Hacking ético - Engenharia Social
Vamos tentar entender o conceito de ataques de Engenharia Social por meio de alguns exemplos.
Exemplo 1
Você deve ter notado documentos antigos da empresa sendo jogados em latas de lixo como lixo. Esses documentos podem conter informações confidenciais, como nomes, números de telefone, números de contas, números de segurança social, endereços, etc. Muitas empresas ainda usam papel carbono em suas máquinas de fax e, uma vez que o rolo termina, seu carbono vai para a lixeira que pode ter vestígios de dados sensíveis. Embora pareça improvável, os invasores podem facilmente recuperar informações das lixeiras da empresa furtando o lixo.
Exemplo 2
Um invasor pode fazer amizade com um funcionário da empresa e estabelecer um bom relacionamento com ele por um período de tempo. Esse relacionamento pode ser estabelecido online, por meio das redes sociais, salas de bate-papo, ou offline, em uma mesa de centro, playground ou qualquer outro meio. O invasor confia no pessoal do escritório e, finalmente, desenterra as informações confidenciais necessárias sem dar uma pista.
Exemplo 3
Um engenheiro social pode fingir ser um funcionário, um usuário válido ou um VIP falsificando um cartão de identificação ou simplesmente convencendo os funcionários de sua posição na empresa. Esse invasor pode obter acesso físico a áreas restritas, fornecendo assim mais oportunidades para ataques.
Exemplo 4
Acontece na maioria dos casos que um invasor pode estar perto de você e pode fazer shoulder surfing enquanto você digita informações confidenciais, como ID de usuário e senha, PIN da conta, etc.
Ataque de Phishing
Um ataque de phishing é uma engenharia social baseada em computador, em que um invasor cria um e-mail que parece legítimo. Esses e-mails têm a mesma aparência que os recebidos do site original, mas podem conter links para sites falsos. Se você não for inteligente o suficiente, você digitará seu ID de usuário e senha e tentará fazer o login, o que resultará em falha e, nessa altura, o invasor terá seu ID e senha para atacar sua conta original.
Conserto rápido
Você deve aplicar uma boa política de segurança em sua organização e conduzir os treinamentos necessários para conscientizar todos os funcionários sobre os possíveis ataques de Engenharia Social e suas consequências.
A destruição de documentos deve ser uma atividade obrigatória em sua empresa.
Certifique-se de que todos os links recebidos em seu e-mail vêm de fontes autênticas e apontam para sites corretos. Caso contrário, você pode acabar sendo vítima de phishing.
Seja profissional e nunca compartilhe seu ID e senha com ninguém.