Vou explicar quatro novas maneiras pelas quais os hackers do século 21 estão roubando seus dados, e a melhor maneira de aumentar sua segurança cibernética ou da sua empresa.
É bem verdade que hackers tem desenvolvido vírus, malware e novos métodos cada vez mais complexos para utilizar em seus ataques. Porém a maior ameaça a segurança para as empresas não vem realmente da parte software, mas da parte humana, ou seja: nós!
As empresas até podem construir uma infraestrutura mais segura para proteger seus dados contra ameaças externas, tendo soluções como firewalls, VPNs e Gateways muito bem configurados. Porém isso não mais mitiga o risco de ameaças maliciosas ou não de dentro da própria organização. A maneira de hackear do século 21 com baixa tecnologia tornou-se muito fácil com fraudadores entrando em contato direto com a vítima após por exemplo fazer uma pequena investigação no LinkedIn.
O que eu tenho visto e mostrarei ao longo deste artigo é baseado em minha experiência pessoal nos tempos de Pandemia de Coronavírus atendendo empresas e profissionais liberais. Se um hacker obtém seus dados pessoais, eles também podem acessar seus dados profissionais relacionados a empresa. Sendo breve, tentarei mostrar abaixo quatro maneiras que os hackers podem contornar sua segurança e roubar seus dados pessoais e de empresas.
01 – Engenharia Social:
Uma das bases mais atuais, senão a mais forte ameaça a segurança cibernética é a engenharia social; que é o ato de manipular dados confidenciais de um indivíduo. Claro, hackers podem infectar uma rede com malware e entrar pelo backdoor, ou melhor ainda, eles poderiam apenas enganar um funcionário para que ele forneça uma senha e então navegariam tranquilamente pela rede da empresa sem levantar nenhum alarme.
Uma vez que um hacker se apodera de uma senha de uma pessoa, há realmente pouco que nós possamos fazer para deter seu ataque, já que atividade do hacker foi autorizada por você mesmo. Notem que técnicas de engenharia social foram se aprimorando ao longo dos anos a medida que o usuário médio se tornou mais experiente com os métodos tradicionais que os hackers usam.
Desta forma, hackers agora estão tendo que ser mais inteligentes na maneira como obtêm dados e como enganar um usuário para clicar em um link malicioso que dará ao invasor acesso a toda uma rede. Hoje usuários sabem ignorar e-mails vindo de estranhos que estão precisando desesperadamente de dados bancários, o problema é quando esse e-mail vem de alguém que você conhece, então meu caro leitor, é muito menos provável que você clique em ‘Marcar como Spam’.
Só pra entendermos um pouco mais da engenharia social, hackers estão neste momento vasculhando alguma (pode ser a sua) conta do Facebook de um alvo em potencial para encontrar nomes de amigos da vítima. Assim os hackers podem enviar a você um e-mail fingindo ser seu amigo, e você vítima estará muito mais propenso a cair no golpe achando que o e-mail ou link veio de alguém que conhece.
Uma dica que vos deixo é:
Em redes sociais tenham cuidado redobrado com os dados pessoais que informam. O que pode parecer algo inofensivo como o nome do seu primeiro animal de estimação, ou o nome de solteira de sua mãe pode realmente virar um golpe de
phishing usado para descobrir respostas para perguntas comuns de recuperação de contas.
02 – Ameaças Internas:
Ao invés de um inimigo sem rosto, a maioria das ameaças internas de segurança cibernética vêm de funcionários atuais ou até de ex-funcionários – isto é um fato! Esses “funcionários” podem obter acesso não autorizado a dados confidenciais ou possivelmente infectar a rede com algo malicioso. Essas ameaças internas podem assumir muitas formas como simplesmente observar alguém digitando sua senha estando atrás de você. Sim, pode acontecer, imagine a cena: um funcionário descontente ou prestes a deixar a empresa pode casualmente ficar atrás de uma mesa e começar a observar outros funcionários digitando suas senhas. Este simples ato pode levar a um acesso não autorizado, o que pode ser desastroso para uma empresa ou você.
