Engenharia social (Social Engineering)
Capítulo 1 — O que é engenharia social
A engenharia social é o conjunto de técnicas para manipular, influenciar ou enganar você, a fim de obter controle sobre seu sistema de computador ou instalações.
O hacker pode usar o telefone, e-mail, correio tradicional, redes sociais, aplicativos de mensagens ou contato direto para obter acesso ilegal.
Ele tentará manipular, influenciar ou enganar qualquer pessoa na empresa , incluindo aqueles com alto perfil, como o CEO, CFO, etc.
A engenharia social não requer nenhuma habilidade técnica . Pense bem: por que alguém deveria gastar tempo e dinheiro para quebrar um sistema se a senha para acessar um sistema pode ser solicitada diretamente a você?
Os seres humanos são o elo mais fraco da segurança, não as máquinas, portanto o elemento humano é crucial.
De acordo com o Relatório de investigações de violação de dados de 2021 da Verizon, 85% das violações envolveram um elemento humano, ou seja, engenharia social.
Também é importante observar que 20% dos atores, ou seja, a pessoa que realiza os ataques, são internos à organização:
Kevin Mitnick é o hacker mais famoso de todos os tempos. Ele executou a maioria de seus hacks usando técnicas de Engenharia Social.
Por favor, assista a este vídeo onde ele explica seu primeiro hack de Engenharia Social, aos 12 anos (ele começou a ter acesso a grandes empresas aos 16):
Vishing
Existem várias maneiras de um hacker obter acesso ilegal. Se o hacking for feito por voz, como um telefonema, é chamado de vishing .
Por favor, assista a este vídeo, onde um hacker obtém acesso à conta de telecomunicações de alguém:
Smishing
Se o hacking for feito usando uma mensagem de texto, é chamado de smishing .
Por favor, assista a este pequeno vídeo:
Phishing
Se o hacking for feito usando e-mail, é chamado de phishing. COVID está sendo usado como um tema em torno do phishing. Por favor, assista a este pequeno vídeo de notícias:
Quando o ataque é direcionado a um indivíduo, organização ou empresa específica, é chamado de spear phishing . Se for direcionado a altos executivos, é definido como baleação . Esses ataques são perigosos porque, por exemplo, os administradores têm acesso privilegiado e os altos executivos têm acesso às finanças das empresas. Se você tiver acesso a sistemas como administrador, a dinheiro ou a dados privados ou confidenciais, você é um alvo potencial desses tipos de ataques. Por favor, assista a este vídeo, onde poderá acompanhar um exemplo real, que custou ao contribuinte 700.000 USD:
Como reconhecer um e-mail de ataque de phishing:
Baiting
Um tipo de ataque de engenharia social em que um golpista usa uma promessa falsa para atrair a vítima para uma armadilha que pode roubar informações pessoais e financeiras ou infligir malware ao sistema é chamado de Baiting.
Um exemplo muito conhecido é um ataque de phishing USB. Os hackers geralmente deixam um pendrive em algum lugar perto da vítima, esperando por uma oportunidade. Assim que a vítima insere o USB em um computador, o malware (software malicioso) é executado.
Por favor, veja o vídeo:
Tailgating ou piggybacking
Tailgating ou piggybacking é uma violação de segurança física na qual uma pessoa não autorizada segue um indivíduo autorizado para entrar em um local seguro .
Por favor, assista ao vídeo:
Resumo
- A engenharia social é o conjunto de técnicas para manipular, influenciar ou enganar você a fim de obter controle sobre seu sistema de computador ou instalações;
- O hacker pode usar o telefone, e-mail, correio tradicional, redes sociais, aplicativos de mensagens ou contato direto para obter acesso ilegal;
- Ele tentará manipular, influenciar ou enganar qualquer pessoa na empresa , incluindo aqueles com alto perfil, como o CEO, CFO, etc.;
- A engenharia social não requer nenhuma habilidade técnica;
- 85% das violações envolveram um elemento humano, ou seja, engenharia social;
- 20% dos atores, ou seja, a pessoa que realiza os ataques, são internos à organização.