Engineering social e o elo mais fraco - seus funcionários

Engineering social e o elo mais fraco - seus funcionários

Hoje, a engenharia social é reconhecida como uma das maiores ameaças à segurança enfrentadas por organizações de todos os portes.

A engenharia social envolve manipulação psicológica e interação humana. É um ataque que se concentra em enganar funcionários desavisados para que revelem informações confidenciais ou executem alguma ação, como clicar em um link ou transferir dinheiro. A solicitação geralmente inclui alguma violação das políticas e procedimentos de segurança da organização.

A engenharia social assume muitas formas. Muitas vezes começa com um telefonema ou um e-mail, mas também pode incluir mensagens de texto e até mesmo um diálogo pessoal. O invasor tentará estabelecer legitimidade e ganhar a confiança do funcionário fingindo ser um superior, como o CEO da sua empresa, um colega de trabalho em um escritório remoto ou um fornecedor ou contratado.

Uma vez que o invasor tenha estabelecido credibilidade, o que pode exigir vários contatos, ele solicitará algo, geralmente com um senso de urgência que leva a vítima (seu funcionário) a revelar prontamente informações confidenciais. As solicitações podem ser tão simples como "Eu só preciso" de algo - a agenda de alguém, uma senha, um nome de usuário, PIN ou até mesmo acesso a um edifício. Clicar em um link malicioso ou abrir um arquivo malicioso em um e-mail pode conceder ao invasor acesso remoto à sua rede, onde ele pode acessar contas bancárias, informações de clientes, registros de funcionários e outros dados corporativos. As solicitações também podem ser mais flagrantes em termos de solicitação de pagamento por serviços ou informações de cartão de crédito.

Embora possa ser demorado e caro, sua equipe precisa ser treinada e retreinada regularmente sobre quais sinais de alerta procurar e como relatar atividades suspeitas. Mais e mais organizações estão descobrindo que educar os funcionários sobre as ameaças é mais eficaz e importante do que as defesas de hardware e software.

O treinamento pode incluir ensinar os funcionários a desconfiar de comunicações não solicitadas. Eles precisam saber como verificar se um chamador pedindo informações é realmente um colega de trabalho, obtendo seu número no diretório da empresa e ligando de volta. A mesma tática pode ser usada quando as solicitações vêm dos chamados fornecedores. Se for uma comunicação legítima, o chamador não se importará.

Ensine aos funcionários métodos simples para reconhecer ameaças, como passar o mouse e como acessar um endereço de e-mail ou nome de domínio. Procure links em e-mails com URLs com erros ortográficos, como blackb0x.com. Outras dicas são erros de ortografia e gramática, uma oferta que parece boa demais para ser verdade ou até mesmo uma ameaça se a solicitação não for atendida. Os funcionários não devem clicar em nenhum e-mail ou link suspeito e podem querer encaminhá-lo para uma caixa de correio de segurança da informação.

Não se esqueça das redes sociais também. Os funcionários acessam o Facebook, LinkedIn e Twitter de seus dispositivos móveis e computadores de trabalho. A mídia social é tão fácil de usar que as pessoas baixam a guarda. É realmente um ambiente sem confiança. É muito fácil para os funcionários compartilhar muitas informações em sites públicos. Estabeleça um treinamento sobre o que fazer e o que não fazer em mídia social para ensinar os usuários a se protegerem e à sua empresa.

As pessoas são o elo mais fraco no programa de segurança da sua empresa porque geralmente são confiáveis e prestativas. Essa natureza humana básica é a vulnerabilidade que é explorada em um ataque de engenharia social. Com base nas descobertas de engenheiros de segurança e testadores de penetração, a engenharia social costuma ser a maneira mais fácil de entrar em uma organização. Cabe a você garantir que os funcionários estejam cientes dos perigos.