tecnologia, algo conhecido como no-tech hacking.

Por ser tão simples, as vítimas de um engenheiro social podem demorar a duvidar da comunicação.

E talvez até chegar a isso, o criminoso já a terá atingido através de diferentes emoções, sendo algumas delas:

Curiosidade

Quase todo ataque de engenharia social inicia a partir da curiosidade do alvo. No caso de phishing, por exemplo, é o benefício imperdível que ele poderá adquirir naquele momento, se seguir as instruções.

Após a surpresa inicial, o usuário certamente vai ter curiosidade para entender melhor do que se trata a mensagem recebida. E para validar sua opinião, ele pode acabar clicando em algum link malicioso ou preenchendo algum formulário.

Preguiça

Por que um funcionário iria digitar as senhas manualmente toda vez que forem acessar alguma coisa?

Ou até mesmo optar voluntariamente pela autenticação de dois fatores se tudo pode ser preenchido automaticamente?

Com atalhos nos tornamos, na maioria das vezes, mais vulneráveis.

Cortar caminho nem sempre é o melhor a ser feito.

É importante que todos sejam conscientizados não apenas sobre as medidas a serem tomadas na rotina dentro da empresa, mas também, a importância de cada uma delas.

Solidariedade

Ajudar um colega de trabalho é uma prática simples e naturalmente aplicada em um ambiente saudável.

Mas não só isso.

Como já dizia um velho ditado “Quando a esmola é demais, o santo desconfia”.

E o engenheiro social utiliza muito bem o recurso ao criar campanhas de doações falsas, descontos imperdíveis que serão revertidos em prol de alguma causa, etc.

É importante despertar nos funcionários o entendimento da importância de se questionar tudo com o que interagem ao longo do dia.

Até mesmo na voluntária ajuda alheia.

Vaidade

O modelo mais recente de um smartphone ou o luxo de realizar alguma atividade são características que envolvem a vaidade da vítima.

Funcionários podem ser seduzidos por uma oferta de empréstimo, compra ou até mesmo um novo emprego.

É pensando na própria fragilidade que todos devem ser conscientizados sobre separar o que precisam do que podem ter em um outro momento. pois a engenharia social utiliza muito bem a vaidade ao seduzir as vítimas a partir do consumo.

Ansiedade

Em uma realidade em que o problema de grandes cidades e muitos ambientes corporativos é a ansiedade, a engenharia social aproveita-se muito do fato.

Tudo deve ser feito rapidamente, as ofertas são irrecusáveis e a sensação de urgência torna-se protagonista a ponto de muitos não atentarem-se ao que chega a eles.

É neste momento que as maiores vítimas são pegas, na pressa do momento, pois não são capazes de criar suspeitas sobre a situação.

O Brasil no foco dos ataques de Phishing

Phishing infográfico

A vulnerabilidade do Fator Humano

Todos estamos sujeitos a cair em um golpe de Engenharia Social, uma comunicação poderosa não separa o CEO de um outro profissional.

É por isso que os treinamentos de inteligência emocional, ao lado da conscientização e softwares preventivos podem ser essenciais para a segurança de dados de sua empresa.

Quer saber como a Compugraf pode ajudar na tarefa de encontrar as melhores soluções para sua empresa? Fale com nossos especialistas!

engenharia socialpersuasãophishing
Read more
  • Published in Segurança da Informação
No Comments

Qual a origem da Engenharia Social?

quarta-feira, 08 abril 2020 by admlan

Talvez a Engenharia Social seja mais antiga do que imaginamos, mas qual a origem de sua definição no formato que a conhecemos hoje?

origem da engenharia social

A Engenharia Social é um recurso utilizado por vários golpes que se aproveitam da fragilidade emocional do ser humano para ter sucesso.

Você já notou um olhar estranho enquanto utilizava o celular no elevador?

Caso positivo, saiba que ações simples como essa caracterizam o uso de engenharia social, esteja o sujeito consciente ou não do ato.

Nunca sabemos quando uma informação relevante pode ser exposta em momentos informais.

A paranoia não é a solução

A origem da engenharia social não mente, ela sempre esteve presente, ainda que somente agora esteja ganhando o devido destaque nos estudos de ciberataques.

É difícil combater algo que acontece o tempo inteiro, portanto, conscientizar funcionários não pode significar o mesmo que deixá-los paranoicos.

O cuidado deve ser recorrente, porém orgânico na rotina de trabalho de cada um.

Neste artigo falaremos um pouco de como a engenharia social esteve presente em alguns momentos históricos e como ela ganhou a forma que conhecemos hoje.

Abordaremos:

  • Como a Engenharia Social tornou-se um assunto relevante
  • A Engenharia Social em momentos fictícios e históricos
  • A origem do termo Engenharia Social
  • Principais ataques da última década

Como a Engenharia Social tornou-se um assunto relevante

A segurança da informação

A Engenharia Social hoje, no contexto de segurança da informação, é reconhecida como um método de abordagem que explora as vulnerabilidades emocionais da vítima.

Mas nem sempre foi assim.

Desde que o termo foi utilizado pela primeira vez, teve diferentes significados, de acordo com o campo aplicado:

Sociologia

Em meados do século 19 a Engenharia Social era um termo utilizado popularmente na era do positivismo sociológico, apontando a intervenção cientifica na sociedade.

Acreditava-se que o envolvimento de cientistas nas relações humanas aceleraria o processo de evolução humana, tornando-nos mais civilizados rapidamente.

Durante a época também foi reconhecida como "Engenharia Cultural".

Psicologia

Quando seu uso em sociologia deixou de ser popular, o termo Engenharia Social ganhou novo significado dentro do campo da psicologia.

Dentro deste cenário a palavra como a ganhar a conotação mais próxima do que representa hoje, sendo utilizada para definir a manipulação social.

Sua utilização era tipicamente aplicável em discursos de ciência política e psicologia social, tratando de intervenções com o intuito de mudar os costumes sociais e culturais de um povo.

Segurança da Informação

Quando aplicada no campo de segurança da informação, o significado de Engenharia Social manteve o aspecto de manipulação.

Mas diferente do aspecto psicológico, que busca mudar comportamentos de um grande grupo de pessoas, em tecnologia tornou-se uma ação concentrável em grupos menores ou até mesmo indivíduos.

Além disso, o sucesso da prática tornou-se dependente da habilidade de influenciar e persuadir as vítimas a realizarem algo, não apenas manipular.

O origem do termo Engenharia Social

O origem da Engenharia Social em Segurança da Informação foi contextualizada e popularizada pelo hacker americano mundialmente conhecido, Kevin Mitnick.

Em seu livro "The Art of Deception: Controlling the Human Element of Security" ele define como o campo de segurança da informação se associa ao termo.

No Brasil, o livro foi publicado como "A Arte de Enganar", e o autor traz exemplos reais de como as práticas de engenharia social potencializam as ações de um hacker.

A Engenharia Social em momentos fictícios e históricos

origem da engenharia social

Considerando sua definição, acredita-se que a Engenharia Social seja mais antiga do que os computadores.

É possível identifica-la em situações fictícias e históricas, como:

No livro de gênesis

No primeiro livro de gênesis, Adão e Eva foram os primeiros pecadores da humanidade ao comer o fruto proibido.

Mas o que a Engenharia Social tem a ver com isso?

Segundo o livro, a história iniciou-se pela fraqueza emocional de Eva, que durante comunicação com o Diabo disfarçado acreditou em sua história.

Na figura de uma cobra, o Diabo convenceu-a de que Deus os proibia de comer a maçã porque não queria dividir seus poderes.

E essa foi a abordagem necessária para que ela e Adão despertassem um dos sete pecados capitais: a inveja.

O enredo então resultou no casal realizando o que o Diabo queria, tornando-se um dos exemplos mais antigos de um ataque de Engenharia Social.

Ulysses na Mitologia Grega

O exército grego estava prestes a perder em um conflito contra Troia.

Foi aí que Ulysses, o líder dos soldados gregos decidiu apostar em uma estratégia, a falsa desistência da guerra.

Mas após o anúncio feito, Ulysses foi além ao presentear a realeza de Troia com um cavalo, mas não era qualquer um.

O povo de Troia recebeu um grande e pesado cavalo de madeira para amenizar os efeitos da guerra.

Foi então que no atardecer da noite, quando todos os cidadães de Troia já estavam com a guarda baixa, que descobriram que o peso do cavalo era resultado do exército que carregava dentro de si.

O presente na verdade era um esconderijo e foi então que o exército grego revidou o ataque e ganhou a guerra.

Foi assim, sem computadores ou internet que a Engenharia Social atingiu mais vítimas ao despertar sua vaidade.

Desta história também originou-se o nome de um dos malwares mais conhecidos do mundo, o Cavalo de Troia, que assim como na mitologia, envolve um arquivo disfarçado, que ao ser executado, ataca o dispositivo da vítima.

Nos anos 60

Frank Abagnale, 71 anos, é hoje um consultor de elite na segurança da informação americana, mas sua história mostra que ele nem sempre esteve deste lado.

Dos seus 15 aos 21 anos, ele tornou-se conhecido por fazer exatamente o contrário, foi um grande impostor.

Dentre seus maiores golpes, um em especial repercutiu bastante durante os anos 60.

E tudo começou quando ele passou-se por um estudante de jornalismo para coletar as informações que necessitava para aplicar um de seus maiores golpes.

Foi com os dados coletados que ele foi capaz de enganar toda a tripulação da Pan American World Airways (Pan Am), extinta e na época maior companhia aérea americana.

Durante a vivência do personagem, Frank teve acesso a diversos voos gratuitamente, fraudou contra-cheques e documentos.

Linha de Tempo: 10 empresas que sofreram ataques de Engenharia Social nos últimos 10 anos

2010 – Netflix

Durante a realização de um concurso, a Netflix cedeu voluntariamente os dados de mais de 480,000 assinantes.

