Hackers contra o sistema operacional humano



Documentos relacionados
DDoS: como funciona um ataque distribuído por negação de serviço

terceiros ou usar um aplicativo desenvolvido por terceiros, um cookie poderá ser colocado por essa página ou aplicativo).

Kaspersky Fraud Prevention for Endpoints

Política de Privacidade do Serviço OurSound para Estabelecimentos

SISTEMA OPERACIONAL - WINDOWS

Autodesk Learning Central

Fale com seus clientes quando seja mais conveniente para eles com o Genesys Web Callback

GUIA DE APLICAÇÃO EBT

Termos de serviço do Movimento Certo Ginástica Laboral Online

MANUAL MOODLE - PROFESSORES

LISTA DE VERIFICAÇAO DO SISTEMA DE GESTAO DA QUALIDADE

Fraud Prevention for Endpoints.

Exemplo: Na figura 1, abaixo, temos: Clique aqui para continuar, que é a primeira atividade que você precisa realizar para iniciar seus estudos.

Pacote de Informações

Roubo de dados e de dinheiro ou o bloqueio da infra-estrutura TI: os principais alvos dos ciberataques empresariais em 2013

TERMOS DO PROGRAMA DE LICENÇA DE ENTIDADE GOVERNAMENTAL ("GOVERMENT ENTITIY LICENSCE PROGRAM")

AKNA SOFTWARE. Configurações. de DNS

agility made possible

Guia para utilização do ambiente de EaD UniRitter

Introdução ao icare 2

Manual para acesso às disciplinas na modalidade EAD

Notas sobre a liberação

Oportunidades GIFE. Como divulgar vagas na Comunidade

Guia passo a passo. Como se tornar um pequeno produtor certificado FSC

PRIVACIDADE EM REDES SOCIAIS ONLINE. Talita Lopes Gomes

Bem-vindo ao tópico Múltiplas filiais.

10 dicas para proteger o seu modem/router de ataques online

Segurança em Redes Sociais. <Nome> <Instituição> < >

Indústria de Cartões de Pagamento (PCI) Padrão de Segurança de Dados

Regulamento para a Certificação dos Sistemas de Gestão da Responsabilidade Social

Políticas de segurança e informações

Avaya Softconsole Versão 1.5 Referência Rápida

Artigo: Lista de verificação dos documentos obrigatórios da ISO 22301

Guia Definitivo para Ganhar Dinheiro na Internet.

OS3 SOLUÇÕES EM TECNOLOGIA DA INFORMAÇÃO LTDA 2010

O guia completo para uma presença. online IMBATÍVEL!

Objetivo: descrever como abrir uma solicitação de suporte técnico através da internet.

Figura 1 Tela de escolha das atividades do curso

<SUA EMPRESA> PROPOSTA DE SERVIÇOS

MANUAL CHAT DE ATENDIMENTO VIASOFT

Relatório referente ao período de 24 de abril de 2007 a 29 de maio de 2007.

BUREAU VERITAS CERTIFICATION MANUAL DE UTILIZAÇÃO DAS MARCAS DE CONFORMIDADE DE PRODUTO

paradigma WBC Public - compra direta Guia do Fornecedor paradigma WBC Public v6.0 g1.0

Manual do Usuário - ProJuris Web - Biblioteca Jurídica Página 1 de 20

Como utilizar a internet para aumentar vendas no mundo real

EDITAL CHAMADA DE CASOS PARA PARTICIPAÇÃO DE PEQUENAS E MÉDIAS EMPRESAS INICIATIVAS INOVADORAS PARA SUSTENTABILIDADE EM DISTRIBUIÇÃO E LOGÍSTICA

LGTi Tecnologia. Manual - Outlook Web App. Soluções Inteligentes. Siner Engenharia

Manual de Instruções ISS WEB SISTEMA ISS WEB. Sil Tecnologia LTDA

REGULAMENTO DO CONCURSO MÃOS À OBRA

NORMATIVO SARB 003/ CONCEITO

SERVIÇO NACIONAL DE APRENDIZAGEM INDUSTRIAL. Departamento Regional de São Paulo. Escola SENAI Hessel Horácio Cherkassky

CHAIR DRYDEN: Continuemos, vamos passar ao último tema do dia. Ainda temos 30 minutos.

