Hoje quero falar para vocês sobre o que é a Engenharia Social e quais são os perigos e que muitos estão totalmente expostos e nem perceberam.
Hoje andando aqui na rua da minha residência me deparei com um Lixo na frente de um prédio e neste tinha várias caixas de produtos recebidos pelo correios e o pior de tudo,
as pessoas nem se preocuparam em remover Nota Fiscal da Caixa, Etiqueta com endereço e outros dados.
É justamente ai que mora o perigo da Engenharia Social, mas antes de tudo vamos ver o que é a Engenharia Social.
Engenharia social é uma técnica empregada pelos criminosos virtuais destinada a induzir usuários desavisados a enviar dados confidenciais, infectar seus computadores com malware ou abrir links para sites infectados.
Exemplos de Engenharia Social
Por exemplo, enganar uma pessoa para que revele detalhes financeiros que são depois utilizados para levar a cabo uma fraude. A engenharia social não é realizada apenas através de métodos digitais. Os engenheiros sociais recorrerão a qualquer táctica para construir as estruturas necessárias para enganar as pessoas.
Por meio da engenharia social, os criminosos cibernéticos usam a interação humana para manipular o usuário a divulgar informações confidenciais. Como a engenharia social se baseia na natureza humana e nas reações emocionais, os invasores utilizam várias táticas para tentar enganá-lo online e off-line.
Mergulhadores de contentores de lixo usando Tácticas de Engenharia Social. Mergulhar em contentores de reciclagem de TI pode permitir aos mergulhadores de contentores de lixo obter informações pessoais sobre os empregados da organização. Isto pode ajudar no lançamento de ataques de engenharia social.
Se você pensa que a atuação dos hackers acontece apenas tentando invadir máquinas remotamente, escondendo vírus em scripts ou fazendo ataques de negação de serviço (DDOS), pense de novo. Já ouviu falar em engenharia social? Trata-se uma série de técnicas usada por hackers e crackers para roubar dados e aumentar suas chances de obter informações preciosas – e que podem comprometer sua empresa.
O pioneiro da engenharia social se chama Kevin D. Mitnick, autor do livro “A Arte de Enganar“. Suas façanhas foram registradas no filme “Caçada Virtual“, lançado em 2000. Ele é considerado o maior cracker da história dos Estados Unidos. Mitnick começou burlando sistemas telefônicos para pregar peças em seus amigos. Mas se especializou em invadir sistemas de empresas e governos. Tanto fez que acabou preso em 1995. Hoje, solto, dá palestras sobre segurança de dados pessoais e abriu uma empresa especializada no assunto.
Mas que técnicas são essas? Como funciona essa tal engenharia social? Nada mais é do que maneiras de manipular pessoas (de diversas maneiras) para obter informações confidenciais. E isso funciona tanto online quanto offline. Usa-se a engenharia social, geralmente, como parte de um esquema maior, para subtrair dados importantes. Parte-se do pressuposto de que enganar as pessoas é ligeiramente mais fácil do que invadir sistemas. Portanto, essas estratégias servem para abrir portas aos invasores. Muitas vezes, abrir portas pode ocorrer de maneira literal.
A engenharia social é bastante antiga, não é exclusividade do nosso mundo conectado. Antes, ela era usada para roubar informações e documentos físicos, dinheiro e outros bens. Ela continua a ser utilizada pelos larápios que trabalham exclusivamente no mundo real. E vem sendo adotada pelos criminosos virtuais para facilitar seu trabalho. Veja a seguir as principais técnicas de engenharia social e aprenda a se proteger dela.
Perigo no lixo
Você já parou para pensar no que está sendo jogado fora na sua empresa. Será que todas as informações confidenciais (impressas ou escritas em papéis, formulários e apostilas) está sendo descartada de maneira correta? Seus funcionários estão usando a fragmentadora de papel? Essa é uma das estratégias mais usadas pela engenharia social: revirar o lixo. Isso porque os descartes podem conter informações como nomes de funcionários, seus telefones, emails, senhas pessoais, senhas de sistemas, nome de fornecedores, clientes e outros contatos importantes. O lixo pode ser o primeiro passo para um ataque maior à sua empresa. Por isso, é preciso tomar bastante cuidado com o que se joga fora.
