Engenharia social ou "SE" é uma atividade que explora uma pessoa de maneira a tomar uma ação que poderia ou não ser do seu interesse. No entanto, chamaremos sua atenção para as formas maliciosas de SE, úteis para hackers e espionagem em particular, e muitas outras categorias governam através dele. Por outro lado, é muito importante conhecê-lo psicologicamente, fisiologicamente e, por último, mas não menos importante, os aspectos tecnológicos de influenciar alguém em geral. Não importa se está sendo usado para obter resultados positivos, mesmo assim ele será usado maliciosamente. O tipo malicioso de engenharia social precisa ser categorizado em três, como Phishing, Vishing e representação. Vamos discutir todas essas categorias em breve.
Phishing
Isso pode ser feito por enviando um email para alguém e parece que é de uma fonte respeitável com o objetivo de controlar e obter as informações particulares.
vishing
É a prática ou um atividade para obter as informações ou tentar influenciar a ação por meio do telefone celular, que inclui esses tipos de ferramentas como falsificação de telefone celular.
Representação
É o ato de enviando alguém mensagens de pretexto como outra pessoa com o objetivo de obter informações ou acesso a uma pessoa, empresa ou dispositivo de computador.
Principais categorias de Engenharia Social
A engenharia social pode ser mais categorizada para quem a usa devido a alguns motivos estranhos. Espiões profissionais e hacker de chapéu preto e hacker de chapéu branco use para um vendedor e pessoas comuns.
Hackers
Eles normalmente usar técnicas de engenharia social, Porque o fator de fraqueza humana é muito fácil de explorar do que explorar a fraqueza da rede. A maior parte do tempo hackers ou hackers profissionais vencer porque não estão comprometidos com o tempo e a motivação. Uma pessoa comum pode trabalhar durante o 8 horas por dia para atingir seus objetivos, mas quando se trata de hackers profissionais, eles passam o 24 horas por dia para atingir seus objetivos. Eles gastam muito tempo e diligência para obter todos os aspectos de seu objetivo e, em seguida, lançam todas as suas habilidades e energias na infraestrutura humana que pode realmente prejudicar uma empresa em poucos minutos. Eles superam o informações pessoais do alvo, senhas, contas de usuário remoto e muitas outras coisas. Nas estatísticas do último ano, hackers patrocinados atingiram o mundo pela tempestade e chegaram às manchetes em todo o mundo. Os ataques deles podem ser muito devastadores para o alvo, e nós vamos trazer algumas informações sobre como hackers implementam esses ataques e qual é a destruição final.
O Grupo Lázaro: Exemplo no. 1
É um grupo que se baseia em um dos mais destrutivos coletivos de hackers no ciberespaço. É alegadamente responsável por monstruosas 2014 Sony hack, US $ 81 milhões em Bangladesh Bank Heist e também está supostamente envolvido no 2017 Wanacry ataque de ransomware. No entanto, foi detectado nos últimos anos em mais de países do mundo 18
Urso chique: Exemplo no.2
É também conhecido como APT28, Pawn Storm, grupo Sofacy, Sendit e STRONTIUM e também é um comunidade cibernética - espionagem. Existem vários métodos de hackers nesse grupo em particular, como zero dias, Spear phishing, OAuth phishing e malware. O grupo é supostamente responsável por várias violações de hackers, como ataques 2016 na Agência Mundial Antidopagem (WADA) e ainda mais por ataques de phishing que foram devastados pelo Comitê Nacional Democrata (DNC).
Espionagem ou espionagem
As pessoas que espião tem habilidades e métodos enganar as vítimas e fazê-las acreditar que são alguém ou algo que na realidade não são.
“Além disso, ao usar a engenharia social, o número de vezes que as pessoas que espionam também serão criadas tendo pouco ou muito em relação a negócios ou governo que estão tentando fazer engenharia social”. Chris Hadngy, Engenharia Social, em A arte do hacking humano afirmou isso.
Espionagem ou espionagem são basicamente habilidades que podem ser usadas para obter informações sobre o alvo, seja uma pessoa, um governo ou uma indústria concorrente, com o objetivo de substituir o próprio governo ou tentar obter vantagens financeiras ou outras. Por outro lado, a espionagem não pode ser rotulada como toda a coleta de informações, como quebra de código, aeronaves ou fotografia de satélite. Ao longo das décadas, a espionagem ou espionagem era conhecida por obter políticas e inteligência militar. Além disso, com o aumento na ascensão da tecnologia o ponto de foco vai ainda para as tecnologias de comunicação, TI, energia, pesquisa científica, aviação e muitos outros departamentos.
Seguem-se alguns exemplos de espionagem militar e industrial que mostram como as habilidades foram usadas para realizar ataques de engenharia social.
Facebook Fakes patrocinados pelo Estado
Desde janeiro do ano XIX, as Forças de Defesa de Israel publicaram em seu site uma postagem no blog dizendo que os ataques lançado em seus pessoais militares usando táticas de influência conhecidas como gostar. Os atacantes criaram perfis falsos no Facebook de jovens atraentes com o objetivo de seduzir as Forças de Defesa de Israel (IDF) fazer amizade com eles. Além disso, após o perfil falso, os usuários obtiveram a confiança com êxito enviando mensagens de texto, compartilhando fotos e, no final do dia, solicitando bate-papo por vídeo. Para o bate-papo por vídeo, o soldado teve que instalar um aplicativo que era basicamente um vírus. Depois que o soldado o instalou, seu telefone se tornou um código aberto para ver contatos, aplicativos de localização, fotos e arquivos e, no final do dia, foram para os agentes do Hamas.
