What is Social Engineering?
Os ataques de engenharia social usam engano, coerção e técnicas semelhantes para induzir o alvo a fazer o que o invasor deseja. O invasor pode fingir ser um colega, uma figura de autoridade, um fornecedor confiável ou outra pessoa em quem o alvo confiaria e que gostaria de ajudar. Como alternativa, o invasor pode ameaçar expor informações confidenciais ou prejudiciais se o alvo não atender a seus desejos ou pode oferecer um suborno para obter a ajuda do alvo.
Os ataques de engenharia social podem ser realizados de várias maneiras. Eles podem envolver computadores, usar o telefone ou acontecer pessoalmente. Por exemplo, fingir ser um carteiro ou pedir a alguém para segurar a porta são exemplos clássicos de ataques de engenharia social criados para obter acesso físico a uma área segura.
What is Phishing?
Os ataques de phishing usam mensagens maliciosas para fazer com que o alvo cumpra as ordens do invasor. Muitas vezes, essas mensagens vêm com um link incorporado ou um arquivo anexado com conteúdo malicioso. Se o usuário clicar no link ou abrir o arquivo, ele poderá ser levado a uma página da Web que rouba informações confidenciais ou instala malware no computador.
No entanto, nem todos os ataques de phishing exigem esse link ou arquivo malicioso. Alguns são projetados para induzir o usuário a realizar alguma ação sem nenhum conteúdo malicioso envolvido. Por exemplo, os ataques de BEC (Business Email Compromise ) geralmente envolvem faturas falsas de serviços que supostamente foram realizados para a empresa. Essas faturas não contêm malware, mas, se o destinatário acreditar e pagar a fatura, o dinheiro vai para o invasor.
O phishing é comumente associado a e-mails, mas qualquer plataforma de mensagens pode ser usada para realizar esses ataques. phishing por meio de mensagens de texto é chamado de smishing (para SMS phishing), e a mídia social, as plataformas de colaboração corporativa e soluções semelhantes também podem ser usadas para realizar ataques de phishing.
Social Engineering vs Phishing
Engenharia social e phishing são conceitos relacionados. Na verdade, o phishing é um tipo específico de ataque de engenharia social.
A engenharia social refere-se às técnicas que um invasor usa para induzir seu alvo a fazer o que ele deseja. No caso de um ataque de phishing, o invasor usa alguma forma de plataforma de mensagens para enviar links, anexos maliciosos ou outros tipos de conteúdo enganoso, sedutor ou ameaçador para o destinatário, a fim de fazer com que ele cumpra as ordens do invasor.
Outros tipos de ataques de engenharia social
phishing Os ataques de spear phishing são o tipo mais comum de engenharia social e têm diversas variações, incluindo spear phishing e whaling. No entanto, há também outras formas de ataques de engenharia social, incluindo:
- Piggybacking/Tailgating: Esse é um ataque físico de engenharia social em que o invasor obtém acesso a uma área segura enganando um funcionário legítimo para que o deixe entrar.
- Pharming: Os ataques de pharming redirecionam o URL legítimo para um site controlado pelo invasor por meio de sequestro de DNS ou outras técnicas.
- Pretexing: Pretexting é quando um invasor finge ser outra pessoa e é uma técnica usada em uma série de possíveis ataques.
Baiting (isca): Nesse ataque, o invasor promete algo valioso ao alvo em troca do fornecimento de informações confidenciais ou de alguma outra ação.
Como evitar ataques de engenharia social
As organizações podem implementar uma ampla gama de proteções contra ataques de engenharia social, incluindo as seguintes:
- Treinamento de funcionário: Os ataques de engenharia social geralmente se baseiam em enganos e truques. O treinamento dos funcionários para reconhecer esses ataques e responder corretamente reduz o risco de um ataque bem-sucedido.
- Segurança para e-mail: O phishing é uma das formas mais comuns de ataques de engenharia social. As soluções de segurança de e-mail podem identificar e bloquear e-mails maliciosos antes que eles cheguem à caixa de entrada do funcionário.
- Segurança da conta: Os ataques de engenharia social, como o phishing, geralmente são projetados para roubar as credenciais de login das contas dos usuários. O uso da autenticação multifatorial (MFA), do acesso à rede de confiança zero (ZTNA) e de soluções semelhantes pode reduzir o risco de um invasor acessar essas contas e os possíveis danos que ele pode causar se conseguir.
- Segurança da endpoint: Os ataques de engenharia social também são frequentemente usados para implantar malware em sistemas corporativos. Os sistemas de segurança de endpoint podem evitar essas infecções por malware, eliminando a ameaça aos negócios.
- Segurança na Web: Links maliciosos em mensagens de phishing podem direcionar os usuários para sites maliciosos que roubam dados ou fornecem malware. A segurança no navegador pode identificar e impedir que conteúdo malicioso chegue ao dispositivo do usuário.
- Prevenção contra perda de dados (DLP): Os ataques de engenharia social geralmente são projetados para roubar dados confidenciais. As soluções DLP podem identificar fluxos de dados confidenciais para partes não autorizadas e bloquear o vazamento de dados.
- Separação de funções: O BEC e outros ataques de engenharia social podem ser projetados para induzir o usuário a realizar ações prejudiciais. Dividir processos essenciais, como o pagamento de faturas, em vários estágios pertencentes a diferentes funcionários força um invasor a enganar vários alvos, reduzindo a probabilidade de sucesso.
Evite ataques de engenharia social com Check Point
Os ataques de engenharia social ocorrem de várias formas. Saiba mais sobre a ameaça da engenharia social no ebook de Engenharia Social da Check Point.
De longe, o phishing é a ameaça de engenharia social mais comum, e as soluções de segurança de e-mail são uma defesa eficaz. Leia mais no Forrester Wave for Enterprise Email Security 2023. O Check Point Harmony Endpoint oferece uma série de recursos projetados para minimizar o risco de ataques de engenharia social e phishing. Veja o que ele pode fazer por sua organização com um demogratuito.
Opinião