Informações estão disponíveis nas redes sociais e em mecanismos de busca
Todos nós estamos nas redes sociais, isso é inevitável. Mas, muitas vezes, deixamos disponíveis informações que são um prato cheio para a engenharia social. Com uma rápida busca, é possível encontrar números de telefone, emails, nomes de funcionários, cargos, amizades e lugares frequentados. Pode parecer paranóia, mas esses dados são potenciais portas de entrada para malfeitores sofisticados. É preciso orientar os funcionários a não expor informações pessoais de maneira aberta. Também é necessário tomar cuidado para que números de telefone e endereços de sua empresa não sejam divulgados de maneira desnecessária.
Cuidado com as conversas telefônicas
O bom e velho telefone pode ser um perigo, especialmente quando estamos falando de engenharia social. Existem inúmeras fraudes feitas usando esse meio de comunicação, não só aquelas que alvejam as grandes empresas. Por ser muito eficiente, é uma técnica bastante eficaz de obter informações de funcionários desavisados ou inocentes. Senhas, emails, outros telefones, nomes de funcionários e outras informações podem ser obtidas com uma simples ligação. Os colaboradores da sua empresa precisam estar treinados para desconfiar de qualquer ligação.
Manipulação em carne e osso
Essa estratégia de engenharia social é usada por diversos tipos de criminosos, de assaltantes a invasores cibernéticos. Apesar de ser muito conhecida, ainda é bastante efetiva. Como ela funciona? Um larápio se disfarça de prestador de serviço, alega ser um conhecido de um funcionário, um colaborador ou conta qualquer outra história para conseguir entrar na empresa. Uma vez lá dentro, podem tentar chegar ao datacenter ou vasculhar, procurando algum outro tipo de informação. Parece coisa que acontece apenas em filme de espião, mas não é. Afinal de contas, a arte imita a vida, e a engenharia social não foi inventada pelo cinema.
Phishing
Embora já seja quase clássico e muito conhecido dos profissionais da segurança da informação, o phishing ainda faz bastante sucesso na engenharia social. O método é sempre parecido: um email falso engana o destinatário (o funcionário da empresa, claro) e o faz clicar em um link maldoso ou a enviar informações pessoais ou confidenciais. Os disfarces são diversos: bancos, colegas de trabalho, Receita Federal, lojas online, etc. Para evitar que o phishing fisgue seus colaboradores, é preciso que todos fiquem sempre atentos a emails, especialmente os que vêm com links ou anexos. Suspeitar é melhor do que se arrepender.
Carona no papo dos outros
Acredite: uma maneira de obter informações é simplesmente batendo papo com pessoas desavisadas. O especialista em engenharia social pode se aproveitar de eventos sociais, festas, almoços, para se infiltrar entre funcionários de uma empresa. De maneira sutil, ele se engaja com essas pessoas e consegue extrair informações importantes. Faz perguntas a respeito de setores que supostamente não conhece, de pessoas importantes e consegue traçar um panorama geral, que pode ajudá-lo a extrair mais informações e a atacar a empresa. Por isso, é importante sempre ter controle de quem entra em sai em eventos, principalmente nos externos. Listas de nomes permitidos devem ser rigorosamente cumpridas para evitar esse tipo de estratégia de engenharia social.
Dispositivos esquecidos estrategicamente
Uma vez dentro do ambiente da empresa, o invasor pode usar algumas outras técnicas de engenharia social para extrair informações ou atacar. Ele pode, por exemplo, deixar um pendrive em um local visível e de grande circulação (o café?). É muito provável que ao menos uma pessoa não resista à curiosidade e conecte o dispositivo ao seu computador para verificar o que há ali. Essa é a porta de entrada para infecções importantes, que podem se espalhar por sua rede interna, comprometendo a segurança e as informações da sua empresa.
Fonte: FastHelp