Varonis | Segurança de dentro para fora

Técnicas de engenharia social preocupam a cibersegurança

Escrito por Emilia Bertolli | Apr 4, 2016 5:30:00 AM

3e De acordo com a pesquisa Cybersecurity Snapshot, da ISACA, a maior preocupação dos profissionais de segurança em 2016 serão as técnicas de engenharia social. O problema foi citado por 52% dos entrevistados pelo estudo. Em seguida, aparecem as ameaças internas (40%) e as ameaças avançadas (39%).

Em vez de invadir a rede, os ciber criminosos que optam por esse tipo de ação manipulam aqueles que têm acesso aos dados desejados. São ações que costumam iludir as pessoas, permitindo que os ciber criminosos obtenham as informações para ter acesso às credenciais necessárias para chegar à conta de um usuário.

Conheça algumas técnicas de engenharia social:

Phishing

Uma das maneiras mais fáceis de ser infectado por um malware – inclusive um ransomware – é por phishing. Por meio de um e-mail de phishing, um hacker, após coletar previamente informações para construir uma mensagem convincente, envia um e-mail aparentemente legítimo pedindo para que o usuário baixe um arquivo ou clique em um link.

Geralmente, o foco são os usuários com grandes privilégios de acesso. O objetivo do whale phishing geralmente é extrair propriedade intelectual ou outra informação altamente sigilosa.

Para esse tipo de problema, o melhor a fazer é educar a equipe para que não clique em links ou abra anexos ou e-mails de pessoas desconhecidas ou empresas com as quais a organização não faça negócios.

Ligações falsas

As ligações falsas são bem semelhantes ao phishing, exceto pelo fato de se darem pelo telefone. Trata-se do ato de criar um cenário inventado (pretexto) para engajar um usuário numa conversa para tentar arrancar dele informações sobre uma vítima. Isso geralmente envolve algumas pesquisas para criar uma mentira convincente.

Os criminosos podem se passar por funcionários, profissionais de TI, fornecedores ou qualquer outro indivíduo que possa ser interessante, dependendo do contexto. O objetivo é obter informações sensíveis, como contas de banco, nomes de parentes, datas de compromisso e outras informações que podem ser usadas em uma possível violação.

Pegando carona

Isso acontece fora do mundo virtual e envolve uma pessoa que se aproveita de um funcionário legítimo para ter acesso a uma área restrita. A solução para isso é seguir as boas práticas de segurança, entre elas, a de manter dispositivos bloqueados em períodos de inatividade.

Com Varonis