SPAMs em E-mails: engenharia social quebra "firewall humano"
Reconhecido como uma ferramenta do produtividade, o e-mail está invertendo esse status por causa do assustador aumento de spam e as eventuais mensagens falsas enviadas para contaminar computadores com vírus e malware. O pior é que a principal causa disso é o próprio ser humano, de acordo com o estudo “Hackers contra o sistema operacional humano”, da Intel Security e McAfee Labs.
Brasil é o quarto no ranking global com mais PCs que comandam botnets
Segundo dados do McAfee Labs, dois terços de todos os e-mails do mundo atualmente são spam, mensagens com o objetivo de extorquir informações e/ou roubar dinheiro. Ainda segundo o estudo, "80% dos colaboradores são incapazes de detectar as fraudes de phishing por e-mail mais comuns".
O e-mail é na verdade o caso mais evidente de uma série de quebras de segurança que tem como principal causa o uso de engenharia social pelos hackers. A engenharia social é um método que consiste em mentir ou criar uma situação enganosa para tentar persuadir um indivíduo visado a realizar algo que cause uma infecção ou a divulgação de informações valiosas. Na prática, isso é um ataque direto ao que o estudo chama de ‘firewall humano’.
Como acontece um ataque de engenharia social?
Durante um ataque de engenharia social, a vitima não tem discernimento de que suas ações são perigosas, pois o atacante social explora a ingenuidade do alvo, em vez de alguma propensão criminosa. Ao conseguir derrubar as barreiras do ‘firewall humano’ o atacante consegue burlar todas as regras e procedimentos de segurança e aos poucos, alcança seu principal objetivo.
Os principais ataques de engenharia social utilizam sites ou e-mails. No primeiro caso, os atacantes utilizam um site estratégico na Web para fornecer Malware e infectar as máquinas alvo. Já os ataques que se aproveitam do e-mail como canal de comunicação utilizam em sua maioria “phishing” e o ainda mais direcionado “spear phishing”. O e-mail é um método eficaz de modo a estes cibercriminosos porque “18% destes usuários visitam links em e-mails de phishing”, de acordo com um relatório da Verizon.
Como evitar esses ataques provindos do e-mail?
Diante desses fatos, fica claro que pela luta contra a ataques por engenharia social, é necessário fortaleçer o ‘firewall humano’. Para conseguir isso, inúmeras dicas importantes devem ser seguidas:
Evite retribuir favores:
Certos atacantes criam situações para se aproveitar do fato de deixar alguns usuários obrigados a tendem a dar um serviço em troca, depois do ganhar algo.
Não faça nada por causa do pressão, analise antes do executar.
As pessoas tendem a executar o que se pede quando acreditam que um produto esta acabando, e os hackers se aproveitam disso. Como exemplo, podem mandar emails que pedem ao usuário para atender a uma solicitação (clicar em algo, mandar informações), caso contrário, a conta será desativada dentro de pouco mais de um dia.
Não faça algo que infrinja as regras de segurança
Aproveitando-se do fato de que várias pessoas geralmente fazem algo que se pede ede modo a não dar a impressão de serem desonestas ou de não serem dignas de confiança, um hacker pode, como exemplo, se passar por alguém da equipe de TI de uma empresa. Com isso, ele pode fazer com que um colaborador concorde em cumprir todos os processos de segurança e, em seguida, que ele execute uma tarefa suspeita supostamente em conformidade com as exigências de segurança.
Não deixe o lado pessoal atravessar por cima da segurança
Algumas pessoas tem propensão a fazer o que o criminoso quer quando ele é alguém do quem eles gostam. 1 hacker pode usar seu charme por telefone ou on-line para "conquistar" uma vítima inocente.
Segurança vem antes de autoridade.
Certos ataques se aproveitam dos indivíduos quando esses fazem o que se pede principalmente quando uma solicitação é produzida por alguém que transmite autoridade. Como exemplo, 1 e-mail encaminhado para o departamento financeiro que pareça ter vindo do CEO ou do presidente.
Não faça o que os outros fazem, se você sabe que está errado
As pessoas tendem a fazer o mesmo que os outros. Por exemplo, um e-mail de phishing pode parecer ter sido enviado a um grupo do colaboradores, o que permite com que um colaborador acredite que está tudo bem, visto que outros colegas também receberam a solicitação.
Aplicando rigidamente essas pequenas regras, aliada a casa de softwares de segurança, dificilmente ataques de engenharia social terão êxito.
Excepcionalmente, isso ainda não foi uma realidade parte das empresas
Um estudo recente da Enterprise Management Associates constatou que apenas 56% de todos os funcionários das companhias passam por algum tipo de treinamento sobre segurança ou sensibilização quanto à política da empresa.Estes cibercriminosos de hoje não precisam, necessariamente, de um conhecimento técnico considerável de modo a alcançar seus objetivos.
Várias ferramentas maliciosas bem conhecidas são enviadas através do e-mails de spear-phishing e dependem de uma manipulação psicológica para infectar estes computadores das vítimas.As vítimas são persuadidas a abrir anexos de e-mails supostamente legítimos e sedutores ou a clicar em um link no organismo do e-mail, o qual parecia vir de origens confiáveis”, comenta Paul Gillen, Chefe de Operações do Centro Europeu Contra este Cibercrime da Europol.
Concluindo sobre segurança dos e-mails
A ameaça da engenharia social é bastante real e as informações do estudo “Hackers contra o sistema operacional humano” deixam significativo que agora mais do que nunca, é preciso investir em treinamento do segurança de modo a preparar estes funcionários. Apenas assim eles poderão parar ataques que exploram a fragilidade do ‘firewall humano’.
É por isso que na Skills IT dedicamos tempo para munir seus colaboradores de conhecimento e técnicas para detectar uma e-mail falso. E isto independe do projeto ou solução de segurança que oferecemos.
Fale com a gente e descubra como podemos ajudar a sua empresa a resolver os problemas de Spam e segurança de TI da sua empresa.
Deixe uma resposta