Senhas anotadas em papel – ainda mais fácil do que memorizar uma senha observada conforme o parágrafo acima detalha, ameaças internas podem vir de funcionários anotando senhas e colocando-as em seus monitores de computador, sim, isso ainda acontece, e eu mesmo tenho alertado alguns usuários em empresas.
Pen drives inseridos em computadores – máquinas de funcionários podem ser infectadas com software de registro de teclas carregado em uma simples unidade USB, para isso basta o invasor espetar a unidade USB na parte de trás de um computador, e a seguir ter acesso aos dados pessoais e senhas dos usuários. Simples assim. Para evitar essas ameaças internas, as empresas devem educar seus funcionários com palestras de segurança e comunicações internas sobre a importância de estarem atentos com suas senhas.
Alguns softwares gerenciadores de senhas como Firefox Lockwise (que eu uso), ou o KeePass podem armazenar senhas com segurança mais aprimorada ou complexa, para que você não precise se lembrar de todas elas. De outra forma você pode também bloquear as portas USB de suas estações de trabalho para evitar que dispositivos não autorizados sejam acessados via USB completamente. Essa abordagem precisa ser considerada com cuidado, porque torna cada estação de trabalho muito menos flexível e aumenta a carga de trabalho para o departamento de TI, uma vez que cada novo dispositivo USB exigirá aprovação antes de ser usado.
03 – Phishing:
Semelhante ao envolvido em engenharia social, os métodos de phishing enganam usuários usando informações obtidas sobre o próprio usuário. Por exemplo: um hacker pode verificar sites de redes sociais e aprender que você tem interesse em algumas séries da Netflix. Esse conhecimento dará ao hacker algum tipo de conhecimento para criar uma isca (phishing) que lhe atraia.
Em vez de um e-mail genérico, o hacker pode enviar a você um e-mail que diz por exemplo: “Clique aqui para assistir ao último episódio da série tal”. Bem, neste caso é muito mais provável que você seja compelido a clicar no link enviado, que na verdade é um link de malware, e não o episódio mais recente de sua série favorita.
Um outro caso que venho observando é que com tantas informações listadas publicamente no LinkedIn, fica muito fácil (muito fácil mesmo) para os hackers pesquisar sobre você, fingir ser o CEO de uma empresa e solicitar alguns dados para forjar uma contratação apenas com o intuito de conseguir mais informações a seu respeito com CPF, RG, etc… Por mais improvável que isso possa parecer, eu vejo de perto isto ocorrendo regularmente !
04 – Botões Cancelar Assinatura:
Uma maneira super inteligente que hackers conseguem enganar usuários para baixar malware de e-mails, é através de botões de cancelamento de inscrição ou o famoso UNSUBSCRIBE HERE! Pense o seguinte: por lei todos os e-mails de propaganda devem conter um link de cancelamento de inscrição para que consumidores possam optar por não receber mais comunicações. Neste caso, o hacker pode simplesmente enviar e-mails repetidos para você, e-mails que se parecem com ofertas especiais de empresas de roupas ou similares por exemplo. Estes e-mails podem parecer inofensivos para você, mas se você não estiver interessado na empresa ou achar que os e-mails são muito frequentes, você tranquilamente vai pressionar o botão de cancelamento de inscrição para parar de receber e-mails chatos de propagandas.
Exceto que no e-mail de phishing deste hacker, clicar no botão cancelar a assinatura realmente efetua uma ação de baixar malware.
Minha dica é que você utilize um filtro anti-spam configurado corretamente para deter estes remetentes, e também ficar alerta sobre isso. Eu ainda acho que a principal abordagem é ficar atento e atualizado sobre a variedade de métodos que os hackers podem usar para roubar seus dados. Na empresa, eduque seus usuários e/ou funcionários para que eles estejam cientes das técnicas que eu descrevi neste artigo que podem ser usadas para adquirir conteúdo, como seus dados de login ou pessoais.
Incentive seus funcionários a questionar qualquer pessoa que não reconheçam e-mails ou telefone, e fique atento a comportamentos estranhos de qualquer pessoa na empresa. Desenvolva e treine estas habilidades. Vale lembrar que a internet continua sendo um lugar extremamente positivo para se estar desde que você esteja atento!