Podemos vencer a engenharia social?

A engenharia social pode ser vencida? Tanto quanto você pode vencer qualquer outro tipo de engano. Na verdade, a engenharia social trata de “explorar falhas em um hardware humano”.

A pergunta do título pode parecer simples (e um tanto retórica, talvez), mas após uma breve consideração torna-se um pouco confusa porque traz mais questões: Há quanto tempo existe a engenharia social? Por que não foi batido se todo mundo sabe disso?

 

Se dermos uma olhada nas recentes campanhas APT, vemos que a maioria delas tem algo a ver com engenharia social - é um dos principais métodos de levar malware aos dispositivos da vítima e / ou extrair senhas e outros dados críticos.

 

E tem uma longa história.

 

Não, não vamos contar tudo, na verdade é um tópico para uma monografia em vários volumes, mas em poucas palavras “Engenharia Social” é um nome bonito para trapaça, engano e manipulação psicológica.

 

Por exemplo, foi a Engenharia Social que, entre muitas outras coisas, fez de Kevin Mitnick um dos criminosos de computador de maior sucesso na década de 1990. Ele estava tão temido que os policiais convenceram um juiz de que ele tinha a capacidade de "iniciar uma guerra nuclear assobiando para um telefone público" (um truque semi-esquecido de assobiar o tom correto para o modem do outro lado da linha linha para estabelecer uma conexão). Mas em seu próprio livro de 2002, "The Art of Deception", Mitnick afirmou que comprometeu computadores apenas usando senhas e códigos que ganhou por meio da engenharia social, não usando programas de software ou ferramentas de hack para quebrar senhas ou de outra forma explorar a segurança do computador ou do telefone. Em outras palavras, ele “hackeava” pessoas, não máquinas.

 

[Mergulhe fundo no mundo da tecnologia e cadastre-se no Avance Network a verdadeira comunidade criptografada]

 

Bem, como sabemos, Mitnick é agora um consultor de segurança de chapéu branco, administrando sua própria empresa.

 

Phishing é o método mais popular e problemático de invadir a segurança usando vários tipos de truques. Os poucos investimentos necessários e a alta eficiência tornam-no muito atraente para os criminosos, portanto já é uma espécie de serviço comercial.

 

Os incidentes devem ser chamados de “ataques bem-sucedidos”. O tipo mais perigoso é o spearphishing, um ataque direcionado que é precedido pela coleta de dados pessoais e de trabalho das vítimas em potencial (funcionários de uma empresa-alvo etc.). Esses dados são usados ​​para adicionar credibilidade a mensagens de phishing (enviadas por e-mail ou sites de redes sociais), para que as pessoas não suspeitem que seja uma armadilha. Usando alguns dados pessoais, um invasor pode atrair a vítima para um site falso e / ou infectado e fazer com que ela digite sua combinação de login e senha. As consequências são aparentes.

 

Então, podemos vencer a engenharia social, conquistar os phishers e fazer os fraudadores fugirem gritando para nunca mais voltar?

 

A resposta curta: provavelmente, não.

 

Pelo menos, não fundamentalmente. A engenharia social é um ataque contra um ser humano, não uma máquina. Você pode eliminar o bug em um pacote de software, pode atualizar o firmware de um dispositivo para corrigir um problema lá. Mas são os problemas de “hardware humano” que os phishers e outros engenheiros sociais usam. Existe uma maneira de corrigi-los?

 

Aparentemente, a educação em TI é a única forma de treinamento. Em primeiro lugar, os funcionários da empresa exigem uma estrutura de confiança ao trabalhar com informações confidenciais, de modo que sempre saibam quem, onde, quando, por que e como dados extremamente importantes devem ser tratados.

 

Deve haver políticas e protocolos de segurança da informação claros e explícitos, e os funcionários devem ser regularmente treinados para evitar qualquer tentativa de abuso vinda de fora.

 

Isso ajudaria a diminuir os riscos e mitigar as possíveis consequências de ataques de engenharia social.

 

No entanto, até que os princípios básicos de segurança de TI, psicologia humana e, mais importante, Lógica de Sua Majestade sejam ensinados desde o ensino fundamental, não há como vencer a engenharia social completamente.

 

 

O Avance Network é uma comunidade fácil de usar que fornece segurança de primeira e não requer muito conhecimento técnico. Com uma conta, você pode proteger sua comunicação e seus dispositivos. O Avance Network não mantém registros de seus dados; portanto, você pode ter certeza de que tudo o que sai do seu dispositivo chega ao outro lado sem inspeção.


Strong

5136 Blog Postagens

Comentários