quinta-feira, 4 de julho de 2013

Engenharia Social nas Redes Sociais: a inteligência usada para o mal

Por Claudio Bannwart*


A engenharia social continua sendo um fator importante para viabilizar as atividades dos hackers. Eles usam a engenharia social para manipular usuários inocentes para obter acesso a informações corporativas sensíveis, como documentos internos, demonstrações financeiras, números de cartão de crédito e credenciais de usuário, ou simplesmente para bloquear serviços com ataques de negação de serviço (DoS). Essa guerra moderna de ameaças e ataques avançados veio para ficar. 
O volume de informações corporativas sensíveis armazenadas em data centers, servidores, PCs e telefones celulares estão aumentando rapidamente, e mais dados e plataformas criam mais riscos. Por fim, a lista de ameaças não está diminuindo, e cada ataque novo revela um nível ainda maior de sofisticação.

O uso crescente de redes sociais para fins profissionais aumenta o apelo de usar esses vetores para a engenharia social, onde os hackers se apresentam como colegas de trabalho, recrutadores ou até mesmo amigos para obterem acesso às empresas.   

NOTA : (aconteceu comigo no Linkedin )

Hoje,  a principal meta de muitos hackers e o roubo de dados, mas cada hacker tem sua própria agenda e seus próprios motivos - desde ganhos financeiros até a destruição de ativos corporativos. A Stuxnet, por exemplo, mudou como muitos profissionais de segurança pensam em segurança, percebendo como o malware pode ser usado como uma arma para prejudicar a infraestrutura inteira de uma empresa.  Agora, mais do que nunca, precisamos de estratégias de defesa abrangentes para evitar APTs e outras ameaças ocultas. 

Em geral, a meta de quem ataca é de obter dados valiosos. Mas, hoje, dados de cartões de crédito dividem espaço nas prateleiras de lojas virtuais de hacker com itens como logins do Facebook e credenciais de e-mail. 

E isso é por que os bancos usam múltiplas formas de autenticação para verificar transações on-line, e com isso os hackers precisam de mais informações para comprometer uma conta.

Os cibercriminosos evoluíram seus malwares levando isso em consideração, e isso inclui a injeção de formulários web que usam a técnica de phishing para obter informações como o número do International Mobile Equipment Identity (IMEI) do celular, para entrar em contato com o provedor de serviços de uma pessoa para enviar ao hacker um novo cartão SIM (Subscriber Identity Module), como o atque Eurograbber. Com o cartão SIM, os criminosos podem interceptar a comunicação entre o banco e o cliente que tem como objetivo prevenir fraudes.

Por exemplo, o Pinterest sofreu críticas por que adotou políticas de privacidade vagas, exigindo que os usuários tivessem direitos legais a todo o conteúdo publicado, bloqueando quadros particulares, etc.  Mas, em março de 2012, o Pinterest atualizou seus termos de serviço. Em uma das maiores mudanças, o Pinterest retirou qualquer texto relacionado ao direito de vender conteúdo de usuários, e prometeu criar pinboards particulares para pessoas que pretendem usar o site como um álbum pessoal. Mesmo assim, o site ainda é um grande fórum público onde todos os seus usuários podem compartilhar conteúdo - e você nem precisa abrir uma conta para navegar esse conteúdo.



Dicas de segurança

  • Nunca compartilhe qualquer informação pessoal em redes sociais, como seus finanças, aniversários, senhas, etc., e avalia se o conteúdo que você está prestes a publicar é adequado e se você está confortável compartilhando essas informações. Atualize suas opções de privacidade com frequência, especialmente quando novos termos de serviço são divulgados e/ou o site for atualizado. Hoje, você deve ajustar suas configurações para evitar a exibição dos seus dados em buscas do Google.
  • Os hackers são inteligentes. Ao conhecer suas táticas, você pode evitar golpes. Mas, apesar de todo o cuidado, você ainda pode ser uma vítima. Se você acredita que foi vítima de um golpe virtual, você deve entre em contato com o departamento de TI da sua empresa imediatamente.
  • Evite riscos e sempre faça o logout das suas contas.
Os hackers estão ampliando o uso da engenharia social, indo além de simplesmente ligar para funcionários específicos para tentar enganá-los e obter informações. As redes sociais servem para conectar as pessoas, e um perfil pessoal ou corporativo convincente  seguido por um amigo, ou apenas uma solicitação para se conectar pode ser o bastante para aplicar um golpe de engenharia social.
* Claudio Bannwart é gerente de contas estratégicas da Check Point Brasil.


Fonte : http://canaltech.com.br/noticia/seguranca/Engenharia-Social-nas-Redes-Sociais/

Você sabe o que é Engenharia Social ? Então é hora de saber e se precaver !!

Saiba dos cuidados necessários para não cair nas armadilhas dos engenheiros sociais.

O termo engenharia social ficou mais conhecido em 1990, através do famoso hacker Kevin Mitnick. Mas afinal, qual o significado do termo?

 Engenharia social são as práticas utilizadas para se obter informações sigilosas ou importantes de empresas e sistemas, enganando e explorando a confiança das pessoas.

