Correios

Como se pode proteger da Engenharia Social?

A primeira linha de defesa é manter-se alerta. Em ataques de engenharia social, o atacante pode atraí-lo para uma conversa que se torna mais num interrogatório. Contudo, a melhor maneira de se proteger da engenharia social é saber em quem se pode confiar e ser digno de confiança. Tem de identificar qualquer pessoa que possa ter acesso à sua conta ou que possa influenciá-la e assegurar-se de que tem uma boa razão para o fazer. 

A leitura contínua irá ajudá-lo a saber o que é um método comum utilizado na engenharia social e como se pode proteger de ataques cibernéticos no futuro!

O que é um Attasociack de Engenharia Social?

Nos ataques de engenharia social, um atacante tenta obter acesso a dados ou serviços forjando relações com pessoas cuja confiança pode explorar.

Os ataques de engenharia social são uma forma de hacking em que um atacante tenta obter acesso ou informação explorando a confiança. É um ataque muito eficaz porque alavanca o seu desejo de ajudar as pessoas, a curiosidade e a ingenuidade. Um engenheiro social pode fazer de si um cúmplice involuntário, utilizando manipulação de alto nível para obter o que o atacante quiser. 

O uso de enganos e truques para obter uma vantagem estende-se muito antes da disponibilidade generalizada de computadores pessoais e da rede mundial de computadores. Mas podemos olhar mais para trás na história para ver alguns dos mais flagrantes casos de ataque de engenharia social.

No incidente mais recente, que ocorreu em Fevereiro de 2020, um phishing tentativa de usar uma factura falsa de renovação enganou com sucesso Barbara Corcoran da ABC ".Tanque de Tubarão" de quase 400.000 dólares.

Se for vítima de ataques de engenharia social, é essencial saber como se proteger de ser vitimizado. Aprenda os sinais de aviso de uma potencial ameaça e como se proteger a si próprio.

Leitura relacionada: O que é Engenharia Social?

O que é um método comum utilizado na Engenharia Social?

Um método comum utilizado pelos engenheiros sociais em ataques de engenharia social é fazer-se passar pelo apoio informático. Isto pode ser feito ligando para uma empresa e pedindo para falar com o departamento de TI ou enviando um e-mail para a empresa dizendo que estão a ligar do departamento de TI.

Uma vez que o autor da chamada ou do correio tenha obtido acesso, pode fingir ser de um departamento diferente ou solicitar informações que a empresa normalmente não divulgaria. O engenheiro social também recolhe frequentemente o máximo de informação sobre o seu alvo antes de estabelecer contacto.

5 Maneiras de se proteger de ataques de engenharia social

Aqui reunimos algumas dicas ou ideias úteis que ajudam a proteger-se de ataques sociais ou a prevenir ataques de engenharia social:

Remetentes Desconhecidos (Emails vs. Mensagens de Texto)

Preste muita atenção ao endereço electrónico do remetente e ao conteúdo da mensagem. Saber que não é necessário clicar em quaisquer ligações de documentos suspeitos é essencial. 

Parar de Partilhar Informação Pessoal

Pense antes de partilhar informações pessoais, tais como palavras-passe e números de cartão de crédito. Nenhuma empresa ou indivíduo legítimo deve alguma vez solicitar este tipo de informação sensível. Utilize sempre palavras-passe fortes e altere-as regularmente. Evite utilizar as mesmas palavras-passe para múltiplas contas e salve-se de ser vítima de ataques de engenharia social.

Camadas de Segurança

Utilizar autenticação de dois factores sempre que possível. Pode ainda acrescentar uma camada extra de segurança ao exigir aos utilizadores que introduzam um código enviado para o seu telemóvel e o seu nome de utilizador e palavra-passe. Configure sempre códigos de autenticação com o seu e-mail e número de telefone para que, se alguém obtivesse acesso a qualquer um dos sistemas, não pudesse utilizar directamente a sua conta.

Software anti-vírus

Instalar anti-malware e software antivírus em todos os seus dispositivos. Mantenha estes programas actualizados para que o possam proteger contra as últimas ameaças. No entanto, quando tiver um antivírus instalado nos seus dispositivos, pode fornecer um excelente escudo contra ataques de engenharia social.

Esteja sempre atento a quaisquer riscos

Deve sempre considerar os riscos. Assegurar-se de que qualquer pedido de informação é exacto através de uma dupla e tripla verificação. Fique atento a notícias de cibersegurança quando for afectado por uma violação recente. 

Quais são os exemplos de engenharia social?

Vitimizar as pessoas através de ataques de engenharia social é uma óptima forma de perpetrar fraudes. Pode ter lugar de várias maneiras. Aqui estão alguns exemplos de engenharia social:

Ganhar Acesso

Os hackers podem obter acesso à sua conta bancária, solicitando crédito em nome de outra pessoa. Esta fraude envolve frequentemente um telefonema ou e-mail enviado a amigos e familiares, aos quais é depois solicitado que façam um pagamento por transferência bancária para reembolsar rapidamente o hacker pelo seu pedágio sobre a vida da vítima. 