Após a polêmica da ação, a empresa pontuou que os dados, que envolviam informações como as preferências dos usuários, eram anônimos.

Mas ainda sim, participantes do concurso alegaram ter entendido o processo de anonimato da plataforma e a possibilidade de identificar os indivíduos.

2011 – Sony PSN

A sony teve um dos maiores vazamentos de dados de 2011 no marketplace de seu console, Sony PSN.

Durante a realização de um concurso, expôs cerca de 1.6 milhões dados, incluindo cartões de crédito, endereços, datas de aniversário, senhas e respostas para as perguntas de segurança.

2012 – LinkedIn

Em 2012, o LinkedIn teve uma vazamento de dados de mais de 167 milhões de dados, incluindo e-mails, senhas e endereços.

Usuários da plataforma foram instruídos a alterar suas senhas e os dados foram reconhecidos pelas vítimas através do site Have I Been Pwned.

2013 – Yahoo

Mais de 3 bilhões de dados da Yahoo foram expostos em 2013, como e-mails, endereços, datas de nascimento e respostas para as perguntas de segurança dos usuários.

Mas a grande polêmica é que a empresa só descobriu o caso 3 anos depois, no final de 2016.

2014 – Sony Pictures Entertainment

Em 2014 a Sony Pictures Entertainment sofreu um pequeno vazamento de cerca de 47 mil dados.

Ainda sim, a brecha ganho grande repercussão por envolver o acesso a e-mails particulares, informações sobre filmes não lançados e o contato de celebridades.

2015 – Ashley Madison

A plataforma de relacionamentos extraconjugais teve mais de 37 milhões de dados vazados, incluindo o cartão de crédito, endereço e número de telefone dos usuários.

2016 – Comitê Nacional Democrático

O Comitê Nacional Democrático dos Estados Unidos teve muitas informações publicamente expostas, incluindo a de políticos como Hillary Clinton e o atual presidente do país, Donald Trump.

2017 – Equifax

Mais de 143 milhões de norte-americanos tiveram dados como o número de documentos, cartão de crédito, nome e endereço comprometidos após um vazamento da Equifax, uma das maiores empresas de crédito do país.

2018 – Facebook

O Facebook sofreu com ao menos 2 vazamentos de dados ao longo de 2018.

Em setembro, foram mais de 50 milhões, e em outubro, 30 milhões, totalizando ao menos 80 milhões de dados expostos.

2019 – OxyData.Io e People Data Labs

Mais de 1.2 bilhões de usuários tiveram dados como e-mail, contas em redes sociais e telefone expostos em 2019, tornando-se o maior vazamento partindo da mesma fonte.

No caso, envolvia um banco de dados compartilhado entre duas empresas agregadoras de dados: OxyData.Io e People Data Labs.

Não permita que sua empresa seja o próximo alvo da Engenharia Social

consulte especialistas da compugraf

Ao longo dos últimos 10 anos diversas empresas grandes foram vítimas de ataques de engenharia social, e isso apenas reforça o seguinte: todos estão vulneráveis.

Para evitar este tipo de golpe, é muito importante que práticas recorrentes de conscientização sejam aplicadas no ambiente corporativo.

Quer ler mais sobre Engenharia Social

Dúvidas sobre como proteger sua empresa?

Consulte nossos especialistas em Segurança da Informação para descobrir o que você pode fazer hoje para proteger sua empresa deste tipo de ataque.

engenharia socialhistória da engenharia socialphishing
Read more
  • Published in Segurança da Informação
No Comments

Engenharia Social: Sua Empresa Está Protegida?

quinta-feira, 02 abril 2020 by admlan

Sua empresa pode estar sofrendo um ataque de Engenharia Social neste momento. Será que seus funcionários estão protegidos contra ela?

A Engenharia Social é um conjunto de técnicas para persuadir uma vítima.

Através dela, é possível obter dados, benefícios ou acesso a locais restritos para diferentes finalidades.

engenharia social

Qual o bem mais valioso de sua organização?

Se como executivo tem consciência da informação mais importante que sua empresa precisa proteger, o processo torna-se muito mais fácil.

Muitos vazamentos ocorrem porque existe preocupação em proteger todos os dados, sem priorizar o que é mais valioso para cibercriminosos.

Mas na verdade pessoas mal intencionadas estão mais preocupadas com o que podem obter com aquilo que irão roubar.

Como a venda do conteúdo, por exemplo; e não necessariamente prejudicar uma empresa em específico.

Proteger tudo significa que todos em contato com as informações estão envolvidos no processo.

Em muitos lugares, isso só significa tecnologias mais robustas, e é este cenário que beneficia um ataque de Engenharia Social.

O fato é preocupante: Enquanto os melhores softwares de segurança da informação criam suas camadas de proteção,

pessoas com acesso pleno a dados não estão sendo conscientizadas sobre sua importância no processo.

Como lidar com a Engenharia Social no ambiente corporativo

Para a Compugraf, práticas de segurança social são tão importantes quanto as soluções que implementamos para nossos clientes.

E por isso, a eficácia de uma está diretamente relacionada a outra no combate a Engenharia Social.

As ações da Engenharia Social na Segurança da Informação são apenas a ponta do Iceberg.

E podem levar ao roubo de informações, assim como também servir de porta de entrada para diversas ameaças tecnológicas.

Neste artigo, reunimos todos as informações relevantes sobre Engenharia Social.

Decidimos falar sobre o tema para assegurar que sua empresa comece a olhar para isto hoje, antes da primeira ocorrência.

Após leitura, você vai saber:

  • O origem da Engenharia Social
  • O que é Engenharia Social na Segurança da Informação
  • Perfil: Quem é quem na Engenharia Social
  • Os Principais ataques realizados com Engenharia Social
  • Como proteger funcionários da Engenharia Social

Podemos começar?

A origem da Engenharia Social

A origem da Engenharia Social

Acredita-se que a Engenharia Social seja mais antiga do que a própria existência de computadores.

Suas características podem ser aplicadas mesmo em histórias em que a sociedade era bem diferente de como a conhecemos hoje:

Ulysses na Mitologia Grega

Na história, o exército grego estava em conflitos contra Troia.

Mas prestes a perder, o líder do exército grego, Ulysses, apostou em uma última estratégia: Uma falsa desistência da guerra.

Para isso, não apenas fez o anúncio como também ofereceu como um presente a realeza concorrente, um cavalo.

Mas não era um cavalo qualquer.

Tratava-se de um grande e pesado cavalo de madeira.

Após o aceite da oferta e o transporte do presente, tudo estava aparentemente bem para Troia. Mas não eram essas as intenções de Ulysses.

Ao longo da mesma noite, quando o exército troiano e população já descansando,

os gregos saíram do esconderijo – o interior do cavalo de madeira, para atacar.

E foi assim, sem a necessidade de computadores ou internet, através de uma mentira que despertou a vaidade dos rivais,

que ocorreu um dos primeiros ataques que hoje reconhecemos como Engenharia Social.

Como curiosidade, é graças a história que um dos malwares mais conhecidos da mundo, o Cavalo de Troia, foi nomeado.

Assim como na mitologia, trata-se de um arquivo disfarçado, que ao ser executado, ataca o dispositivo da vítima.

No livro de gênesis

No primeiro livro de gênesis, Adão e Eva são os primeiros pecadores ao comer o fruto proibido.

Mas como a Engenharia Social se encaixa nesta história?

Bem, segundo o livro, tudo começou quando o Diabo decidiu comunicar-se com Eva, na figura de uma cobra.

A cobra foi capaz de convence-la de que Deus os proibia de comer a maçã por um único motivo: poder.

Ao despertar a ganância de Eva, mentindo sobre o egoísmo de Deus,

o Diabo praticava um dos mais antigos exemplos de Engenharia Social.

E isso resultou na realização da ação desejada por ele, fazendo com que o casal da história consumissem a maçã.

Nos anos 60

Frank Abagnale é um dos impostores americanos mais conhecidos dos anos 60.

Mas sua fama não é uma mera sorte.

Tudo começou quando ele aplicou com sucesso seu maior golpe, envolvendo a tripulação da Pan American World Airways (Pan Am).

Na época, era uma das maiores companhias áreas da época.

Após passar-se como estudante de jornalismo e assim ter acesso a diversas informações sobre o processo de funcionamento da empresa,

ele decidiu que era o momento de arriscar-se mais.

E foi assim que passou-se por um dos pilotos da companhia aérea, tendo acesso a voos gratuitos,

e poder para fraudar documentos e contracheques.

O termo Engenharia Social

O termo Engenharia Social teve diferentes conotações ao longo dos tempos. Mas ainda não é um estudo de “Engenharia” convencional.

Seus estudos já foram da sociologia, psicologia, e hoje,

a engenharia social na segurança da informação utiliza elementos de ambos os campos: sociológicos e psicológicos,

para a coleta e análise de informações somados ao envolvimento emocional da prática.

Para este fim, o termo foi popularizado nos anos 90 por Kevin Mitnick, um hacker mundialmente conhecido da época.

Ele conceitua o uso do termo em seu livro “The Art of Deception: Controlling the Human Element of Security”,

que segue como grande referência para muitos profissionais da área ainda hoje.

Linha de Tempo: 10 empresas que sofreram ataques de Engenharia Social nos últimos 10 anos

2010 – Netflix

A empresa sofreu com ataques quando deram a participantes de um concurso o acesso a informações de mais 480,000 assinantes.

A organização, no entanto, recuperou os dados de alguns candidatos.

2011 – Sony PSN

O marketplace Sony PSN, do console PlayStation, deu acesso a participantes de um concurso mais de 1.6 milhões dados,

incluindo cartões de crédito, endereços, datas de aniversário, senhas e respostas para as perguntas de segurança.

2012 – LinkedIn

Em 2012, o LinkedIn teve uma vazamento de dados de mais de 167 milhões de dados,

sendo a maioria e-mails, senhas e endereços.

