O que é engenharia social e porque é importante falarmos sobre isso?
Engenharia social é uma técnica usada pelos hackers que não possuem conhecimento avançado sobre tecnologia da computação
Escrito por TrustCert
Engenharia social é uma técnica usada pelos hackers e por fraudadores que não possuem conhecimento avançado sobre tecnologia da computação.
Essa técnica leva pessoas a acreditarem em uma determinada abordagem e, com isso, revelar dados que possibilitam a ação desses malfeitores.
O golpe pode ser aplicado de forma online, por meio de e-mails e falsos perfis de redes ou ainda por meio de aplicativos de mensagens instantâneas e ligações telefônicas.
Ao atravessar uma rua você instintivamente olha para os dois lados? Sim, você age dessa forma por que te ensinaram e repetiram a mesma coisa por diversas vezes.
É por isso que nós da TrustCert sempre divulgamos as novas vulnerabilidades e as vulnerabilidades já conhecidas apesar de não ser novidade.
Existem alguns tipos de engenharia social que você deve conhecer:
– Dumpster Diving
– Phishing
– Pretexting
– Quid Pro Quo
– Sextorsion
– Spear Phishing
– Tailgating
– Vishin
A seguir, descrevemos como cada uma das técnicas é aplicada.
1. Dumpster Diving
A técnica consiste em revirar o lixo em busca de informações confidenciais e sigilosas.
Existem informações valiosos para os hackers em notas fiscais sejam de restaurantes e principalmente das embalagens de compras online e faturas de serviços.
2. Phishing
O phishing é um tipo de fraude que ocorre no meio eletrônico com o objetivo de adquirir dados pessoais de vários tipos: nome de usuário, senhas, números de cartões de crédito e conta bancária e outras informações de cadastro.
Esta forma de roubo de dados pessoais é simples de ser aplicada pelos fraudadores e atinge a muitos usuários numa única ação.
O phishing é uma ameaça que utiliza e-mails
3. Pretexting
Como sugere o nome, o pretexting se baseia na criação de falsos pretextos atrativos como: premiações, indenizações, e heranças de parentes distantes.
4. Quid Pro Quo
Quid pro Quo é uma expressão latina que significa “tomar uma coisa por outra.
Na cibersegurança, é o nome de uma técnica que finge oferecer algo para a vítima, em troca de algo importante para quem aplica o golpe, como informações confidenciais, o que representa um risco altíssimo para as empresas.
Conhecendo o serviço de suporte usado na sua empresa, o impostor envia um e-mail para os colaboradores, emulando a interface e a comunicação desse serviço de suporte.
Se der certo, ele pode receber senhas, PINs e outras informações confidenciais que desbloqueiam o acesso ao seu sistema.
5. Sextorsion
A sextorsion nada mais é do que uma extorsão baseada no vazamento de imagens íntimas, que podem existir ou não.
A prática cresce rapidamente em todos os países, pois toca em pontos frágeis das pessoas, como as noções de autopreservação, privacidade e reputação social.
A técnica é utilizada, até mesmo, para vulnerabilizar pessoas em posições importantes dentro das empresas.
Indiferentemente a terem ou não essas imagens, os invasores extorquem as vítimas, exigindo alguma condição de seu interesse para não compartilhar esse conteúdo.
6. Spear Phishing
Por meio de e-mails e mensagens, spear phishing leva as vítimas à páginas falsas, que se parecem com as reais, para coletar informações ou injetar malwares nos dispositivos.
Por isso, o certificado digital TLS/SSL é importante para manter a criptografia e, também, para sinalizar aos visitantes que o site é um site autentico além de seguro.
A autenticidade é creditada pôr meio de certificados que identificam a organização de forma precisa realizando a validação não só da existência do domínio como também a comprovação de que a empresa existe, tem endereço físico localizável e é proprietária do domínio em que o respectivo site está configurado.
Esses certificados são dos tipos OV – Validação de Organização e EV – Validação Estendida.
O certificado SSL DV – Validação de Domínio não identifica a organização, pois para sua emissão a Autoridade Certificadora não valida esse tipo de dados.
Empresas que prezam por sua marca e respeitam seus consumidores e visitantes utilizam certificados SSL OV e EV, justamente por isso, mas muitas ainda pecam por não “ensinar” aos seus visitantes a conferir sua identidade.
7. Tailgating
No trânsito, tailgating é a prática de “andar colado” ao veículo da frente sem deixar o espaço requerido de segurança.
Na engenharia social, é algo semelhante, pois implica em aproveitar essa mesma proximidade para acessar ambientes restritos em uma empresa.
Imagine um prédio que tenha controle de acesso por meio de RFID, fazendo-se passar por um colega, o invasor pode acessar o perímetro, aproveitando a gentileza do colaborador que deixa a porta aberta para ele passar. Por isso, é importante investir em boas práticas de segurança patrimonial e física.
8. Vishing
O vishing é uma variação do phishing e é aplicada de forma verbal, por meio de ligações telefônicas.
Concluindo, o mundo eletrônico nos traz muitas oportunidades, proporciona conforto e agilidade e muitos outros benefícios, no entanto, existem risco que devem e podem ser evitados com o conhecimento de que as vulnerabilidades são reais e precisam ser evitadas.
Precisamos sempre estar atentos a possibilidades de fraudes eletrônicas.
Gostou do artigo? Compartilhe!
Trustcert orienta sobre principais ações frente a vulnerabilidade crítica do OpenSSL anunciada hoje
O que é confiança digital? Por Trustcert
Os principais tipos de ataques cibernéticos que não podem ignorados
Sobre TrustCert
O principal objetivo do lobo é proteger aqueles que estão sob sua guarda!
Sua postura inspira confiança, respeito e segurança da mesma forma que o certificado Trustcert, que com astúcia, inteligência e sociabilidade protege o seu site como um lobo faz com sua alcateia
Trustcert – O certificado SSL com tudo que você precisa, direto ao ponto!