E ai', ja' esta' usando o Windows 8?
Perguntas?
Escreva para mim! :)
terça-feira, 27 de novembro de 2012
terça-feira, 3 de julho de 2012
Engenharia Social
Segurança digital é atualmente uma preocupação grande e crescente. A cada novo dia, utilizamos mais serviços digitais, mais dispositivos móveis, e mais computadores, mais arquivos. Temos senhas, temos pendrives, temos CDs, DVDs, links, plug-ins, ícones, extensões, programas, códigos, antivírus, antispam, firewall e coisas que uma boa parte dos usuários nem sabe que existe ou o que é. E mesmo quando tudo isso está bem seguro, especialistas em segurança e empresas sabem que isso não basta. É preciso capacitar as pessoas e informar as pessoas e elas precisam se prevenir contra um tipo de ataque nada digital, chamado de Engenharia Social. Você sabe o que é? Está prevenido? Também chamado hoje em dia de ‘Human Hacking’ (ou hackeando humanos), a engenharia social é um tipo de técnica utilizada para obter informações através de perguntas, através de disfarce se passando por outra pessoa, através também de acesso a documentos e conversas privadas ou públicas sobre assuntos restritos. Quando alguém recebe uma ligação e informa o nome e de onde está falando, já está passando informações e se responde informações restritas sem saber quem está perguntando do outro lado, pode estar sendo ‘hackeado’. Essa técnica é muito mais antiga do que qualquer computador, mas tem como objetivo obter informações de pessoas para depois acessar sistemas de computadores. Por exemplo, alguém já solicitou sua senha por telefone em alguma ligação telefônica? Esse é um procedimento já conhecido como incorreto, mas que era comum até alguns anos atrás, e muitas pessoas passavam a senha. Quando você liga para seu provedor de internet, por exemplo, não é preciso informar sua senha de acesso ou senha de e-mail, se alguém pedir isso, pode estar tentando obter informações através de um ataque de engenharia social, que pode ser mais elaborado. Ainda pior, se alguém entrar em contato e se passar por um técnico do seu provedor sem devida identificação e pedir sua senha do seu roteador sem fio para um teste, por exemplo, e depois usar sua rede sem fio. Esses são exemplos simples de engenharia social, que tem técnicas bem complexas, ousadas e muito bem disfarçadas. A importância em identificar e estar preparado para não ser ‘hackeado’ por essa técnica vai ajudar a proteger seus dados, sua privacidade, suas senhas, sua identidade digital e até suas finanças. Um ataque desse tipo pode causar tanto ou mais prejuízos que um vírus ou um ‘phishing scam’, por exemplo.
Veja a seguir uma lista de recomendações para identificar e não ser ‘hackeado’ nesse tipo de ataque:
• Obtenha sempre informação segura de quem está se comunicando com você (se preciso ligue de volta, peça informações específicas);
• Não passe informações confidenciais por telefone, por e-mail e por sites, sem antes ter certeza de que o destinatário é quem realmente diz ser e que a informação passada está usando um canal seguro (criptografado, por exemplo) e que será armazenada também em um local seguro;
• Cuidado ao comentar em público suas senhas, detalhes de acessos privilegiados e informações confidenciais (evite assuntos desse tipo em elevadores cheios, por exemplo);
• Não anote senhas e dados confidenciais em arquivos de texto não criptografados, nem em cadernos ou papéis avulsos;
• Desconfie de ligações e contatos inesperados para verificações esquisitas (por exemplo, um técnico da empresa de internet ligando para conferir seu acesso sem motivo e pedir sua senha ou uma ligação de uma empresa de cobrança querendo conferir o número do seu cartão de crédito);
• Rasgue ou picote papéis com senhas ou dados confidenciais antes de jogar fora no lixo;
• Acompanhe atividades e acessos em seus equipamentos, não deixe pessoas que não são de sua confiança utilizar livremente e sem monitoração seu celular, seu computador;
• Tome cuidado com informações publicadas em redes sociais públicas, como por exemplo, endereço de casa, placa do carro, nome de parentes;
• Compartilhe essas preocupações e informações com todas as pessoas que utilizam seus equipamentos, como irmãos, filhos, amigos;
• Tome cuidado com abordagens muito diferentes do normal, como por exemplo, uma ligação para conferir seus dados para enviar um presente por ter ganho um prêmio especial de um lugar que você nunca ouviu falar ou não sabe do que se trata;
• Cuidado com pedidos de amizade de pessoas que você nunca ouviu falar em redes sociais.
Veja algumas curiosidades sobre engenharia social:
• Algumas empresas pagam especialistas em segurança para fazer tentativas de ataque utilizando diversas técnicas, inclusive engenharia social, para saber o nível de vulnerabilidade em que se encontra a empresa;
• Técnicas simples desse tipo de ataque podem ser aplicadas, como ligar para um funcionário do RH e pedir o telefone de um diretor ou e-mail de algum outro funcionário sem se identificar ou se passando por outra pessoa;
• Quem popularizou esse nome de engenharia social na década de 90 foi um hacker famoso e hoje consultor de segurança, chamado Kevin Mitnick;
• Ataques de engenharia social bem elaborados podem ser feitos com muita preparação podendo até utilizar números de telefone falsos (que podem aparecer no identificador de chamadas como sendo um número confiável) e uma linguagem própria da empresa ou da família (um criminoso especialista nisso pode estudar esses tipos de detalhes para parecer mais confiável);
• Muitos ataques desse tipo podem partir de ex-funcionários ou pessoas próximas, por exemplo, com uma vantagem de conhecer bem o ambiente onde será feito o ataque (tome o cuidado de sempre remover acessos, senhas, crachás e detalhes de pessoas nesse cenário);
• Hoje em dia, muitos dispositivos têm GPS e podem informar onde está aquele dispositivo, que quase sempre está com a pessoa, por isso, tome cuidado quando aceitar que uma aplicação saiba onde está e possa fazer isso sem senha;
• Em alguns casos, um ataque desse tipo busca informações que facilitam outros tipos de ataques seguintes, como por exemplo, saber o modelo de computador e sistema operacional utilizado pela vítima ou o tipo de smartphone utilizado (podem parecer informações simples e inofensivas, mas que não devem ser passadas para quem não é conhecido);
• Em muitos casos, a cultura de processos não-seguros leva pessoas a não exigirem identificação ou mais informações a respeito de um pedido, uma pessoa ou uma ligação por entender que seguir um processo seguro seja burocrático ou antipático (é o caso clássico das centrais de atendimento que pedem dados antes de dar andamento a um pedido e todo cliente acha ruim);
• É possível fazer até cursos para se tornar um especialista em engenharia social, veja esse site: http://social-engineer.org/.
Alguns links em português sobre o assunto:
Você está "lotado" de e-mails?
Você usa mais e-mail pelo navegador ou usa mais algum programa, como Outlook?
Você gostaria de ver tutoriais para como gerenciar melhor seus e-mails?
Qual sua opinião?
Re-born.....
Olá, pessoal, depois de mais de ano sem muita movimentação por aqui, vou voltar a publicar. A coluna da semana e a vida já consomem um bom tempo e então a ideia é manter um post por semana, no máximo, mas já vai ser melhor que vários meses parado! Ahaha!
Grande abraço e até breve!
Grande abraço e até breve!
Assinar:
Postagens (Atom)