Baixe o app para aproveitar ainda mais
Prévia do material em texto
PRIVACIDADE PSCOLOGICA JOSAFÁ ADELINO JOSSANO CARDOSO Introdução Quando se fala em segurança da informação ( SI ) estamos a falar de uma mentalida de nunca se deixar levar pelas engenharias social da viada. Trabalhar na áera da segurança da informação é como estar em uma linha tenu, você deve saber gerir bem á sua motivação e saber os pilares da segurança. PILARES DA SEGURANçA O pessoal de Segurança da Informação (SI) precisam se adaptar rapidamente aos novos requisitos necessários para os negócios e, ao mesmo tempo, estar preparadas para lidar com um ambiente que se torna cada vez mais hostil. Os profissionais da área precisam aprender a trabalhar com as últimas tendências de tecnologia para conseguirem definir e manter a proteção de todo o sistema corporativo. Para ser possível manter a proteção diante das ameaças internas e externas existem alguns fundamentos básicos necessários em todas as empresas. Eles são essenciais para vencer os desafios do cyber-crime. Confira quais são: 1-Confidecialidade:sÉ o modo de garantir que a informação estará acessível apenas para pessoas autorizadas. A principal forma de mantê-la é por meio da autenticação, controlando e restringindo os acessos. Ela impõe limitações aos milhares de dados sigilosos que as empresas possuem. Sem a confidencialidade, as empresas ficam vulneráveis a cyber-ataques, roubo de informações confidenciais e até utilização de dados pessoais de clientes, o que pode causar diversos prejuízos, inclusive financeiros. 2- Integridade: O princípio de integridade refere-se a manutenção das condições iniciais das informações de acordo com a forma que foram produzidas e armazenadas. Ou seja, a informação mantém sua origem e ela não pode ser alterada, assim somente pessoas autorizadas poderão acessar e modificar os dados do sistema. Quando o processo é executado estrategicamente é possível utilizaferramentas para realizar a recuperação de informações danificadas ou perdidas. 3-Disponibilidade: Os dados corporativos precisam estar seguros e disponíveis para serem acessados a qualquer momento pelos usuários autorizados. Esse princípio diz respeito à eficácia do sistema e do funcionamento da rede para que seja possível utilizar a informação quando necessário. Ela deve ser hospeda em um sistema à prova de falhas lógicas e redundantes. Na hora de gerar relatórios para auditoria, por exemplo, é necessário que os dados possam ser facilmente encontrados e processados. Esse é o princípio da disponibilidade. 4-Autenticidade: Esse processo realiza a tarefa de identificar e registrar o usuário que está enviando ou modificando a informação. Ou seja, autenticidade é quando um usuário vai manipular algum dado e ocorre uma documentação sobre essa ação. Todos esses métodos são importantes para garantir a segurança das informações corporativas das possíveis ameaças, que podem ter origens tanto externas quanto internas. Elas podem ser uma pessoa, um evento ou uma ideia capaz de causar danos ao sistema. As ameaças externas são tentativas de ataque ou desvio de informações vindas de fora da empresa, normalmente originadas por pessoas com a intenção de prejudicar a corporação. As internas podem ser causadas por colaboradores de forma intencional. Essas ameaças podem causar pequenos incidentes e até prejuízos graves, por isso também devem ser levados em conta na hora do planejamento dos processos de segurança da empresa. É importante que o profissional de SI mantenha sempre em alta importância de segurança dos dados corporativos entre todos os usuários. Há diversas formas de manter a proteção da informação e não apenas criando mecanismos que realizam esse trabalho, mas desenvolver projetos que envolvam os usuários para conscientizá-los. AMEAÇAS AO SISTEMA DE SEGURANÇA Com certeza o assunto segurança tira o sono de qualquer empresário, ainda mais quando está relacionada ao acesso à rede que contém todos os dados, histórico, informações, ou seja, toda a vida e plano de negócios de uma empresa. Por isso, as organizações tem rastreado e estudado as principais ameaças em relação à segurança de seus dados. E nestes estudos ficam evidentes as piores ameaças que uma empresa pode sofrer quando permite um acesso sem autenticação na rede. Embora a lista de preocupações de segurança possa parecer interminável, na verdade existem várias de ameaças primordiais com as quais