-
Táticas de engenharia social e como os cibercriminosos manipulam a psicologia humana.
-
12 de agosto de 2024
-
A engenharia social é um método de ataque que explora as fraquezas humanas em vez das tecnológicas. Em vez de tentarem entrar à força num sistema, os cibercriminosos manipulam as pessoas para que entreguem voluntariamente as informações que procuram. Através da manipulação psicológica , os invasores fazem com que as vítimas realizem ações que comprometem a segurança dos dados ou sistemas.
Phishing
ElephishingÉ uma das táticas de engenharia social mais comuns e eficazes. Envolve o envio de e-mails fraudulentos que parecem vir de fontes confiáveis, como bancos ou plataformas de mídia social. O objetivo é induzir a vítima a fornecer informações confidenciais, como senhas ou números de cartão de crédito. Esses e-mails geralmente incluem um link para um site falso, projetado para parecer legítimo, onde a vítima insere suas informações pessoais.
As variantes de phishing, como o spear phishinge o whaling, são direcionados a vítimas específicas, usando informações pessoais ou corporativas para tornar o ataque mais convincente. No caso de spear phishing, concentra-se em indivíduos ou funcionários de uma empresa, enquanto o whalingtem como alvo executivos de alto nível.
Pretexting: Crie uma história convincente
Ele pretextingé uma tática em que o invasor cria um cenário falso, ou "pretexto", para induzir a vítima a revelar informações confidenciais. Isso pode incluir se passar por um colega de trabalho, um técnico de suporte ou até mesmo uma figura de autoridade, como um policial. A chave para pretextingé que a história apresentada pelo agressor deve ser suficientemente credível para que a vítima não suspeite.
Por exemplo, um cibercriminoso pode ligar para um funcionário, fingindo ser do departamento de TI, e solicitar acesso à sua conta para resolver um problema técnico. Ao apresentar-se com uma atitude de autoridade e urgência, o agressor faz com que a vítima baixe a guarda e coopere.
Baiting: Pegue a vítima com uma armadilha tentadora
Elebaitingé uma tática na qual o invasor usa uma falsa recompensa ou incentivo para atrair a vítima. Um exemplo comum é deixar unidades USB infectadas em locais públicos, como estacionamentos ou cafeterias, esperando que alguém as pegue e conecte ao computador. Assim que se conectam, o software malicioso é instalado automaticamente no sistema da vítima.
Outra maneira de baitingPode envolver downloads gratuitos de software, músicas ou filmes. Os cibercriminosos oferecem esses arquivos em sites não oficiais, mas o arquivo baixado contém malware que compromete a segurança do dispositivo da vítima. A ideia é que a tentação de conseguir algo “de graça” turva o julgamento da pessoa, fazendo com que ela ignore possíveis riscos.
Quid pro quo: Uma troca fraudulenta
Ele quid pro quo, que significa "algo por alguma coisa", é uma tática em que o invasor oferece um serviço ou benefício em troca de informações ou acesso. Um exemplo comum é quando um cibercriminoso se faz passar por técnico de suporte e se oferece para corrigir um problema técnico em troca de credenciais de acesso.
Este tipo de ataque é especialmente eficaz em ambientes de trabalho onde os funcionários estão habituados a receber assistência técnica. O cibercriminoso pode prometer resolver um problema técnico urgente, e a vítima, ávida por ajuda, entrega as informações solicitadas sem questionar a legitimidade da oferta.
Personificação: fingir ser outra pessoa
A personificação é uma técnica de engenharia social em que o invasor finge ser outra pessoa, geralmente alguém em quem a vítima confia. Isso pode incluir se passar por um colega, chefe ou até mesmo fornecedor. Os ataques de falsificação de identidade são particularmente eficazes em ambientes corporativos, onde os funcionários muitas vezes obedecem às ordens dos superiores sem questionar.
Em alguns casos, os atacantes investigam as suas vítimas para obter detalhes específicos que tornem as suas ações mais credíveis. Usando informações publicamente disponíveis, como perfis de mídia social, o invasor pode personalizar sua abordagem e fazer com que sua solicitação pareça legítima. Por exemplo, você poderia enviar um e-mail se passando pelo CEO de uma empresa, solicitando uma transferência bancária urgente para uma conta controlada pelo invasor.
Evitando cair na armadilha
A proteção contra táticas de engenharia social requer uma combinação de conhecimento, cautela e ceticismo. É crucial educar os funcionários e o público em geral sobre os métodos utilizados pelos cibercriminosos. As organizações devem implementar programas de sensibilização para a segurança que incluam simulações de ataques de engenharia social para que os funcionários possam reconhecer e responder adequadamente a essas tentativas.
Além disso, é importante sempre verificar a identidade de qualquer pessoa que solicite informações confidenciais ou acesso a sistemas. As políticas de segurança devem incluir procedimentos para verificação de solicitações, como contatar diretamente a pessoa que supostamente fez a solicitação usando informações de contato oficiais e não através das informações fornecidas na mensagem recebida.
Portanto, a engenharia social continua a ser uma das ameaças mais insidiosas no cenário da segurança cibernética. Ao compreender as tácticas utilizadas pelos atacantes e tomar medidas proactivas, podemos reduzir significativamente o risco de cair nas suas armadilhas.
Comentarios:
Sin comentarios