2013 – Yahoo

Mais de 3 bilhões de dados da Yahoo foram expostos em 2013,

incluindo e-mails, endereços, datas de nascimento e respostas para as perguntas de segurança dos usuários.

Mas o vazamento só foi descoberto 3 anos depois, no final de 2016.

2014 – Sony Pictures Entertainment

Em 2014 a Sony Pictures Entertainment sofreu um pequeno vazamento de dados que envolveu cerca de 47 mil dados,

o que não diminuiu o impacto nas finanças e reputação da empresa.

Os criminosos tiveram acesso a e-mails particulares, filmes não lançados e o contato de celebridades.

2015 – Ashley Madison

A plataforma de relacionamentos extraconjugais teve mais de 37 milhões de dados vazados,

incluindo o cartão de crédito, endereço e número de telefone dos usuários.

2016 – Comitê Nacional Democrático

O Comitê Nacional Democrático dos Estados Unidos teve muitas informações publicamente expostas,

incluindo a de políticos como Hillary Clinton e o atual presidente do país, Donald Trump.

2017 – Equifax

Mais de 143 milhões de norte-americanos tiveram dados como o número de documentos,

cartão de crédito, nome e endereço após um vazamento da Equifax, uma das maiores empresas de crédito do país.

2018 – Facebook

O Facebook sofreu com ao menos 2 vazamentos de dados ao longo de 2018.

Em setembro, foram mais de 50 milhões, e em outubro, 30 milhões, totalizando ao menos 80 milhões de dados expostos.

2019 – OxyData.Io e People Data Labs

Mais de 1.2 bilhões de usuários tiveram dados como e-mail, contas em redes sociais e telefone expostos em 2019,

tornando-se o maior vazamento partindo da mesma fonte.

No caso, envolvia um banco de dados compartilhado entre duas empresas agregadoras de dados: OxyData.Io e People Data Labs.

Por que é importante falar sobre Engenharia Social: Quais os perigos da prática?

A Engenheiro Social explora as vulnerabilidades emocionais do ser humano,

e isso significa que a proteção contra a prática vai além de métodos tecnológicos, entrando também em uma atmosfera social.

Nos ambientes empresariais, em que pessoas estão atarefadas e muitas vezes aflitas ou ansiosas por algo,

é possível, por exemplo, que se ausentam da mesa com alguma pasta aberta no computador,

ou deixem algum documento importante em cima da mesa.

É uma das situações simples que podem se converter em um verdadeiro pesadelo para a segurança da companhia.

Como todos estão passíveis a isso, a habilidade de como identificar uma abordagem suspeita deve ser constantemente desenvolvida,

seja você o CEO ou um novo funcionário.

Existe certa complexidade no tema, considerando todos os campos de estudos – tecnológicos e sociológicos. E por isso também não é algo tão simples de se criar mecanismos padrões de proteção, mas sim, preventivos.

Ignorar as consequências de um ataque como este pode representar perdas de dados e dinheiro para uma empresa,

especialmente quando entrar em vigor a LGPD – momento em que a regulamentação de dados se tornará mais rígida.

Em termos gerais, a palavra engenharia social possui uma conotação diferente no contexto da segurança da informação,

é mais sobre a ação de controle de pessoas do que um estudo com base em engenharias convencionais,

que tratam da aplicação de métodos científicos dos recursos naturais para o ser humano.

O que é Engenharia Social na Segurança da Informação

O que é Engenharia Social na Segurança da Informação

A Engenharia Social como conhecemos hoje, existe para tratar ameaças que possuem como vítima uma pessoa.

Mas antes de nos aprofundarmos no tema,

é preciso entender o que é a segurança da informação e porque é importante estudarmos sobre a engenharia social:

A segurança da informação é baseada em um conjunto de ações para a proteção de dados,

desde um dado corporativo sigiloso até as informações sobre um funcionário ou cliente.

Uma boa estratégia para a segurança de dados é baseada em 4 pilares:

  • Confidencialidade
  • Integridade
  • Disponibilidade
  • Autenticidade

Logo, é difícil imaginar sua eficiência sem pensar na importância das pessoas na proteção e em sua vulnerabilidade como alvos.

Sabe o iPhone que você viu antes da Apple divulgar?

Provavelmente partiu de um funcionário sem o treinamento necessário ou simplesmente desatento,

que causou o vazamento de informações e, como resultado, abriu uma brecha de segurança para toda organização.

Não por acaso que diversos produtos no mercado, como os próprios iphones, são hoje armazenados em um cofre.

Poucas pessoas possuem acesso autorizado,

algo que não resolve o problema mas certamente ajuda na hora de identificar a origem da vulnerabilidade.

E é por este caminho que chegamos a Engenharia Social.

É possível separar as ameaças na segurança de dados em duas categorias: tecnológicas e humanas.

A primeira, como o nome sugere, envolve recursos tecnológicos e por isso exige maiores habilidades do criminoso,

já as ameaças humanas – também conhecidas como fator humano, exigem pouco ou nenhuma habilidade tecnológica para existirem.

A Engenharia Social ocorre em uma série de ataques com o objetivo de conseguir com que as vítimas:

Compartilhem dados sigilosos, disponibilizem o acesso a áreas restritas ou ajam de maneira prejudicial.

Em geral, essas vítimas são pegas pela falta de atenção – somadas a falta de informação,

e por isso muitos funcionários de empresas sem projetos de conscientização acabam sendo vítimas de crimes deste tipo.

O lado B

Embora seja uma técnica utilizada para fins maliciosos na maioria dos casos,

a Engenharia Social também pode ser útil em situações positivas, como uma investigação policial, treinamentos internos em uma organização,

ou até mesmo em processos seletivos, tudo depende dos dados coletados e a finalidade da ação.

A arte da persuasão

Se a Engenharia Social se apoia no ato de persuadir, o que é a persuasão?

Persuadir alguém é quase como negociar alguma coisa, não é um processo ilegal ou antiético,

trata-se da exploração de argumentos para que alguém se convença de algo e por vontade própria, realize uma ação.

Diferente do que muitos podem pensar, persuadir e manipular são coisas bem diferentes.

Pois a persuasão ocorre somente quando tentamos entender o que é necessário para convencer alguém a fazer alguma coisa.

Já a manipulação psicológica, trata de um processo de influência social que busca mudar comportamentos e percepções com táticas indiretas,

que na maioria dos casos envolve informações convenientes, enganosas ou dissimuladas.

Da mesma maneira, persuadir e convencer não são a mesma coisa.

Pois a primeira resulta em uma ação voluntária,

mas no caso de convencer, pode ser apenas em relação a uma ideia, por exemplo.

Também conhecida como “Teoria da Persuasão” ou “ Teoria Empírico-experimental”, os primeiros registros da persuasão como estudo vêm dos anos 40.

E desde os primórdios tratou da busca em estudar a relação entre estímulo e resposta.

Hoje é um tema amplamente estudado em cursos como administração (para negociação) e comunicação.

Sendo assim, a persuasão na engenharia social é a peça principal,

pois o sucesso da maioria dos ataques vai depender da habilidade do criminoso em persuadir.

A Anatomia de um Ataque de Engenharia Social

Um ataque de Engenharia Social coloca suas vítimas num ciclo de tentativa e erro, diferente de um ataque convencional, que ao ser bloqueado por uma camada de proteção não irá mais perturbar as vítimas.

A engenharia social possui uma curva de evolução até chegar em um nível capaz de fisgar e persuadir a vítima.

Quanto mais segmentado for o ataque, maior será o ciclo de atuação, que normalmente envolve as seguintes fases:

Coleta de informações, planejamento de ataques, aquisição das ferramentas necessárias, ataque, uso das informações coletadas (para tornar-se próximo do verídico)

Sentimentos explorados pela Engenharia Social

A Engenharia Social explora vulnerabilidades emocionais da vítima e usa como isca assuntos atuais, promoções ou até mesmo falsas premiações.

Por não exigir conhecimentos técnicos, a engenharia social também existe sem tecnologia, algo conhecido como no-tech hacking.

Por ser tão simples, as vítimas de um engenheiro social podem demorar a duvidar da comunicação.

E talvez até chegar a isso, o criminoso já a terá atingido através de diferentes emoções, sendo algumas delas:

Curiosidade

Quase todo ataque de engenharia social inicia a partir da curiosidade do alvo. No caso de phishing, por exemplo, é o benefício imperdível que ele poderá adquirir naquele momento, se seguir as instruções.

Após a surpresa inicial, o usuário certamente vai ter curiosidade para entender melhor do que se trata a mensagem recebida. E para validar sua opinião, ele pode acabar clicando em algum link malicioso ou preenchendo algum formulário.

Preguiça

Por que um funcionário iria digitar as senhas manualmente toda vez que forem acessar alguma coisa?

Ou até mesmo optar voluntariamente pela autenticação de dois fatores se tudo pode ser preenchido automaticamente?

Com atalhos nos tornamos, na maioria das vezes, mais vulneráveis.

Cortar caminho nem sempre é o melhor a ser feito.

É importante que todos sejam conscientizados não apenas sobre as medidas a serem tomadas na rotina dentro da empresa, mas também, a importância de cada uma delas.

Solidariedade

Ajudar um colega de trabalho é uma prática simples e naturalmente aplicada em um ambiente saudável.

Mas não só isso.

Como já dizia um velho ditado “Quando a esmola é demais, o santo desconfia”.

E o engenheiro social utiliza muito bem o recurso ao criar campanhas de doações falsas, descontos imperdíveis que serão revertidos em prol de alguma causa, etc.

É importante despertar nos funcionários o entendimento da importância de se questionar tudo com o que interagem ao longo do dia.

Até mesmo na voluntária ajuda alheia.

Vaidade

O modelo mais recente de um smartphone ou o luxo de realizar alguma atividade são características que envolvem a vaidade da vítima.