Aumente o valor do ciclo de vida de cada cliente

Termos e Condições CURSO DE LIDERANÇA ESCOLAR

MANUAL DA SECRETARIA

Declaração de Privacidade

DIRETORIA DE TECNOLOGIA DA INFORMAÇÃO SETOR DE ESTÚDIO E SUPORTE MANUAL DE UTILIZAÇÃO DO WEBMAIL DA FTC EAD

Processos de gerenciamento de projetos em um projeto

A SEGUIR ALGUMAS DICAS PARA O DESENVOLVIMENTO DE UM PROJETO CIENTÍFICO

XX Ciência Viva. Tema: Luz, ciência e vida. 12 e 13 de Novembro de 2015

Manual do Instar Mail v2.0

POLÍTICA GLOBAL ANTICORRUPÇÃO DA DUN & BRADSTREET

Política de privacidade do Norton Community Watch

E-book Grátis Como vender mais?

PADRÃO DE RESPOSTA DAS QUESTÕES DISCURSIVAS PROFISSIONAL BÁSICO COMUNICAÇÃO SOCIAL

Guia de Usuário do Servidor do Avigilon Control Center. Versão 5.6

Configurando o Controle dos Pais no Windows Vista

ACESSANDO O SISTEMA DE AVALIAÇÃO DE PROVAS DE REDAÇÃO

Condições de utilização para a MediaPedia. 1 Generalidades/definições. 2 Objecto. 3 Registo, palavra-passe

SERVIÇOS REQUERIMENTO

compras online com Segurança

COMO INICIAR O RELACIONAMENTO COM OS LEADS? 8 passos para TER UMA SEQUÊNCIA DE S BEM SUCEDIDA.

HÁ JÁ ALGUM TEMPO QUE A INTERNET TRANSFORMOU A FORMA COMO VIVEMOS.

Resolução da lista de exercícios de casos de uso

Indústria de Cartões de Pagamento (PCI) Padrão de Segurança de Dados

Termos de Serviços O termo de serviços estará disponível no website da Focal para eventuais consultas.

Como fazer a Renovação de Matrícula online no Sistema Acadêmico

PROPOSTA DE REFORMULAÇÃO DO PORTAL RECYT

REGULAMENTO PROJETO SERVIÇOS E CIDADANIA

Gestão da Qualidade em Projetos

O QUE É A CENTRAL DE JOGOS?

7 perguntas para fazer a qualquer fornecedor de automação de força de vendas

Manual do Sistema HDI Online / Worksite (Circulação: Corretoras parceiras da HDI Seguros )

Indústria de Cartões de Pagamento (PCI) Padrão de Segurança de Dados

Transcrição:

Hackers contra o sistema operacional humano Raj Samani, CTO (EMEA) Charles McFarland, engenheiro sênior de pesquisa do MTIS

Muitos ciberataques envolvem um componente de engenharia social que tenta persuadir um indivíduo visado a realizar uma ação que cause uma infecção ou a divulgação de informações valiosas. Embora o foco da correção do ataque seja de caráter técnico, o aspecto humano do ataque resulta na culpabilização do alvo e na demanda por mais conscientização quanto à segurança. Contudo, a verdade é que a maioria das organizações empenha-se pouco em compreender os motivos pelos quais o alvo foi explorado e, mais importante, o que fazer, além de promover maior conscientização, para reduzir o risco de mais ataques. A expressão engenharia social pode ser definida como: A aplicação deliberada de técnicas enganosas concebidas para induzir alguém a divulgar informações ou executar ações que possam resultar na liberação dessas informações. Durante um ataque de engenharia social, a vítima não tem discernimento de que suas ações são perigosas. O engenheiro social explora a ingenuidade do alvo, em vez de alguma propensão criminosa. Um ataque pode ser dividido em duas categorias: A caçada, que busca extrair informações utilizando o mínimo de interação com o alvo. Essa abordagem costuma envolver um único encontro. O atacante encerra a comunicação assim que a informação é obtida. O farming (cultivo), que busca estabelecer um relacionamento com o alvo e extrair informações deste ao longo de um período de tempo maior. Os ataques de engenharia social que aproveitam o e-mail como canal de comunicação geralmente utilizam a caçada como principal forma de ataque. Existem exceções a essa regra, como as fraudes nigerianas 419, que tentam prolongar a duração do ataque para poder extrair fundos adicionais. Os ataques de engenharia social dos tipos caçada e cultivo consistem, tipicamente, em quatro fases: 1. Pesquisa: essa fase opcional busca coletar informações sobre o alvo. O atacante busca informações que o ajudem a construir um anzol bem-sucedido, como os hobbies do alvo, seu local de trabalho ou fornecedor de serviços financeiros. 2. Anzol: o anzol tem como objetivo encenar um enredo bem-sucedido envolvendo o alvo e proporcionando um pretexto para interação. O psicólogo Robert Cialdini cita seis alavancas de influência que permitem tirar proveito do subconsciente do alvo: Reciprocidade: as pessoas ganham alguma coisa, ficam agradecidas e sentem-se na obrigação de retribuir o favor. Escassez: as pessoas tendem a obedecer quando acreditam que algo está em falta. Consistência: uma vez que os alvos tenham prometido fazer algo, eles cumprem suas promessas por receio de parecerem pouco confiáveis. Propensão: é mais provável que os alvos obedeçam quando o engenheiro social é alguém de quem eles gostam. Autoridade: explora a tendência humana de obedecer quando a solicitação vem de alguma autoridade. Validação social: a tendência de obedecer quando outras pessoas estão fazendo o mesmo. Hackers contra o sistema operacional humano Resumo executivo 2

