Em seu livro, "Ghost in the Wires: Minhas aventuras como o hacker mais procurado do mundo", Kevin Mitnick, um dos mais conhecidos hackers, descreveu como ele usava o ganho social para acesso não autorizado a redes e sistemas telefônicos.
Exemplos de redes sociais
Veja abaixo exemplos de como alguém pode usar a engenharia social para obter acesso à sua rede, roubar informações confidenciais ou obter algo de graça.
- Empregado - Fingindo ser um colega de trabalho que está tendo problemas para acessar sua conta e precisa de segurança, login ou outros detalhes da conta.
- Fake IT - Suporte de TI falso que solicita acesso remoto a um computador devido a um problema falso ou ameaça de segurança.
- Fingir cônjuge - fingir ser um cônjuge chamando uma empresa sobre problemas de acesso à conta do cônjuge e que precisam de detalhes da conta.
- Aluno falso - estudante falsa chamando a equipe de suporte indicando que um site não está funcionando. Quando um membro da equipe visita a suposta página do problema, ele reúne informações sobre computadores e redes ou tenta infectar esse computador com um trojan ou outro malware.
- Cliente falso - Falso cliente insatisfeito reclamando sobre produtos que não compraram e que exigem um reembolso ou compensação sem comprovação de compra.
- Finja homem de manutenção - Alguém imprime um crachá falso que dá a impressão de que é um técnico que está visitando para consertar um computador, uma impressora, um telefone ou outro sistema. Depois de obter acesso ao prédio, eles têm acesso a documentos confidenciais ou computadores que permitem o acesso à rede.
- Cliente falso - Um email de um cliente falso com uma proposta comercial com um anexo que é um trojan ou outro malware para infectar uma rede e fornecer acesso remoto.
Prevenindo ataques de redes sociais
Educação
Todos os funcionários, funcionários, alunos ou membros da família na mesma rede precisam conhecer todas as possíveis ameaças que podem enfrentar. Também é importante que qualquer pessoa que tenha acesso remoto, como uma empresa de TI ou prestadores de serviços terceirizados, também seja instruída.
Medidas de segurança
A maioria das empresas tem (ou deveria ter) medidas de segurança, como um código que é necessário para acessar os detalhes da conta. Se um cliente ou alguém ligando dizendo que é o cliente não pode fornecer essa informação, os detalhes da conta não devem ser dados a eles pelo telefone. Também deve ficar claro que fornecer as informações para evitar conflitos com o cliente resultaria no funcionário perder imediatamente o emprego.
Sempre tenha cuidado com o que você não pode ver
A maioria dos ataques de engenharia social ocorre por telefone, e-mail ou outras formas de comunicação que não exigem comunicação face a face. Se você não consegue ver com quem está falando, deve sempre presumir que é possível que a pessoa com quem está falando não seja quem ela diz ser.
Segurança ou recepção
Nem todos os ataques de engenharia social acontecem pelo telefone ou pela Internet. Um invasor também pode visitar a empresa com um crachá falso ou uma forma de identificação. Toda empresa deve ter uma recepção ou um guarda de segurança que também esteja ciente de todas as ameaças de segurança e saiba que ninguém pode passar sem a devida autorização. Eles também devem perceber que, se essas precauções forem ignoradas (por exemplo, alguém diz que esqueceu o crachá), isso resultaria na perda do emprego.
Também é uma boa ideia ter áreas mais sensíveis, como uma sala de servidores, que exijam segurança adicional, como um leitor de crachá, que só permite que funcionários autorizados acessem a sala. Além disso, os funcionários que acessam um prédio ou sala usando um crachá devem perceber que eles também não devem permitir que alguém passe pela porta ao mesmo tempo que eles.
Destruir
Algumas pessoas não têm medo de mergulhar no lixo para encontrar informações confidenciais da empresa ou outras informações que permitam o acesso a uma rede. Qualquer papel que seus funcionários joguem fora deve ser triturado.
Descartar adequadamente o equipamento da empresa
Certifique-se de que qualquer equipamento seja devidamente destruído ou descartado. A maioria das pessoas pode perceber que um disco rígido do computador (mesmo quando apagado) pode ter dados confidenciais que podem ser recuperados. No entanto, muitas pessoas não sabem que dispositivos como copiadoras, impressoras e aparelhos de fax também contêm armazenamento e que dados confidenciais também podem ser recuperados desses dispositivos. A menos que você sinta que é seguro que alguém leia tudo o que você já imprimiu, digitalizou ou enviou por fax (provavelmente não), certifique-se de descartar o dispositivo.
Termos de segurança, Ombro surfando