Endpoint Protection

 View Only

Engenharia social: atacando o elo mais fraco da corrente da segurança 

Jul 08, 2014 08:22 PM

Aconteceu com grandes corporações, até mesmo com o Departamento de Defesa dos Estados Unidos: tornar-se vítima de violações de dados resultantes de ações de invasores que exploram os funcionários ou fornecedores da empresa. Infelizmente, além de expor milhões de identidades, esses ataques também revelam o que é normalmente o elo mais fraco na segurança de dados empresariais: o elemento humano.

Spearphishing1.PNG

Na última década, uma quantidade cada vez maior de usuários se tornou alvo de ataques de spear phishing, e a engenharia social se tornou ainda mais sofisticada com o passar do tempo. Os riscos de violações de dados que podem resultar desses ataques são incrivelmente altos. Em 2013, mais de 552 milhões de identidades foram expostas a violações de dados. É claro que a proteção da empresa e das informações dos clientes é essencial, e a proteção, nesse caso, começa com o reconhecimento do inimigo. É importante que os funcionários da empresa entendam como esses ataques ocorrem e como se proteger deles.

E-mails incógnitos

Os ataques de phishing atuais não são mais tão simples e óbvios como os do passado. Os hackers desenvolveram métodos sofisticados de spear phishing que contam com uma engenharia social sofisticada e bem pesquisada para aprimorar suas chances de sucesso. Seus e-mails são personalizados especificamente para provocar o interesse dos indivíduos que serão o alvo do ataque, a fim de aumentar a probabilidade de eles abrirem o e-mail.

Os agressores criam e-mails que parecem provenientes de alguém que a vítima conhece, ou seja, uma fonte na qual confiam, ou e-mails contendo informações relevantes para a função profissional da vítima. Por exemplo, para alguém que trabalhasse no departamento de recursos humanos, um agressor enviaria um e-mail de spear phishing que incluísse um currículo em anexo cheio de malware. Ou um agressor poderia enviar um aviso importante a um funcionário que parecesse ser da instituição bancária desse funcionário. De acordo com o Relatório Symantec de Ameaças à Segurança na Internet (ISTR), 71% dos ataques de phishing no ano passado foram relacionados a ataques disfarçados de organizações financeiras, em comparação a 67% em 2012. Os agressores podem se disfarçar muito bem e, como resultado, pode ser quase impossível identificá-los sem a proteção adequada.

Spearphishing 2.png

Apesar de os ataques de spear phishing normalmente usarem somente e-mails, observamos no ano passado que os agressores estão cada vez mais usando táticas off-line mais agressivas. Além de enviarem e-mails, os agressores estão também ligando diretamente para as vítimas, usando um tom confiante e enfático para pressioná-los a abrir o e-mail. No ataque "Francophoned", de abril de 2013, o agressor fingia ser um funcionário do alto escalão e solicitava que a vítima abrisse o anexo imediatamente. Em outros casos, os criminosos cibernéticos fingiam ser do suporte técnico para convencer as vítimas a abrirem e-mails ou executarem programas de computador maliciosos.

Os agressores utilizaram até mesmo objetos para se aproveitar dos funcionários e obter acesso às empresas. Em alguns casos, os criminosos colocaram dispositivos "perdidos" na empresa ou nas redondezas da empresa-alvo na esperança de que algum funcionário os encontrasse e abrisse os arquivos em um computador da empresa.

Depois de ouvir todas essas histórias, você pode se perguntar: como posso proteger meu computador e os dados para que não sejam comprometidos? Apesar de não haver uma solução mágica, treinamento é a chave do sucesso. E, principalmente, comece com um treinamento de conscientização em segurança da forma certa.

Não apenas forneça guias ao funcionário para instruir sua força de trabalho. Um treinamento eficaz deve ser prático e incluir testes com os funcionários, desafiando-os com situações reais. Por exemplo, envie e-mails de phishing que simulem um ataque real e então use o teste como uma oportunidade para instruir os funcionários. Para a Atlantic Media, esse tipo de simulação de ataque cibernético ajudou a fornecer os dados para apoiar a necessidade de uma vigilância maior entre os funcionários e provou ser a tática mais segura e eficaz na criação de uma inteligência de segurança coletiva da empresa. 

Statistics
0 Favorited
0 Views
0 Files
0 Shares
0 Downloads

Tags and Keywords

Related Entries and Links

No Related Resource entered.