3. Enredo: execução da parte principal do ataque. Esta pode envolver a divulgação de informações, um clique em um link, a transferência de fundos, etc. 4. Saída: a interação é encerrada. Embora talvez seja uma vantagem sair antes de despertar suspeitas de muitos ataques de cultivo, isso pode não ser necessário. Por exemplo, quando induzem os alvos a divulgar informações de cartões de pagamento, os atacantes geralmente não desejam levantar suspeitas que levem as vítimas a comunicar que seus cartões foram perdidos ou roubados e cancelá-los. Por outro lado, se os atacantes conseguirem roubar código-fonte ou outras informações pessoais, os alvos não poderão recuperar os dados roubados, mesmo que desconfiem de alguma coisa. As tentativas de engenharia social não são necessariamente lineares. Um único ataque pode ser parte de uma campanha muito maior para coletar múltiplos fragmentos de informações relacionadas. Por exemplo, os atacantes podem realizar um ataque, obter informações e desaparecer. Alternativamente, eles podem realizar vários ataques de caçada e, com as informações coletadas, iniciar um ataque de cultivo. Canais de ataque Os engenheiros sociais podem utilizar vários caminhos em seus ataques. Sites: os ataques de engenharia social frequentemente aproveitam sites maliciosos como canal de ataque. Segundo o Relatório de investigações de violações de dados de 2014 da Verizon (2014 Verizon Data Breach Investigations Report), 20% dos ataques motivados por espionagem utilizam um site estratégico na Web para fornecer malware. E-mail: as formas mais comuns de engenharia social via e-mail são o phishing e o ainda mais direcionado spear phishing. O e-mail é um método eficaz para os cibercriminosos porque 18% dos usuários visitam links em e-mails de phishing, segundo o relatório da Verizon. Telefone: este é um canal popular para os traficantes de informação. Cara a cara: um funcionário pode ser abordado e ludibriado ou coagido a fornecer informações. Correio: embora esse canal pareça menos predominante que os demais, ainda há relatos de ataques de engenharia social pelo correio. Fax: como exemplos podemos citar e-mails que se apresentam como mensagens de serviços de pagamento on-line. Defesa contra engenharia social Os controles seguintes podem ser utilizados para minimizar o risco da engenharia social. Eles se dividem em três categorias: pessoas, processos e tecnologia. Esses controles não abrangem todos os casos e podem não se aplicar a todas as organizações. Pessoas Estabeleça limites claros: toda a equipe deve estar plenamente consciente das políticas relacionadas à divulgação de informações e ter caminhos de escalonamento claramente definidos caso uma solicitação esteja fora de sua área de responsabilidade. Educação contínua: implemente um programa de conscientização sobre segurança para educar consistentemente os funcionários ao longo do tempo. Use ferramentas como o Quiz da McAfee sobre phishing para destacar táticas específicas frequentemente utilizadas nos ataques. Permissão para verificar: ofereça à equipe a confiança de questionar até mesmo solicitações aparentemente inócuas. Um exemplo disso é questionar pessoas que tentam se infiltrar junto com pessoas autorizadas. Hackers contra o sistema operacional humano Resumo executivo 3