todas as empresas precisam se preocupar: malware, computação móvel, nuvem, erros de usuários e ataques internos. Enquanto algumas ameaças de segurança das empresas não mudaram ao longo dos anos, como crackeres-malware, outras novas surgiram e estão entre as campeãs, como por exemplo permitir o funcionário utilizar seu próprio dispositivo móvel e a computação em Nuvem , cenário esse bem recente. Mesmo que essas tecnologias ofereçam inúmeros benefícios para a empresa, elas trazem consigo seus próprios riscos e um conjunto de desafios em relação à segurança. Mobile e Cloud estão forçando a TI e equipe de segurança reavaliar a estrutura da sua rede e renovar as suas estratégias para garantir que suas informações permaneçam protegidas. Aqui está o que você deve saber sobre os principais ameaças de segurança no sistema: Crackere/ Malware: Malware e ataques direcionados não são novidade, mas o seu nível de sofisticação melhora a cada ano que passa. Essas ameaças enganam os usuários para fazer o download ou abrir arquivos maliciosos, aproveitando-se de ações de rede e vulnerabilidades de software para infectar e se espalhar. Os ataques utilizam de técnicas complexas para evitar a detecção. Os pesquisadores estimam que cerca de 25 milhões de novas estirpes, únicas de malware foram lançadas em 2019 e que devem chegar a 87 milhões de novas variantes até 2020. Os atacantes estão se aproveitando da vulnerabilidade dos usuários ( engenharia social) que acessam as redes sociais e elaboram o ataque. Muitos tipos de malware criptografam suas comunicações com servidores remotos, tornando-se difícil para os administradores de rede identificar os pacotes de ofensa. Endereços IP e nomes de host alterados dinamicamente fazem com que a proteção se torne ineficaz. Scan: É um ataque que quebra a confidencialidade com o objetivo de analisar detalhes dos computadores presentes na rede (como sistema operacional, atividade e serviços) e identificar possíveis alvos para outros ataques. A principal forma de prevenção é a manutenção de um firewall na empresa e uma configuração adequada da rede. Worm: são alguns dos malwares mais comuns e antigos. Malwares são softwares com o intuito de prejudicar o computador “hospedeiro”. Essa categoria engloba tantoos vírus quanto os worms, entre diversos outros tipos de programas maliciosos. Os worms são perigosos devido à sua capacidade se espalhar rapidamente pela rede e afetar arquivos sigilosos da empresa. Rootki: Essa é uma ameaça que teve origem na exploração de kits do Linux. Tem como objetivo fraudar o acesso, logando no sistema como root, ou seja, usuário com poder para fazer qualquer coisa. Os ataques de rootkit são feitos a partir de um malware. Quando a máquina é infectada, os arquivos maliciosos se escondem no sistema e, com essa discrição, liberam o caminho para os invasores agirem. Apesar de seu surgimento no Linux, o malware é capaz de causar danos nos sistemas operacionais Windows e Mac. Sem dúvidas, trata-se de um grande perigo para ambientes corporativos. DDOS( ataques de negação de serviço): Os ataques de negação de serviço, mais conhecidos como DDoS (Distributed Denial of Service), estão entre os mais frequentes. Eles têm como objetivo tornar um sistema, infraestrutura ou servidores indisponíveis, causando interrupção dos serviços. Como isso acontece ? Ao receber o ataque, o alvo é sobrecarregado de diferentes formas (uso de banda larga, falhas de software ou excessivo uso de recursos), o que pode gerar muito prejuízo à vítima. Ransomware: É um conjunto de vírus do tipo malware e tem sido massivamente utilizada para a prática de crimes de extorsão de dados, prática também conhecida como sequestro de dados. O modo como o ransomware age varia conforme a sua versão, pois cada malware lançado explora uma diferente brecha do sistema operacional. Esse detalhe, inclusive, é o que torna os ataques tão repentinos e, ao mesmo tempo, fatais. Embora a maneira como o vírus se manifesta varie, a finalidade é a mesma: bloquear todos os arquivos do computador, impedindo que o sistema possa ser utilizado adequadamente, e encaminhando mensagens solicitando o pagamento pelo resgate. Algumas empresas chegaram a negociar valores milionários com os criminosos para que os dados fossem devolvidos. Contudo, fazer o pagamento não é uma atitude recomendável, porque não há garantias de que a situação se normalize, além de acabar estimulando o crime. Devido