Neste blog, vamos discutir Baiting, que é um método comum de ataque de Engenharia Social
Isca
Isca
Neste blog, vamos discutir Baiting, que é um método comum de ataque de Engenharia Social , os outros incluem phishing , pretextos, watering pools , quid pro quo e tailgating.
1. O que é isca?
Baiting é o primo tortuoso do Phishing . Como o nome sugere, Baiting envolve atrair uma vítima desavisada com uma oferta altamente atraente que joga com o medo, a ganância e a tentação de fazê-la compartilhar seus dados pessoais confidenciais, como detalhes de login. Por meio de métodos fraudulentos e falsos, ambos tentam capturar detalhes pessoais confidenciais, como uma senha, ou informações bancárias, como um PIN, para que possam acessar suas redes e sistemas comerciais para instalar malware que executa ransomware .
2. Psicologia da isca
Como é o caso com todas as formas de Engenharia Social , Baiting depende muito da manipulação psicológica para realizar ações específicas que são potencialmente prejudiciais. É um truque de confiança da segurança da informação com o objetivo malicioso de a vítima fornecer informações pessoais e altamente confidenciais. Isso é então usado para formar a base para vários métodos de crime cibernético e obter acesso a redes pessoais e de organizações.
3. Técnicas de isca
Baiting pode assumir muitas formas digitais, incluindo dispositivos físicos, como um drive USB , bem como métodos online que oferecem downloads e anexos bons demais para serem verdadeiros, que acabam sendo o oposto - altamente danosos e maliciosos. No cerne da razão para a 'isca' está a caça às manias e fraquezas humanas do medo, ansiedade, curiosidade, confiança e ganância.
Com a unidade USB infectada por malware, o cibercriminoso irá para uma área aberta e pública, como o saguão de recepção da organização / empresa alvo ou, se puder obter acesso aos escritórios, um espaço comunitário de fuga, como co - áreas de trabalho, cafés, banheiros, prateleiras em corredores movimentados (ou talvez até mesmo uma mesa) para plantar vários dispositivos USB com a marca de um logotipo corporativo ou adesivo de confiança semelhante e reconfortante, como RH ou Finanças. Eles então esperam que um funcionário curioso e intrigado tenha sua curiosidade despertada e pegue-o, leve-o para o prédio e instale em seu computador.
Técnicas de isca
Uma vez instalado, a vítima verá uma lista de arquivos e pastas com termos de negócios relevantes relacionados ao seu negócio, organização ou setor. O arquivo pode ser chamado de 'Projeção de lucros e perdas para o terceiro trimestre' ou uma pasta com o título 'Informações de RH - CONFIDENCIAL' ou 'Informações privilegiadas sobre bancos'. Cada arquivo e pasta serão projetados e projetados para obter a resposta desejada que o hacker deseja que eles tomem - ou seja, baixar o (s) anexo (s) malicioso (s) (a 'isca') e entregar o software malicioso 'cavalo de tróia' ao computador que se espalhará pela rede interna e permitirá que o criminoso cibernético avance para a próxima fase de seu ataque, como um que envolve spear-phishing, watering hole ou outro método de engenharia social.
No mundo online, os mesmos métodos que atacam nossa curiosidade, ganância e confiança estão no cerne dos 'ataques de isca'. Quando há um jogo vital e imperdível da Champions League com Liverpool, Paris St. Germain ou Besiktas, a última luta de Anthony Joshua, Gennady Golovkin ou Canelo Alvarez, o cibercriminoso conhece os eventos que todos queremos ver e faça qualquer coisa para encontrar a transmissão ao vivo do evento. Agora, o atraente e popular 'Mad Men' não está mais na Netflix,fãs fervorosos estarão procurando de alto a baixo pela série e episódios que não estão mais disponíveis. Um site malicioso com um link de download tentador ficará à espreita em algum lugar no ciberespaço, como uma rede ponto a ponto, e aguardará o fã desavisado de Don Draper, que desejará fazer o download e visualizar sem pensar duas vezes em sua própria segurança cibernética e na de seus empresa também.
4. Isca: um estudo de caso
Em 2016, um estudo foi realizado para ver como as pessoas reagiram a um 'ataque estilo isca'. No campus Urbana-Champaign, parte da Universidade de Illinois, os pesquisadores plantaram aproximadamente 300 drives USB. 48% desses dispositivos foram encontrados, retirados e instalados em computadores alguns minutos após sua descoberta. Para os fins deste estudo, nenhum anexo malicioso foi executado. Os arquivos nas USBs continham arquivos HTML com tags img para permitir aos pesquisadores monitorar e rastrear o movimento e o uso.
