Teste de invasão: Coleta de Informação – Parte 4

Nos posts anteriores, iniciamos a discussão sobre a etapa de Coleta de Informação, em que buscamos informações disponíveis na internet sobre o alvo. Neste post, vamos conhecer sobre a Engenharia Social, que também é muito utilizada nesta fase.



A Engenharia Social pode ser definida como a tentativa de obter informações ou influenciar alguém a realizar alguma ação, apoiando-se na confiança de outras pessoas. Com isso, podemos dizer que o elo fraco da segurança da informação somos todos nós — daí a importância de promover a cultura da segurança da informação nas organizações para todos os colaboradores estarem cientes do cuidado que devemos ter com as informações sensíveis ou não da empresa.

A Engenharia Social pode acontecer tanto pessoalmente quanto por telefone, em que o atacante se passa por outra pessoa para tentar conseguir informações necessárias para dar continuidade ao seu ataque. Mas pode acontecer também através do phishing, que é bem comum através de e-mails — é até mesmo por mensageiros como o WhatsApp — que são enviados para várias pessoas com o intuito de conseguir dados sensíveis, como números de contas, cartões de créditos e senhas.

Exemplos de ataques de Phishing

 

Outro tipo de ataque que está se tornando cada dia mais comum é o spear phishing, que seria o ataque direcionado. Neste caso, busca-se informações prévias sobre o alvo, como no exemplo abaixo, em que foi descoberto através do whois — ferramenta que discutimos anteriormente neste post —, e-mail e nome. Ao realizar uma busca rápida, é possível encontrar informações sobre o proprietário do e-mail encontrado e enviar um e-mail em seu nome, por exemplo. Dependendo do caso, esse e-mail poderá ser identificado como válido, e uma solicitação de um atacante poderá ser atendida.

Exemplo de spear phishing

 

Como podemos ver, a Engenharia Social tem diversas aplicações e formas de ser utilizada para permitir que atacantes tenham acesso a informações sensíveis. Portanto, é necessário que todos os colaboradores da organização desenvolvam a cultura de preocupação com a segurança da informação.

Com isso, finalizamos a etapa de Coleta de informação! No próximo post, vamos conhecer sobre a próxima etapa: Modelagem de Ameaças.

Até a próxima!

Sobre o(a) autor(a)

Samantha Morais Nunes
Samantha Morais Nunes

Formada em Ciência da Computação pela PUC Minas e pós-graduada em Segurança da Informação pela UNA. Iniciou a carreira na área de QA em 2011 como estagiária e hoje atua como analista de qualidade de software na Take. Participou com Letícia (QA), André (QA) e Rhamon (PO), do STWC 2014, conquistando o 4º lugar na etapa South America e o prêmio Most Useful Test Report. Fez parte da equipe de organização do Minas Testing Conference, um evento sobre qualidade de software que ocorre em Belo Horizonte e atualmente faz parte da equipe de organização dos meetups de Segurança da Informação 0x0d1a e Machine Learning BH.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Você pode usar as seguintes tags e atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

by Take ® 2015 | Todos os direitos reservados.linkedin