Diversos

6 dos ataques cibernéticos de engenharia social mais comuns

6 dos ataques cibernéticos de engenharia social mais comuns


We are searching data for your request:

Forums and discussions:
Manuals and reference books:
Data from registers:
Wait the end of the search in all databases.
Upon completion, a link will appear to access the found materials.

Os ataques de engenharia social podem ser muito convincentes e, potencialmente, muito caros para as vítimas. Os engenheiros sociais usarão uma variedade de técnicas para coletar informações confidenciais das vítimas para seu próprio benefício comercial ou outro.

Aqui, exploramos o que os engenheiros sociais fazem e destacamos seis estratégias comuns que eles empregam.

RELACIONADO: COMO SE PROTEGER DE SE TORNAR UMA VÍTIMA DE CIBERSTALK

O que é engenharia social cibernética?

Engenharia social, caso você não saiba, é o uso de várias técnicas psicológicas para fraudar ou coletar informações confidenciais de um indivíduo ou organização.

No contexto deste artigo, o termo engenharia social é usado em referência à segurança da informação, ao invés de estratégias planejadas centralmente usadas para encorajar, embora geralmente force, a mudança social para regular o desenvolvimento futuro e o comportamento em uma sociedade.

"[O] uso de engano para manipular indivíduos para a divulgação de informações confidenciais ou pessoais que podem ser usadas para fins fraudulentos." - Lexico.com.

É um termo muito amplo e inclui uma variedade de atividades maliciosas usando interações humanas para obter dados para fins comerciais ou outro benefício para o invasor.

Quais são alguns exemplos de ataques de engenharia social?

Aqui estão seis exemplos de ataques comuns de engenharia social. Os exemplos a seguir não estão em uma ordem específica e estão longe de ser exaustivos.

1. Phishing é uma estratégia muito comum

Phishing é uma das formas mais comuns de ataque cibernético de engenharia social, se não a mais comum. De acordo com sites como o lifewire.com, ele na verdade é responsável por uma quantidade substancial de todos os e-mails de spam que as pessoas recebem diariamente.

Mas também pode ser tentado por meio de SMS, mensagens instantâneas e outras formas de interação de mídia social.

Essas formas de mensagens tentam induzi-lo a divulgar informações confidenciais, como senhas, detalhes de cartões, etc., diretamente ou visitar um URL fraudulento para extrair informações semelhantes.

Os tipos mais avançados dessa forma de ataque de engenharia social tentam imitar uma instituição respeitável e confiável, como seu banco, etc. Eles também tentarão instilar em você um senso de urgência para agir, geralmente para evitar alguma forma de ação indesejada (bom, etc.).

2. Ataques watering hole são uma forma comum de ciberespionagem

Os ataques watering hole consistem em indivíduos nefastos injetando códigos maliciosos em sites públicos para atacar usuários regulares.

"Neste ataque, o atacante adivinha ou observa quais sites [um grupo alvo] costumam usar e infecta um ou mais deles com malware. Eventualmente, algum membro do grupo alvo é infectado", de acordo com a Wikipedia.

Quando os usuários visitam o site, o site abrangido abre um trojan backdoor no computador do usuário. O método de ataque watering hole é muito comum para operações de ciberespionagem ou ataques patrocinados pelo estado.

3. A utilização não autorizada pode ser um problema real

Tailgating, como o nome sugere, é uma forma de ataque de engenharia social que é usado para dar a um indivíduo malicioso acesso físico a uma área sem a devida autorização. Em suas formas mais básicas, um invasor espera que uma pessoa autorizada use seu cartão de acesso ou credenciais biométricas para abrir uma porta de acesso eletrônico.

Eles simplesmente passarão pela porta antes que ela se feche.

Versões mais avançadas envolvem o uso de jogar com a generosidade de alguém. Por exemplo, eles podem se sobrecarregar com objetos pesados ​​e esperar na porta de acesso.

Quando um funcionário autorizado se aproximar, eles alegarão que não podem alcançar seu próprio cartão de acesso e pedirão que abram a porta para eles.

4. Pretexting pode ser muito convincente

Pretexting, em oposição ao phishing, tenta extrair informações confidenciais construindo confiança ao longo do tempo. O invasor criará um pretexto crível, mas totalmente fabricado, para estabelecer algumas bases e quebrar as defesas da vítima ao longo do tempo.

Por exemplo, eles ligam para um alvo e fingem exigir certas informações para ativar uma nova conta do sistema ou verificar sua identidade. As versões mais sofisticadas construirão um relacionamento ao longo de dias ou semanas, e podem assumir a identidade de um funcionário real no departamento de TI da vítima.

Esse tipo de tática é usado para ganhar a confiança da vítima e aumentar a probabilidade de ela divulgar as informações solicitadas sem hesitação.

