Escolar Documentos
Profissional Documentos
Cultura Documentos
A técnica se baseia na pesca de informação, o atacante envia uma “isca” (um link
normalmente). Pode ser utilizado QUALQUER meio de comunicação telefone, interação
pessoalmente, porém o mais comum é por e-mail, visando sempre a obtenção de uma
informação sensível, confidencial ou privada.
O mais comum é o envio de um e-mail com o link, o atacante envia uma mensagem que
parece ser autêntica e sempre tenta atiçar a curiosidade da vítima, é muito comum que na
mensagem, seja informando que a vítima ganhou algum valor financeiro como prêmio de
algum sorteio, que o governo está devolvendo algum dinheiro por algum motivo ou até
mesmo que ela é herdeira de uma fortuna, normalmente a pessoa tem de fazer um depósito
primeiramente para poder receber o valor que foi “Sorteado/Premiado”.
Smishing:
Vishing:
- É o ataque de phishing só que realizado por telefone ou sistema de Voip, os atacantes
preferem usar o voip pela facilidade de falsificar o identificador de chamada e com isso
parecer uma chamada autêntica.
- Esse ataque é muito utilizado para obter credenciais pessoais, como cartão de crédito,
dados sigilosos e relacionados.
- O ataque pode ser parcial ou totalmente automatizado
Spam:
Como evitar?
usar filtro Antispam, regras de e-mail e um bom antivírus, que tenha filtro de spam.
Spam over Internet messaging (SPIM):
É a técnica de vasculhar o lixo a procura de alguma informação confidencial que possa ser
usada para obtenção de alguma vantagem, isso inclui desde lixo comum de papel até
mídias físicas com CD e DVD ou dispositivos de armazenamento como HD, SSD ou pen
drive.
Os atacantes usam as informações pessoais para fraudes financeiras, ataques de whaling
contra executivos de alto escalão.
empresas devem cuidar do descarte de informação.
Baiting ou Bait(isca):
Quando o invasor deixa algo para ser pego pela vítima alvo, pode ser um USB, CD, até
mesmo um QR code.
Resumindo, enquanto o phishing envolve a criação de mensagens fraudulentas para obter
informações confidenciais, o baiting se baseia em oferecer uma isca atraente para enganar
as pessoas a realizarem ações prejudiciais ou revelarem informações confidenciais. Ambas
as técnicas exploram a engenharia social para tirar proveito das vítimas, mas possuem
abordagens diferentes.
É a prática de espiar por cima dos ombros de alguém, para obter informações confidenciais
como senha, credenciais entre outras informações.
Pode acontecer em caixas eletrônicos, escritórios, transporte público entre outros..
Como se defender?
Utilizar uma pessoa por caixa eletrônico,
Usar filtro de telas dos monitores para dificultar a visão,
sempre ao sair da mesa de trabalho deve se bloquear o computador
Pharming(Redirecionamento de site):
É quando uma pessoa que tem permissão de acesso a um determinado lugar, acessa o
local, porém uma segunda pessoa que não tem acesso ao local pega carona com a primeira
e desse modo consegue o acesso ao local, desse modo a pessoa que não tinha autorização
de acesso consegue entrar.
Exemplo é quando duas pessoas passam na porta giratória do banco ou quando um
morador acessa seu prédio e outra pessoa entra junto, se passando por morador.
É semelhante ao tailgating, mas tem uma diferença,o ataque ocorre quando alguém não
autorizado obtém o acesso ao local pela autorização de um funcionário o enganando para
que dê a autorização.
Pode acontecer com uma pessoa fingindo ser um entregador ou medidor de água ou
energia.
Eliciting information (Extraindo informações):
É uma forma de spear phishing que tem como alvo, indivíduos de alto valor como CEO,
executivos de alto escalão das empresas até mesmo administradores ou clientes de grande
patrimônio
Como evitar?
educando a gerência sênior e os executivos de alto escalão
Reconnaissance(reconhecimento do alvo):
É o reconhecimento e coleta de informação sobre um determinado alvo com o intuito de
planejar um ataque.
Pode incluir todos os ataques de engenharia social.
Hoax(Fake news):
É a técnica de engenharia social de convencer o alvo a realizar uma ação que causará
danos ou reduzirá a segurança de TI.
A vítima pode ser instruída a excluir um arquivo ou alterar uma configuração ou instalar um
software.
- É o ataque de quando uma pessoa se passa por outra para usar seu acesso ou
autoridade.
- A defesa de local físico pode incluir o uso de crachá de acesso, guardas de segurança e
exigências de apresentação de documentos de identidade.
- Se uma pessoa de fora da organização ou um prestador de serviço for efetuar uma visita,
o mesmo deve ser identificado previamente.
Influence campaigns:
- São ataques de engenharia social que tentam mudar uma opinião pública,
- As campanhas de influência estão ligadas a distribuição de desinformação, propaganda,
notícias falsas e até mesmo prática de doxing
- Doxing é a prática de coletar e divulgar informações pessoais de uma pessoa sem o seu
consentimento, geralmente com o objetivo de expô-la, envergonhá-la ou causar danos.
Essas informações podem incluir nome completo, endereço, número de telefone, endereço
de e-mail, dados de redes sociais, informações financeiras e outros detalhes pessoais. O
doxing pode ser realizado por motivos de vingança, assédio, perseguição ou como uma
forma de ataque cibernético. É uma atividade ilegal e viola a privacidade e a segurança das
pessoas envolvidas.
● Hybrid warfare: A guerra híbrida, por sua vez, é uma estratégia que
combina táticas convencionais e não convencionais, como propaganda,
desinformação, ciberataques, operações psicológicas e uso de grupos
paramilitares, para alcançar objetivos políticos, militares ou econômicos. É
uma abordagem que busca explorar as vulnerabilidades de um adversário,
utilizando uma combinação de meios militares e não militares para obter
vantagem estratégica.
Dessa forma, as campanhas de influência são uma parte importante
da guerra híbrida, pois buscam influenciar a percepção e a opinião pública
para enfraquecer adversários ou alcançar objetivos específicos. Através da
disseminação de informações enganosas, manipulação de redes sociais,
ataques cibernéticos e outras táticas, essas campanhas buscam minar a
estabilidade e a confiança em instituições e processos políticos, criando um
ambiente favorável aos interesses dos atores envolvidos.
● Social Media: As campanhas de influência nas redes sociais referem-se a
estratégias de manipulação de informações e opiniões que são conduzidas
através de plataformas de mídia social, como Facebook, Twitter, Instagram,
YouTube, entre outras.Essas campanhas têm como objetivo moldar a
percepção e influenciar o comportamento dos usuários das redes sociais,
visando alcançar determinados objetivos políticos, sociais, econômicos ou
ideológicos. Elas podem ser conduzidas por governos, organizações, grupos
de interesse ou atores individuais.
As táticas utilizadas nessas campanhas podem incluir a disseminação de
informações falsas ou enganosas (desinformação), a criação de perfis falsos
ou bots para amplificar mensagens específicas, a manipulação de algoritmos
para aumentar a visibilidade de determinados conteúdos e a segmentação
precisa de públicos-alvo para direcionar mensagens personalizadas.
Essas campanhas podem ter impactos significativos, uma vez que as redes
sociais têm um alcance global e são amplamente utilizadas como fonte de
notícias e informações. A disseminação rápida e viral de conteúdos nas
redes sociais pode influenciar a opinião pública, polarizar debates, minar a
confiança em instituições e até mesmo afetar processos eleitorais.
No entanto, é importante ressaltar que nem toda atividade de influência nas
redes sociais é mal-intencionada. Muitas organizações legítimas, como
empresas, ONGs e movimentos sociais, também utilizam essas plataformas
para promover suas mensagens e mobilizar apoiadores. O problema reside
nas campanhas que buscam manipular e enganar os usuários, muitas vezes
com objetivos ocultos ou prejudiciais.
Principles (Reasons for effectiveness)