Engenharia social um sistema tão antigo quanto o site Bitcoin time to buy

Engenharia social é uma epidemia crescente que pode ser uma final em si mesma ou um trampolim para as principais ameaças como o ransomware. Essa tática ancestral remonta à história do cavalo de Tróia, que aparece em “Aeneid”, de Virgílio, e “The Odyssey”, de Homer, que é a origem da variante de malware.

Segundo a lenda, os gregos usaram o cavalo como isca para os troianos para conquistá-lo como um golpe de prêmio. Eles deixaram uma pessoa para trás para dizer aos troianos que o cavalo era um sacrifício para a deusa Atena, a fim de expiar as atrocidades dos gregos. Os gregos agiram como se quisessem aumentar a credibilidade do pretexto. Depois que os cavalos de Tróia tiraram o cavalo da floresta, 30 dos melhores guerreiros gregos deixaram sua barriga à noite e dizimaram a cidade.


moderno Engenharia social tática

hoje Engenharia social Existe em uma variedade de formas, incluindo phishing, phishing, phishing, imitação, captura de baleias (phishing targeting C-suite), phishing de smear (sms) e muito mais. Entre essas ameaças, phishing e spearguns parecem ser os mais comuns.

Lembre-se do fluxo e refluxo de e-mails: você pode receber mensagens legítimas, avisos de vendas, spam e tentativas de phishing durante um dia normal. E-mails de phishing de rotina provavelmente acabarão na sua pasta de spam, mas com algumas informações de fonte aberta (OSINT), um invasor pode desenvolver uma desculpa para parecer, pelo menos, quase legítimo. Coleção OSINT

Quando eu avalio metas, eu olho para elas holisticamente – tanto dentro quanto fora do trabalho. Como posso me identificar com eles? O que você me diz sobre as mídias sociais e o que posso encontrar fora desse contexto? Um objetivo estabelece selfies e fotos de seu local de trabalho? Ele tem que usar equipamento de proteção individual (EPI)? Existem imagens do alvo com controles de segurança física, como crachás e senhas?

Conhecer alguns desses “flags” pode permitir que os invasores encontrem exploits em termos das tecnologias usadas no espaço de trabalho do alvo. Os atores de ameaças também poderiam desenvolver uma história em torno desses detalhes para construir um relacionamento com a vítima e buscar mais informações ou influenciar o alvo para fazer suas ofertas maliciosas. A página de carreira de um site da empresa é um bom lugar para começar. Um invasor pode descobrir para o que a organização está recrutando e, às vezes, até derivar versões específicas de software. Isca, visões e phishing

A preparação é a forma mais simples: um invasor coloca a carga, normalmente malware ou shell invertido, em um pendrive mal-intencionado ou código QR projetado para causar alvos de download de dados no sistema de destino. Tags gerais incluem:

Vishing precisa de um pouco mais de trabalho. Esta é provavelmente a forma mais intensa de Engenharia social porque o atacante tem que interagir e improvisar em tempo real por telefone com o objetivo de continuar o truque. Um ator na ameaça pode alegar usar uma investigação como desculpa para fazer perguntas intrusivas. Por esses motivos, o phishing baseado em phishing normalmente requer mais pesquisas OSINT do que outros sistemas.

Afinal, email phishing é a forma mais comum Engenharia social. Um invasor simplesmente envia um e-mail para influenciar o destinatário, clicar em um link malicioso, baixar um programa malicioso ou inserir informações pessoais. Gostaria de enviar emails de domínios semelhantes a provedores de email padrão com mensagens MX (Mail Exchange) confiáveis ​​para direcionar meus destinos para outro domínio em uma instância de nuvem. Essa técnica é chamada de squats de domínio. Geralmente, peço ao destino seu endereço de e-mail e senha e, em seguida, convido-os a responder às perguntas de redefinição de senha. Consciência de treinamento e phishing

Para proteger sua organização contra vários tipos de ataques de phishing, você deve fornecer regularmente a todos os funcionários o mesmo treinamento básico – eu os recomendo mensal ou trimestralmente. Isto será segurança e segurança Engenharia social na vanguarda de sua opinião. Além da educação geral, você deve organizar treinamento baseado em funções para grupos específicos, incluindo:

Como parte do treinamento de conscientização, você deve realizar proativamente simulações de phishing para testar seus funcionários. Isso irá mantê-los funcionando e fazê-los responder e informar se suspeitarem de uma tentativa de phishing. Você também deve pensar nisso Engenharia social na formulação do seu plano de resposta a incidentes.

Por fim, você deve usar uma política de phishing não punitiva. Todos nós clicamos em um link malicioso em algum momento de nossas carreiras, e a última coisa que você quer é que as pessoas não denunciem atividades suspeitas por medo de serem punidas ou denunciadas.

Engenharia social vem dos tempos antigos e provavelmente não vai desacelerar tão rapidamente. A melhor maneira de enfrentar o phishing e outras formas de Engenharia social Trata-se de aumentar a conscientização em toda a organização e educar todos os usuários, desde simples funcionários até o C-Suite, para avisar sobre os cavalos de madeira que rolam em suas redes.