Apenas 16% das pessoas que pegaram e instalaram a unidade se deram ao trabalho de fazer a varredura primeiro com ferramentas antivírus. Enquanto a maioria disse que apenas retirou e instalou o drive para ver quem era o proprietário e devolvê-lo a eles, uma minoria significativa admitiu querer mantê-lo para si. Isso leva a uma pequena, mas altamente preocupante, violação de dados potencial e expõe uma lacuna altamente vulnerável na superfície de ataque e, como resultado, aumenta o risco cibernético e o perigo para a segurança da informação.
Isso confirmou as suspeitas de muitos no mundo da segurança que relataram que usuários desavisados podem ser coagidos por curiosidade, ganância, etc., a pegar dispositivos desconhecidos e se tornarem vítimas de métodos de engenharia social. Isso faz com que sua organização se torne vulnerável a ataques cibernéticos, violações de dados e campanhas de ransomware que podem custar milhões de dólares e causar danos à reputação incalculáveis e irreparáveis.
5. Técnicas para prevenir a isca
Os golpistas que usam técnicas de isca sabem muito bem como lidar com nossos medos e emoções. Quando você receber um e-mail que promove sentimentos de medo, ganância, etc., seja cuidadoso e alerta - aja com calma e pense devagar, não seja precipitado em suas ações.
Técnicas para prevenir a isca
Prontidão e consciência irão atendê-lo bem e protegê-lo contra iscas e outros ataques de engenharia social . Então, quando você se deparar com um anúncio pop-up ou uma oferta altamente atraente e atraente, pense antes de clicar e fique atento e alerta - pense duas vezes antes de inserir qualquer informação pessoal, especialmente qualquer coisa relacionada a serviços bancários e pagamentos, como cartão de crédito e conta em formação.
Mantenha suas configurações de segurança antivírus e antimalware atualizadas para que sinalizem ameaças cibernéticas potencialmente prejudiciais e maliciosas. Esse URL pode realmente ser confiável e é seguro e tem um certificado de segurança válido e atualizado? Por exemplo, quando você usa o Google Chrome, verifique se há um sinal de cadeado na janela de pesquisa do navegador. Isso permitirá que você veja se sua conexão é segura, confiável e possui um certificado válido. Faça uma varredura em seu computador regularmente para se proteger ainda mais contra essas ameaças cibernéticas e ajude a melhorar sua higiene de segurança cibernética.
6. Treinamento de Conscientização sobre Segurança Cibernética / Treinamento de Conscientização de Segurança da Informação contra Baiting
Para ajudar a proteger não apenas você, mas também sua empresa ou organização, é essencial aumentar sua consciência contra ataques de engenharia social, como iscas. Com ferramentas de segurança da informação, como o Keepnet's Awareness Educator , sua postura de segurança cibernética pode ser fortalecida por educação direcionada apropriada e treinamento relevante em segurança da informação. Junto com as integrações do Keepnet, como o módulo Simulador de Phishing , a consciência de seus colegas será ainda mais aprimorada com cursos adequados e simulações de phishing para reduzir o risco futuro de ataques sofisticados de engenharia social maliciosos, incluindo e-mails de phishing.
7. Testes simulados de phishing / Simulação de phishing contra iscas
Exemplo de um modelo de e-mail de phishing
Para evitar baiting e outros ataques de engenharia social, você deve gerar links de url de phishing falsos ou criar modelos de e-mail de phishing . Aumentar a conscientização sobre a segurança cibernética por meio de treinamento oportuno, direcionado e especialmente adaptado é essencial. Para fornecer programas de treinamento de conscientização de segurança tão importantes , você pode usar um software de simulação de phishing, como o simulador de phishing Keepnet Labs . Isso permite que você comece a criar modelos de e-mail de phishing como o acima.
Veja nossos outros blogs de segurança cibernética abaixo:
O futuro do crime cibernético
Violações de dados em 2019
Melhores práticas contra ataques por email
Repensando as soluções anti-phishing
Esquema de phishing de autenticação de dois fatores
Malware de bot que ataca aplicativos financeiros móveis
Engenharia social
Tendências de segurança de e-mail de 2020 e desafios que as organizações precisam conhecer
Ataque de surfista de crachá - Segurança Física - SAUDI ARAMCO BREACH
As ferramentas antivírus não conseguem parar os ataques de phishing
Treinamento de conscientização sobre segurança cibernética para funcionários
HACKING ELETRÔNICO DA MÁQUINA DE VOTO - COMO REALMENTE ACONTECEU: TEMPORADA 1 DE NINJIO, EPISÓDIO 11,
Mantenha sua instituição segura com um software de simulação de phishing!
Relatório de tendências de phishing de 2020
Trabalhando em um mundo com Coronavirus: Melhores Estratégias de Trabalho Remoto
O que são ameaças internas e como você pode mitigá-las?
Ataques de phishing com URLs legítimos
Ataques baleeiros estão em alta
Usando marcas reais em simulações de phishing
Principais ameaças e tendências de spear phishing
Phishing de mídia social
Comentários
Postar um comentário