Ensine a importância da informação: até mesmo informações aparentemente inócuas, como números de telefone (informações capacitadoras) podem ser utilizadas para orquestrar um ataque. Crie uma cultura de inculpabilidade: os alvos dos engenheiros sociais são vítimas. Punir funcionários específicos que tenham sido enganados torna toda a equipe menos propensa a admitir a liberação de informações. Uma vez enganados, eles podem ficar sob o controle do engenheiro social, o qual pode usar de chantagem. Processo Relatórios de chamadas falsas: quando ocorrer uma atividade suspeita, a equipe deve fazer um relatório que descreva detalhadamente a interação. Isso ajuda nas investigações. Páginas informativas de bloqueio: quando os funcionários chegarem a uma página da Web maliciosa, use uma página de bloqueio para informá-los porque não devem prosseguir. Isso fará com que eles reflitam sobre sua ação anterior, o que pode ajudar a identificar fontes de ataques. Notificação ao cliente: caso informações sejam negadas aos interlocutores, a organização deve notificar a todos e verificar se o interlocutor tinha direito às informações. As organizações também devem avaliar como se comunicam com os clientes. Por exemplo, o PayPal inclui uma orientação para os usuários que ajuda a identificar se os e-mails recebidos são legítimos: Um e-mail verdadeiro enviado por nós nunca pede o número da sua conta, o número do seu cartão de crédito ou de débito, etc. Também nunca perguntamos o seu nome completo, a senha da sua conta ou as respostas às perguntas de segurança do PayPal em um e-mail. Caminho de escalonamento: uma linha de relatório claramente definida na qual a equipe da linha de frente possa escalonar quaisquer dúvidas que tenham sobre interação com mensagens potencialmente fraudulentas. Testes de penetração: teste rotineiramente a equipe quanto à sua susceptibilidade a ataques de engenharia social pelo uso de múltiplos canais de comunicação. Isso proporciona uma ferramenta com a qual medir a eficácia dos programas de treinamento. Tecnologia Gravação de chamadas: grave rotineiramente as chamadas telefônicas recebidas para auxiliar nas investigações. Linhas falsas: encaminhe para um número monitorizado as chamadas que parecerem suspeitas. Filtragem de e-mail: remova e-mails fraudulentos que contenham malware conhecido ou nunca antes visto. Filtragem da Web: bloqueie o acesso a sites maliciosos e detecte malware in-line com acesso à Internet. Autenticação forte: embora o uso de uma autenticação de múltiplos fatores não elimine o risco de que os usuários sejam induzidos por engenharia social a fornecer suas credenciais de autenticação, a tarefa se torna mais difícil para possíveis atacantes. Hackers contra o sistema operacional humano Resumo executivo 4

Siga o McAfee Labs Resumo A ameaça da engenharia social é bastante real. Os cibercriminosos a utilizam para extrair, de maneira ilegal, informações para vários fins maliciosos. Para enfrentar melhor esse problema, precisamos compreender a natureza dos ataques de engenharia social. Isso significa definir os responsáveis mais prováveis pelas ameaças, seus métodos de ataque e seus recursos e aplicar os controles relevantes para reduzir o risco de um ataque bem-sucedido. Uma cópia do relatório completo pode ser encontrada em www.mcafee.com/hacking-human-os. Twitter@Raj_Samani Twitter@CGMcFarland 1. http://www.verizonenterprise.com/dbir/2014/ 2. https://www.paypal.com/gb/webapps/helpcenter/helphub/article/?solutionid=faq2061&m=htq McAfee. Part of Intel Security. Av. das Nações Unidas, 8.501-16 andar CEP 05425-070 - São Paulo - SP - Brasil Telefone: +55 (11) 3711-8200 Fax: +55 (11) 3711-8286 www.intelsecurity.com As informações deste documento são fornecidas somente para fins educacionais e para conveniência dos clientes da McAfee. As informações aqui contidas estão sujeitas a alterações sem notificação, sendo fornecidas no estado, sem garantia de qualquer espécie quanto à precisão e aplicabilidade das informações a qualquer circunstância ou situação específica. Intel e o logotipo da Intel são marcas comerciais da Intel Corporation nos EUA e/ou em outros países. McAfee e o logotipo da McAfee são marcas comerciais ou marcas registradas da McAfee, Inc. ou de suas afiliadas nos EUA e em outros países. Outros nomes e marcas podem ser propriedade de terceiros. Os planos, especificações e descrições de produtos aqui contidos são fornecidos apenas para fins informativos, estão sujeitos a alterações sem notificação prévia e são fornecidos sem garantia de qualquer espécie, expressa ou implícita. Copyright 2015 McAfee, Inc. 61637exs_hacking-human-os_0115

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback