A noticia pode ser lida na integra em: https://www.sans.org/security-awareness-training/resources/social-engineering-attacks?&utm_medium=Email&utm_source=Ouch&utm_content=750700+Fake+News&utm_campaign=STH+Ouch
Comentário:
A Engenharia Social é um dos mais comuns e métodos com sucesso utilizados para recolha de informação indevida.
No contexto da segurança da informação, a engenharia social é a manipulação psicológica de pessoas para que realizem acções ou divulguem informações confidenciais. Isso difere da engenharia social dentro das ciências sociais, que não diz respeito à divulgação de informações. Um tipo de truque de confiança para fins de coleta de informações, fraude ou acesso ao sistema, ele difere de um “golpe” tradicional por ser uma das muitas etapas em um esquema de fraude mais complexo.
Sendo uma utilização das vulnerabilidades humanos, a componente tecnológica da Segurança da Informação (cibersegurança) pouco pode fazer a fim de mitigar, porém, a sua utilização é bastante utilizada com sucesso, porém a sua mitigação tem sido na perspectiva tecnológica levando a erros graves de aproximação.
Um exemplo clássico de erro é os comportamentos face ao phishing e spam, onde o mais errado é o bloqueio de contas existindo soluções mais eficazes, senão vejamos.
- – Bloqueio de contas e servidores. É uma acção com impactos negativos, onde a sua mitigação passa por verificar:
- . É um domínio e de uma organização existente?
- . Existe sensibilização e políticas para verificar a realidade dos links apresentados?
- – Não segregação de endereços e domínios enviados e recebidos. Já pensou em ter certificados para domínios e emails? O que pensa dos outros, eles mesmos podem pensar de si.
Quando existem más intenções, de certeza que as mesmas já foram previamente pensadas e contornadas pelos malfeitores, pois grande parte da Engenharia Social não utiliza directamente meios tecnológicos e é muito explorada (https://defenselifecycle.com/noticias/ciberataques-e-hacking-como-sao-efectuados/)
Já foram pensado e os colaboradores avisados de encontros “casuais” em restaurantes e similares?
Conclusão
Sabendo isso tudo, como mitigar? Simplesmente criar bom nível de sensibilização, boas políticas de segurança de informação e se for caso disso, segmentar as suas comunicações:
- – Comunicações de elevada confiança: Encriptar e certificar ponto a ponto, dando como bónus a capacidade de “não repudio”.
- – Comunicações normais e universais: Onde a analise das fontes e conteúdos já podem levar a desconfiança, é onde a analise humana é critica.
- – Comunicações e acessos com incerteza: Com origem em Redes Sociais, encontros causais, domínios sem certificado e sem ligação a organizações legais, adulteração de nomes, etc.; devem ser respondidos sempre com discernimento através de políticas e sensibilização.
Apesar do problema, um remédio não planeado em todas as consequências pode ter mais implicações negativas que o que pretende mitigar (exemplo: um email critico de um cliente ser bloqueado devido a uma política cega).
Curiosamente, este tipo de mitigação não envolve custos significativos (não implica grande aquisição de ferramentas) para uma organização em termos pessoais e individuais, porém apenas a consciencialização e alguma precaução pode ultrapassar, é nesse ponto que estão fortemente enquadradas as salvaguardas da Segurança de Informação.