O que são ataques de engenharia social e como você pode evitá-los?

Publicados: 2019-11-14

Se você comprar algo através de nossos links, podemos ganhar dinheiro com nossos parceiros afiliados. Saber mais.

Você sabe o que é um ataque de engenharia social? Se você disser que não está preocupado com isso porque possui uma solução antivírus/malware forte, isso não o ajudará em nada.

Este vídeo mostra como os ataques de engenharia social são fáceis e assustadores.

Isso ocorre porque a engenharia social explora o comportamento humano e não as vulnerabilidades de seu software ou hardware. E é por isso que sua estratégia de segurança cibernética precisa mudar e se adaptar para lidar com as diferentes maneiras pelas quais os cibercriminosos estão lançando ataques.

De acordo com um novo relatório da GetApp, apenas 27% das empresas estão fornecendo treinamento em engenharia social para seus funcionários. Considerando que outubro foi o Mês Nacional da Segurança Cibernética, os dados do GetApp são oportunos e perspicazes.

O título do relatório é “10 estatísticas de segurança cibernética que toda empresa deveria saber”. E, de acordo com o relatório, as complexidades do cenário de segurança de TI exigem “… uma série de treinamentos em muitos tópicos. Infelizmente, as empresas geralmente fornecem treinamento de segurança apenas em uma parte dessas preocupações, deixando os funcionários no escuro sobre outras.”

O que é um ataque de engenharia social?

O FBI diz que a engenharia social é projetada para fazer você baixar a guarda. Continua dizendo que é uma técnica comum que criminosos, adversários, concorrentes e espiões usam para explorar pessoas e redes de computadores. Por que, porque não requer habilidades técnicas.

Os ataques de engenharia social usam o engano para manipular o comportamento das pessoas. O objetivo é convencer a pessoa a divulgar informações confidenciais, pessoais e protegidas. Quando obtêm essas informações, os golpistas as usam para perseguir seu alvo final. E o alvo final pode ser tudo, desde dados confidenciais até comentários depreciativos sobre uma pessoa, candidato político ou até mesmo uma marca.

No passado, esses mesmos criminosos podem ter sido chamados de vigaristas / golpistas, mas a premissa é a mesma, ganhar a confiança da pessoa que está sendo enganada.

Tipo de ataques de engenharia social

A única coisa que você deve saber sobre ataques de engenharia social é que eles estão sempre evoluindo. Por esse motivo, você deve treinar seus funcionários regularmente. Porque você nunca sabe qual será a próxima forma de ataque.

Alguns dos tipos de ataques que os criminosos usam são:

Pretexting – Os invasores fingem precisar de informações pessoais ou financeiras para confirmar a identidade do destinatário.

Waterholing – Os invasores infectam um site para comprometer as pessoas que visitam esse site com frequência para obter acesso à rede.

Roubo de desvio – Os golpistas enganam as empresas de entrega ou de correio para deixar um pacote em um endereço errado, interceptando a transação.

Quid Pro Quo – Como o nome indica, os invasores prometem à vítima algo em troca de informações ou ajuda.

Phishing e SMishing – Os ataques de phishing usam e-mail e o SMishing usa mensagens de texto para fazer com que o usuário final clique em um link malicioso ou faça um download. Considerando que 91% dos ataques bem-sucedidos começam como um e-mail de phishing, é especialmente importante aumentar a conscientização sobre esses tipos de ataques.

Honey Trap – Os invasores fingem ser uma pessoa atraente e iniciam um relacionamento online falso para obter informações confidenciais.

Baiting – Os invasores deixam um dispositivo infectado com malware, como uma unidade flash, em um local onde pode ser encontrado facilmente. Quando a unidade se conecta a um computador, ela instala o malware.

Estes são apenas alguns dos ataques de engenharia social usados ​​pelos golpistas, mas existem outros e, sem dúvida, os criminosos estão criando novos neste exato momento.

Protegendo-se contra um ataque de engenharia social

A conscientização é fundamental para proteger seu negócio contra todas as formas de ataque, seja no mundo físico ou digital. Por outro lado, os ataques de engenharia social dependem da complacência das pessoas que têm como alvo.

Com isso em mente, você deve eliminar os comportamentos que são responsáveis ​​por qualquer complacência em sua organização. E isso significa ir contra características inatas que as pessoas têm, como confiança e vontade de ajudar os outros. Diante desses pontos, você deve insistir que seus funcionários verifiquem, verifiquem, verifiquem.

O sistema de três etapas para verificar uma solicitação de Kevin D. Mitnick vem de um hacker da vida real e de seu livro, “The Art of Deception: Controlling the Human Element of Security”.

À primeira vista, isso pode parecer simplista. No entanto, se alguém que você não conhece estiver solicitando alguma informação, você saberá quem é se seguir as etapas.

  1. Quando alguém solicitar alguma informação, peça aos seus funcionários para verificarem se a pessoa é quem eles afirmam ser.
  2. Certifique-se de que eles estejam trabalhando atualmente na empresa ou tenham uma afiliação necessária à organização.
  3. Antes de fornecer as informações, certifique-se de que eles estão autorizados a fazer tal solicitação.

Com esses três passos simples, seus dados nunca serão repassados ​​para a pessoa errada. Vale a pena repetir, seus funcionários não podem ser negligentes em seguir esses passos ou fazer qualquer alteração neles.

Formas adicionais de proteger sua empresa

Algumas das outras maneiras pelas quais você e seus funcionários podem se proteger e proteger a empresa incluem:

  • Seus dados podem ser usados ​​contra você, então pare de revelar fatos sobre sua vida pessoal e da empresa para estranhos. Tenha especial cuidado nos canais de mídia social.
  • Analise todas as solicitações de e-mail até ter certeza de quem é o remetente. Lembre-se, mesmo os e-mails que você recebe de amigos e associados podem ser falsos.
  • Se você suspeitar que a pessoa que está tentando obter informações seja um golpista, não hesite em ser severo ou rude, se necessário.
  • Aumente a conscientização em sua organização com sessões frequentes de treinamento em segurança cibernética e aprendendo sobre os golpes mais recentes.
  • Revise continuamente os processos e procedimentos para transações importantes.
  • Não reutilize suas senhas e implemente uma política de alteração de senha em toda a organização.

Os criminosos vão jogar tudo em seus funcionários para ignorar um passo, e no segundo que fizerem isso; seus dados estão em perigo.

Uma governança forte e rigorosa com responsabilidade pode fazer isso funcionar. E o melhor, não vai te custar nada.

Qualifique-se para descontos, ofertas especiais e muito mais com uma conta Business Prime da Amazon. Você pode criar uma conta GRATUITA para começar hoje.

Imagem: Depositphotos.com