Funcionários podem ser seduzidos por uma oferta de empréstimo, compra ou até mesmo um novo emprego.

É pensando na própria fragilidade que todos devem ser conscientizados sobre separar o que precisam do que podem ter em um outro momento. pois a engenharia social utiliza muito bem a vaidade ao seduzir as vítimas a partir do consumo.

Ansiedade

Em uma realidade em que o problema de grandes cidades e muitos ambientes corporativos é a ansiedade, a engenharia social aproveita-se muito do fato.

Tudo deve ser feito rapidamente, as ofertas são irrecusáveis e a sensação de urgência torna-se protagonista a ponto de muitos não atentarem-se ao que chega a eles.

É neste momento que as maiores vítimas são pegas, na pressa do momento, pois não são capazes de criar suspeitas sobre a situação.

Engenharia Social e a ascensão das Fake News

Enquanto a maioria dos golpes que se utilizam da engenharia social possuem a função de obter dados pessoais, o mundo todo se depara com uma nova utilidade por trás dessa lógica: a manipulação de informações.

Quando o então candidato à presidência dos Estados Unidos, Donald Trump, acusou um grande veículo de informações americana de espalhar “notícias falsas”, o mundo todo se apropriou do termo fake news.

Até então, a prática era conhecida como Hoaxing e embora tenha sempre existido, nunca foi tão potencializado como ocorre na era da informação.

Isso porque através de redes sociais, muitas pessoas deixaram de consumir informações imparciais ao participar de grupos que possuam interesses semelhantes, o que abre espaço para perspectivas unilaterais e que muitas vezes não representam a verdade.

Como resposta a isso, grandes empresas como Google e redes sociais como o Facebook passaram a criar políticas específicas para minimizar os danos que foram fortificados graças as suas soluções.

O que apesar de positivo, não impede que as pessoas se envolvam somente em grupos de seu interesse e muito menos impede o compartilhamento de informações não verdadeiras ou distorcidas.

Por questões de segurança, serviços como o WhatsApp possuem conversas criptografadas, o que impede também que as empresas identifiquem a origem de muitas das notícias espalhadas.

Empresas de tecnologia – que já possuem maior atenção quando o assunto é segurança da informação, contam com profissionais capacitados para orientar a equipe na hora de trabalhar com mais segurança.

Com a chegada da LGPD, nasce também o cargo de Data Protection Officer (DPO), que ficará responsável por gerenciar os dados coletados, além de fornecer treinamentos aos funcionários ao longo do ano para garantir que as práticas mais recomendadas serão aplicadas.

A Engenharia Social e suas consequências com a chegada da LGPD

Após todos os escândalos envolvendo grandes corporações e o vazamento de dados, diversos países criaram medidas para que a responsabilidade das ocorrências seja maior para empresas de forma a aumentar sua responsabilidade sobre a segurança da informação.

Enquanto a lei de referência é a europeia, conhecida como General Data Protection Regulation (GDPR), o Brasil trabalhou em sua própria versão, a Lei Geral de Proteção de Dados (LGPD), que busca regulamentar o uso de dados no meio corporativo no país.

A LGPD regulamentará qualquer atividade offline ou online que envolva a utilização de dados pessoais e irá responsabilizar todas as empresas envolvidas no processo e o profissional responsável pelo controle desses dados, cargo conhecido como DPO (Data Protection Officer).

A LGPD irá abranger qualquer informação pessoal, como por exemplo: Nome, Endereço, Nº de Documentos, etc.

Todos os dados que possam servir para identificar alguém estão respaldados pela Lei.

Além disso, a LGPD também menciona os dados sensíveis, que diferente da documentação, refere-se a questões como:

  • Status de Saúde
  • Vida Sexual
  • Dados Genéticos
  • Dados Biométricos
  • Opinião Política
  • Origem Étnica
  • Religião
  • Participação em sindicatos ou organizações não governamentais

Dentre outras informações que expõem aspectos íntimos da pessoa física.

Tudo muito relevante para um ataque de engenharia social, pois o criminoso pode aproximar-se da vítima por afinidade ao saber esse tipo de informação sobre ela.

Quando a LGPD entrar em vigor, o não cumprimento resultará em processos administrativos e legais, podendo chegar a multas de até R$ 50 milhões.

A Lei aplica-se a todas as empresas que coletam e armazenam dados (offline ou online), e por isso todas precisam adequar-se a ela.

A alto custo da multa é importante pois, para uma empresa, será muito mais vantajoso adequar-se a Lei do que pagar eventuais multas a longo prazo.

O objetivo por trás da proposta é a transparência da operação de empresas públicas e privadas, solicitando a permissão e o consentimento dos usuários para que seus dados sejam armazenados para devidos fins.

A penalidade financeira da LGPD irá variar de acordo com a gravidade da infração, sendo que as de não conformidade podem custar até 2% do faturamento da empresa limitando-se ao máximo de R$50 milhões.

Também podem ocorrer impedimentos legais de funcionamento parciais ou totais, dependendo do problema causado.

Para que a Lei 13.709/2018 entre em vigor em agosto deste ano, foi criada também a ANPD (ou Autoridade Nacional de Proteção de Dados), que terá como principais funções:

  • Estabelecer diretrizes e padrões técnicos do processo.
  • Gerar relatórios sobre a aplicação da Lei.
  • A fiscalização das empresas, além da aplicação de novas sanções e programas informativos sobre o tema.
  • Definir até quando as empresas poderão se preparar para aplicação da LGPD

Para saber mais sobre a LGPD, confira o guia de implementação da Lei de Proteção de Dados.

Quem é quem na Engenharia Social

Perfil de quem pratica os ataques e de suas possíveis vítimas.

O Engenheiro Social

Apesar do nome, um engenheiro social não é um especialista na área de roubar informações.

O Engenheiro Social

Até porque a formação ainda não existe. Ao menos não formalmente.

Mas para que alguém execute ataques de engenharia social, algumas habilidades podem ser necessárias:

  • Capacidade de contar uma boa história de maneira convincente.
  • Habilidade para utilizar as informações coletadas a seu favor.
  • Poder de persuadir para conseguir que as ações sejam voluntárias.
  • Inteligência analítica necessária para estudar o alvo ou público-alvo com precisão.

A Vítima

A Vítima

A engenharia social está presente em todo lugar, qualquer sinal ou ação pode ser o suficiente para que alguém obtenha alguma informação da vítima.

Sua abrangência a torna um perigo universal: todos podem ser vítimas de um golpe.

A maior brecha de um sistema de segurança não é o sistema, mas sim, as pessoas.

Todos nós, seres humanos, possuímos características (como o gosto por algum estilo musical), padrões de comportamento e psicológicos.

É na observação dessas características que um engenheiro social obtêm o que precisa.

Seja o colaborador um profissional da área técnica ou mais humanizada, todos estão sujeitos a falhar na proteção contra um ataque deste tipo, pois todos possuem vulnerabilidades humanas.

Por isso, muitos executivos buscam por treinamentos com a mídia, por exemplo. É muito arriscado ir despreparado para um bate-papo ou entrevista e acabar respondendo algo que revela algo que não deveria.

No geral, vítimas são feitas:

  • Quando desatentos – em modo “automático” na realização de suas tarefas.
  • Ocasião em que não verificam a autenticidade das mensagens recebidas.
  • Ao passo que vivenciam algum problema pessoal e a mensagem soa como a oportunidade de melhorar as coisas.
  • No momento em que se sensibilizam com a mensagem recebida e tem intenções de ajudar.
  • Na hora em que precisa de ajuda e não possui muitas habilidades técnicas.

Principais ataques realizados com Engenharia Social

Principais ataques realizados com Engenharia Social

Phishing

O Phishing é o ataque da engenharia social mais comum.

O crime consiste na obtenção de dados de uma pessoa ou organização através de técnicas de comunicação e persuasão.

E quando falamos em comunicação corporativa ou serviços gerenciados e utilizados por muitas pessoas, qualquer usuário pode ser uma porta de entrada para uma brecha de segurança.

Em 2013, por exemplo, mais de 110 milhões de informações e números de cartões de crédito foram expostos dos clientes da Target, e após perícia, foi concluído que tudo começou quando um subcontratado da empresa foi vítima do phishing.

Segundo pesquisa da Cyxtera, empresa de segurança digital especializada em fraudes eletrônicos, cerca de 90% dos golpes digitais foram introduzidos a partir de alguma vertente do phishing.

O contato do criminoso pode ocorrer a partir de qualquer meio de comunicação na tentativa de fazer com que pessoas caiam em um golpe (também conhecido como scam).

Fácil de ser executado, o phishing também não é um ataque difícil de ser reconhecido quando observado com atenção.

São e-mails partindo de destinos duvidosos, ligações ou qualquer outra forma de comunicação que seja no mínimo questionável para o alvo, pois é direcionado a um grande público e na maioria das vezes não possui qualquer seleção.

Por isso, a chance de sucesso da prática depende de dois fatores: O momento certo e a desatenção do usuário.

Quem é exposto a essa tática pode ser surpreendido com algum contato em um momento em que aquele contato faça sentido, por exemplo.

Sendo assim, o phishing depende mais da atenção e calma para verificar as informações antes de qualquer ação, embora possa causar desespero e impulsividade em um momento importuno.

Vishing

O Vishing é uma das variações do Phishing.

Enquanto o termo principal é utilizado para descrever a prática de maneira geral, o vishing surgiu para referir-se a ataques realizados especificamente por telefone (voz + phishing).

A prática é bem popular, sendo ainda hoje a mais comum no Brasil e seu funcionamento é exatamente o mesmo do phishing tradicional, alterando apenas o meio de contato, que é por telefone ou através de chamadas de serviços VoIP, este último a escolha favorita dos criminosos pela possibilidade de anonimato.

