14Sep

O que é engenharia social e como você pode evitá-lo?

Malware não é a única ameaça em linha para se preocupar. A engenharia social é uma grande ameaça, e pode atingir você em qualquer sistema operacional. Na verdade, a engenharia social também pode ocorrer por telefone e em situações presenciais.

É importante estar atento à engenharia social e estar atento. Os programas de segurança não o protegerão da maioria das ameaças de engenharia social, então você deve se proteger.

Engenharia social explicada

Os ataques tradicionais de computador geralmente dependem de encontrar uma vulnerabilidade no código de um computador. Por exemplo, se você estiver usando uma versão desatualizada do Adobe Flash - ou, Deus não permita, Java, que foi a causa de 91% dos ataques em 2013 de acordo com a Cisco - você pode visitar um site malicioso e esse siteexploraria a vulnerabilidade em seu software para obter acesso ao seu computador. O invasor está manipulando bugs no software para obter acesso e coletar informações privadas, talvez com um keylogger que instalam.

Os truques de engenharia social são diferentes porque envolvem manipulação psicológica. Em outras palavras, eles exploram as pessoas, não o seu software.

Você provavelmente já ouviu falar de phishing, que é uma forma de engenharia social. Você pode receber um e-mail que reivindique ser de seu banco, empresa de cartão de crédito ou outro negócio confiável. Eles podem dirigi-lo para um site falso disfarçado para se parecer com um real ou pedir que você baixe e instale um programa malicioso. Mas tais truques de engenharia social não precisam envolver sites falsos ou malwares. O e-mail de phishing pode simplesmente pedir-lhe para enviar uma resposta por e-mail com informações privadas. Ao invés de tentar explorar um bug em um software, eles tentam explorar as interações humanas normais. O phishing de Spear pode ser ainda mais perigoso, pois é uma forma de phishing projetada para atingir indivíduos específicos.

Exemplos de engenharia social

Um truque popular em serviços de bate-papo e jogos online foi registrar uma conta com um nome como "Administrador" e enviar mensagens de pessoas assustadoras como "AVISO: Detectamos que alguém pode estar pirateando sua conta, responda com suasenha para autenticar-se. "Se um alvo responde com sua senha, eles caíram para o truque e o invasor agora tem a senha de sua conta.

Se alguém tiver informações pessoais sobre você, eles poderiam usá-lo para acessar suas contas. Por exemplo, informações como sua data de nascimento, número de segurança social e número de cartão de crédito são freqüentemente usadas para identificá-lo. Se alguém tiver essa informação, eles podem entrar em contato com uma empresa e fingir ser você.Este truque foi usado por um atacante para ganhar acesso ao Yahoo! de Sarah PalinConta de correio em 2008, enviando detalhes pessoais suficientes para obter acesso à conta através do formulário de recuperação de senha do Yahoo! .O mesmo método pode ser usado por telefone se você tiver as informações pessoais que o negócio precisa para autenticar você.Um atacante com alguma informação em um alvo pode fingir ser eles e ter acesso a mais coisas.

A engenharia social também pode ser usada pessoalmente. Um invasor pode entrar em uma empresa, informar a secretária de que eles são uma pessoa de reparo, novo funcionário ou inspetor de incêndios em um tom autoritário e convincente, e depois percorrer os salões e potencialmente roubar dados confidenciais ou plantar insetos para realizar espionagem corporativa. Este truque depende do atacante se apresentar como alguém que não são. Se uma secretária, um porteiro, ou qualquer outra pessoa que estiver no comando, não faça muitas perguntas ou olhe demais, o truque será bem sucedido.

Os ataques de engenharia social abrangem o leque de sites falsos, e-mails fraudulentos e mensagens de bate-papo nefasta até a personificação de alguém no telefone ou em pessoa. Esses ataques ocorrem em uma ampla variedade de formas, mas todos eles têm uma coisa em comum - eles dependem de truques psicológicos. A engenharia social tem sido chamada de arte de manipulação psicológica.É uma das principais maneiras pelas quais os "hackers" realmente "pirateiam" contas on-line.

Como evitar a engenharia social

Conhecer a engenharia social existe pode ajudá-lo a combater. Desconfie de e-mails não solicitados, mensagens de bate-papo e chamadas telefônicas que solicitam informações privadas. Nunca revele informações financeiras ou informações pessoais importantes por e-mail. Não faça download de anexos de e-mail potencialmente perigosos e execute-os, mesmo que um email afirma que eles são importantes.

Você também não deve seguir links em um email para sites sensíveis. Por exemplo, não clique em um link em um e-mail que pareça ser do seu banco e faça login. Isso pode levá-lo a um site de phishing falsificado disfarçado para parecer o site do seu banco, mas com um URL sutilmente diferente. Visite o site diretamente em vez disso.

Se você receber um pedido suspeito - por exemplo, um telefonema do seu banco solicita informações pessoais - entre em contato com a fonte do pedido diretamente e peça confirmação. Neste exemplo, você chamaria seu banco e perguntaria o que eles queriam ao invés de divulgar as informações para alguém que afirma ser o seu banco.

Os programas de e-mail, navegadores e conjuntos de segurança geralmente possuem filtros de phishing que o alertarão quando você visitar um site de phishing conhecido. Tudo o que eles podem fazer é avisá-lo quando você visita um site de phishing conhecido ou recebe um e-mail de phishing conhecido e eles não sabem sobre todos os sites de phishing ou e-mails por aí.Para a maior parte, cabe a você se proteger - os programas de segurança só podem ajudar um pouco.

É uma boa idéia exercer uma suspeita saudável ao lidar com pedidos de dados privados e qualquer outra coisa que possa ser um ataque de engenharia social. Suspeita e cautela ajudarão a protegê-lo, tanto online quanto offline. Crédito da imagem

: Jeff Turnet no Flickr