Fiz a defesa do meu TCC usando esse tema que além de super atual, foi um assunto que me interessou demais estudar. A engenharia social que podemos resumir como "Manipulação psicológica usada para burlar os sistemas de segurança usando a fragilidade humana em dar informações indevidas, usar ferramentas erradas, clicar em links suspeitos e até, liberar acessos fora do planejado.
E calma, não vou refazer meu TCC aqui pois foi realmente um pouco longo mas, quero resumir com a função de ajuda-los e entender a onde está o maior gatilho de falha ( passamos de 80% das invasões são por engenharia social) afim de proteger e informar. O que peço a cada leitor aqui é que: PASSE ADIANTE!
A fragilidade humana ainda é ao meu ver, o elo mais difícil de reforçar pois, se faz necessário um energia forte das empresas em um EDUCAÇÃO DIGITAL conciliada de boas práticas no dia a dia. Muito mais que um firewall super bem configurado, um SIEM seguindo as normas e hardering super customizado, pois se a parte humana não estiver alinhada, eu garanto, o ser humano consegue ir a lugares inimagináveis o famoso : NUNCA DUVIDE DO USUÁRIO!
E sim, coloco essa responsabilidade para as companhias pois, é fácil dizer que certos link maliciosos não se deve clicar ou, que não se passa informações de senha por telefone, e todos esses papos que qualquer um que trabalha com tecnologia sabe mas, a empresa é feita de GENTE, plural, com conhecimentos distintos, com atribuições complexas, e com trabalho a se fazer. E esse dever deve ser uma responsabilidade da empresa de informar, criar formar de exemplificar, mostrar na prática e treinar, não diga que é simples pois tenho certeza, que se colocar você , grande conhecedor de segurança para fazer algo da operação, vai perceber que seu trabalho não é o mais importante (Jogando as claras rapaziada de Security, somos amigos).
Direto ao ponto, o que devemos conhecer? Quais são esses métodos mais comuns?
Conheça algumas abaixo:
Phishing, Spear Phishing, Smishing, Vishing
Famoso golpe que usa o E-mail, SMS, telefone com cenários e invenções de promoções. Alguns exemplos clássicos que tenho certeza, vocês já viram.
Phishing e spear phishing - E-mails falsos com links maliciosos ( aquele presenta da cacau show com super desconto), ou até usando a logo da empresa dizendo que é uma ação do Marketing. Como se livrar simples, use a famosa frase " quando a esmola é demais... " quase sempre os golpes vem com oportunidade de se dar bem, e a ganância fala alto, e sobre e-mail da empresa, valide com o setor se é real mesmo e não clique em NADA!
Smishing, Vishing - Famosas ligações o SMS com informações de benefícios ou até premiações. Teve uma alta enorme no período do COVID onde, pessoas recebiam aprovações no benefício com link externos para retirar a quantia especificada do governo, e muitas vezes também cobranças onde dizem que estão usando nosso cartão ou como se encontraram déficit no nosso nome e acredite, o povo trabalhador como a gente não gosta de dever nada. A forma de não cair nessa é SMS não é um motivo de cobrança padrão de NENHUMA INSTITUIÇÃO SÉRIA ( se estiver errado me ajude apontando aqui) e caso receba ligação ou SMS, entre em contato com a empresa especificada e jamais use o link ou o telefone que eles informam. Sempre busque por você mesmo.
Pretexting - Esse pode ser online ou até offline onde o atacante usa um pretexto seja dizendo que é uma autoridade específica ou criando uma narrativa como, se fosse uma equipe técnica de manutenção, fornecedor, pede um acesso remoto a máquina para atualizar programas ou fazer alguma manutenção e pronto, deixa um malware, instala um software para ler o teclado e pronto. Até acessar uma área restrita para entregar uma encomenda específica e de lá, ele age. Muitas vezes eles usam informações que a própria empresa disponibiliza no site ou em postagens. Novamente, o que vale nesse caso para fugir desses golpes é validar com mais de uma pessoa, se preciso com mais de um setor. Alguém que fazer manutenção remota, converse com alguém da TI, entrega, valide com pessoal de compras.
Baiting digital ou físico - Difícil não ficar balançado com uma oferta super tentadora não, e mais difícil ainda ver um pen drive parado e um lugar e não "espetar" na sua máquina para saber de quem é ( e o que tem também) e nesse momento, o golpe é concluído com sucesso. Imagine um filme que acabou de sair no cinema, você recebe aquele link dizendo que tem o filme completinho em 4K, olha é tentador por isso a educação nesse sentido é crucial, um pen drive infectado não é nem necessário que você INSTALE algo, existem programas auto instaláveis que depois de inserido o pen drive no USB pronto, instalação será feita. Nesse caso voltemos mais uma vez a #curiosidade logo, não passe por isso, entrega para equipe de segurança o pen drive e peça para testar, existe formas de avaliar esse equipamento numa máquina separada, num ambiente propício a análise.
Tailgating - Usando a CORTESIA como meio ferramenta. Também conhecido com Piggybacking através da bondade do ser humano em ajudar, conseguem acessos a áreas restritas, onde usam até seguir em redes sociais funcionários com certos acessos na empresa e buscam a fragilidade através da aproximação. Exemplo clássico, o cara chega a portaria com um monte de caixa na mão, a boa vontade faz com que o porteiro segura a porta para auxiliar o acesso e pronto, ele conseguiu acesso desejado. Não se verifica a credencial, e o mesmo acesso áreas privadas. Outra forma é com uniformes de empresas terceirizadas, que acabam passando um credibilidade que atrapalha se seguir o padrão. Eventos com incêndios por exemplo é um momento crítico onde, muitas vezes, se perde o controle.
Concluímos que, um bom estudo nesses métodos, a explanação e demonstração da atuação de cada um desses com exemplos práticos e exercícios de fixação, certamente podem colaborar e muito para que a empresa fique protegida e com os funcionários atentos e atualizados com esses golpes, tornando a empresa mais protegida.
Conheciam todos esses? Ou melhor sua empresa já comentou sobre isso? Se sim ou não deixe seus comentários abaixo e claro compartilhe. Foi um resumo do que estava no meu TCC e espero que curtam.
#tcc #security #hack #ataque #invasão #segurança #hardering #cyber


0 Comentários