A engenharia social é uma técnica executada por criminosos cibernéticos que se entregam à exploração das fraquezas humanas. O ato da Engenharia Social envolve várias técnicas, todas envolvendo a manipulação da psicologia humana.
Os atores de ameaças dependem especialmente da engenharia social para obter facilmente informações confidenciais das vítimas. O ataque de engenharia social depende da construção de confiança com a vítima, para que ele nunca suspeite em fornecer suas informações pessoais, como números de telefone, senhas, número de previdência social, etc.,
É comprovado que essa técnica foi a mais bem-sucedida quando se trata de invadir a rede de uma organização. Os hackers podem se disfarçar como uma pessoa de auditoria de TI ou um administrador de rede externo e facilmente obter acesso dentro de um edifício sem suspeitar. Uma vez dentro da organização, eles seguem várias outras técnicas de engenharia social para comprometer sua rede .
Uma das maiores fraquezas que uma organização pode possuir é a falta de conhecimento de segurança da informação com seus funcionários. Essa falta de conhecimento em segurança cibernética oferece uma grande vantagem para os hackers realizarem ataques que causam violações de dados na organização.
Tipos de ataque de engenharia social
Existem muitos ataques de engenharia social que podem ser usados por atores de ameaças. Alguns deles são,
1. Phishing
2. Vishing
3. Spoofing
4. Tailgating
5. Quid pro quo
6. Baiting
2. Vishing
3. Spoofing
4. Tailgating
5. Quid pro quo
6. Baiting
1. Phishing
O phishing é o ataque mais simples e eficaz que um hacker pode usar para roubar credenciais como nome de usuário, senha, número de segurança social, segredos da organização ou detalhes de cartão de crédito. Às vezes, o phishing também é usado para espalhar malware dentro de uma rede. Em geral, o phishing envolve engenharia social e falsificação
2. Vishing
Vishing é semelhante ao phishing, que envolve ligar para a vítima e fingir ser um chamador legítimo. Depois que a vítima acreditar sem suspeitar, será fácil para o hacker obter informações confidenciais, como estrutura de rede, detalhes do funcionário, detalhes da conta da empresa etc.,
3. Spoofing
O spoofing é um tipo de ataque no qual “o que vemos parecerá, mas não é”. Em termos de segurança cibernética, o spoofing nada mais é do que disfarçar-se de fonte legítima para obter informações confidenciais ou obter acesso a algo . Um invasor pode nos levar a acreditar que ele é da fonte original por falsificação.
Tailgating ou piggybacking é uma técnica seguida por atores de ameaças para entrar em um prédio da organização. Durante esse ataque, os atores da ameaça esperam que um funcionário / pessoa entre dentro de um local onde o acesso a pessoas de fora é restrito e os seguem para dentro do edifício, uma vez que eles usam seus cartões de acesso ou chave de acesso para abrir a porta.
5. Quid pro quo
Quid pro quo em latim significa "favor a favor". Nesse caso, o hacker se comunica com um funcionário de uma empresa e oferece um acordo. Dinheiro em troca de informações ou qualquer coisa que o funcionário deseje.
Na maioria dos casos, o dinheiro é o lema principal. Os hackers se comunicam com um funcionário atual ou um ex-funcionário e pedem para fornecer informações confidenciais, como privilégios de administrador, senha de administrador, estrutura de rede ou qualquer outro dado necessário em troca do desejo do funcionário.
Os hackers convencem os funcionários a divulgar as informações fazendo um acordo pessoal com eles. Essa é considerada uma das sérias ameaças em uma organização porque as informações são fornecidas intencionalmente por um funcionário.
6. Baiting
Como a palavra descreve, os hackers criam iscas como unidades flash USB, CD-ROMs, disquetes ou leitores de cartões .
Eles criam pastas dentro dos dispositivos, como Projetos, revisam as folhas de pagamento da organização e as largam em áreas sensíveis (elevadores, banheiros, lanchonetes ou estacionamentos) onde os funcionários costumavam mantê-las.
Depois que um funcionário pega e insere o USB no computador, o script dentro do dispositivo é executado e dá controle total aos hackers. Esse método de engenharia social é chamado de isca.