ao número de ataques, o ransomware é visto atualmente como a maior das todas. Vírus de regate Conforme a expansão dos ataques de ransomware foi acontecendo, muitos usuários ( a maioria corporativos ) se desesperaram por não saber como agir diante do sequestro de dados. A recomendação é sempre evitar o pagamento pelo resgate e utilizar uma solução para recuperar os arquivos de preferência desenvolvida por fabricantes confiáveis. Contudo, os cibercriminosos buscaram driblar isso ao criar um vírus que ativa a oferta de um programa para resgatar os dados sequestrados. Ou seja, é um vírus que oferece outro para que o usuário pague por uma solução ilegítima. Anti-vírus falso: Selecionar os produtos de anti-vírus não é uma tarefa simples como parece, visto que existem soluções que, na verdade, são raízes para problemas ainda maiores que sua rede possa estar enfrentando. Da mesma maneira que existe o vírus de resgate, uma nova onda de anti-vírus falsos, os quais oferecem um produto para rastrear ameaças e limpar o computador. Esses vírus são conhecidos como do tipo locker (bloqueador), assim como o ransomware e o malware, solicita pagamentos por bitcoins(BTC), ou cartão de crédito. O phishing ( pescar ): Consiste no envio de mensagens de email, onde o invasor se passa por uma instituição legítima e confiável (geralmente bancos e serviços de transação online etc...), induzindo a vítima a passar informações cadastrais. Essa é uma das mais antigas armadilhas conhecidas na Internet e, ainda assim, continua atraindo muitas vítimas que utilizam email. Ultimamente o phishing vem sendo utilizado em ataques de BEC (Business Email Compromise), que tem como propósito fazer com que representantes da empresa alvo pensem estar se comunicando com executivos. Dessa maneira, as instituições acabam fazendo depósitos em conta de terceiros sem saber que se trata de uma fraude. O pior disso tudo é que o criminoso não deixa rastros, pois a mensagem não contém nenhum anexo ou links. Concluímos que, a todo o momento, essas ameaças podem surgir e fazer de sua empresa uma vítima grave. Portanto é importante se manter atualizado, bem como investir nas melhores práticas de Segurança da Informação. Engenharia social: É termo utilizado para descrever um método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações. Exemplos apresentam casos onde foram utilizadas mensagens de e-mail. O último exemplo apresenta um ataque realizado por telefone. 1-Exemplo: Você recebe uma mensagem e-mail, onde o remetente é o gerente ou alguém em nome do departamento de suporte do seu banco. Na mensagem ele diz que o serviço de internet Banking está apresentando algum problema e que tal problema pode ser corrigido se você executar o aplicativo que está anexado à mensagem. A execução deste aplicativo apresenta uma tela análoga àquela que você utiliza para ter acesso a conta bancária, aguardando que você digite sua senha. Na verdade, este aplicativo está preparado para furtar sua senha de acesso a conta bancária e enviá-la para o atacante. 2-Exemplo: Você recebe uma mensagem de e-mail, dizendo que seu computador está infectado por um vírus. A mensagem sugere que você instale uma ferramenta disponível em um site da internet, para eliminar o vírus de seu computador. A real função desta ferramenta não é eliminar um vírus, mas sim permitir que alguém tenha acesso ao seu computador e a todos os dados nele armazenados. 3-Exemplo: Algum desconhecido liga para a sua casa e diz ser do suporte técnico do seu provedor. Nesta ligação ele diz que sua conexão com a internet está apresentando algum problema e, então, pede sua senha para corrigi-lo. Caso você entregue sua senha, este suposto técnico poderá realizar uma infinidade de atividades maliciosas, utilizando a sua conta de acesso a internet e, portanto, relacionando tais atividades ao seu nome.Estes casos mostram ataques típicos de engenharia social, pois os discursos apresentados nos exemplos procuram induzir o usuário a realizar alguma tarefa e o sucesso do ataque depende única e exclusivamente da decisão do usuário em fornecer informações sensíveis ou executar programas. CRIPTOGRAFIA Cada vez mais disseminada, a criptografia de sites que protege as informações trafegadas e dados de clientes, conhecida como SSL, deixou de ser diferencial para os sites e blogs há muito tempo. Atualmente, sabe-se do tamanho da importância dessa medida na proteção da segurança