Roubar Informação Pessoal

Outra forma comum de as pessoas serem induzidas a entregar as suas informações pessoais é acreditando que ganharam um prémio ou concurso no qual nunca participaram mas que se inscreveram. E quando recebem tais chamadas para se certificarem de que receberão o prémio assim que derem os seus dados, é aí que as vítimas chegam até à armadilha do agressor. 

Phishing

Neste ataque, os atacantes enviam e-mails que parecem ser de empresas ou organizações legítimas, mas que contêm ligações ou anexos maliciosos. Além disso, este é um dos ataques de engenharia social mais comuns em todo o mundo. 

Pretexto

Outro ataque maciço de engenharia social envolve a criação de uma identidade ou cenário falso para obter acesso a informação pessoal. Um dos exemplos mais proeminentes de engenharia social é onde os atacantes ganham acesso para manipular as pessoas através de mensagens de texto.

Navegação de Ombro

É um ataque em que o atacante olha por cima do ombro de alguém para obter acesso a informação confidencial. Por vezes, o atacante não é mais do que os seus amigos próximos ou entes queridos que o chantagearão assim que obtiverem a informação que sempre quiseram ter. Por isso, é essencial ficar de olho nessas pessoas e nunca fornecer todos os detalhes pessoais. 

Tailgating

O tailgating é quando um atacante segue alguém autorizado a entrar num edifício ou área segura sem estar realmente autorizado. Não é tão comum como outros ataques de engenharia social, mas ainda assim, é perigoso e pode deixar comentários prejudiciais.

Conclusão

Para se proteger de ataques de engenharia social, deve aprender a usar precauções contra eles. Como já lhe fornecemos alguns métodos padrão de ataques de engenharia social, que têm sido utilizados há várias eras no mundo, certifique-se de começar agora a implementar as precauções. Os ataques de engenharia social podem prejudicar a vida profissional de uma pessoa em segundos. Proteja sempre os seus dispositivos, senhas e outros log-ins com dois códigos de verificação de autenticação de configuração para uma camada exterior de protecção.

Antes de fazer qualquer outra coisa, fale com um profissional de TI de confiança ou especialista em segurança como PowerDMARC. Podem ajudá-lo a compreender os riscos de ataques de engenharia social e a forma de os minimizar.

/por

Tipos de Ataques de Engenharia Social em 2022

Antes de mergulharmos nos tipos de ataques de engenharia social a que as vítimas caem diariamente, juntamente com os próximos ataques que tomaram a Internet por uma tempestade, vamos primeiro entrar brevemente no que é a engenharia social. 

Para o explicar em termos leigos, a engenharia social refere-se a uma táctica de desdobramento de ataques cibernéticos em que os actores da ameaça utilizam a manipulação psicológica para explorar as suas vítimas e defraudá-las.

Engenharia Social: Definição e exemplos

O que é um ataque de engenharia social?

Ao contrário dos cibercriminosos que invadem o seu computador ou sistema de correio electrónico, os ataques de engenharia social são orquestrados ao tentar influenciar as opiniões de uma vítima a manobrá-las para expor informação sensível. Os analistas de segurança confirmaram que mais de 70% dos ciberataques que ocorrem anualmente na Internet são ataques de engenharia social.

Exemplos de Engenharia Social

Veja o exemplo mostrado abaixo:

 

Aqui podemos observar um anúncio online que atrai a vítima com uma promessa de ganhar $1000 por hora. Este anúncio contém uma ligação maliciosa que pode iniciar uma instalação de malware no seu sistema. 

Este tipo de ataque é vulgarmente conhecido como Isco Online ou simplesmente Isco, e é uma forma de ataque de engenharia social. 

Outro exemplo é dado abaixo:

Tal como demonstrado acima, os ataques de engenharia social também podem ser perpetrados utilizando o correio electrónico como um meio potente. Um exemplo comum disto é um ataque de Phishing. Estaríamos a entrar nestes ataques com mais detalhe, na secção seguinte.

Tipos de Ataques de Engenharia Social

1. Pesca e Smishing

Suponha que hoje recebe um SMS do seu banco (supostamente) pedindo-lhe para verificar a sua identidade clicando num link, ou então a sua conta será desactivada. Esta é uma mensagem muito comum que é frequentemente difundida por cibercriminosos para enganar pessoas insuspeitas. Uma vez clicado no link, é redireccionado para uma página de falsificação que exige as suas informações bancárias. Esteja certo de que se acabar por fornecer os seus dados bancários a atacantes, estes irão drenar a sua conta. 

Da mesma forma, o Vishing ou Voice phishing é iniciado através de chamadas telefónicas em vez de SMS.

2. Isco Online / Isco 

Encontramos todos os dias uma série de anúncios online enquanto navegamos nos websites. Embora a maioria deles sejam inofensivos e autênticos, pode haver algumas maçãs más escondidas no lote. Isto pode ser facilmente identificado através de anúncios que parecem ser demasiado bons para serem verdadeiros. Têm normalmente alegações e atracções ridículas, tais como acertar no jackpot ou oferecer um enorme desconto.