Em um episódio de Vishing, a vítima recebe uma chamada em que é induzida a realizar alguma ação rapidamente ou compartilhar informações pessoais ou sigilosas de uma empresa, como documentos e números de faturamento, etc.

Um dos casos mais antigos e tradicionais no país é quando os criminosos realizam uma chamada anunciando um suposto sequestro. Na ação, o falso sequestrador simula uma voz infantil em perigo.

Embora seja um golpe fácil de se identificar, caso a chamada ocorra para as pessoas certas (pais) e no momento certo (como quando o filho está na escola) funcionam pois na apreensão do momento, a vítima muitas vezes não se dá conta de se tratar de uma falsa afirmação.

Apesar de já ser uma ação mais conhecida, o golpe continua causando diversos problemas, incluindo o caso recente de um casal de idosos de Belo Horizonte que transferiu R$ 300 mil para salvar a filha de um falso sequestro, dos quais apenas R$ 15 mil foram recuperados pelo banco após a descoberta do caso.

Outro episódio que vale a pena ser mencionado, é o que ocorreu em 2019, envolvendo uma professora do Mato Grosso do Sul que não apenas perdeu R$ 80 mil como também foi feita de refém no hotel em que os criminosos solicitaram a sua presença, tudo após receber uma ligação informando o falso sequestro de sua filha.

O golpe vishing pode partir de simulações de contatos pessoais (como a ligação de um familiar) ou também um falso funcionário de uma grande empresa de serviços como telefonia e internet.

Sendo assim, identificá-lo pode ser um pouco mais trabalhoso do que o phishing.

Mas as abordagens também possuem suas fragilidades:

Nome da vítima

Ao receber uma ligação, antes de confirmar qualquer dado pessoal, tenha certeza de que a pessoa é quem diz ser ao pedir para ela confirmar algo simples como o seu nome completo ou alguma outra informação que não seja número de documentos.

Não confirme nada até que o contato te responda corretamente. Em ataques amplos e aleatórios, dificilmente o criminoso terá a informação correta.

Anúncios de sequestro

Antes de se desesperar por algum anúncio de sequestro, atente-se as informações que o criminoso está compartilhando e, principalmente, confirme a localização da vítima.

Por exemplo, caso seja uma criança que esteja na escola, a primeira ação deve ser uma chamada de confirmação de presença.

Bancos e outros serviços

O nome é uma informação simples porém bem reveladora em todos os casos.

Mas caso queira outra abordagem, basta informar que não pode falar no momento ou tente ligar para o número que está chamando de um outro aparelho telefônico.

O direcionamento correto da chamada para a empresa que supostamente ligou indica a veracidade do contato. Caso seja falso, reporte a empresa logo em seguida.

Smishing

Se o Vishing é a junção de voz + phishing, o Smishing é a mistura de sms + phishing, ou seja, trata-se do phishing que se utiliza das mensagens SMS para pescar suas vítimas. Com o enfraquecimento das mensagens tradicionais e a ascensão de comunicadores instantâneos como o WhatsApp, o smishing se desenvolve na mesma medida.

O smishing foi uma grande ferramenta, em conjunto as fake news, em campanhas eleitorais e na manipulação de informações.

Usualmente, ele é utilizado no compartilhamento de links maliciosos e possui um ciclo de vida menor, porém viral, já que as pessoas também são induzidas a compartilhar a mensagem.

Para detectar e prevenir-se desse tipo de ataque, é importante desconfiar de qualquer mensagem que chegue a partir de pessoas que não fazem de sua lista de contato e principalmente, não clicar em nenhum link não solicitado.

O smishing pode partir também de contatos que já foram pegos, muitas vezes compartilhando o link malicioso sem saber.

Ao receber a mensagem de um contato existente, atente-se ao formato do texto recebido para analisar se a pessoa escreve ou escreveria de tal maneira, pois pessoas normalmente possuem o mesmo padrão e estilo de escrita.

Nigerian 4-1-9 Scam

O golpe que se iniciou na Nigéria, conhecido como Nigerian 4-1-9 Scam possui uma linha de funcionamento semelhante ao phishing tradicional.

A técnica iniciou-se muitos anos atrás com o envio de cartas do país para estrangeiros com histórias falsas envolvendo doações e transferência de dinheiro.

Ao longo dos anos, a técnica se desenvolveu passando para o e-mail e também novas abordagens surgiram, sendo a mais popular a “romance scam”, envolvendo interesses amorosos.

Neste cenário, o criminoso seduz a vítima com alguma história que possa envolvê-la, e se consegue ‘pescá-la’ com sucesso, passa a encenar o desenvolvimento de uma relação a distância, a qual a longo prazo envolverá a solicitação de dinheiro.

Em 2014, uma moradora do interior de São Paulo perdeu R$ 63 mil em um golpe.

Na época, aos 42 anos, ela começou a conversar com um suposto soldado americano em missão no Afeganistão e construiu uma falsa relação com ele até que foi anunciada o fim de sua missão no país e a chegada no Brasil.

Seduzida pela ideia de viver o romance pessoalmente, ela fez de tudo para auxiliar o golpista em sua chegada ao país, que nunca aconteceu.

Embora a abordagem romântica tenha se tornado popular, a relação do criminoso com a vítima pode ter outros objetivos afetivos, como uma amizade – se aproveitando também da empatia para obter dinheiro.

Além de também ser multimídia por se adaptar a diferentes formas de contatos na hora de desenvolvimento da relação entre vítima e criminoso.

Outro fato importante é que embora tenha iniciado na Nigéria, o golpe hoje é replicado a partir de diversos países como Turquia, Iraque e o Brasil.

Por envolver a criação de uma relação mais pessoal com as vítimas, os golpes nigerianos podem ser detectados a partir de alguns parâmetros: como o perfil chegou até o alvo, checagem de informações do perfil e a análise geral da interação.

Basicamente, se as coisas estão rápidas demais, pode ser que tenha algo de errado.

Os aplicativos de relacionamento, por exemplo, recebem muitas reclamações pela existência de perfis falsos (também conhecidos como “fakes”) que usando fotos, nome e personalidade falsos buscam praticar a ação, e é por isso que é necessário ter cuidado redobrado na hora de buscar o “par perfeito” online

Ano passado, ocorreu em Macapá (AP) o caso de uma jovem de 23 anos que se passava por um advogado no Tinder, aplicativo de relacionamentos, para obter vantagens financeiras das vítimas, como empréstimos, ao longo do desenvolvimento da falsa relação.

Ela foi presa no mesmo ano e assumiu o crime.

Por isso, a melhor maneira de detectar um golpe nigeriano é observando o contexto do contato, a autenticidade do perfil e analisar as reais intenções quando as solicitações de dinheiro ou fatos estranhos começarem a ocorrer.

Spear Phishing

Atualmente, uma das subcategorias mais conhecidas de Phishing é o Spear Phishing.

Diferente da metodologia tradicional, é executada de maneira direcionada a um grupo de pessoas bem específico e baseado em dados exatos ou muito próximos da realidade dessas pessoas.

Em outras palavras, é uma tática mais perigosa por envolver informações personalizadas e muitas vezes crível o bastante para enganar até mesmo um funcionário mais atento em sua rotina de trabalho dependendo do momento e da abordagem utilizada.

Um dos casos mais recentes em grande escala dessa técnica ocorreu em 2018, nos Estados Unidos, e como resultado gerou alarde dentre os funcionários do departamento do estado sobre um possível Tsunami.

A notícia ganhou grande repercussão na época e confundiu a população, que não sabia se deveria se preocupar ou não com o desastre natural.

Embora o órgão responsável tenha respondido rapidamente que não existia nenhum tipo de anormalidade para ocorrer tal fenômeno, a falsa informação já havia sido espalhada pelo mundo inteiro, gerando alarde e causando grandes prejuízos financeiros.

O spear phishing é uma variação do phishing altamente segmentada. Funcionários, especialmente os mais novos, podem facilmente ser enganados por um falso e-mail partindo de alguém com cargo superior. De fato é assim que a maioria dos ataques obtêm o sucesso esperado.

As pequenas empresas têm se tornado o principal alvo por parte desses cibercriminosos, pois quando não há o treinamento adequado, logo os funcionários acabam sendo a vulnerabilidade humana e mais frágil do ecossistema corporativo.

Mas não são apenas os colaboradores que podem cair nesse tipo de golpe, muitos executivos e até mesmo profissionais da área podem ser surpreendidos com a comunicação segmentada do spear phishing.

Para se prevenir de um possível ataque, além de oferecer treinamento a equipe, é necessário criar protocolos para que as pessoas da organização possam se comunicar e identificar a autenticidade da mensagem, como uma palavra secreta, por exemplo.

Pretexting

O Pretexting é uma ação maliciosa que consiste na tentativa de se obter dados pessoais ou sobre uma empresa de maneira voluntária por uma falsa causa.

Muitas vezes isso ocorre em perguntas para uma pesquisa ou até mesmo interações com um perfil falso em uma rede social, sendo a última a maneira mais comum de cair no golpe.

O pretexting envolve principalmente confirmações de identidade e contatos suspeitos, logo as melhores práticas para detectá-lo são justamente prestar mais atenção antes de fornecer dados pessoais e evitar compartilhar via redes sociais.

Esse golpe pode vir disfarçado de uma causa ou confirmação de informações e por isso, questione toda ação que solicita dados além do necessário, buscando também por tudo relacionado a empresa e tema.

Parte do processo da realização desse tipo de ataque envolve uma pesquisa intensa sobre a vítima, permitindo que o criminoso possa entrar em contato e trazer mais veracidade para a comunicação ao expor os dados que tem.

Após as confirmações serem realizadas, a vítima pode ser coagida a confirmar e até mesmo acrescentar mais dados.

Ao receber um e-mail suspeito, verifique o remetente e tente entrar em contato a partir de uma outra tecnologia, como telefone, por exemplo.

Ou responda o e-mail solicitando mais detalhes sobre o caso antes de confirmar qualquer coisa.

