* por : Claudio Bannwart
A engenharia social continua sendo um fator importante para viabilizar as atividades dos hackers. Eles usam a engenharia social para manipular usuários inocentes para obter acesso a informações corporativas sensíveis, como documentos internos, demonstrações financeiras, números de cartão de crédito e credenciais de usuário, ou simplesmente para bloquear serviços com ataques de negação de serviço (DoS).
Essa guerra moderna de ameaças e ataques avançados veio para ficar.
O volume de informações corporativas sensíveis armazenadas em data centers, servidores, PCs e telefones celulares estão aumentando rapidamente, e mais dados e plataformas criam mais riscos. Por fim, a lista de ameaças não está diminuindo, e cada ataque novo revela um nível ainda maior de sofisticação.
O uso crescente de redes sociais para fins profissionais aumento o apelo de usar esses vetores para a engenharia social, onde os hackers se apresentam como colegas de trabalho, recrutadores ou até mesmo amigos para obterem acesso às empresas.
Hoje, a principal meta de muitos hackers e o roubo de dados, mas cada hacker tem sua própria agenda e seus próprios motivos - desde ganhos financeiros até a destruição de ativos corporativos. A Stuxnet, por exemplo, mudou como muitos profissionais de segurança pensam em segurança, percebendo como o malware pode ser usado como uma arma para prejudicar a infraestrutura inteira de uma empresa. Agora, mais do que nunca, precisamos de estratégias de defesa abrangentes para evitar APTs e outras ameaças ocultas.
Em geral, a meta de quem ataca é de obter dados valiosos. Mas, hoje, dados de cartões de crédito dividem espaço nas prateleiras de lojas virtuais de hacker com itens como logins do Facebook e credenciais de e-mail. E isso é por que os bancos usam múltiplas formas de autenticação para verificar transações on-line, e com isso os hackers precisam de mais informações para comprometer uma conta.
Os cibercriminosos evoluíram seus malwares levando isso em consideração, e isso inclui a injeção de formulários web que usam a técnica de phishing para obter informações como o número do International Mobile Equipment Identity (IMEI) do celular, para entrar em contato com o provedor de serviços de uma pessoa para enviar ao hacker um novo cartão SIM (Subscriber Identity Module), como o ataque Eurograbber. Com o cartão SIM, os criminosos podem interceptar a comunicação entre o banco e o cliente que tem como objetivo prevenir fraudes.
Por exemplo, o Pinterest sofreu críticas por que adotou políticas de privacidade vagas, exigindo que os usuários tivessem direitos legais a todo o conteúdo publicado, bloqueando quadros particulares, etc. Mas, em março de 2012, o Pinterest atualizou seus termos de serviço. Em uma das maiores mudanças, o Pinterest retirou qualquer texto relacionado ao direito de vender conteúdo de usuários, e prometeu criar pinboards particulares para pessoas que pretendem usar o site como um álbum pessoal. Mesmo assim, o site ainda é um grande fórum público onde todos os seus usuários podem compartilhar conteúdo - e você nem precisa abrir uma conta para navegar esse conteúdo.
Dicas de segurança
- Nunca compartilhe qualquer informação pessoal em redes sociais, como seus finanças, aniversários, senhas, etc., e avalia se o conteúdo que você está prestes a publicar é adequado e se você está confortável compartilhando essas informações. Atualize suas opções de privacidade com frequência, especialmente quando novos termos de serviço são divulgados e/ou o site for atualizado. Hoje, você deve ajustar suas configurações para evitar a exibição dos seus dados em buscas do Google.
- Os hackers são inteligentes. Ao conhecer suas táticas, você pode evitar golpes. Mas, apesar de todo o cuidado, você ainda pode ser uma vítima. Se você acredita que foi vítima de um golpe virtual, você deve entre em contato com o departamento de TI da sua empresa imediatamente.
- Evite riscos e sempre faça o logout das suas contas.
Os hackers estão ampliando o uso da engenharia social, indo além de simplesmente ligar para funcionários específicos para tentar enganá-los e obter informações. As redes sociais servem para conectar as pessoas, e um perfil pessoal ou corporativo convincente seguido por um amigo, ou apenas uma solicitação para se conectar pode ser o bastante para aplicar um golpe de engenharia social.
* Claudio Bannwart é gerente de contas estratégicas da Check Point Brasil.