da informação no mundo digital. Alémdisso, a criptografia passa muito mais confiança para os clientes fecharem negócio e até mesmo para posicionar melhor os sites na busca do Google. Existem vários tipos de criptografia que podem proteger não apenas os sites, mas inclusive códigos fonte de aplicações e e- mails. O que é criptografia? Pode-se dizer que a criptografia é o nome que se dá às técnicas que transformam toda informação inteligível em algo indecifrável, ou seja, que um agente externo seja incapaz de compreender. ( arte de esconder uma informação á olho nú ). Em outras palavras, a criptografia funciona como códigos: sem ela, um cracker poderia facilmente interceptar a sua senha de e-mail durante seu login. Com a criptografia, caso ele intercepte seu acesso, ele não vai ter a chave correta e vai ver somente uma lista desordenada e confusa de caracteres, ficando de mãos atadas. A criptografia é um método de proteção e privacidade de dados muito importante e cada vez mais presente em todo o mundo. TIPOS DE CRIPTOGRAFIAS Criptografia Simples (SSL) A criptografia simples é uma importante medida de segurança recomendada para todos os sites, especialmente aos que solicitam alguma informação confidencial dos seus clientes, como dados pessoais ou bancários. Ela valida a URL de domínio do site e protege todas as informações. É identificado pelo HTTPS na barra de navegação ou através do desenho de um cadeado verde na mesma. Criptografia de Validação Estendida (SSL EV) A criptografia de validação estendida é comum em grandes empresas do mercado, pois também valida e identifica a razão social da empresa, passando maior confiança ao consumidor de que o site que acessou é realmente da empresa que ele está comprando um produto ou serviço. É identificado pelo HTTPS acompanhado da razão social da empresa na barra de navegação. Certificado WildCard Esse tipo de criptografia protege também os subdomínios da URL certificada, mesmo que estejam em servidores diferentes. Veja o seguinte exemplo: WildCard para “.marca.com.mz” pode ser usado em “carrinho.marca.com.mz”, “webmail.marca.com.mz”. Todos os subdomínios desse tipo de criptografia serão identificados pelo HTTPS na barra de navegação. Certificado Multidomínio (MDC) tipo é indicado para empresas que possuem vários domínios diferentes e pretendem certificar todos eles, por segurança. Concentra todo o processo na emissão de um único SSL que pode validar até 210 domínios, após a validação de todas as informações. Todos os domínios serão identificados pelo HTTPS na barra de navegação do site. Certificado Multidomínio EV (MDC EV) Semelhante ao MDC, esse também valida vários domínios em um único serviço, mas com os benefícios da validação estendida. Todos os domínios serão identificados pelo HTTPS acompanhado da razão social da empresa na barra de navegação do site da mesma. Certificado Multi-domínio SAN (UCC) Valida multi-domínios apenas de aplicações em Microsoft Exchange (OWA, SMTP, Autodiscovery, ActiveSync e Outlook Anywhere) com apenas um certificado e endereço IP por servidor. Contempla até 210 domínios e todos precisam ser validados no momento da emissão. Certificado CodeSign Esse tipo de criptografia, permite que desenvolvedores de softwares assinem digitalmente o código fonte da aplicação. Pode ser usado para assinatura de códigos em: JAVA (.jar); Microsoft (arquivos .exe, .cab, .dll, .ocx, .msi, .xpi e .xap inclusive VBA); Adobe (AIR); E também plataformas Mobile (Windows Phone, IOS e Android). Criptografia para e-mails (S/MIME) Permite a criptografia e assinatura de e-mails, garantindo a procedência das mensagens enviadas e recebidas. É indicado para empresas que precisam de sigilo e total proteção em questões jurídicas, onde e-mails podem ser utilizados como provas em alguns contextos. É extremamente seguro e eficaz! Criptografia no computador e no celular É bastante comum associar o uso da criptografia diretamente com a proteção de dados na internet. Com essa moderna técnica, fica muito mais difícil o Cracker descobrir seu login e senha de qualquer site e seus todos os seus dados pessoais são protegidos a cada compra.. Mas a criptografia tem aplicações que vão além disso. No computador, caso você decida criptografar seus dados, o Windows aplicará uma chave criptográfica que protegerá todo o conteúdo armazenado em sua máquina de forma que só se torne visível por quem possua a chave, No caso o seu