O malware não é a única ameaça online a se preocuparsobre. A engenharia social é uma grande ameaça e pode atingi-lo em qualquer sistema operacional. De fato, a engenharia social também pode ocorrer por telefone e em situações presenciais.
É importante estar ciente da engenharia social e estar atento. Os programas de segurança não protegem você da maioria das ameaças de engenharia social, então você precisa se proteger.
Engenharia Social Explicada
Os ataques tradicionais baseados em computador geralmente dependemem encontrar uma vulnerabilidade no código de um computador. Por exemplo, se você estiver usando uma versão desatualizada do Adobe Flash - ou, se Deus não permitir, Java, que foi a causa de 91% dos ataques em 2013, de acordo com a Cisco -, poderá visitar um site malicioso e esse site exploraria a vulnerabilidade em seu software para obter acesso ao seu computador. O invasor está manipulando bugs no software para obter acesso e coletar informações privadas, talvez com um keylogger instalado.
Os truques de engenharia social são diferentes porque envolvem manipulação psicológica. Em outras palavras, eles exploram pessoas, não seus softwares.
RELACIONADOS: Segurança on-line: detalhando a anatomia de um email de phishing
Você provavelmente já ouviu falar de phishing, o queé uma forma de engenharia social. Você pode receber um e-mail alegando ser do seu banco, empresa do cartão de crédito ou outra empresa confiável. Eles podem direcioná-lo para um site falso, disfarçado para parecer um site real ou solicitar que você baixe e instale um programa malicioso. Mas esses truques de engenharia social não precisam envolver sites falsos ou malware. O email de phishing pode simplesmente solicitar que você envie uma resposta por email com informações particulares. Em vez de tentar explorar um bug em um software, eles tentam explorar as interações humanas normais. O spear phishing pode ser ainda mais perigoso, pois é uma forma de phishing criada para segmentar indivíduos específicos.
Exemplos de Engenharia Social
Um truque popular nos serviços de bate-papo e onlinejogos foi registrar uma conta com um nome como "Administrador" e enviar mensagens assustadoras para as pessoas como "AVISO: Detectamos que alguém pode estar invadindo sua conta, responda com sua senha para se autenticar". Se um alvo responder com a senha, eles caíram na armadilha e o atacante agora tem a senha da conta.
Se alguém tiver informações pessoais sobre você, elepoderia usá-lo para obter acesso às suas contas. Por exemplo, informações como sua data de nascimento, número da previdência social e número do cartão de crédito são frequentemente usadas para identificá-lo. Se alguém tiver essas informações, poderá entrar em contato com uma empresa e fingir ser você. Esse truque foi famoso por um invasor para obter acesso ao Yahoo! de Sarah Palin Mail em 2008, enviando detalhes pessoais suficientes para obter acesso à conta por meio do formulário de recuperação de senha do Yahoo !. O mesmo método pode ser usado por telefone, se você tiver as informações pessoais necessárias para a autenticação da empresa. Um invasor com algumas informações sobre um alvo pode fingir ser ele e obter acesso a mais coisas.
A engenharia social também pode ser usada pessoalmente. Um invasor pode entrar em uma empresa, informar à secretária que é uma pessoa de reparo, novo funcionário ou inspetor de incêndio em um tom autoritário e convincente e, então, percorrer os corredores e potencialmente roubar dados confidenciais ou erros de fábrica para realizar espionagem corporativa. Esse truque depende do atacante se apresentar como alguém que não é. Se uma secretária, porteiro ou qualquer outro responsável não fizer muitas perguntas ou olhar muito de perto, o truque será bem-sucedido.
RELACIONADOS: Como os invasores realmente "cortam contas" on-line e como se proteger
Os ataques de engenharia social abrangem o leque de falsificaçõessites, e-mails fraudulentos e mensagens nefastas de bate-papo até se passar por alguém por telefone ou pessoalmente. Esses ataques ocorrem em uma ampla variedade de formas, mas todos eles têm uma coisa em comum - eles dependem de truques psicológicos. A engenharia social tem sido chamada de arte da manipulação psicológica. É uma das principais maneiras pelas quais os "hackers" realmente "hackear" contas on-line.
Como Evitar a Engenharia Social
O conhecimento da engenharia social pode ajudá-lobatalhe. Suspeite de e-mails, mensagens de bate-papo e telefonemas não solicitados que solicitam informações particulares. Nunca revele informações financeiras ou informações pessoais importantes por e-mail. Não faça o download de anexos de email potencialmente perigosos e os execute, mesmo que um email afirme ser importante.
Você também não deve seguir os links em um email parasites sensíveis. Por exemplo, não clique em um link em um e-mail que pareça ser do seu banco e faça login. Isso pode levar você a um site de phishing falso disfarçado para parecer o site do seu banco, mas com um URL sutilmente diferente. Visite o site diretamente.
Se você receber uma solicitação suspeita - porPor exemplo, uma ligação telefônica do seu banco solicita informações pessoais - entre em contato diretamente com a fonte da solicitação e solicite confirmação. Neste exemplo, você liga para o seu banco e pergunta o que eles querem, em vez de divulgar as informações para alguém que afirma ser seu banco.
Programas de email, navegadores da web e conjuntos de segurançageralmente possuem filtros de phishing que avisam quando você visita um site de phishing conhecido. Tudo o que eles podem fazer é avisá-lo quando você visita um site de phishing conhecido ou recebe um e-mail de phishing conhecido, e eles não sabem sobre todos os sites ou e-mails de phishing existentes. Na maioria das vezes, cabe a você se proteger: os programas de segurança podem ajudar um pouco.
É uma boa ideia exercitar uma suspeita saudávelao lidar com solicitações de dados particulares e qualquer outra coisa que possa ser um ataque de engenharia social. Suspeita e cautela ajudarão a protegê-lo, tanto online quanto offline.
Crédito de imagem: Jeff Turnet no Flickr
