A engenharia social é um método não-técnico de hackers e que depende fortemente de interação humana, envolvendo enganar as pessoas para quebrar os procedimentos de segurança normais. É uma das maiores ameaças que as organizações encontram nos dias de hoje. A engenharia social é um componente de muitos, senão a maioria, das falhas de segurança mais graves. Os criadores de vírus usam táticas de engenharia social para convencer as pessoas a rodar anexos de e-mail contaminados, outros utilizam engenharia social para convencer as pessoas a divulgar informações confidenciais, e vendedores usam engenharia social para assustar as pessoas para rodar um software que é inútil ou perigoso para seus aparelhos eletrônicos.

Como a engenharia social acontece?

Uma pessoa que usa a engenharia social para invadir uma rede de computadores pode tentar ganhar a confiança de um usuário autorizado e levá-los a revelar informações que comprometem a segurança da rede. Os engenheiros sociais muitas vezes contam com a utilidade natural das pessoas, bem como as suas fraquezas. Eles podem, por exemplo, chamar um funcionário autorizado com algum tipo de problema urgente que requer acesso à rede imediato. Apelando à vaidade, apelando para a autoridade, apelando para a ganância. Espionagem à moda antiga é um outro exemplo de técnica típica de engenharia social.

Tipos de ataques de engenharia social

Baiting é quando um atacante deixa um dispositivo físico infectado com malware, tais como um pen drive ou CD-ROM, em um lugar que tem certeza que será encontrado. A pessoa que encontrar o item vai, potencialmente, utilizá-lo, e instalará o software malicioso, abrindo o computador para possível ataque.

Phishing é quando alguém envia um e-mail fraudulento disfarçado como um e-mail legítimo, muitas vezes, se apresentando de uma fonte confiável. A mensagem é para convencer o destinatário a instalar malware em seu computador ou dispositivo, ou compartilhar informações pessoais ou financeiras. Muito comum com bancos e instituições financeiras.

Pretexting é quando uma das partes mente para outra com o objetivo de obter acesso a dados privilegiados. Por exemplo, uma fraude pretexting pode envolver um atacante que finge precisar de dados pessoais ou financeiros, afim de confirmar a identidade do destinatário.

Quid pro quo é quando um atacante solicita informações pessoais de uma pessoa em troca de algo desejável. Por exemplo, um invasor pode solicitar credenciais de login em troca de um brinde gratuito.

Spam são e-mails indesejados que vão para sua caixa de emails, geralmente com ofertas suspeitas e com código malicioso para contaminar seu computador.

Spear phishing é como phishing, mas adaptado para um indivíduo ou organização específica. Nestes casos, o agressor está provavelmente tentando descobrir informações confidenciais específicas da organização receptora, afim de obter dados financeiros ou segredos comerciais.

Tailgating é quando uma parte não autorizada segue outra em um local de outro modo seguro, geralmente para roubar objetos de valor ou informações confidenciais. Isso muitas vezes envolve entrar em um prédio logo atrás de alguém com acesso, usando o mesmo login ou senha da pessoa que acabou de entrar ou simplesmente, segurando a porta aberta para passar.

Como combater a engenharia social?

Treinamento de conscientização de segurança pode percorrer um longo caminho na prevenção de ataques de engenharia social. Se as pessoas sabem o que formar um ataque de engenharia social é susceptível de levar, eles serão menos propensos a ser vítima de um. As organizações também realizar testes de penetração utilizando técnicas de engenharia social. Isso permite que as equipes de segurança de saber que os usuários apresentam um risco e, portanto, pode tomar medidas para remediar esse risco. O Toolkit Engenharia Social (SET) é uma ferramenta útil para criar ataques de engenharia social.

Entendendo melhor a engenharia social

A engenharia social é um risco cada vez maior e deve ser conhecido para que você se proteja contra fraudes. (Foto: www.engadget.com)

 

Como se proteger de ataques de engenharia social?

Outro aspecto de engenharia social depende de incapacidade das pessoas para manter-se com uma cultura que depende fortemente de tecnologia da informação. Os engenheiros sociais confiam no fato de que as pessoas não estão cientes do valor da informação que possuem e são descuidadas sobre protegê-la. Freqüentemente, os engenheiros sociais irão procurar lixeiras para informações valiosas, memorizar os códigos de acesso, olhar sobre o ombro de alguém ou tirar proveito de inclinação natural das pessoas a escolher senhas que sejam significativas para elas, mas podem ser facilmente descobertas.

Não se torne uma vítima

Se as mensagens transmitem uma sensação de urgência, ou usa táticas de vendas por pressão psicológica, seja cético e nunca deixe sua urgência influenciar a sua revisão cuidadosa de emails e mensagens.

Pesquise os fatos

Suspeite de quaisquer mensagens não solicitadas. Se o e-mail parece que é de uma empresa que você usa, faça sua própria investigação. Use um motor de busca para ir ao site real da empresa, ou uma lista telefônica para encontrar o seu número de telefone. Muitas destas empresas disponibilizam exemplos de emails mal intencionados em seus sites.

Exclua qualquer pedido de informação financeira ou senhas

Se você for solicitado a responder a uma mensagem com informações pessoais, é sempre uma farsa: NINGUÉM faz isso por email.

Rejeitar pedidos de ajuda ou ofertas de ajuda

Empresas e organizações legítimas não entram em contato com você para fornecer ajuda. Se você não solicitou especificamente a assistência a partir do remetente, considere qualquer oferta de “ajuda” uma farsa. Da mesma forma, se você receber um pedido de ajuda de uma instituição de caridade ou organização, exclua. Para dar, procurar organizações de caridade respeitáveis por conta própria para fazer doações.

Não deixe que um link controle seu destino

Mantenha o controle por encontrar o próprio site digitando o endereço na barra do navegador, evitando acabar em sites suspeitos.

Monitore seus emails

Principalmente com o problema do sequestro de emails. Monitore o seu e-mail para mensagens enviadas a outras pessoas contendo links e arquivos suspeitos, além de sempre escanear seu computador para programas e arquivos maliciosos.

Cuidado com qualquer download

Se você não conhecer o remetente, não baixe o arquivo. Ponto final!

Ofertas estrangeiras são falsas

Se você receber e-mail de uma loteria ou sorteio estrangeiro, o dinheiro de um parente desconhecido, ou pedidos de transferência de fundos para alguém no exterior.

Defina seus filtros de spam no email

Cada programa de e-mail tem filtros de spam. Para encontrar o seu, procure em suas opções de configurações, e defina estes para maior segurança. Lembre-se de verificar a sua pasta de spam periodicamente para ver se e-mail legítimos ficaram acidentalmente presos lá.

Proteja os seus dispositivos de computação

Instale software de proteção, antivírus, antimalware, firewalls, filtros de e-mail anti-vírus e mantê-los atualizados. Defina o seu sistema operacional, navegadores, computadores, smartphones e aparelhos para atualizações automáticas.

Como você se protege da engenharia social? Compartilhem suas estratégias nos comentários!