Engenharia Social: Como proteger a sua empresa

  • Compartilhar

A engenharia social é um vetor de ataque que depende muito da interação humana e geralmente envolve a manipulação de pessoas para que infrinjam procedimentos normais de segurança e melhores práticas. Ela é aplicada para obter acesso a sistemas, redes ou locais físicos, ou para ganhos financeiros.

Você já ouviu falar neste conceito? Conhece os danos que ele pode causar à sua gestão de TI e ao seu negócio?

Sobre isso vamos ajudá-lo a refletir neste artigo. Continue lendo para entender o que é engenharia social e como proteger a sua empresa!

Por que a engenharia social é uma ameaça real às empresas hoje

A engenharia social é uma tática popular entre os hackers porque muitas vezes é mais fácil explorar as deficiências dos usuários do que encontrar uma vulnerabilidade de rede ou software.

Os hackers costumam usar táticas de engenharia social como uma primeira etapa em uma campanha maior para se infiltrar em um sistema ou rede e roubar dados confidenciais ou dispersar malwares.

O objetivo deles é influenciar, manipular ou enganar os usuários para que forneçam informações ou acesso privilegiado dentro de uma organização. Muitas explorações de engenharia social dependem simplesmente da disposição das pessoas para serem úteis.

Por exemplo, o invasor pode fingir ser um colega de trabalho que tem algum tipo de problema urgente que requer acesso a recursos de rede adicionais.

Funcionamento básico da engenharia social

Os “engenheiros sociais” usam uma grande variedade de táticas para realizar ataques. O primeiro passo é o invasor realizar pesquisas e reconhecimento no alvo. Se o alvo é uma empresa, por exemplo, o hacker pode reunir informações sobre a estrutura do funcionário, operações internas, linguagem comum usada no setor e possíveis parceiros de negócios, entre outras informações.

Uma tática comum dos “engenheiros sociais” é concentrar-se nos comportamentos e padrões dos funcionários com acesso de baixo nível, mas inicial, como um guarda de segurança ou recepcionista. Os hackers podem escanear os perfis de mídia social da pessoa para obter informações e estudar seu comportamento on-line e pessoalmente.

A partir daí, o hacker pode projetar um ataque baseado nas informações coletadas e explorar a fraqueza descoberta durante a fase de reconhecimento.

Se o ataque for bem-sucedido, os hackers terão acesso a dados confidenciais — como informações de cartão de crédito ou bancários.

Tipos de ataques de engenharia social

Os tipos mais populares de ataques de engenharia social incluem:

Baiting

Baiting é quando um invasor deixa um dispositivo físico infectado por malware, como uma  unidade flash USB, em um local onde ele é encontrado com certeza. O localizador então pega o dispositivo e o carrega em seu computador, instalando o malware sem querer.

Phishing

Phishing ocorre quando se envia um email fraudulento disfarçado como um e-mail legítimo, muitas vezes parecendo ser de uma fonte confiável.

A mensagem destina-se a enganar o destinatário para compartilhar informações pessoais ou financeiras ou clicar em um link que instala malware.

Spear phishing

Spear phishing é como phishing, mas adaptado para um indivíduo ou organização específica.

Vishing

Vishing também é conhecido como phishing de voz, e é o uso da engenharia social por telefone para coletar informações pessoais e financeiras do alvo.

Scareware

Scareware envolve enganar a vítima a pensar que seu computador está infectado com malware ou baixou inadvertidamente conteúdo ilegal. O atacante oferece então à vítima uma solução que consertará o problema falso; na realidade, a vítima é simplesmente induzida a baixar e instalar o malware do invasor.

Quid pro quo

Um ataque quid pro quo é aquele em que o “engenheiro social” finge fornecer algo em troca da informação ou assistência do alvo. Por exemplo, um hacker chama uma seleção de números aleatórios dentro de uma organização e finge estar ligando de volta do suporte técnico.

Eventualmente, o hacker encontrará alguém com um problema tecnológico legítimo que, então, fingirá ajudar. Com isso, o hacker pode ter o tipo de destino nos comandos para lançar malware ou coletar informações de senha.

Como proteger sua empresa de ataques de engenharia social

Especialistas em segurança da informação recomendam que os departamentos de TI realizem regularmente  testes de penetração que usam técnicas de engenharia social. Isso ajuda os administradores a saber quais tipos de usuários representam o maior risco para tipos específicos de ataques, além de identificar quais funcionários precisam de treinamento adicional.

O treinamento de conscientização de segurança também pode ajudar bastante na prevenção de ataques de engenharia social. Se as pessoas souberem quais são as formas de ataques de engenharia social, elas estarão menos propensas a se tornarem vítimas.

Também é recomendado contar com gateways de e-mail e da web seguros que varrem os e-mails de links maliciosos e os filtram, reduzindo, assim, a probabilidade de um membro da equipe clicar em um deles.

Manter-se atualizado com os patches de software e firmware nos terminais também é importante, assim como acompanhar os membros da equipe que lidam com informações confidenciais e ativam medidas avançadas de autenticação para eles.

Por fim, a aquisição de soluções de acesso seguro é altamente recomendada. Com um bom fornecedor, é possível tornar o monitoramento e as ações proativas e reativas automatizadas, com necessidades mínimas de intervenção dos usuários.

→ Leia também: Pense na arquitetura de Acesso Seguro e fuja do desastre da indisponibilidade!Que tal, nós conseguimos te explicar o que é engenharia social? Você está preparado para proteger a sua empresa de ataques sofisticados à segurança da informação? Faça contato conosco e veja como podemos ajudá-lo neste esforço!

Comentários

  • Compartilhar

Posts Relacionados

Quem já está na nuvem certa