Na maioria das vezes, os golpistas se passam por funcionários da empresa alvo, ou mesmo autoridades interessadas em prestar ou comprar serviços. As pessoas que não estão preparadas para enfrentar ataques deste tipo são facilmente manipuladas e fornecem as informações pedidas.
Mas como se proteger de golpistas que utilizam esta técnica? A melhor maneira é sabendo como os engenheiros sociais agem e ficar sempre atento ao fornecer informações. A equipe do Baixaki preparou este artigo com algumas dicas para você ficar esperto e não cair em armadilhas.

Primeiros alvos ao telefone


Engenheiros sociais que utilizam o telefone para obter informações possuem como objetivo ou passar-se por algum funcionário e colega de trabalho, ou algum tipo de autoridade externa, como auditor por exemplo.
Os primeiros alvos são secretárias, recepcionistas e seguranças, pois esses funcionários estão sempre em contato (direto ou indireto) com as pessoas que detém cargos de poder dentro da empresa, os verdadeiros alvos. Assim, através de pessoas mais acessíveis e com cargos menores é possível obter informações sobre aquelas mais bem posicionadas na hierarquia.


Falar a mesma língua

Cada corporação possui sua própria linguagem e expressões que são usadas pelos funcionários. A engenharia social criminosa estuda tal linguagem para tirar o máximo proveito disso. O motivo é simples: se alguém fala com você utilizando uma linguagem que se reconheça é mais fácil sentir-se seguro e a baixar a guarda, falando o que o golpista quer ouvir.

Música de espera

Ataques bem-sucedidos exigem paciência, tempo e persistência. Uma abordagem que está sendo muito utilizada é utilizar a música que as empresas utilizam para deixar as pessoas esperando ao telefone. Ao ouvi a música à qual está habituado, o funcionário conclui que quem está do outro lado da linha realmente trabalha na mesma corporação que ele e acaba baixando a guarda e fornecendo todas as informações solicitadas.


Telefone falso
Uma nova técnica está sendo usada pela engenharia social criminosa para burlar o sistema de identificador de chamada das empresas. É o chamado spoofing do número telefônico, que faz com que o identificador de chamadas mostre um número diferente daquele que realmente originou a ligação.

Notícias e SPAMs
Este é um dos ataques mais comuns e é utilizado principalmente para obter dados bancários e financeiros das pessoas, como número de conta, senha, número do cartão de crédito, etc.  Os assuntos dos emails normalmente são pertinentes a notícias divulgadas na mídia, seja pelo jornal, televisão, rádio ou Internet.
A maioria dos textos contém um link que encaminha o usuário para uma página falsa de banco, contas de email, sites de relacionamento, etc. Ao entrar com os dados solicitados, o usuário está, na verdade, enviando o login e a senha para o criminoso sem perceber.

Redes sociais

Boa parte das pessoas possui perfis e contas em redes sociais, o que facilita a engenharia social criminosa. Ao criar perfis em sites de relacionamento é preciso ter cautela com os dados ali fornecidos, pois muitas vezes eles podem ser usados para prejudicar você. Não é aconselhável colocar telefones, endereço, empresa na qual trabalha e qualquer tipo de informação pessoal em seu perfil.

Erros de digitação

Pessoas que praticam a engenharia social criminosa se aproveitam de qualquer deslize dos usuários para tirar informações. Uma das novas técnicas empregadas é aproveitar-se dos erros de digitação cometidos.
Sites falsos são criados com endereços muito semelhantes aos do site original, mas estes sites fake, como são conhecidos, na verdade enviam os dados digitados diretamente para a mão dos criminosos., é o conhecemos por phishing. Por isso, cuidado ao digitar o endereço de qualquer página na barra de endereços do seu navegador. Antes de enviar qualquer dado, tenha certeza que está no site correto.


Boatos = queda
Os boatos que circulam pela Internet podem refletir diretamente na empresa sobre a qual se fala. Um bom exemplo dessa situação é a Apple, que teve queda em suas ações depois que o boato sobre a suposta morte de Steve Jobs circulou por emails, blogs e fóruns. Tal método é conhecido no mercado financeiro como “pump-and-dump”.


Concluindo
Com as dicas dadas acima é possível se prevenir, mas a melhor maneira de ficar longe de problemas é ter cautela enquanto você está navegando pela Internet e não dar informações à qualquer pessoa.  É muito importante manter o antivírus atualizado, assim como os aplicativos que detectam spywares e malwares. Garanta sua segurança e noites tranqüilas de sono.

Fonte : http://www.tecmundo.com.br/msn-messenger/1078-cuidado-com-a-engenharia-social.htm

segunda-feira, 1 de julho de 2013

"Só existem 03 coisas que a gente faz 01 vez só na vida, nascer, morrer e votar no PT"




Alborghetti

As pessoas precisam entender que ser intolerante, não significa ser bruto ou mal educado e sim, não ser otário.

Nada expõe melhor o caráter das pessoas do que aquilo que entendem como ridículo.

O medo é o caminho para o lado negro. O medo leva a raiva, a raiva leva ao ódio, o ódio leva ao sofrimento.

O grande inimigo da verdade não é, a mentira - deliberada, inventada, desonesta - mas sim o mito persistente, persuasivo e fora da realidade

Se meus inimigos pararem de dizer mentiras a meu respeito, eu paro de dizer verdades a respeito deles.