5 tipos de ataques de engenharia Social

Outubro 5, 2020 admin 0 Comments

esquemas de engenharia Social têm vindo a acontecer há anos e, no entanto, continuamos a cair por eles todos os dias. Isso se deve à enorme falta de treinamento de segurança cibernética disponível para os funcionários das organizações grandes e pequenas. Em um esforço para espalhar a consciência desta tática e lutar de volta, aqui está uma rápida visão geral de esquemas comuns de engenharia social., Os prestadores de serviços gerenciados (MSPs) têm a oportunidade de educar seus clientes de negócios de pequeno e médio porte para aprender a identificar esses ataques, tornando muito mais fácil evitar ameaças como o ransomware.Phishing é uma forma líder de ataque de engenharia social que é tipicamente entregue na forma de um e-mail, chat, Web ad ou site que foi projetado para personificar um sistema real, pessoa ou organização. Mensagens de Phishing são trabalhadas para fornecer um senso de urgência ou medo com o objetivo final de capturar os dados sensíveis de um usuário final., Uma mensagem de phishing pode vir de um banco, do governo ou de uma grande empresa. O apelo às acções varia. Alguns pedem ao usuário final para “verificar” suas informações de login de uma conta e incluem uma página de login mock-up completa com logotipos e branding para parecer legítimo. Alguns afirmam que o usuário final é o “vencedor” de um grande prêmio ou loteria e solicitar acesso a uma conta bancária em que para entregar os ganhos. Alguns pedem doações de caridade (e fornecem instruções de fiação) após um desastre natural ou tragédia. Um ataque bem sucedido muitas vezes culmina no acesso aos sistemas e dados perdidos., Organizações de todos os tamanhos devem considerar fazer backup de dados business-critical com uma solução de continuidade de negócio e recuperação de desastres para se recuperar de tais situações.

Isca

Isca, semelhante ao phishing, envolve a oferta de algo atraente para um usuário final, em troca de informações de login ou dados privados., O “bait” vem em muitas formas, tanto digital, como um download de música ou filme em um site peer-to-peer, e físico, como uma unidade flash de marca corporativa rotulado “Executivo salário resumo Q3” Que é deixado fora em uma mesa para um usuário final encontrar. Uma vez que a isca é baixada ou usada, o software malicioso é entregue diretamente no sistema de usuários finais e o hacker é capaz de começar a trabalhar.

Quid Pro Quo

semelhante ao isca, quid pro quo envolve um hacker solicitando o intercâmbio de dados críticos ou credenciais de login em troca de um serviço., Por exemplo, um usuário final pode receber um telefonema do hacker que, posicionado como um especialista em tecnologia, oferece assistência de TI gratuita ou melhorias tecnológicas em troca de credenciais de login. Outro exemplo comum é um hacker, fingindo ser um pesquisador, pede acesso à rede da empresa como parte de uma experiência em troca de US $100. Se uma oferta parece boa demais para ser verdade, provavelmente é quid pro quo.

Piggybacking

Piggybacking, também chamado de tailgating, é quando uma pessoa não autorizada segue fisicamente uma pessoa autorizada para uma área ou sistema corporativo Restrito., Um método experimentado e verdadeiro de enganar é quando um hacker chama um empregado para segurar uma porta aberta para eles como eles esqueceram seu cartão de identidade. Outro método envolve uma pessoa pedindo a um empregado para “emprestar” seu laptop por alguns minutos, durante o qual o criminoso é capaz de instalar rapidamente software malicioso.,

Pretexting

Pretexting, o equivalente humana de phishing, é quando um hacker cria uma falsa sensação de confiança entre si e o usuário final, fazendo-se passar por um colega de trabalho ou uma figura de autoridade bem conhecida para um usuário final, a fim de obter acesso a informações de login. Um exemplo deste tipo de golpe é um e-mail para um empregado do que parece ser o chefe de suporte de TI ou uma mensagem de chat de um investigador que afirma estar realizando uma auditoria corporativa., Pretexting é altamente eficaz, pois reduz as defesas humanas ao phishing, criando a expectativa de que algo é legítimo e seguro para interagir. Pretexting e-mails são particularmente bem sucedido em obter acesso a senhas e dados de negócios como imitadores pode parecer legítimo, por isso é importante ter uma cópia de segurança de terceiros fornecedor

Para que todos os empregados estejam conscientes das várias formas de engenharia social é essencial para assegurar corporativa de segurança cibernética., Se os usuários sabem as principais características destes ataques, é muito mais provável que eles possam evitar cair por eles.para além da educação e da sensibilização, existem outras formas de reduzir o risco de ser pirateado. Os funcionários devem ser instruídos a não abrir e-mails ou clicar em links de fontes desconhecidas. Os computadores nunca devem ser partilhados com ninguém, nem por um momento. Por padrão, todos os desktops da empresa, laptops e dispositivos móveis devem bloquear automaticamente quando deixados inactivos por mais de cinco minutos (ou menos)., Por último, certifique-se de que o seu negócio está preparado para recuperar rapidamente deste tipo de ataque, no caso de um empregado não ser vítima de um desses esquemas. Afinal, os humanos são humanos. Ao alavancar uma solução sólida de backup e recuperação, todos podem descansar facilmente.

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *