Índice:
- Use a Internet
- Dumpster divers
- Os atacantes podem obter informações usando o recurso de discagem por nome incorporado na maioria dos sistemas de correio de voz. Para acessar este recurso, você normalmente apenas pressiona 0 depois de chamar o número principal da empresa ou depois de entrar na caixa de correio de voz de alguém. Este truque funciona melhor após horas para garantir que ninguém responda.
- A última manobra de hacking criminal é
Vídeo: Engenharia Social — CONHEÇA essa TÉCNICA HACKER 2024
Uma vez que os engenheiros sociais têm um objetivo em mente, eles normalmente iniciam o ataque reunindo informações públicas sobre suas vítimas. Muitos engenheiros sociais adquirem informações lentamente ao longo do tempo para que não levantem suspeita. A recolha de informação óbvia é uma sugestão quando se defende contra a engenharia social.
Independentemente do método de pesquisa inicial, todo um hacker pode precisar penetrar em uma organização é uma lista de funcionários, alguns números de telefone internos chave, as últimas notícias de um site de redes sociais ou um calendário da empresa.
Use a Internet
Alguns minutos procurando no Google ou em outros mecanismos de busca, usando palavras-chave simples, como o nome da empresa ou os nomes específicos dos funcionários, muitas vezes produz muita informação. Você pode encontrar ainda mais informações em limas da SEC em e em sites como Hoover's e Yahoo Finance. Ao usar essas informações do mecanismo de pesquisa e navegar no site da empresa, o atacante geralmente possui informações suficientes para iniciar um ataque de engenharia social.
Os bandidos podem pagar apenas alguns dólares para uma verificação detalhada de antecedentes em linha sobre indivíduos. Essas pesquisas podem representar praticamente qualquer informação pública - e às vezes privada - sobre uma pessoa em minutos.
Dumpster divers
Dumpster diving é um pouco mais arriscado - e certamente é bagunçado. Mas, é um método altamente eficaz de obter informações. Este método envolve literalmente pesquisar através de latas de lixo para obter informações sobre uma empresa.
Dumpster diving pode aumentar a informação mais confidencial porque muitos funcionários assumem que suas informações são seguras depois que ele entra no lixo. A maioria das pessoas não pensa no valor potencial do papel que joga fora. Esses documentos geralmente contêm uma riqueza de informações que podem desviar o engenheiro social com a informação necessária para penetrar na organização. O engenheiro social astuto procura os seguintes documentos impressos:
-
Lista telefônica interna
-
Gráficos organizacionais
-
Manuais de funcionários, que muitas vezes contêm políticas de segurança
-
Diagramas de rede
-
Lista de senhas
-
Notas de reunião > Folhas de cálculo e relatórios
-
Impressões de e-mails que contêm informações confidenciais
-
Os documentos de trituração são efetivos apenas se o papel estiver
triturado em cruz em pequenos pedaços de confetes. As rebavadoras baratas que destroem documentos apenas em tiras longas são basicamente inúteis contra um determinado engenheiro social. Com um pouco de tempo e fita, um engenheiro social pode reconstituir um documento se for o que ele está determinado a fazer. Os bandidos também ficam no lixo para CD-ROM e DVDs, casos de computadores antigos (especialmente aqueles com discos rígidos ainda intactos) e fitas de backup.
Sistemas de telefone
Os atacantes podem obter informações usando o recurso de discagem por nome incorporado na maioria dos sistemas de correio de voz. Para acessar este recurso, você normalmente apenas pressiona 0 depois de chamar o número principal da empresa ou depois de entrar na caixa de correio de voz de alguém. Este truque funciona melhor após horas para garantir que ninguém responda.
Os atacantes podem proteger suas identidades se puderem se esconder de onde eles chamam. Aqui estão algumas maneiras de ocultar seus locais:
Telefones residenciais
-
às vezes podem ocultar seus números da identificação do chamador ao discar * 67 antes do número de telefone. Este recurso não é efetivo ao chamar números gratuitos (800, 888, 877, 866) ou 911.
Telefones de negócios
-
em um escritório usando uma opção de telefone são mais difíceis de falsificar. No entanto, todo o atacante geralmente precisa é o guia do usuário e a senha do administrador para o software do switch do telefone. Em muitos interruptores, o invasor pode inserir o número da fonte - incluindo um número falsificado, como o número de telefone residencial da vítima. Os sistemas de voz sobre o protocolo de Internet (VoIP) estão fazendo isso sem problemas. Servidores VoIP
-
como o Asterisk de código aberto podem ser usados e configurados para enviar qualquer número que desejem. Phish e-mails
A última manobra de hacking criminal é
phishing - criminosos enviando e-mails falsos para potenciais vítimas na tentativa de divulgar informações confidenciais ou clicar em links mal-intencionados. O phishing realmente ocorreu há anos, mas recentemente ganhou maior visibilidade, dado algumas façanhas de alto perfil contra organizações aparentemente impenetráveis. A eficácia do Phishing é surpreendente, e as consequências são muitas vezes feias. Alguns e-mails bem colocados são tudo necessários para que os criminosos coletem senhas, roubem informações confidenciais ou injetem malware em computadores direcionados.
Você pode realizar seu próprio exercício de phishing. Um método rudimentar é configurar uma conta de e-mail falsa solicitando informações ou vinculando-se a um site mal-intencionado, envie e-mails para funcionários ou outros usuários que deseja testar e veja o que acontece. É realmente tão simples como isso.
Você ficaria impressionado com o quão susceptível seus usuários realmente estão com esse truque. A maioria dos testes de phishing tem uma taxa de sucesso de 10-15%. Pode atingir 80%. Essas taxas não são boas para segurança ou para negócios!
Um meio mais formal para executar seus testes de phishing é usar uma ferramenta feita especificamente para o trabalho. Mesmo que você tenha uma boa experiência com os vendedores comerciais, você precisa pensar longamente sobre desistir de informações potencialmente sensíveis que podem ser enviadas diretamente ou inadvertidamente fora do local, para nunca mais serem controladas novamente.
Se você seguir esse caminho, certifique-se de entender completamente o que está sendo divulgado a esses fornecedores de phishing de terceiros, assim como você faria com qualquer fornecedor de serviços em nuvem. Confie mas verifique.
Uma alternativa de código aberto para ferramentas de phishing comerciais é o Simple Phishing Toolkit, também conhecido como spt.Configurar um ambiente de projeto de spt não é necessariamente simples, mas depois de você instalá-lo, ele pode fazer coisas incríveis para suas iniciativas de phishing.
Você terá modelos de e-mail pré-instalados, a capacidade de
raspar (copiar página de) sites ao vivo para que você possa personalizar sua própria campanha e vários recursos de relatórios para que você possa acompanhar quais e Os usuários de mensagens estão tomando a isca e falhando em seus testes. Os engenheiros sociais podem encontrar informações interessantes, às vezes, como quando suas vítimas estão fora da cidade, apenas ouvindo mensagens de correio de voz. Eles podem até mesmo estudar as vozes das vítimas, ouvindo suas mensagens de mensagens de voz, podcasts ou webcasts para que eles possam aprender a representar essas pessoas.