Quid pro quo

O Quid pro quo é uma abordagem de troca inconsciente. Alguém oferece algo em troca de outra coisa. Um clássico exemplo dessa estratégia seriam as falsas pesquisas, que podem ocorrer nas ruas ou dentro do ambiente empresarial.

Outro cenário para esta prática é no atendimento técnico de pessoas, seja para TI ou outras situações em que alguém com conhecimento avançado em algo pode aproveitar-se da falta de conhecimento de uma outra pessoa para ter acesso a seus dados.

Para evitar o quid pro quo é necessário questionar mais antes de responder qualquer formulário ou pesquisa, pois uma vez que a vítima cede seus dados, não há como voltar atrás.

É uma falsa sensação de benefício em troca de dados pessoais.

Sextorsão

A sextorsão (sexo + extorsão) é um crime virtual em que a vítima é chantageada a realizar uma ação ou transferir algum valor monetário caso não queira que fotos ou vídeos íntimos dela sejam divulgados.

Embora seja uma prática antiga ganhou muita popularidade nos últimos anos pelo vazamento de diversos materiais envolvendo pessoas publicamente expostas, além de também ser utilizada como tática da engenharia social ao dispersar o medo da exposição em ataques por phishing.

Quando uma vítima possue algum e-mail exposto e que possa ser encontrado por botnets, é muito provável que receba tentativas de diversos tipos de ataques, incluindo a sextorsão.

Para se proteger dessas tentativas basta atentar-se aos fatos:

As informações no e-mail recebido fazem sentido para o hábito de exposição do usuário?

Caso negativo, não deve ser uma grande preocupação do usuário.

No entanto, caso o usuário encontre semelhanças com seu padrão de navegação na internet, é melhor investigar antes de responder ou realizar qualquer ação.

Muitos e-mails desse tipo, para validar a legitimidade, informam uma senha que pode ou não ser a senha atual do usuário mas que certamente já foi usada em algum momento e por uma brecha do site em que era utilizada, foi publicamente exposta.

Caso seja a senha atual do e-mail da vítima, é necessário a alteração imediata, incluindo nos outros serviços em que é utilizada.

A Engenharia Social sem tecnologia

Ataques sem tecnologia

Além dos ataques virtuais que se utilizam da engenharia social, existem práticas que dispensam o uso de qualquer tecnologia. Essas práticas são conhecidas como no-tech hacking.

Em ambientes corporativos ou até mesmo em outros lugares recorrentes como transportes públicos e escolas, utilizamos dispositivos móveis e computadores e muitas vezes não nos atentamos aos olhares de pessoas que possam estar observando nossas ações.

Conheça algumas das técnicas:

Dumpster Diving

O dumpster diving (mergulhando na lixeira em uma tradução livre), é uma das práticas mais comuns e cotidianas, sendo que podemos ser vítimas com intenções específicas ou não.

Trata-se do ato de vasculhar o lixo alheio para obter algum bem.

No dia a dia, a prática é vista de maneira não específica principalmente com pessoas em situações de rua, que buscam comida nos lixos jogados pela vizinhança.

Mas no mundo da tecnologia, vasculhar o lixo não é apenas uma ação de desespero, pois resíduos, peças ou até mesmo dispositivos com falhas podem ser descartados pelas companhias e tornarem-se alvo de algum tipo de vazamento ou boato.

Uma das razões da importância de um treinamento para os funcionários e também orientá-los sobre como descartar o que é produzido dentro da companhia.

Muitos lugares possuem uma política de descarte para formalizar a ação e blindar qualquer tipo de vazamento ao tornar os itens inutilizáveis, além de aplicar políticas de sustentabilidade.

Em 2003, estudantes de ciência da computação encontraram mais de 5 mil números de cartões de créditos, registros pessoais e empresariais, dados médicos e e-mails ao vasculhar 158 discos descartados por sua universidade.

Shoulder Surfing

O Shoulder Surfing consiste na prática de observar as ações que uma pessoa está realizando em dispositivos como um celular ou um computadores.

Em geral, é algo comum e inocente que muitas vezes realizamos inconscientemente.

Mas para os hackers mal intencionados, o ato pode significar muito mais do que uma simples curiosidade e tornar-se uma oportunidade de descobrir e memorizar combinações, senhas ou informações pessoais da vítima.

A mesma prática também pode ocorrer em outros ambientes, como no uso de um caixa eletrônico, por exemplo. Por isso é preciso estar atento ao que ocorre ao redor, mesmo quando estamos dedicados a algum dispositivo.

Para minimizar esse tipo de ação já existem filtros para celulares que dificultam a visualização do que está sendo exibido na tela quando a pessoa está localizada lateralmente ao aparelho.

Tailgating

O tailgating, diferente das outras práticas, é mais complexa e pode trazer maiores prejuízos, sua ação consiste no acesso a lugares restritos através de pessoas autorizadas, ou seja, o criminoso se aproveita – através da interação com alguma pessoa autorizada, para acessar algum local restrito.

Um exemplo muito simples da prática pode começar em um simples elevador.

O criminoso e funcionário interagem e logo ao chegar no andar da empresa, se aproveita da entrada credenciada do colaborador para entrar no local.

Por ser uma técnica mais complexa, é mais rara de acontecer – especialmente em ambientes mais robustos, como é o caso de grandes empresas que já estão preparadas para combater acessos ilegais.

Considerada a mais antiga das abordagens de engenharia social, e até mesmo precedente a internet, utiliza-se na maioria das vezes da bondade da vítima, como quando alguém está com as mãos tão ocupadas que uma pessoa gentil decide ajudar ao abrir e segurar a porta.

Os objetivos do impostos podem variar mas na maioria das vezes envolve o interesse na obtenção de ativos valiosos ou informações confidenciais para atingir a empresa ou algum funcionário diretamente.

Como proteger funcionários da Engenharia Social

Muitas empresas erram na prevenção contra golpes virtuais ao só importarem-se com eles após uma primeira ocorrência.

A verdade é que quando falamos que a maior vulnerabilidade de segurança no ambiente corporativo é o fator humano e não suas tecnologias, não estamos falando que os funcionários são menos competentes, mas sim, que todos podem ser persuadidos.

É por isso que uma boa estratégica para combater a engenharia social possui duas características:

  • Prevenção.
  • Constância.

O fato de ser preventiva mostra que a organização já está preparada para caso algo aconteça, ela reconhece o problema e suas probabilidades, e só isso já é o suficiente para afastar muitos criminosos entusiastas.

Quanto a ser constante, é para que os funcionários também estejam sempre alertas sobre o perigo e não apenas em campanhas específicas ou ações reativas a ataques sofridos.

Em outras palavras, a prevenção é a melhor arma contra ataques de engenharia social.

Como identificar e-mails falsos

Reconhecer um e-mail falso pode parecer uma tarefa fácil, até mesmo automática para muitas pessoas. Mas a verdade é que a tarefa está se tornando um pouco mais complexa do que costumava ser.

Se antes bastava conferir o remetente da mensagem @empresa, hoje diversos serviços de disparo de e-mail já não recebem um endereço personalizado, mas sim, um gerado automaticamente pelo serviço, o que dificulta que o reconhecimento ocorra dessa maneira.

Outro detalhe é que visualmente os e-mails falsos estão idênticos as suas versões originais.

Então como reconhecer um e-mail falso?

Confira o remetente da mensagem

Embora e-mails gerados automaticamente estejam dificultando o reconhecimento de alguns remetentes, no geral, os e-mails falsos tentam replicar o endereço original da empresa para confundir o usuário na desatenção.

Para isso eles criam, por exemplo, endereços parecidos porém com detalhes numéricos.

E em tentativas de golpes de menor qualidade, o próprio e-mail entrega não se tratar de algo legítimo e dependendo do domínio ou formato, o serviço de e-mails por desconhecer ou ter casos recorrente de endereços parecidos, nem mesmo permite que a mensagem chegue ao usuário final, ativando a proteção contra spam.

Links internos

Sempre que um e-mail contêm links ao longo da mensagem, a proteção spam de um serviço de e-mail de qualidade já o analisa de uma outra maneira, sendo que caso o link seja popularmente malicioso, a proteção é ativada automaticamente.

Mas o sistema não é perfeito e falha em inúmeros casos, pois alguns domínios são novos e ainda não tem nenhuma reputação (negativa ou positiva), por exemplo.

Neste caso, é importante analisar duas coisas:

Em que parte do texto os links são inseridos

Quando um hiperlink é criado em cima de um texto, por exemplo “acesse o site”, a primeira coisa que deve ser verificada é se o link corresponde ao texto.

Verifique o formato de link

Existem links que se assemelham ao original com o detalhe de algum caractere especial para possibilitar o registro do domínio.

Mas no geral, muitos links maliciosos terão um formato diferente, nada familiares. Caso ao passar o mouse por cima do link e notar que o mesmo possui um formato diferente, não clique.

O ideal é pesquisar pelo domínio principal e ver os resultados que aparecem. Caso não há muito material disponível na internet, desconfie. Entre em contato com a empresa antes de clicar em qualquer coisa, assim é possível garantir a segurança do link.

Ao analisar essas duas características será muito mais fácil de identificar a autenticidade de um e-mail e, principalmente, segurança dos links apontados no corpo dele.

Desconfie de ofertas inesperadas muito vantajosas

Embora todos queiram acreditar que foram contemplados com alguma promoção, é preciso tomar cuidado quando a oferta parece ser boa demais para ser verdade.

Por isso, antes de qualquer ação em um e-mail desse tipo, verifique as informações diretamente com o remetente – no caso a empresa que enviou o e-mail.

Um e-mail falso é um dos principais meios de contato para a aplicação de um golpe por phishing.

Portanto, é preciso tomar cuidado com abordagens não esperadas que apresentem uma oferta muito vantajosa, tanto de empresas conhecidas como desconhecidas.