PIN, senha de usuário na máquina ou qualquer tipo de autenticação biométrica oferecida pelo Windows. No caso de telefones celulares, o mesmo procedimento é válido. Ao criptografar os dados no seu aparelho, você os torna totalmente inacessíveis a um possível invasor. Níveis de segurança A criptografia vai depender da aplicação e do nível de segurança exigido, mas de uma forma geral, uma criptografia de 128 bits é muito mais segura do que uma de 56 bits, por exemplo. Para você ter uma pequena ideia da segurança oferecida, uma chave de 56 bits oferece 72 quatrilhões de possibilidades de troca de caracteres para ocultar uma mensagem. Pode parecer um pouco absurdo, mas os computadores atuais já podem fazer bilhões dessas operações por segundo. Dessa forma, 56 bits pode não ser um número tão seguro se o Cracker possuir um aplicativo que tenta milhões de alternativas para quebrar a criptografia a cada segundo. Para comparar, uma chave de 128 bits tem uma capacidade 20 vezes maior do que uma chave de 56 bits. Hoje, o 128 bits é tido como referência de segurança e usado por serviços do Google como o Gmail e pelo Facebook. Breve história sobre o Cavalo de Tróia O Cavalo de Tróia foi um grande cavalo de madeira construído pelos gregos durante a , guerra de Tróia como um forma decisivo para a conquista da cidade fortificada de , com ruínas estão em terras hoje turcas. Tomado pelos troianos como um símbolo de sua vitória, foi carregado para dentro das muralhas, sem saberem que no seu interior se ocultava o inimigo. À noite, guerreiros saem do cavalo, dominam as sentinelas e possibilitam a entrada do exército grego, levando a cidade à ruína. A história da guerra foi contada primeiro na Iiiad de Homero , mas ali o cavalo não é mencionado, só aparecendo brevemente na sua história, que narra a acidentada viagem de Odisseu de volta para casa. Outros escritores depois dele ampliaram e detalharam o episódio. Em segurança da Informação um cavalo de Tróia ( do Inglês Trojan h ou, simplesmente, Trojan) é qualquer malwer que engana os usuários sobre sua verdadeira intenção. O termo é derivado da história grega antiga do Cavalo de Tróia enganoso que levou à queda da cidade de Tróia. Os cavalos de Tróia geralmente são espalhados por alguma forma de Engenharia Social, por exemplo: quando um usuário é levado a executar um anexo de e-mail disfarçado para não parecer suspeito ( por exemplo: um formulário de rotina a serpreenchido ) ou clicando em algum anúncio falso no site de mídia social ou qualquer outro. Embora a carga útil possa ser qualquer coisa, muitas formas modernas atuam como backdoor, entrando em contato com um controlador que pode ter acesso não autorizado ao computador afetado. Os cavalos de Tróia podem permitir que um invasor acesse os dados dos usuários, como informações bancárias, senhas ou identidade pessoal. Também pode excluir os arquivos de um usuário ou infectar outros dispositivos conectados à rede. NB= Os ataques de ransomwer geralmente são realizados usando um trojan. Principais tipos de ataques de engenharia social Os tipos mais comuns de ataques de engenharia social incluem baiting, phishing, pretexting, quid pro quo, spear phishing e tailgating. Soluções como firewalls, filtros de e-mail e ferramentas de monitoramento da rede e de dados podem ajudar a mitigar essas ameaças, porém, a conscientização do usuário é a tarefa mais importante para combater os ataques de engenharia social. ENGENHARIA SOCIAL REVERSA No ataque por internet e redes sociais, o atacante tem que conhecer o seu alvo, estudado-lo, ou fazer o ataque em massa, como em uma empresa, onde o atacante estuda um funcionário e algum tempo depois faz um ataque, enviando para essa tal pessoa um documento por e-mail, um documento de extrema importância para a empresa, o engeheiro Social iria colocar um trojan dentro do documento e assim, conseguindo entrar na rede da empresa e fazer oque desejar. No ataque pessoal, um engenheiro social estuda a vítima, procura um parente, estuda o parente e se “disfarça” desse tal parente, envia uma foto, documento e etc, com um trojan dentro, e conseguindo com sucesso fazer o seu ataque. Exempolo: Engenharia reversa não muito conhecida ou usada, pois precisa-se de um alvo extremamente específico. Lembra de quando você desmontou um carrinho, relógio ou qualquer outra coisa? A Engenharia reversa é exatamente isso, o atacante demonta completamente um sistema, para