Lembre-se que isto pode ser uma armadilha (t.c.p. a isca). Se algo parece demasiado bom para ser verdade, é provável que o seja. Por isso é melhor evitar anúncios suspeitos na Internet, e resistir a clicar neles.

3. Phishing

Os ataques de engenharia social são mais frequentemente realizados através de emails, e são denominados Phishing. Os ataques de Phishing têm vindo a causar estragos à escala global há quase tanto tempo quanto o próprio correio electrónico existe. Desde 2020, devido a um pico nas comunicações por correio electrónico, a taxa de phishing também disparou, defraudando organizações, grandes e pequenas, e fazendo manchetes todos os dias. 

Os ataques de phishing podem ser categorizados em Spear phishing, caça à baleia, e fraude do CEO, referindo-se ao acto de personificar funcionários específicos dentro de uma organização, decisores da empresa, e o CEO, respectivamente.

4. Os esquemas românticos

O Federal Bureau of Investigation (FBI) define esquemas de romance na Internet como "esquemas que ocorrem quando um criminoso adopta uma identidade online falsa para ganhar o afecto e a confiança de uma vítima. O burlão utiliza então a ilusão de uma relação romântica ou próxima para manipular e/ou roubar a vítima". 

Os esquemas românticos enquadram-se nos tipos de ataques de engenharia social, uma vez que os atacantes usam tácticas manipuladoras para formar uma estreita relação romântica com as suas vítimas antes de actuarem na sua agenda principal: ou seja, enganá-las. Em 2021, os esquemas românticos tomaram a posição #1 como o ataque cibernético mais prejudicial financeiramente do ano, seguido de perto pelos resgates.

5. Spoofing

A falsificação de domínios é uma forma altamente evoluída de ataque de engenharia social. Isto é quando um atacante forja um domínio legítimo da empresa para enviar e-mails aos clientes em nome da organização de envio. O atacante manipula as vítimas, levando-as a acreditar que o referido e-mail provém de uma fonte autêntica, ou seja, de uma empresa cujos serviços confiam. 

Os ataques de spoofing são difíceis de seguir uma vez que os e-mails são enviados a partir do próprio domínio de uma empresa. No entanto, há formas de resolver os problemas. Um dos métodos populares utilizados e recomendados pelos peritos da indústria é minimizar a falsificação com a ajuda de um DMARC configuração.

6. Pretexto

O pretexto pode ser referido como um predecessor de um ataque de engenharia social. É quando um atacante tece uma história hipotética para apoiar a sua reivindicação de informação sensível da empresa. Na maioria dos casos o pretexto é realizado através de chamadas telefónicas, em que um agressor faz-se passar por um cliente ou empregado, exigindo informações sensíveis da empresa.

O que é um método comum utilizado na engenharia social?

O método mais comum utilizado na engenharia social é o Phishing. Vejamos algumas estatísticas para compreender melhor como o Phishing é uma ameaça global crescente:

  • O relatório 2021 Cybersecurity Threat Trends da CISCO destacou que 90% das violações de dados ocorrem como resultado de phishing
  • A IBM, no seu Relatório de Custo de uma Violação de Dados de 2021, delegou o título de vector de ataque de maior custo financeiro ao phishing
  • A cada ano, a taxa de ataques de phishing tem vindo a aumentar 400%, tal como relatado pelo FBI

Como se proteger dos ataques da Engenharia Social?

Protocolos e ferramentas que pode configurar: 

  • Implantar protocolos de autenticação de e-mail na sua organização como SPF, DKIM, e DMARC. Comece hoje mesmo por criar um registo DMARC gratuito com o nosso Gerador de registos DMARC.
  • Forcem a sua Política DMARC para p=rejeitar para minimizar a falsificação directa do domínio e os ataques de phishing por e-mail
  • Certifique-se de que o seu sistema informático está protegido com a ajuda de um software antivírus

Medidas pessoais que pode tomar:

  • Sensibilizar a sua organização contra tipos comuns de ataques de engenharia social, vectores de ataque, e sinais de aviso
  • Informe-se sobre os vectores e tipos de ataque. Visite a nossa base de conhecimentos, introduza "phishing" na barra de pesquisa, acerte enter, e comece a aprender hoje mesmo!  
  • Nunca submeter informação confidencial em websites externos
  • Habilitar aplicações de identificação do chamador no seu dispositivo móvel
  • Lembre-se sempre que o seu banco nunca lhe irá pedir para enviar as informações da sua conta e palavra-passe por e-mail, SMS, ou telefone
  • Verifique sempre novamente o correio A partir do endereço e do caminho de retorno dos seus e-mails para garantir que são compatíveis 
  • Nunca clique em anexos ou ligações suspeitas de correio electrónico antes de ter 100% de certeza sobre a autenticidade da sua fonte
  • Pense duas vezes antes de confiar nas pessoas com quem interage online e que não conhece na vida real
  • Não navegar em sítios Web que não estejam protegidos por uma ligação HTTPS (ex. http://domain.com)

/por