Um Diretor Financeiro gostava de postar no Facebook suas façanhas em jogos de poker pelos USA, ele só não imaginava que criminosos Cibernéticos mapearam ele como alvo potencial. Minutos antes de um dos campeonatos começar em Las Vegas, os caras enviaram uma mensagem de texto pra ele com um link que simulava a atualização da agenda do torneio. Ao clicar no link ele permitiu que os fraudadores assumissem o controle do seu celular corporativo. Os caras então enviaram um email ao Assistente do Diretor, solicitando a transferência de $125 mil dólares a um vendedor, no caso, eles. Por fim informaram no email: “estarei indisponível nas próximas horas por conta das partidas”. E lá se foi mais uma vítima.
Este tipo de Engenharia Social conta com a maior vulnerabilidade das organizações: O fator humano.
Este tipo de Engenharia Social conta com a maior vulnerabilidade das organizações: O fator humano.
Pesquisas investigativas deste ano (Verizon, 2018) indicam que este tipo de fraude é comum e que 90% dos casos com sucesso partem de Engenharia Social.
Os caras se valem de informações do site da empresa onde encontram nomes completos das altas Lideranças, fotos, biografia, produtos e serviços, contatos e até oportunidades de carreira. Nestas vagas oferecidas encontram descrições básicas de profissionais de TI, o que pode revelar programas e softwares utilizados pela empresa, bem como o potencial de expansão organizacional ou de novos produtos ou serviços. Com estes dados e esta abertura, eles enviam um e-mail com o “currículo” anexo. Tá lá o malware na sua organização.
Já nas Redes Sociais, empregados postam fotos e revelam detalhes das instalações da empresa, configuração dos escritórios, sistema de segurança e de TI, tipos de crachás ou uniformes de empregados.
As buscas criativas no Google como “PDF” ou “CONFIDENCIAL”, podem revelar lista de benefícios de empregados, manuais de TI ou até contratos. Com estes dados os caras descobrem subcontratados de limpeza, coleta de lixo, segurança, entrega de refeições e funcionários temporários.
Sobre a internet, se você pensa que deletar o que já postou resolverá seu problema, esqueça! O arquivo digital WayBack Machine da Web possibilita recuperar versões arquivadas desde 1996. 😉
Em um passeio pelo Google Maps, o reconhecimento virtual revela pontos de acesso, controle e leitores de crachás, vigilância e guardas. Outro aspecto seriam os locais frequentados pelos funcionários nas proximidades da empresa onde buscariam informações através de conversas informais ou se relacionando despretensiosamente com os empregados. Floriculturas e deliveries dariam o acesso, sem acompanhamento, às instalações.
Mais de 3.3 bilhões de pessoas estão nas Redes Sociais e consultas rápidas no Facebook podem fornecer fotos, endereços, hobbies, planos de viagens e rede de contatos, bem como no LinkedIn se ter toda a parte profissional do alvo. Ah, dados de familiares, por serem até mais vulneráveis, serão vasculhados.
Os esquemas de manipulação dos alvos mais conhecidos são o Phishing (90% dos casos), onde é enviado link por email e que leva à transferência de ferramentas maliciosas ao sistema. Smishing é o primo dele, só que através de mensagem de texto. Já o Vishing ocorre através de ligações telefônicas e requer mais habilidade do Engenheiro Social, porém é a mais efetiva dentre as anteriores. Por fim, a Invasão Direta, mais difícil de executar, mas com o maior sucesso entre todas. O cara se passa por participante de reunião, suporte de TI, inspetor de incêndio, empregado de contratada ou delivery. O objetivo seria colocar escutas, obter dados de folha de pagamento ou senhas e usuários de sistemas.
Formas de mitigar os riscos:
- Reduzir as informações organizacionais disponíveis na Web ao mínimo necessário;
- Aplicar políticas claras, inclusive sobre postagens de Empregados e monitorar as Redes Sociais periodicamente;
- Conscientizar e treinar os Empregados no reconhecimento e atitudes em tentativas de Engenharia Social;
- Divulgar os meios e canais de denúncia da sua organização.
Lembre a todos: Verifique antes de confiar 😊
Os caras se valem de informações do site da empresa onde encontram nomes completos das altas Lideranças, fotos, biografia, produtos e serviços, contatos e até oportunidades de carreira. Nestas vagas oferecidas encontram descrições básicas de profissionais de TI, o que pode revelar programas e softwares utilizados pela empresa, bem como o potencial de expansão organizacional ou de novos produtos ou serviços. Com estes dados e esta abertura, eles enviam um e-mail com o “currículo” anexo. Tá lá o malware na sua organização.
Já nas Redes Sociais, empregados postam fotos e revelam detalhes das instalações da empresa, configuração dos escritórios, sistema de segurança e de TI, tipos de crachás ou uniformes de empregados.
As buscas criativas no Google como “PDF” ou “CONFIDENCIAL”, podem revelar lista de benefícios de empregados, manuais de TI ou até contratos. Com estes dados os caras descobrem subcontratados de limpeza, coleta de lixo, segurança, entrega de refeições e funcionários temporários.
Sobre a internet, se você pensa que deletar o que já postou resolverá seu problema, esqueça! O arquivo digital WayBack Machine da Web possibilita recuperar versões arquivadas desde 1996. 😉
Em um passeio pelo Google Maps, o reconhecimento virtual revela pontos de acesso, controle e leitores de crachás, vigilância e guardas. Outro aspecto seriam os locais frequentados pelos funcionários nas proximidades da empresa onde buscariam informações através de conversas informais ou se relacionando despretensiosamente com os empregados. Floriculturas e deliveries dariam o acesso, sem acompanhamento, às instalações.
Mais de 3.3 bilhões de pessoas estão nas Redes Sociais e consultas rápidas no Facebook podem fornecer fotos, endereços, hobbies, planos de viagens e rede de contatos, bem como no LinkedIn se ter toda a parte profissional do alvo. Ah, dados de familiares, por serem até mais vulneráveis, serão vasculhados.
Os esquemas de manipulação dos alvos mais conhecidos são o Phishing (90% dos casos), onde é enviado link por email e que leva à transferência de ferramentas maliciosas ao sistema. Smishing é o primo dele, só que através de mensagem de texto. Já o Vishing ocorre através de ligações telefônicas e requer mais habilidade do Engenheiro Social, porém é a mais efetiva dentre as anteriores. Por fim, a Invasão Direta, mais difícil de executar, mas com o maior sucesso entre todas. O cara se passa por participante de reunião, suporte de TI, inspetor de incêndio, empregado de contratada ou delivery. O objetivo seria colocar escutas, obter dados de folha de pagamento ou senhas e usuários de sistemas.
Formas de mitigar os riscos:
- Reduzir as informações organizacionais disponíveis na Web ao mínimo necessário;
- Aplicar políticas claras, inclusive sobre postagens de Empregados e monitorar as Redes Sociais periodicamente;
- Conscientizar e treinar os Empregados no reconhecimento e atitudes em tentativas de Engenharia Social;
- Divulgar os meios e canais de denúncia da sua organização.
Lembre a todos: Verifique antes de confiar 😊
Fonte & Matéria Completa: Artful Manipulation, Peter Warmka, CPP, Security Management - Sep 2018
Marcadores: 5 minutos de Segurança
.JPG)
2 comentários:
(y)
Muito bom !!!@
Postar um comentário