O conceito popular de ataques cibernéticos e hacking é o de alguém que explora uma vulnerabilidade no software para obter acesso a um sistema. Entretanto, na maioria das vezes, esse não é o caso. Em vez de visar software e computadores, muitos atacantes cibernéticos concentram seus esforços em seus usuários humanos. A engenharia social e os ataques de phishing são dois exemplos principais dessa técnica.
Os ataques de engenharia social usam engano, coerção e técnicas semelhantes para induzir o alvo a fazer o que o invasor deseja. O invasor pode fingir ser um colega, uma figura de autoridade, um fornecedor confiável ou outra pessoa em quem o alvo confiaria e que gostaria de ajudar. Como alternativa, o invasor pode ameaçar expor informações confidenciais ou prejudiciais se o alvo não atender a seus desejos ou pode oferecer um suborno para obter a ajuda do alvo.
Os ataques de engenharia social podem ser realizados de várias maneiras. Eles podem envolver computadores, usar o telefone ou acontecer pessoalmente. Por exemplo, fingir ser um carteiro ou pedir a alguém para segurar a porta são exemplos clássicos de ataques de engenharia social criados para obter acesso físico a uma área segura.
Os ataques de phishing usam mensagens maliciosas para fazer com que o alvo cumpra as ordens do invasor. Muitas vezes, essas mensagens vêm com um link incorporado ou um arquivo anexado com conteúdo malicioso. Se o usuário clicar no link ou abrir o arquivo, ele poderá ser levado a uma página da Web que rouba informações confidenciais ou instala malware no computador.
No entanto, nem todos os ataques de phishing exigem esse link ou arquivo malicioso. Alguns são projetados para induzir o usuário a realizar alguma ação sem nenhum conteúdo malicioso envolvido. Por exemplo, os ataques de BEC (Business Email Compromise ) geralmente envolvem faturas falsas de serviços que supostamente foram realizados para a empresa. Essas faturas não contêm malware, mas, se o destinatário acreditar e pagar a fatura, o dinheiro vai para o invasor.
O phishing é comumente associado a e-mails, mas qualquer plataforma de mensagens pode ser usada para realizar esses ataques. phishing por meio de mensagens de texto é chamado de smishing (para SMS phishing), e a mídia social, as plataformas de colaboração corporativa e soluções semelhantes também podem ser usadas para realizar ataques de phishing.
Engenharia social e phishing são conceitos relacionados. Na verdade, o phishing é um tipo específico de ataque de engenharia social.
A engenharia social refere-se às técnicas que um invasor usa para induzir seu alvo a fazer o que ele deseja. No caso de um ataque de phishing, o invasor usa alguma forma de plataforma de mensagens para enviar links, anexos maliciosos ou outros tipos de conteúdo enganoso, sedutor ou ameaçador para o destinatário, a fim de fazer com que ele cumpra as ordens do invasor.
phishing Os ataques de spear phishing são o tipo mais comum de engenharia social e têm diversas variações, incluindo spear phishing e whaling. No entanto, há também outras formas de ataques de engenharia social, incluindo:
Baiting (isca): Nesse ataque, o invasor promete algo valioso ao alvo em troca do fornecimento de informações confidenciais ou de alguma outra ação.
As organizações podem implementar uma ampla gama de proteções contra ataques de engenharia social, incluindo as seguintes:
Os ataques de engenharia social ocorrem de várias formas. Saiba mais sobre a ameaça da engenharia social no ebook de Engenharia Social da Check Point.
De longe, o phishing é a ameaça de engenharia social mais comum, e as soluções de segurança de e-mail são uma defesa eficaz. Leia mais no Forrester Wave for Enterprise Email Security 2023. O Check Point Harmony Endpoint oferece uma série de recursos projetados para minimizar o risco de ataques de engenharia social e phishing. Veja o que ele pode fazer por sua organização com um demogratuito.