Testadores de penetração
Eles são os que testam as vulnerabilidades ou violações de acesso não autorizadas ao sistema. Também é chamado de teste de caneta e é a habilidade de testar máquinas de computador, rede, aplicativo da web ou perímetro no local para detectar vulnerabilidades que os hackers usam brechas no sistema de espionagem.
Teste de caneta e engenharia social
As organizações comerciais com o processo de processo de verificação, firewalls, VPNs e software de monitoramento de rede podem estar sob a ataques cibernéticos, se o funcionário fornecer informações de má vontade. "SE" é o lado humano da verificação de vulnerabilidades na rede corporativa. Os testadores de penetração usaram habilidades diferentes para testar seu alvo por meio de Phishing, vishing, um
d a representação um testador de caneta imitará as violações que um engenheiro social mal-intencionado poderia usar para tentar violar o sistema de destino. Portanto, até a empresa contrata testadores de caneta para lidar com o "SE" malicioso para evitar as violações.
Ladrões de identidade
É um tipo de arte maliciosa acomodar a identidade ou informações pessoais identificáveis de alguém (PII) como nome, endereço, número de segurança social e endereços de e-mail. As pessoas fazem isso para o ganho financeiro e para fazer número de atos criminosos. Eles podem usá-lo para cartão de pagamento roubado fazer compras fraudulentas e obter controle sobre a conta existente da meta.
A informações particulares de crianças e adolescentes que inclui números de previdência social, nome de solteira da mãe e data de nascimento foram encontrados para venda na dark web, A CNN informou isso.
O roubo de identidade não se restringe aos indivíduos; atualmente, o roubo de identidade comercial também tem aumentado hacks sites da empresa e números de telefone usando técnicas de engenharia social.
Funcionários descontentes
A maioria dos funcionários que se tornam acesso desagregado e descontrolado à Internet no local de trabalho, os motivos são muito comuns, como eles sentem irritada, sobrecarregados, mal pago e por último, mas não menos importante, passado para promoção. “Cinco fatores que fizeram Trabalhadores dos EUA são políticas de promoção, planos de bônus, programas de educação e treinamento para o trabalho e procedimento de visualização de desempenho, de acordo com o pesquisa de satisfação no trabalho conduzido pela pesquisa da conferência Conference Board Consumer.
Funcionários descontentes podem ser o risco para a empresa
O relatório Insider 2018 publicou que, 90% da organização comercial tem que lidar com as ameaças internas. Os funcionários descontentes são a causa raiz de dois elementos, um acessa e o segundo é a motivação. Eles geralmente têm acesso a informações confidenciais, informações financeiras e privilégios administrativos de alto nível para aplicativos corporativos. Os primeiros cinco elementos discutidos podem fazer um funcionário produtivo para o funcionário descontente. A ameaça final para a empresa pode estar se espalhando negatividades em aplicativos de redes sociais como o LinkedIn e o Facebook, roubando informações confidenciais, vazando voluntariamente as informações confidenciais e até possíveis ações judiciais.
Corretores de Informações
De acordo com o (FTC) Federal Trade Commission intermediários de dados empresas que coletam informações como informações pessoais sobre os consumidores, de fontes famosas e depois as revendem a seus clientes por vários motivos, como para verificar a identidade de alguém, registros, produtos de marketing e evitar fraudes financeiras. Corretores de dados obter as informações de várias fontes, mas no plataformas de mídia social do mundo moderno como Facebook, LinkedIn, WhatsApp e outros, são uma das maiores plataformas de coleta de dados do público em geral.
Como os Data Brokers usam a engenharia social?
Eles usam principalmente elicitações, fraudes, cortejos e, por último, mas não menos importante, pretexto para obter o dados ou informações pessoais. De acordo com o livro "Informação e segurança" corretores de dados e outro tipo de engenheiro social usam o método conhecido como cortejo. Parece aleatório ou um encontro casual que cria relatório e depois confia entre o engenheiro social e o alvo. Com o passar do tempo, eles construir um relacionamento com sucesso e então sutilmente a pressão traz as informações do alvo.
Artista de embuste
É uma pessoa que prende as pessoas em ações fraudulentas ou enganosas para fraudar os outros. O golpe geralmente rotulado para um tipo específico de fraude que se baseia em uma ampla variedade de abordagens iniciais dispersas para as massas que não sabem sobre o golpista. Existem dois tipos de golpes, um conhecido como Fraude de marketing em massa e o segundo é fraude de taxa avançada. A maioria dos golpistas de mídia social usam o Facebook e afirma que eles são funcionários do Facebook e vão lhe dizer, você ganhou o Loteria no Facebook e o vencedor tem que pagar algum dinheiro para liberar o dinheiro.
Conclusão:
É digno o suficiente para os atacantes e funciona de forma consistente. As táticas de engenharia social consomem muito tempo, mas são eficazes. Portanto, engenheiros sociais maliciosos use as habilidades para atingir seus objetivos. Um hacker experiente da Black Hat sabe bem que levaria tempo, dias, semanas e até meses para obter acesso à rede e roubar as credenciais. No entanto, quando se trata de técnicas de engenharia social usadas pelo hacker, como usar um pretexto para um telefone celular ou e-mail, seria uma questão de minutos para obter o mesmo objetivo de obter as credenciais.
Links de recursos:
http://mobile.abc.net.au/news/2018-05-03/facebook-lotto-scam-targeting-social-media-users/9723322?pfm=sm
https://www.ftc.gov/news-events/press-releases/2006/01/choicepoint-settles-data-security-breach-charges-pay-10-million