saber tudo sobre ele, suas falhas principalmente, essa técnica foi usada na fabricação das placas de linhagem AMD; A empresa provavelmente comprou alguns processadores da Intel, abriu-os e os estudou detalhadamente, conseguindo criar uma cópia perfeita através de tentativa e erro. Baiting Por meio dessa técnica, Cracker’s deixam à disposição do usuário um dispositivo infectado com malware, como um pen-drive ou um CD. A intenção é despertar a curiosidade do indivíduo para que insira o dispositivo em uma máquina a fim de checar seu conteúdo. O sucesso dos ataques de baiting depende de três ações do indivíduo: encontrar o dispositivo, abrir seu conteúdo e instalar o malware sem perceber. Uma vez instalado, o malware permite que ao Cracker tenha acesso aos sistemas da vítima. A tática envolve pouco trabalho por parte do Cracker. Tudo que ele precisa fazer é infectar um dispositivo e ocasionalmente deixá-lo à vista do alvo, seja na entrada ou no interior dos escritórios. O dispositivo pode ser, por exemplo: um pen-drive contendo um arquivo com nome “chamativo”, como “folha salarial 2017”. Em 2011, a Bloomberg relatou que, em um teste feito com funcionários do governo norte-americano, 60% das pessoas pegaram um pen-drive deixado no estacionamento e plugaram nos computadores do escritório. No caso dos dispositivos que tinham um logo oficial, 90% instalaram o arquivo. Phishing O e-mail de phishing, apesar de já existir há anos, ainda é uma das técnicas mais comuns de engenharia social pelo alto nível de eficiência. O phishing ocorre quando um Cracker produz comunicações fraudulentas que podem ser interpretadas como legítimas pela vítima por alegarem vir de fontes confiáveis. Em um ataque de phishing, os usuários podem ser coagidos a instalar um malware em seus dispositivos ou a compartilhar informações pessoais, financeiras ou de negócio. Apesar de o e-mail ser o modo mais tradicional para o envio de phishing, esse tipo de ataque também pode vir na forma de um contato telefônica ou de uma mensagem no Facebook, por exemplo. Os piores ataques de phishing se aproveitam de situações trágicas com o objetivo de explorar a boa vontade das pessoas, fazendo com que passem informações pessoais e de pagamento para realizar doações, por exemplo, Alguns e-mails de phishing são incrivelmente fáceis de identificar, no entanto, há os que são extremamente convincentes, simulando, por exemplo, comunicações do banco e empresas de cartão de crédito e comunicados oficiais da própria empresa pedindo para que os funcionários façam download de um novo software de segurança corporativa, por exemplo. Pretexting Por meio do pretexting, os Cracker’s fabricam falsascir cunstâncias para coagir a vítima a oferecer acesso a informações e sistemas críticos. Nesse caso, os Cracker’s assumem uma nova identidade ou papel para fingir que são alguém de confiança da vítima. Tudo que o cyber-criminoso precisa é dar uma olhada nos perfis da vítima nas redes sociais para descobrir informações como data e local de nascimento, empresa, cargo, nomes de parentes, colegas de trabalho, amigos, entre outros. Depois, basta enviar um e-mail ( ou outro tipo de comunicação ) à vítima fingindo a necessidade de confirmar dados para garantir seu acesso a algum sistema específico. Pode ser, por exemplo, um e-mail supostamente da equipe de TI coagindo a vítima a divulgar suas credenciais Quid pro quo Um ataque de quid pro quo ocorre quando um Cracker requer informações privadas de alguém em troca de algo. “Quid pro quo” basicamente significa “isso por aquilo”, em que o cyber- criminoso oferece algo à vítima em troca de informações sensíveis. A tática mais comum envolve se passar por alguém da TI e abordar diversas vítimas encontrar alguém com um problema real de TI. Sob instruções do Cracker, a vítima então dá acesso a códigos, desabilita programas vitais e instala malwares achando que conseguirá resolver seu problema. Outra tática bastante usada é a de simular uma pesquisa em que funcionários passam uma série de informações sensíveis em troca de brindes, como canetas e canecas. Spear phishing O spear-phishing é uma forma mais sofisticada de phishing que foca em indivíduos e organizações específicas. Nesse tipo de ataque, o Cracker se passa por algum executivo ou outro membro chave da empresa e aborda funcionários com intuito de obter informações sensíveis. Os cyber-criminosos podem obter, por meio das redes