Engenharia Social – Ataques de natureza humana

Share on facebook
Share on twitter
Share on linkedin
Share on reddit
Share on whatsapp

Não é nenhum segredo que o elo mais frágil na cadeia de segurança é o elemento humano. Usá-lo como trampolim para uma invasão é o principal alvo dos cibercriminosos.

Segundo dados de um relatório de segurança de 2017, considerando os últimos três meses do ano, os brasileiros acessaram, em média, oito links maliciosos por segundo. O WhatsApp foi o meio preferido para disseminar os links infectados, correspondendo a 66% do total registrado (29 milhões de casos), com destaque para fraudes por SMS (3,1 milhões), cópias maliciosas (755 mil) e ataques bancários (6 mil). No segundo e terceiro lugar dos ataques por links maliciosos, está, respectivamente, a publicidade maliciosa (6,3 milhões de casos) e o phishing bancário (4,5 milhões de casos). Todas estas ações são estratégias da engenharia social.

O que você vai ver neste post

Definição

A Engenharia social é um tipo de ataque que tem como objetivo manipular indivíduos, enganando-os para realizar ações ou divulgar informações confidenciais, como senhas e dados bancários, ou persuadi-los para permitir que o invasor, secretamente, acesse seus dispositivos e instale softwares maliciosos.

Uma das razões para o crescimento deste tipo de abordagem criminosa é o fato de ser mais fácil enganar alguém abusando de sua boa vontade em ajudar e explorando seus pontos fracos para revelar suas informações, do que, propriamente, hackear seu dispositivo.  A ingenuidade e falta de conhecimento em segurança, muitas vezes, são vilões.

Tipo de ataques

Os ataques de engenharia social possuem dois tipos de natureza. Eles podem ser:

  • Baseados em humanos (no-tech hacking) – utilizam táticas que requerem uma interação pessoal para alcançar o alvo, não usando recursos tecnológicos.
  • Baseados em tecnologia – utilizam equipamentos eletrônicos para se chegar ao alvo (e-mail, telefone, redes sociais, sites, mensagens instantâneas etc.). 

Ataques de engenharia social baseados em humanos

Dumpster Diving

(Mergulhando na lixeira, em português): refere-se ao ato de vasculhar o lixo alheio com o objetivo de recuperar algo de valor para consumo próprio. 

No dia a dia, é muito comum encontrar pessoas que vasculham o lixo alheio para localizar algo útil. No âmbito corporativo, isso também pode ocorrer; entretanto, a falta de atenção no processo de descarte de documentos pelas empresas, podem trazer informações sensíveis ou sigilosas para as mãos de pessoas mal-intencionadas.

Utilizando-se deste método, o cibercriminoso pode localizar dados sigilosos em documentos (telefones, e-mails, endereços, dados de reuniões, investimentos etc).

Além de recuperar as informações dos papéis, também é possível reaver dados de discos rígidos (HDs), pendrives e cartões de memória, mesmo após serem formatados, através de softwares específicos para esta finalidade. Em poder destas informações, o atacante pode evoluir para outras investidas, como: phishing, vishing etc.

A principal medida recomendada para evitar esse tipo de delito é a criação de uma política de descarte, que assegure que todos os papéis passem sejam triturados antes de serem descartados. No caso dos hardwares que armazenam dados, é essencial que estes passem por um processo de limpeza que garanta que os arquivos sejam apagados em definitivo.

Shoulder surfing

(Espiar sobre os ombros, em português): é o tipo de investida na qual o atacante ‘’olha sob o ombro da vítima’’, espionando sua tela, em busca de informações sigilosas ou senhas.

É comum em caixas eletrônicos e dispositivos que acessam contas de e-mail, internet banking ou redes sociais em locais públicos, como shoppings ou aeroportos.

A recomendação para evitar esse tipo de ataque é utilizar nos dispositivos um filtro de privacidade, uma película fumê que permite eu apenas quem o vê de frente e com proximidade, enxergue a tela. Além disso, é importante evitar digitar senhas ou ler informações sigilosas, perto de outras pessoas.

Tailgating

(Porta dos fundos, em português): fisicamente, é o método, no qual um indivíduo não autorizado ‘’segue’’ a vítima, que detém o acesso autorizado aos dados, até as localizações de acesso restrito, explorando sua boa vontade ou distração para obter informações valiosas. Podemos citar três situações práticas desta abordagem:

  • Exemplo 1, atacante toma emprestado um crachá de outro, sob o argumento de ter esquecido, e acessa salas que não tem autorização de entrada.
  • Exemplo 2, atacante toma emprestado um dispositivo, instala nele malwares e rouba dados da máquina.
  • Exemplo 3, atacante manipula uma pessoa que possui login e senha para fornecê-la, e em posse deles, acessa informações que não tem privilégios.
 

Como prevenir

A melhor maneira de evitar a engenharia social é não permitir que você seja enganado, adotando uma postura preventiva e atenta. A segurança deve ser um hábito incorporado ao cotidiano das pessoas.

Os cuidados e preocupações que um usuário deve ter com relação ao uso da internet devem ser os mesmos que teria no dia a dia, como visitar apenas lojas confiáveis, atentar-se quando ir ao banco, não passar informações para estranhos etc. Os riscos e golpes aplicados na internet são similares aos que ocorrem na rua ou por telefone.

Práticas de comportamento e uso da Internet recomendadas para trazer mais segurança ao usuário e para a Organização

  • Bloquear o computador ao se ausentar do posto de trabalho, para que ninguém acesse seus dados;
  • Não disponibilizar logins e senhas com outros colegas de trabalho;
  • Não comentar assuntos corporativos em locais públicos;
  • Não postar informações sigilosas nas redes sociais;
  • Reportar ao Time de qualquer comportamento suspeito na internet;
  • Seguir as políticas de segurança de informação da empresa;
  • Não fotografar telas de computador, documentos e o ambiente de trabalho, sem autorização prévia;
  • Ter cuidado com os e-mails recebidos, remetentes e links suspeitos.

No próximo artigo falaremos de investidas de Engenharia Social baseados em Tecnologia, como prevenir, identificar e remover este tipo de ciberataque.
 
O VaultOne evita violações de dados causadas por abuso de privilégios. Sua plataforma combina gerenciamento de acesso privilegiado (PAM na sigla em inglês), gerenciamento de identidades (IAM na sigla em inglês) e gerenciamento de senhas (PM na sigla em inglês).
 
A plataforma automatiza processos de segurança, compartilha senhas, chaves e outros segredos, concede ou nega acesso com base em funções e grupos, grava sessões e fornece material para análise forense, auditoria e rastreamento de violações. Isso permite que seus usuários trabalhem com segurança onde quer que estejam por meio do acesso remoto seguro.
 
Fale com nossa equipe e descubra como podemos deixar sua Organização mais segura.

ACOMPANHE
nossas redes

RECEBA NOTÍCIAS
no seu e-mail