Eu sou um hacker ético. Veja como eu poderia usar as mídias sociais para enganá-lo

Views: 113
0 0
Read Time:5 Minute, 44 Second

E-mails fraudulentos não são o que costumavam ser. Longe vão os dias de e-mails fraudulentos cheios de erros de digitação e príncipes nigerianos prometendo riquezas se apenas entregarmos nossos cartões de crédito. Os e-mails de phishing de hoje podem ser bastante convincentes, muitas vezes endereçados a nós pelo nome ou com detalhes pessoais específicos. Hackers modernos podem encontrar tudo o que precisam saber sobre um alvo em potencial através do Google ou das mídias sociais e usar essas informações para arquitetar o golpe perfeito. Como eu sei disso? Eu sou um hacker, embora ético que ganha a vida invadindo empresas bem conhecidas (com permissão) para identificar possíveis vulnerabilidades de segurança, como um Sherlock Holmes cibernético.

Os cibercriminosos exploram os detalhes pessoais que compartilhamos on-line para tentar enganar ou se passar por nós—juntando cada foto que publicamos, localização em que verificamos, pessoa que marcamos ou foto de animal de estimação que carregamos para construir uma compreensão de seus alvos. Os golpes de engenharia social que eles criam são projetados para atrair as pessoas a baixar malware, enviar dinheiro, compartilhar informações pessoais ou divulgar detalhes de login.

Isso não é para assustá-lo. Na verdade, é muito possível aproveitar as mídias sociais sem se colocar em risco. Vou te mostrar como os hackers fazem isso e como você pode reconhecer quando está compartilhando demais, para ajudá-lo a ser mais esperto que os bandidos.

A REALIDADE DO SUPERARTILHAMENTO DAS MÍDIAS SOCIAIS

O compartilhamento excessivo online é extremamente comum. Recentemente, contribuí para um relatório da empresa de segurança Tessian, que ajuda a evitar que as pessoas caiam em golpes de engenharia social por e-mail. O relatório descobriu que 84% das pessoas postam nas mídias sociais toda semana, com dois quintos (42%) postando todos os dias. Mais da metade (55%) das pessoas pesquisadas pela Tessian têm perfis públicos no Facebook, enquanto 67% têm contas públicas no Instagram. Isso significa que qualquer um pode ver o que é postado, incluindo hackers. (Uma rápida olhada em suas configurações de privacidade pode ajudar a gerenciar isso.)

O compartilhamento excessivo que todos fazemos on-line é uma mina de ouro para cibercriminosos que mergulham em lixeiras digitais, especialmente quando publicamos sobre nossos trabalhos. No ano passado, muitos de nós estávamos postando fotos de nossas configurações de trabalho em casa, incluindo telas de computador contendo endereços de e-mail, números de chamadas de vídeo e nomes de colegas de trabalho ou clientes. Isso torna muito mais fácil para um hacker identificar colegas de trabalho que eles podem se passar por e-mail. As atualizações de emprego também facilitam a identificação de novos funcionários que podem ser menos capazes de dizer quando um e-mail de um executivo é falso e que querem causar uma boa primeira impressão.

Muitas postagens sociais também contêm informações pessoais que podem parecer inofensivas—os nomes de crianças e animais de estimação, um time esportivo favorito, um aniversário. Mas esses detalhes podem ajudar um hacker a adivinhar sua senha ou responder a perguntas comuns de segurança. Os hackers também sabem que as pessoas tendem a reutilizar senhas em todas as contas. Depois de quebrar uma senha, eles vão experimentá-la em vários sites populares, da sua conta bancária ao seu e-mail, para ver se funciona.

ANATOMIA DE UM GOLPE DE E-MAIL

Vamos detalhar exatamente como esse compartilhamento excessivo pode ser usado contra você. Apesar do que você vê nas representações da cultura pop, a maioria dos cibercriminosos não invade as empresas. Eles hackeiam as pessoas que trabalham lá. Hackear humanos requer apenas um e-mail convincente, enquanto hackear software é como pisar em uma sala com segurança a laser. Na verdade, os pesquisadores da Tessian viram um aumento de 15% nesses tipos de ataques de engenharia social por e-mail durante os últimos seis meses de 2020. E tudo o que é preciso é uma rápida pesquisa on-line.

Se estou tentando hackear uma empresa, o primeiro lugar que vou é o LinkedIn. É fácil encontrar os nomes completos e cargos de funcionários com uma conta LinkedIn Premium acessível. Eu procuro funcionários não técnicos, como funcionários de vendas ou administrativos, que possam ser mais suscetíveis e tenham acesso a muitos dados da empresa. (Uma dica para as empresas: Treine os funcionários para suspeitar e certifique-se de que as permissões de acesso sejam verificadas regularmente.)

Posso ver na conta do LinkedIn ou Twitter de um funcionário que ele acabou de começar um novo emprego, o que me diz que eles podem não conhecer a personalidade de seus executivos e estão ansiosos para agradar. Posso usar o Google ou as mídias sociais para aprender os nomes desses executivos e falsificar seus endereços de e-mail e, em seguida, enviar um e-mail falso para esse novo funcionário. Tudo o que é preciso é um e-mail urgente dizendo: “Ei, estou em uma longa reunião e esqueci o aniversário do meu sobrinho. Preciso que você me compre um cartão-presente da Amazon. Eu vou reembolsar você.” Você ficaria surpreso com a rapidez com que alguém seguirá instruções urgentes de um superior no escritório, especialmente em nosso novo mundo de trabalho remoto, quando dicas visuais estiverem faltando e você não puder verificar rapidamente uma solicitação com um colega.

MANEIRAS SIMPLES DE FICAR SEGURO ONLINE

Tente pesquisar seu nome no Google ou criar uma segunda conta de mídia social para visualizar seus próprios perfis como um estranho faria. Você está confortável com tudo o que vê? Caso contrário, defina suas contas sociais como privadas e verifique se você realmente conhece todos os seus seguidores.

Evite senhas que tenham algo a ver com o que você compartilha online. De acordo com a pesquisa da Tessian, 85% das pessoas reutilizam senhas. Não seja um deles. Claro, fica difícil lembrar de todos eles, mas os gerenciadores de senhas podem fazer o trabalho pesado por você (eu pessoalmente uso um).

Seja cético em relação a e-mails pessoais e profissionais. Se algo parecer estranho, clique no nome de exibição do remetente para garantir que o endereço de e-mail corresponda, especialmente em um telefone celular. Peça uma segunda opinião da equipe de TI da sua empresa ou confirme uma solicitação verbalmente com um colega. Não se estresse se você está incomodando as pessoas. A segurança é importante. Por fim, pare e pense antes de abrir anexos, clicar em links ou compartilhar informações.

Os e-mails fraudulentos podem não ser tão óbvios quanto costumavam ser, mas geralmente contêm dicas sutis suficientes para alertar seus instintos—especialmente se você aprendeu o que procurar. Então confie no seu instinto. Manter suas informações seguras on-line não é ficar estressado ou assustado. Trata-se de saber o que você está compartilhando, estar ciente de como ele pode ser usado contra você e saber como tornar seus posts privados.

FONTE: FAST COMPANY

Previous post Tudo o Que Você Precisa Saber Sobre a Evolução da Ameaça de Ransomware
Next post Como Executar um Teste de Penetração Bem-sucedido

Deixe um comentário