O e-mail acompanha anexo um boleto, nota fiscal ou fatura

Empresas que enviam qualquer tipo de cobrança ou nota fiscal por e-mail devem apresentar algum tipo de comprovação de que os arquivos são legítimos, além do mais, é importante refletir se um desses documentos é necessário – como resultado de alguma transação realizada.

Jamais faça o download sem ter certeza de que o arquivo é legítimo e muito menos o pagamento.

No caso de cobranças recorrentes, como assinaturas de telefone, celular, internet, basta atentar-se aos valores e dados informados no corpo do e-mail, caso não especifique o titular correto ou o valor esteja diferente do usual, confirme diretamente com o remetente.

Caso exista alguma pendência, solicite um novo boleto para garantir o pagamento da versão correta de preferência.

O próprio e-mail se contradiz ou possui muitos erros de português

Erros básicos podem ser cometidos em e-mails falsos.

Às vezes, as cores e fonte não batem com a identidade da marca, ou o texto possui muitos erros de português ou ainda, possuem um discurso contraditório.

É por isso que grande parte do processo de identificar um e-mail falso é a atenção do usuário ao observar as características mencionadas acima.

Também é possível verificar a existência de um e-mail através da ferramenta gratuita CaptainVerify.

Como identificar sites falsos

Com os sites falsos cada vez mais parecidos com suas versões originais, torna-se cada vez mais difícil diferenciá-los visualmente.

No entanto, ainda sim é possível identificar e apontar suas diferenças técnicas para garantir que o acesso ocorra na versão correta do site.

Durante o check up de um site, é muito importante verificar as seguintes características:

A URL do site

A primeira coisa a ser observada para descobrir se um site está correto ou não, é reparar em sua URL.

Isso porque em muitos casos o domínio não corresponde ao original, ou apesar de ser semelhante, é acompanhado por números e caracteres especiais.

A quantidade de anúncios

Embora seja uma fonte de renda para muitos sites, é pouco provável que um site confiável exceda nas propagandas na página e, principalmente, se essas forem invasivas (como é o caso de pop-ups).

Caso já tenha acessado o site anteriormente e notou um aumento estranho na quantidade de anúncios, talvez seja um bom motivo pra desconfiar da veracidade da página.

Ou ainda, observar o conteúdo dos anúncios pode fazer toda diferença, pois se estiverem fora de contexto ou nem ao menos se associarem as suas pesquisas recentes, pode haver algo de errado ou o serviço de anúncios ser de baixa qualidade.

Semelhante, mas é idêntico?

Normalmente, até os sites que “clonam” as versões originais possuem detalhes que se diferenciam, pois as vezes não acompanham suas atualizações ou simplesmente não chegaram no mesmo nível de programação da página.

Por isso, caso já tenha acessado o site anteriormente, vale a pena dar uma olhada mais clínica nos detalhes para verificar as informações.

Velocidade de carregamento

Os sites falsos muitas vezes são hospedados em servidores de baixa qualidade, e caso o site original tenha uma estrutura mais ágil, é mais fácil reparar na diferença de qualidade de uma versão para a outra.

Mas também é importante lembrar que em momentos de instabilidade é possível que até mesmo grandes sites tenham problemas momentâneos como erros no carregamento ou na própria velocidade.

Se a necessidade de acesso não é imediata, vale a pena atualizar a página (F5) ou até mesmo aguardar alguns minutos para checar novamente se as coisas seguem da mesma maneira.

Verifique se o site possui Certificado SSL

O certificado SSL é uma necessidade para todo tipo de site, principalmente se ocorre qualquer tipo de transação dentro do site. Ao longo dos últimos anos o certificado tornou-se tão importante que o Google passou a penalizar, nos resultados de busca, sites que não estejam certificados.

A boa notícia é que não há diferença entre certificados pagos ou gratuitos. Mas existem diferentes tipos de certificado que devem ser considerados de acordo com a finalidade do site.

O que é um certificado SSL?

Um certificado SSL (Secure Socket Layer) é um recurso de segurança para páginas na internet que garante a proteção na troca de dados entre o servidor e o usuário.

Isso é possível através de seu processo de encriptação, que pode possuir diferentes complexidades de acordo com o tipo de certifica, que funciona para apenas um site e no máximo seus subdomínios na maioria dos casos.

O certificado impede que a conexão dos visitantes com um site sejam interceptadas ou ocorra o vazamento de qualquer informação sensível, pois os dados serão mascarados no processo de encriptação.

Como identificar se um site é corretamente encriptado

Junto da penalização do Google, a maioria dos navegadores passou a exibir o termo “não seguro” na barra de endereços para sites que não possuam nenhum certificado configurado.

Caso tudo esteja bem configurado, os usuários verão um cadeado na cor verde na barra de endereços ou até mesmo o nome da empresa dependendo do tipo de certificado, que deve ser superior no caso de empresas que lidam constantemente com dados pessoais de seus usuários.

Como no caso de agências bancárias.

Se o cadeado estiver de outra cor que não seja verde – especialmente vermelho, ou o aviso de “não seguro” esteja aparecendo, considere não preencher nenhum campo que solicite suas informações pessoais, pois isso pode ser o gatilho para alguma série de abordagens maliciosas.

Como conscientizar sobre ataques sem tecnologia

Assim como nas vulnerabilidades tecnológicas, a melhor ferramenta contra os ataques sem tecnologias é a prevenção.

Existem diferentes medidas que podem ser aplicadas em diferentes situações para evitar que roubem informações pessoais ou de sigilo empresarial:

No ambiente de trabalho

Manter gavetas e armários fechados.

Holerites, documentos e diversos outros arquivos impressos, com informações sensíveis, podem tornar-se uma vulnerabilidade ao serem facilmente vistas por colegas no ambiente corporativo.

Por isso, é importante manter as gavetas e armários fechados, e instruir os funcionários a levarem tudo o que for crítico para casa no final do expediente, ou disponibilizar um armazenamento específico para este fim.

Minimizar ou encerrar softwares que exponham dados da empresa ou funcionário.

Especialmente em empresas em que as mesas e computadores estiverem expostas em ambiente aberto, é muito comum que, quase inconscientemente, funcionários “bisbilhotam” o que outros estão executando no dispositivo.

Embora na maioria das vezes isso não represente nenhum problema, pode representar uma vulnerabilidade ao gerar oportunidades para pessoas com más intenções.

Não compartilhar login e senha com nenhum colega de trabalho.

Talvez a prática mais comumente difundida em qualquer ambiente, o compartilhamento de senhas é uma das práticas simples que podem causar as piores consequências a um trabalhador.

Imagine que ao fornecer a senha, a pessoa não apenas ganhar acesso total aos recursos disponibilizados para o dono da conta como também abre uma nova vulnerabilidade para seus dados pessoais, que podem a qualquer momento ser obtidos por algum usuário mal intencionado dependendo da prática do novo portador das informações de acesso.

Na necessidade de ausentar-se da mesa de trabalho, realizar o logout até o retorno.

Isso pode ser feito através do menu iniciar ou CTRL + Alt + Del caso esteja utilizando o Windows como sistema operacional.

Da mesma maneira que é importante fechar gavetas e armários que contenham documentos críticos, é essencial que os integrantes de qualquer equipe em uma empresa recebam o treinamento adequado para adquirirem o hábito de, ao ausentar-se da mesa de trabalho, encerrem a sessão de login no computador.

Isso porque ao manter o sistema logado o usuário abre brechas para que outras pessoas acessem ou alterem um arquivo específico que possa comprometer a vítima.

Não jogue documentos inteiros no lixo, rasgue-o ou fragmente caso seja uma opção no local de trabalho.

Jogar documentos e itens críticos como cartões de crédito, exames ou papéis com outras informações podem abrir brechas para a prática de no-hacking conhecida como “dumpster diving”, que consiste basicamente na vulnerabilidade encontrada num lugar muito comum: as lixeiras.

Em situações externas, evitar ao máximo mencionar informações internas da empresa (quadro de funcionários, rotinas, procedimentos).

Exceto quando receber instruções específicas e treinamento de uma assessoria de imprensa, por exemplo.

Colaboradores bem informados sobre a própria organização nunca representarão algo negativo.

No entanto, é importante que os mesmos sejam instruídos nos lugares e momentos em que poderão falar sobre os temas internas.

Pessoas passam por diversos ambientes, além da empresa, ao longo do dia: transportes públicos, outras empresas e claro, a própria residência.

Todos os lugares externos podem abrir vulnerabilidades para que pessoas de fora ganhem acesso a informações privadas e que podem usar para finalidades de impacto negativo.

Coletar documentos impressos logo em seguida.

Impressão em rede é um excelente recurso para a maioria das empresas, afinal, diminui a necessidade de espaços físicos para diversas impressoras e permite que os funcionários compartilhem um mesmo equipamento.

No entanto, o compartilhamento desse dispositivo pode abrir vulnerabilidades para que pessoas tenham acesso ao que foi impresso antes mesmo de quem o solicitou.

E por isso recomendação geral é de que os documentos sejam coletados logo depois da impressão ser solicitada.

Em dispositivos

Se marketplaces oficiais como a Play Store, com todas as medidas que já tomam para a segurança de seus usuários, Instalar somente softwares e aplicativos de fontes confiáveis.

sofrem com esporádicas falhas na verificação e aprovação de aplicativos, os catálogos alternativos são ainda menos confiáveis.

Manter todo o sistema atualizado.

Os softwares de melhor qualidade atualizam seus protocolos de segurança na medida em que novas vulnerabilidades tornam-se conhecidas. Além de ter uma boa seleção de aplicativos com esta prática, é essencial que as atualizações manuais sejam feitas regularmente.

Realizar uma varredura com o antivírus de preferência antes de abrir qualquer download realizado.

