Engenharia social nas redes sociais

0

A engenharia social continua sendo um fator importante para viabilizar as atividades dos hackers. Eles usam a engenharia social para manipular usuários inocentes para obter acesso a informações corporativas sensíveis, como documentos internos, demonstrações financeiras, números de cartão de crédito e credenciais de usuário, ou simplesmente para bloquear serviços com ataques de negação de serviço (DoS).

Essa guerra moderna de ameaças e ataques avançados veio para ficar.

O volume de informações corporativas sensíveis armazenadas em data centers, servidores, PCs e telefones celulares estão aumentando rapidamente, e mais dados e plataformas criam mais riscos. Por fim, a lista de ameaças não está diminuindo, e cada ataque novo revela um nível ainda maior de sofisticação.

O uso crescente de redes sociais para fins profissionais aumento o apelo de usar esses vetores para a engenharia social, onde os hackers se apresentam como colegas de trabalho, recrutadores ou até mesmo amigos para obterem acesso às empresas.

Hoje,  a principal meta de muitos hackers e o roubo de dados, mas cada hacker tem sua própria agenda e seus próprios motivos – desde ganhos financeiros até a destruição de ativos corporativos. A Stuxnet, por exemplo, mudou como muitos profissionais de segurança pensam em segurança, percebendo como o malware pode ser usado como uma arma para prejudicar a infraestrutura inteira de uma empresa.  Agora, mais do que nunca, precisamos de estratégias de defesa abrangentes para evitar APTs e outras ameaças ocultas.

Em geral, a meta de quem ataca é de obter dados valiosos. Mas, hoje, dados de cartões de crédito dividem espaço nas prateleiras de lojas virtuais de hacker com itens como logins do Facebook e credenciais de e-mail. E isso é por que os bancos usam múltiplas formas de autenticação para verificar transações on-line, e com isso os hackers precisam de mais informações para comprometer uma conta.

Os cibercriminosos evoluíram seus malwares levando isso em consideração, e isso inclui a injeção de formulários web que usam a técnica de phishing para obter informações como o número do International Mobile Equipment Identity (IMEI) do celular, para entrar em contato com o provedor de serviços de uma pessoa para enviar ao hacker um novo cartão SIM (Subscriber Identity Module), como o atque Eurograbber. Com o cartão SIM, os criminosos podem interceptar a comunicação entre o banco e o cliente que tem como objetivo prevenir fraudes.

Por exemplo, o Pinterest sofreu críticas por que adotou políticas de privacidade vagas, exigindo que os usuários tivessem direitos legais a todo o conteúdo publicado, bloqueando quadros particulares, etc.  Mas, em março de 2012, o Pinterest atualizou seus termos de serviço. Em uma das maiores mudanças, o Pinterest retirou qualquer texto relacionado ao direito de vender conteúdo de usuários, e prometeu criar pinboards particulares para pessoas que pretendem usar o site como um álbum pessoal. Mesmo assim, o site ainda é um grande fórum público onde todos os seus usuários podem compartilhar conteúdo – e você nem precisa abrir uma conta para navegar esse conteúdo.

Dicas de segurança

Nunca compartilhe qualquer informação pessoal em redes sociais, como seus finanças, aniversários, senhas, etc., e avalia se o conteúdo que você está prestes a publicar é adequado e se você está confortável compartilhando essas informações. Atualize suas opções de privacidade com frequência, especialmente quando novos termos de serviço são divulgados e/ou o site for atualizado. Hoje, você deve ajustar suas configurações para evitar a exibição dos seus dados em buscas do Google.

Os hackers são inteligentes. Ao conhecer suas táticas, você pode evitar golpes. Mas, apesar de todo o cuidado, você ainda pode ser uma vítima. Se você acredita que foi vítima de um golpe virtual, você deve entre em contato com o departamento de TI da sua empresa imediatamente.

Evite riscos e sempre faça o logout das suas contas.

Os hackers estão ampliando o uso da engenharia social, indo além de simplesmente ligar para funcionários específicos para tentar enganá-los e obter informações. As redes sociais servem para conectar as pessoas, e um perfil pessoal ou corporativo convincente  seguido por um amigo, ou apenas uma solicitação para se conectar pode ser o bastante para aplicar um golpe de engenharia social.

Claudio Bannwart é gerente de contas estratégicas da Check Point Brasil.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.