sociais, informações sobre o alvo e o quadro organizacional da empresa. Depois disso, basta enviar alguma comunicação fingindo ser, por exemplo, um dos executivos da empresa com uma demanda urgente que requer uma transação financeira imediata para uma conta específica. Esse tipo de ataque costuma ter altas taxas de sucesso no convencimento de funcionários para que executem açõesespecíficas ou passem informações sensíveis. Segundo o SANS Institute Report de 2016, os ataques de spear- phishing estão cada vez mais efetivos pois são tão tecnicamente convincentes que a maioria dos destinatários não se dá ao trabalho de procurar por pequenos indícios de fraude ou tentar se comunicar com o remetente por outro meio. A técnica também está sendo muito utilizada de forma direcionada para pequenas e médias empresas, pois geralmente são menos maduras em segurança. Tailgating O tailgating é uma técnica física de engenharia social que ocorre quando indivíduos não autorizados seguem indivíduos autorizados até localizações seguras. O objetivo é obter ativos valiosos e informações confidenciais. É o caso, por exemplo, de quando alguém pede para o outro “segurar a porta” porque esqueceu seu cartão de acesso, ou pede seu smartphone ou computador emprestado para fazer “algo rapidinho”, mas na verdade instala malwares e rouba dados da máquina. Afinal, como se proteger? A coisa mais importante que você pode fazer para evitar ser uma vítima de engenharia social é abraçar o ceticismo saudável e sempre ser tão vigilante quanto possível. Apenas estar ciente de truques comuns coloca você um passo à frente do jogo ( mas não fique muito arrogante e lembre-se de questionar tudo, sempre ) No fim das contas, podemos listar algumas boas práticas comportamentais que ajudam na segurança e prevenção desse tipo de investida maliciosa. Cuidado ao falar sobre informações sensíveis Nunca divulgue informações confidenciais ou mesmo informações aparentemente não confidenciais sobre você ou sua empresa, seja por telefone, on-line ou pessoalmente, a menos que você possa primeiro verificar a identidade da pessoa que solicita e a necessidade dessa pessoa tentar ter essa informação. Digamos que você recebeu uma chamada de sua empresa de cartão de crédito dizendo que seu cartão foi comprometido. Diga “Ok”, desligue o telefone e retorne diretamente para a empresa de cartões, em vez de falar com quem te ligou. Aposte em uma “dupla autentificação” no mundo físico, sem acreditar de primeira nos telefonemas e mensagens que chegam até você. Além disso, lembre-se sempre que os departamentos de TI reais e seus serviços financeiros nunca pedirão sua senha ou outras informações confidenciais por telefone ou email. Tenha calma Os engenheiros sociais sabem que cometemos erros quando estamos sob pressão, e eles usam isso contra nós. Eles vão tentar encher sua cabeça com avisos sobre as conseqüências terríveis da inação, e podem até mesmo fazer ameaças sobre o que poderia acontecer se você não ajudar. O risco é ainda maior quando as empresas não possuem políticas claras de segurança. É importante que a política de segurança seja cumprida e que os funcionários compreendam que não serão punidos por respeitar essa política, mesmo que isso torne a ação mais lenta. Para as empresas Mudando táticas regularmente e incorporando informações de negócios e tecnologia em seus esquemas, os atacantes criaram uma paisagem variável de ataques muito sofisticados. Como resultado, as equipes de segurança devem ir além de simplesmente treinar funcionários para responder corretamente a ameaças específicas. Os funcionários devem ter o poder de reconhecer ameaças potenciais e tomar decisões de segurança corretas por conta própria, de modo que mesmo solicitações muito realistas de informações seguras possam ser instintivamente atendidas com ceticismo e cautela. Incorporar consciência de segurança tão profundamente nas mentes dos funcionários é um desafio significativo que envolve muito mais do que programas periódicos de conscientização. Cultura de Segurança é a melhor prevenção Os riscos de segurança da engenharia social são significativos e as organizações devem abordar as ameaças de engenharia social como parte de uma estratégia global de gestão de riscos. NB= Não existe segurança na rede, e nunca vai existir (engenharia social ). TÉCNICO EM ENGENHARIA SOCIAL/ REDES DE PC CONTACTO; +258 868065556 JOSAFÁ ADELINO JOSANO CARDOSSO
Compartilhar