Follow Us:

Engenharia Social – Ataques de natureza humana

Não é nenhum segredo que o elo mais frágil na cadeia de segurança é o elemento humano. Usá-lo como trampolim para uma invasão é o principal alvo dos cibercriminosos.

Segundo dados de um relatório de segurança de 2017, considerando os últimos três meses do ano, os brasileiros acessaram, em média, oito links maliciosos por segundo.WhatsApp foi o meio preferido para disseminar os links infectados, correspondendo a 66% do total registrado (29 milhões de casos), com destaque para fraudes por SMS (3,1 milhões), cópias maliciosas (755 mil) e ataques bancários (6 mil). No segundo e terceiro lugar dos ataques por links maliciosos, está, respectivamente, a publicidade maliciosa (6,3 milhões de casos) e o phishing bancário (4,5 milhões de casos). Todas estas ações são estratégias da engenharia social.

 

Definição

A Engenharia social é um tipo de ataque que tem como objetivo manipular indivíduos, enganando-os para realizar ações ou divulgar informações confidenciais, como senhas e dados bancários, ou persuadi-los para permitir que o invasor, secretamente, acesse seus dispositivos e instale softwares maliciosos.

Uma das razões para o crescimento deste tipo de abordagem criminosa é o fato de ser mais fácil enganar alguém abusando de sua boa vontade em ajudar e explorando seus pontos fracos para revelar suas informações, do que, propriamente, hackear seu dispositivo.  A ingenuidade e falta de conhecimento em segurança, muitas vezes, são vilões.

 

Tipo de ataques

Os ataques de engenharia social possuem dois tipos de natureza. Eles podem ser:

  • Baseados em humanos (no-tech hacking) – utilizam táticas que requerem uma interação pessoal para alcançar o alvo, não usando recursos tecnológicos.
  • Baseados em tecnologia – utilizam equipamentos eletrônicos para se chegar ao alvo (e-mail, telefone, redes sociais, sites, mensagens instantâneas etc.). 

 

Ataques de engenharia social baseados em humanos

Dumpster Diving (mergulhando na lixeira, em português): refere-se ao ato de vasculhar o lixo alheio com o objetivo de recuperar algo de valor para consumo próprio. 

No dia a dia, é muito comum encontrar pessoas que vasculham o lixo alheio para localizar algo útil. No âmbito corporativo, isso também pode ocorrer; entretanto, a falta de atenção no processo de descarte de documentos pelas empresas, podem trazer informações sensíveis ou sigilosas para as mãos de pessoas mal-intencionadas.

Utilizando-se deste método, o cibercriminoso pode localizar dados sigilosos em documentos (telefones, e-mails, endereços, dados de reuniões, investimentos etc).

Além de recuperar as informações dos papéis, também é possível reaver dados de discos rígidos (HDs), pendrives e cartões de memória, mesmo após serem formatados, através de softwares específicos para esta finalidade. Em poder destas informações, o atacante pode evoluir para outras investidas, como: phishing, vishing etc.

A principal medida recomendada para evitar esse tipo de delito é a criação de uma política de descarte, que assegure que todos os papéis passem sejam triturados antes de serem descartados. No caso dos hardwares que armazenam dados, é essencial que estes passem por um processo de limpeza que garanta que os arquivos sejam apagados em definitivo.

 

Shoulder surfing (espiar sobre os ombros, em português): é o tipo de investida na qual o atacante ‘’olha sob o ombro da vítima’’, espionando sua tela, em busca de informações sigilosas ou senhas.

É comum em caixas eletrônicos e dispositivos que acessam contas de e-mail, internet banking ou redes sociais em locais públicos, como shoppings ou aeroportos.

A recomendação para evitar esse tipo de ataque é utilizar nos dispositivos um filtro de privacidade, uma película fumê que permite eu apenas quem o vê de frente e com proximidade, enxergue a tela. Além disso, é importante evitar digitar senhas ou ler informações sigilosas, perto de outras pessoas.

 

Tailgating (porta dos fundos, em português): fisicamente, é o método, no qual um indivíduo não autorizado ‘’segue’’ a vítima, que detém o acesso autorizado aos dados, até as localizações de acesso restrito, explorando sua boa vontade ou distração para obter informações valiosas. Podemos citar três situações práticas desta abordagem:

  • Exemplo 1, atacante toma emprestado um crachá de outro, sob o argumento de ter esquecido, e acessa salas que não tem autorização de entrada.
  • Exemplo 2, atacante toma emprestado um dispositivo, instala nele malwares e rouba dados da máquina.
  • Exemplo 3, atacante manipula uma pessoa que possui login e senha para fornecê-la, e em posse deles, acessa informações que não tem privilégios.

 

Como prevenir

A melhor maneira de evitar a engenharia social é não permitir que você seja enganado, adotando uma postura preventiva e atenta. A segurança deve ser um hábito incorporado ao cotidiano das pessoas.

Os cuidados e preocupações que um usuário deve ter com relação ao uso da internet devem ser os mesmos que teria no dia a dia, como visitar apenas lojas confiáveis, atentar-se quando ir ao banco, não passar informações para estranhos etc. Os riscos e golpes aplicados na internet são similares aos que ocorrem na rua ou por telefone.

 

Práticas de comportamento e uso da Internet recomendadas para trazer mais segurança ao usuário e para a Organização

  • Bloquear o computador ao se ausentar do posto de trabalho, para que ninguém acesse seus dados;
  • Não disponibilizar logins e senhas com outros colegas de trabalho;
  • Não comentar assuntos corporativos em locais públicos;
  • Não postar informações sigilosas nas redes sociais;
  • Reportar ao Time de qualquer comportamento suspeito na internet;
  • Seguir as políticas de segurança de informação da empresa;
  • Não fotografar telas de computador, documentos e o ambiente de trabalho, sem autorização prévia;
  • Ter cuidado com os e-mails recebidos, remetentes e links suspeitos.

 

No próximo artigo falaremos de investidas de Engenharia Social baseados em Tecnologia, como prevenir, identificar e remover este tipo de ciberataque.

 

O VaultOne evita violações de dados causadas por abuso de privilégios. Sua plataforma combina gerenciamento de acesso privilegiado (PAM na sigla em inglês), gerenciamento de identidades (IAM na sigla em inglês) e gerenciamento de senhas (PM na sigla em inglês).

A plataforma automatiza processos de segurança, compartilha senhas, chaves e outros segredos, concede ou nega acesso com base em funções e grupos, grava sessões e fornece material para análise forense, auditoria e rastreamento de violações. Isso permite que seus usuários trabalhem com segurança onde quer que estejam por meio do acesso remoto seguro.

Fale com nossa equipe e descubra como podemos deixar sua Organização mais segura.

Copyright © 2020 Vault One