0
0
Os ataques baseados em engenharia social são uma forma popular de manipulação de segurança, com os cibercriminosos usando essa técnica para 98% dos ataques em 2022.
A engenharia social pode assumir várias formas , incluindo vishing (telefone), phishing (e-mail) e smishing (texto). Todos provaram ser eficazes na infiltração de redes corporativas. Os ataques de engenharia social são tão eficazes que até superam alguns dos melhores especialistas em segurança cibernética. No mês passado, os agentes de ameaças visaram os entusiastas da segurança criando contas falsas no Twitter e lojas para o Flipper Zero, uma ferramenta de teste de penetração que está crescendo em popularidade. Uma conta do Twitter até respondeu aos usuários – fazendo com que parecesse legítima.
Uma tática de engenharia social que continua a prejudicar as organizações ao longo do tempo é o vishing, um ataque por telefone que continua sendo um caminho lucrativo e bem-sucedido para os cibercriminosos. Esse método geralmente é usado para obter uma posição em um ambiente por meio de um funcionário menos experiente ou novo, muitas vezes pelo invasor se passando por um representante de suporte técnico ou outro recurso interno útil.
Opções de segurança defensiva
Embora muitas organizações entendam o aumento dos ataques de engenharia sociale a importância da educação e da conscientização para evitá-los, as tendências recentes indicam a necessidade de uma abordagem mais estratégica. Para iniciar um novo plano de segurança defensiva projetado especificamente para ataques de engenharia social, experimente essas práticas.
- Educar de cima para baixo. Muitas vezes, vemos organizações focadas em educar os funcionários mais novos. Para ter um efeito real, os programas de treinamento de segurança das organizações devem começar no topo e descer até a base.
Isso significa incluir o C-suite, independentemente de sua posse, no treinamento e no currículo do ensino regular. Não cabe a um indivíduo impedir que os ataques de engenharia social aconteçam. Em vez disso, requer liderança para reconhecer que há um desafio contínuo e tomar precauções para remediar o problema. Com os líderes seniores regularmente tornando a segurança uma prioridade em toda a empresa, isso ajudará todos os funcionários a adotar uma mentalidade de segurança em primeiro lugar ao longo do tempo.
- Estabeleça um manual para os funcionários usarem quando confrontados com uma forma maliciosa de comunicação. Independentemente de um funcionário receber uma mensagem de texto, ligação ou e-mail malicioso, ele deve estar equipado com uma lista acionável de etapas para navegar e evitar a situação. Indiscutivelmente, a parte mais importante de um plano de segurança defensiva de engenharia social é o manual.
Configure um local central onde os funcionários possam acessar políticas dedicadas descrevendo o que devem e o que não devem fazer ao receber comunicações suspeitas. Inclua instruções sobre como escalar um problema se ocorrer correspondência maliciosa. Por exemplo, se uma mensagem maliciosa chegar por telefone, o playbook instruirá o funcionário a não fornecer nenhuma informação até que possa confirmar que a pessoa é um funcionário ou contratado legítimo por e-mail ou Slack – reduzindo a probabilidade de informações pessoais e da empresa sendo vazado.
Sem uma estrutura como essa, é como passar a responsabilidade para os outros e esperar que eles descubram — e isso abre as portas para os cibercriminosos, que inevitavelmente tirarão vantagem dessa fraqueza.
- Invista em tecnologias de segurança de e-mail, mas não confie apenas nelas. Um estudo recente descobriu que 36% de todos os e-mails em todo o mundo são spam. Implementar, configurar e testar filtros de e-mail pode ser uma grande primeira barreira para ataques de engenharia social recebidos, pois muitas vezes eles podem impedir que um e-mail mal-intencionado entre na caixa de entrada de um funcionário. No entanto, eles não podem ser o único mecanismo de defesa e certamente não são infalíveis. Os filtros de e-mail precisam fazer parte de uma estratégia de segurança mais holística e abrangente — não a única linha de defesa.
Vou compartilhar um exemplo da vida real de um filtro de e-mail usado como um vetor de ameaça. Recentemente, divulguei uma vulnerabilidade no Mimecast , um popular software de proteção de e-mail baseado em nuvem para empresas. Durante uma simulação híbrida de violação e ataque e teste de penetração de engenharia social, descobri uma maneira de contornar os recursos de inspeção de URL e arquivo dentro do Mimecast Targeted Threat Protection (TTP). Se não fosse descoberta, a falha poderia permitir que um adversário fornecesse um arquivo ou URL malicioso depois que o software já o considerasse seguro. Este é um grande lembrete da importância vital da defesa em profundidade. Se ou quando os controles técnicos da linha de frente falharem, as organizações devem ter um backup para retardar os adversários e evitar a escalada de incidentes.
- Tela tudo. Filtre todas as chamadas recebidas! Essa é a regra nº 1 para configurações de escritório e fora do escritório. Se você suspeitar que uma chamada telefônica é maliciosa ou que o número está irreconhecível, faça uma triagem. Depois de receber uma dessas chamadas, veja se eles deixam uma mensagem de voz e procure o número posteriormente no diretório corporativo para ver se ele está relacionado a um colega ou fornecedor. Mesmo que o identificador de chamadas seja falsificado, o invasor não poderá receberchamadas no número representado.
Nessas situações, é fácil para um funcionário entrar em pânico e revelar informações pessoais ou da empresa. Com as políticas, a estrutura e o plano corretos da empresa, os funcionários se sentirão mais à vontade para dar um passo atrás, pensar na comunicação e recuperar o controle da situação.
Teste sua estrutura
Embora a incorporação de todos os itens acima leve a uma defesa mais forte contra ataques populares baseados em engenharia social, uma etapa final e importante é testar o sucesso de uma estrutura. Isso pode exigir que um testador de penetração entre em uma organização e execute métodos comuns de ataque de engenharia social para ver como os funcionários reagem. Ser capaz de quantificar e ver os funcionários usando a estrutura em ação provará o sucesso do programa de treinamento – e revelará caminhos para evolução e melhoria.
Basta um funcionário fornecer informações confidenciais para que toda uma organização seja vítima de um ataque cibernético. Ao rastrear proativamente os resultados dos programas de treinamento e entender por que os ataques de engenharia social acontecem, as empresas irão preparar a si mesmas e seus funcionários para o sucesso.
FONTE: DARK READING