5. Os ataques de caça às baleias tendem a visar a equipe de gestão

A caça às baleias é uma forma mais sofisticada de phishing que usa técnicas de engenharia social mais avançadas para coletar informações confidenciais. Isso tende a colocar o ônus sobre as informações de maior valor econômico e comercial para o invasor.

"O que distingue esta categoria de phishing de outras é a escolha dos alvos: executivos relevantes de empresas privadas e agências governamentais. A palavra caça às baleias é usada, indicando que o alvo é um grande peixe para capturar." - infosecinstitute.com.

E-mails de ataques de caça às baleias tendem a se passar por e-mails comerciais críticos, enviados por autoridades legítimas ou outras organizações importantes. O conteúdo da mensagem também tende a ser direcionado à alta gerência e geralmente inclui informações falsas sobre questões de toda a empresa ou outras questões confidenciais.

6. Ataques Baiting e Quid Pro Quo

A isca é outro ataque nefasto de engenharia social que tenta mexer com a curiosidade da vítima. Um exemplo clássico fará uso de arquivos maliciosos disfarçados de outra coisa, como uma atualização de software ou outro software genérico.

Também pode ser disseminado por meio do uso de dispositivos USB infectados depositados no mundo real - por exemplo, um stick USB "perdido" em um estacionamento. O malware usado comprometerá a segurança do PC e fornecerá uma porta dos fundos para que os invasores tenham acesso a informações confidenciais.

Um ataque semelhante, embora sutilmente diferente, é chamado de Quid Pro Quo ataque. Essa forma de ataque tenta instalar software malicioso por meio de um processo de fazer algo "bom" para a vítima.

Nesse tipo de cenário de ataque, o hacker oferece um serviço ou benefício em troca de informações ou acesso. Os hackers tendem a se passar por funcionários de TI em uma organização e contatar funcionários para obter acesso para instalar ou atualizar o software do sistema.

Quais são os três exemplos de técnicas usadas em ataques de engenharia social?

Já cobrimos 6 das formas mais comuns de ataques cibernéticos de engenharia social acima, mas existem outras.

  • Vishing - Também conhecido como phishing de voz, esta é uma forma de ataque de engenharia social que se concentra principalmente na coleta de informações por telefone. Ele também pode ser usado por invasores para fins de reconhecimento para obter acesso a indivíduos mais importantes em uma organização.
  • Smishing - "O ato de usar mensagens de texto SMS para atrair as vítimas a um determinado curso de ação. Como o phishing, pode ser clicar em um link malicioso ou divulgar informações", observa a Wikipedia.
  • Spear Phishing - Esta é uma forma de phishing que tende a fazer uso de e-mails altamente personalizados enviados a um número limitado de vítimas potenciais.

O que um engenheiro social faz?

Os engenheiros sociais são pessoas que realizam uma série de atividades maliciosas para enganar as vítimas humanas, fazendo-as revelar informações pessoais ou outras informações confidenciais, ou acessar essas informações. Isso pode ser por meio digital (como e-mail) ou fisicamente no mundo real.

Com referência ao último, eles seriam tradicionalmente chamados de "vigaristas" ou "trapaceiros de confiança".

Seja qual for o caso, os engenheiros sociais tentarão empregar uma variedade de técnicas de manipulação psicológica para induzir as vítimas a cometer erros de segurança ou fornecer informações livremente.

Os engenheiros sociais tendem a identificar e atacar as vítimas seguindo algumas etapas principais:

1. Investigação - Encontre vítimas em potencial e reúna algumas informações básicas / selecione meios de ataque

2. Tente prendê-los - Usando as técnicas mencionadas anteriormente

3. Jogue - Tente reunir mais e mais informações ao longo do tempo.

4. Sair - Encerrar sua interação com a vítima. Eles também tentarão remover todos os vestígios de qualquer malware usado, etc. e geralmente concluem sua farsa.


Assista o vídeo: Aula 2 ENGENHARIA SOCIAL (Junho 2022).


Comentários:

  1. Nicolaas

    Nele algo está.Obrigado pela ajuda nesta pergunta, quanto mais fácil, melhor ...

  2. Vudojora

    eu considero, que você cometeu um erro. Vamos discutir. Escreva para mim em PM.

  3. Erin

    Quero dizer, você permite o erro. Entre que discutiremos. Escreva-me em PM.

  4. Tushakar

    Você não está certo. Eu sugiro isso para discutir. Escreva para mim em PM.

  5. Gilli

    It should be said to have confused.

  6. Bentleigh

    Gostaria de encorajá -lo a visitar o site, pois há muitos artigos sobre o assunto.

  7. Abydos

    Eu acho que você não está certo. Eu me ofereço para discutir isso.



Escreve uma mensagem