Ao realizar o download de algum arquivo, da fonte menos para a mais confiável, é importante realizar a verificação (quando já não for realizada automaticamente) do arquivo, pois assim é possível reduzir as chances do arquivo instalar algum tipo de vírus no sistema.

Não memorizar senhas em computadores públicos ou de uso compartilhado.

Incentive funcionários a desabilitar a memorização de senhas em computadores públicos ou espaços compartilhados, incluindo contas privadas quando estiverem no espaço de trabalho.

Embora torne as coisas mais rápidas, é também a maneira mais fácil de permitir um acesso fraudulento.

Para que a prática seja funcional, também é essencial que o logout seja realizado ao final do uso.

Em transações bancárias

Acompanhar o extrato bancário de maneira recorrente para garantir que nenhum gasto desconhecido ou suspeito foi realizado.

Não há tempo e nem recomendável visitar agências bancárias ou caixas eletrônicos com grande frequência, no entanto, todo banco possui um aplicativo ou meio de acesso a conta através de um navegador ou smartphone e a maioria avisa em tempo real as transações realizadas.

Mas quando isso não acontece, é importante verificar regularmente o extrato através deste recurso.

Bloquear imediatamente qualquer cartão bancário perdido.

Defina como mandatório o bloqueio de qualquer cartão corporativo perdido por um colaborador, assim como incentivá-los a fazer o mesmo quando ocorrer com seus cartões pessoais.

A maioria dos cartões de crédito permite transações online apenas com os números informados no cartão e o nome do titular.

Nas agências bancárias, aceitar ajuda somente de pessoas devidamente uniformizadas e com as informações no crachá.

Embora muitas pessoas bem intencionadas busquem genuinamente ajudar alguém, o contrário também é possível.

Instrua funcionários a jamais aceitar ajuda de alguém sem algo que o identifique como funcionário do banco, e ainda com a presença de um crachá, evite compartilhar informações sigilosas como a senha do cartão.

Em e-mails e redes sociais

Verificar sempre o remetente do e-mail.

É importante que o remetente de todas as mensagens sejam verificados no ambiente corporativo. Pequenas variações no endereço de e-mail ou até mesmo uma grande diferença podem denunciar uma tentativa de phishing.

Desconfiar de todo e-mail, com remetente desconhecido, que possui anexos e links.

Se além de desconhecido o e-mail demande algo que deve ser feito muito rápido ou disponibiliza algum arquivo não solicitado, jamais realize o download e não faça a abertura de nenhum PDF.

Não compartilhar notícias ou informações que não possam ter a autenticidade comprovada.

As fake news ganham força principalmente por pessoas que observam apenas o título das matérias ou tem afinidade com o tema, ainda que não o tenham conferido.

Por isso é preciso conscientizar os colaboradores para garantir que aprendam a verificar tudo o que compartilham.

Fazer o controle de privacidade nas principais redes sociais.

Com a chegada da GDPR, todas as redes sociais passaram a possuir uma área restrita que permite a personalização da privacidade de dados.

Se no trabalho os funcionários precisam utilizar alguma rede social, ensine-os a configurarem o setor da maneira correta.

Evitar o envio de dados sensíveis por e-mail ou telefone, ainda que venham de algum colega de trabalho.

Aplique protocolos na organização que impeçam a troca de dados sensíveis por redes sociais ou em alguns casos, até mesmo através de e-mails.

Sua empresa está preparada?

Vimos que a Engenharia Social pode ser devastadora para uma organização.

sua abordagem explora características emocionais que tornam qualquer ser humano uma possível vítima.

E é por isso que para combatê-la, é necessário uma mudança de cultura em que todos sintam-se incentivados a:

Ter mais consciência

das informações que estão sendo compartilhadas – Isso vale para momentos de comunicação verbal (fora e dentro do trabalho) e também para redes sociais ou ferramentas de comunicação interna.

Definir as informações mais importantes

que precisa proteger, pois assim o processo de tomada de decisões emergenciais torna-se mais fácil ao dar prioridade na segurança desses dados.

Abraçar a cultura de sentimento de dono

para que todos os funcionários sintam-se responsáveis pelas informações e segurança da empresa de maneira autêntica.

Questionar mais.

Assim até mesmo o fator humano adquire sua própria “camada de proteção”.

Preparamos um guia sobre Engenharia Social

É possível que após ler o conteúdo você queira saber ainda mais sobre Engenharia Social, e o principal, como dar os primeiros passos na prevenção.

Pensando nisso, preparamos um guia exclusivo com tudo o que você precisa saber para proteger sua organização:

Quer começar a agir? A gente pode ajudar!

Converse com um especialista em segurança da informação da Compugraf para descobrir como sua empresa pode começar a se prevenir dos ataques de engenharia social ainda hoje.

engenharia socialphishing
Read more
  • Published in Segurança da Informação
No Comments

Momo e os desafios da segurança da informação para o público infantil

quinta-feira, 11 abril 2019 by admlan

Recentemente um assunto ligado à segurança da informação gerou pânico entre os pais e profissionais da educação: o Desafio da Momo.

Segundo relatos, vídeos infantis públicados no YouTube tinham sido violados e, durante o conteúdo, surgia a medonha figura da Momo (lenda urbana japonesa), desafiando e ensinando as crianças a cortarem os próprios pulsos ou se enforcarem.

O assunto teve grande repercussão, trazendo à tona  os perigos que rondam o acesso infantil à internet. Isso só ressalta a necessidade de pais e escolas priorizarem a segurança da informação para impedir que qualquer material inadequado seja acessado pelas crianças – que ainda não possuem condições de discernir totalmente entre fantasia e realidade.

Momo: perigo real ou imaginário?

Os pais podem respirar mais aliviados: não há nenhuma evidência de que vídeos com o Desafio da Momo estivessem de fato disponíveis no YouTube. Tanto a plataforma de vídeos, ONGs de segurança digital e até o Ministério Público não encontraram indício algum disso.

Isso não significa que não existam motivos para preocupação: a ameaça da possível presença de conteúdos deste tipo – ou um boato sobre a existência deles – pode se transformar em risco para o equilíbrio emocional dos mais novos.

Surgiram uma série de relatos nas redes sociais sobre crianças que ficaram tão assustadas com a história da Momo que passaram a ter dificuldade em dormir sozinhos ou com medo de ir para a escola. Isso só mostra o potencial destrutivo de personagens de terror na mente infantil.

Mas é preciso ir além: os perigos de situações ultrapassam as questões emocionais. Casos como este expõem a necessidade de uma política rígida de segurança da informação, que possa proteger as crianças de ameaças digitais – dentro de casa e no ambiente educacional.

Preparando as crianças para o mundo digital

Especialistas em segurança da informação acreditam que o Desafio da Momo é mesmo uma brincadeira de muito mau gosto, mas que serve de alerta para pais e professores sobre os perigos que o mundo digital pode oferecer às crianças.

Cada vez mais, é essencial preparar as crianças para uma navegação mais segura e consciente. E por utilizarem a internet como ferramenta educacional, as escolas também têm um papel essencial nessa conscientização digital sobre segurança da informação.

Mais do que isso: as escolas têm responsabilidade em relação ao que os seus alunos acessam quando estão em suas dependências, podendo responder judicialmente pelas consequências dessa utilização.

É fundamental que as instituições de ensino promovam uma política de segurança da informação, que englobe não só regras claras em relação aos acessos. É preciso colocar em prática um planejamento voltado à segurança digital que leve em conta as particularidades do ambiente escolar e possa conciliar a promoção do conhecimento com a segurança da informação.

Como sua escola pode proteger as crianças de ameaças digitais?

Visando oferecer experiências online seguras para crianças em idade escolar, a Check Point Software criou o SandBlast for Education.

Através desta solução, sua instituição se protege e protege os alunos de conteúdo inapropriado, ataques de phishing e cyberbullying nas redes sociais.

Com SandBlast for Education é possível também:

  • Monitorar e alertar a escola sobre o comportamento online dos alunos, protegendo-a contra ameaças cibernéticas;
  • Criar uma lista de segurança com palavras-chave que não devem ser acessadas – como “Momo” ou “Baleia Azul“, por exemplo;
  • Prevenir o cyberbullying em chats, mensagens instantâneas e redes sociais;
  • Proteger informações sensíveis armazenadas no ambiente educacional, que são muito visadas por cibercriminosos: dados pessoais, progresso acadêmico, informação comportamental, disciplinar e médica.

Ainda que o Desafio da Momo não tenha passado de uma  farsa viral, ele deixa um alerta: o mundo digital está aí e alunos e escolas podem estar vulneráveis a ataques de cibercriminosos.

É  preciso ensinar os mais novos como usufruir de seus benefícios sem ficarem expostos a perigos – que são muito reais!

É necessário também que as escolas busquem soluções tecnológicas para reduzir riscos online, evitando que crianças tenham acesso a conteúdos inadequados para sua faixa etária e/ou que coloquem em risco sua segurança e de todo o ambiente digital escolar.

Converse com os especialistas da Compugraf e conheça SandBlast for Education, a solução em Segurança da Informação que protegerá seu estabelecimento de ensino – e seus alunos também!

 

acesso infantil à internetbaleia azulCheck PointcriançascyberbullyingDesafio da Momomomonavegação seguraphishingSandBlastsegurança da informação
Read more
  • Published in Segurança da Informação
No Comments
  • 1
  • 2

Procurar Fóruns

Somos especialistas em segurança
digital e comunicação corporativa, oferecendo estratégias inovadoras e larga experiência em projetos de segurança da informação.

Endereço
Av. Angélica, 2346, São Paulo SP
Telefone
(11) 3323-3323
Central de Suporte
(11) 3323-3322 | 3003-4747
Onde nos encontrar
  • Home
  • A Compugraf
  • Parceiros
  • Blog
  • Contato
  • Contato DPO
  • Código de Conduta e Ética

2018 todos os direitos reservados - ® - Compugraf | Desenvolvido por Compugraf

TOP