terça-feira, 29 de maio de 2012

Invadindo a Mente Humana - a anatomia de um pensamento hacker/cracker

A Check Point Software, empresa especializada em segurança compartilhou um texto muito interessante de um de seus pesquisadores sobre as técnicas de invasão à mente humana. Isso tudo no contexto da "engenharia social", técnica usada pelos malfeitores virtuais para induzir as pessoas a agirem como elas (hackers/crackers - conforme melhor lhe aprouver a designação) desejam. E sempre o que elas querem é "plantar" uma vulnerabilidade junto ao incauto e crédulo usuário de computador para poder subtrair algo que ele possa usar em proveito próprio. O texto é muito objetivo e sem delongas conta muito bem este lado da história.

Flavio Xandó



Invadindo a Mente Humana
Por Tomer Teller, evangelista e pesquisador de Segurança da Check Point Software Technologies.


O filme “Os Vigaristas” inclui uma cena em que o personagem principal, interpretado por Nicolas Cage, tem o seguinte diálogo com a atriz Alison Lohman:

Lohman: Você não parece ser um cara mau.
Cage: Por isso que sou bom nisso.

O diálogo captura a verdadeira essência de todos os jogos de confiança, sejam no mundo digital ou no real – a vida de um ladrão (e muito mais fácil quando sonega convencer alguém a baixar a guarda com um artifício inteligente). No jargão dos hackers, isso se chama engenharia social.

A engenharia social busca invadir a mente humana, algo que, de muitas formas, é muito mais fácil do que encontrar uma nova vulnerabilidade em um software para acessar sua empresa.  Essas vulnerabilidades, chamadas de dia zero, podem custar milhares de dólares no submundo dos hackers – dinheiro que pode ser economizado ao convencer alguém à instalar um programa antivírus em seu PC.  Afinal, você não precisa arrombar a porta quando é possível convencer alguém a deixar você entrar em casa. 

Mas o que colabora para um bom ataque de engenharia social? O principal fator é a isca, que pode ser um post chamativo do Facebook sobre alguma celebridade ou até e-mails cuja linha de assunto se refere aos negócios da sua empresa. Um dos ataques que mais chamou atenção durante o ano passado foi o ataque à RSA, que começou quando um funcionário abriu um e-mail cujo assunto era  ‘Plano de Recrutamento 2011’. Quando o colaborador abriu o arquivo em anexo, desencadeou uma série de eventos que levou ao comprometimento dos dados. Hackear um sistema requer conhecimento das vulnerabilidades de programação, enquanto hackear a mente humana requer um tipo diferente de conhecimento: quais tipos de e-mails ou links a vítima está mais propensa a clicar?

Uma forma de conseguir essa informação é agrupar as pessoas de acordo com suas profissões e interesses, e talvez a melhor fonte de dados nesse sentido são as redes sociais. Uma olhada no perfil do LinkedIn pode revelar o histórico profissional e os cargos de determinada pessoa; uma espiada nas contas do Facebook pode revelar seus amigos e hobbies. As redes sociais implementaram várias medidas nos últimos anos para aprimorar os controles de privacidade, mas muitos usuários não usam esses controles ou os usam de maneira inadequada, ‘adicionando’ pessoas que não conhecem de verdade. Uma pesquisa mostrou que um perfil falso no Facebook conseguiu uma média de 726 ‘amigos’ – cinco vezes mais do que muitos dos usuários típicos do site.

Mas também é possível invadir a mente humana de outras formas. A técnica preferida dos hackers, por exemplo, é a otimização de sites (SEO). O objetivo do SEO é melhorar a posição de seu site em portais de buscas, como o Google. Nas mãos certas, isso é totalmente legítimo, porém em mãos erradas isso pode aumentar a probabilidade de uma pessoa visitar um site malicioso. Também existem métodos muito menos técnicos, como a tradicional conversa por telefone para convencer a pessoa a baixar a guarda.

Recentemente, a Check Point patrocinou um estudo realizado pela Dimensional Research que mostrou que 43% dos 853 profissionais de TI que participaram da pesquisa foram alvos de esquemas de engenharia social. A pesquisa também revelou que funcionários novos são os mais suscetíveis a ataques, com 60% classificando as contratações recentes como “alto risco” para a engenharia social.  Infelizmente, o treinamento não parece ser suficiente para conter as ameaças; apenas 26% dos participantes participam de treinamentos contínuos e 34% afirma que não fazem nada para educar seus funcionários.   A boa notícia é que as tendências estão mudando e mais empresas estão informando seus funcionários das ameaças de segurança – e das técnicas de engenharia social que podem enfrentar.

A educação é um elemento essencial para se defender contra ataques, porém o processo começa com políticas apropriadas para proteger seus dados. Isso inclui controlar quem tem acesso a quais informações, e também estabelecer políticas obrigatórias que podem ser fiscalizadas e fomentam as operações da empresa. Depois, os funcionários devem receber treinamento sobre essas políticas e seus conhecimentos avaliados. A chave para tudo isso é compartilhar informações sobre os ataques detectados para informar os funcionários dos meios de ataque. Muitas vezes basta uma boa dose de cautela: ao receber algum e-mail pedindo informações confidenciais, verifique o suposto remetente para certificar-se da sua legitimidade.

Essa estrutura deve contar com redes e terminais protegidos pelas melhores práticas e pelos updates de segurança mais recentes, porém para evitar a invasão da mente humana, precisamos mais de uma mudança de atitude, e não só de armas tecnológicas. Se existe um antivírus para a mente humana, é o conhecimento mais atual das políticas corporativas e de como os hackers selecionam suas vítimas. A inclusão desse tipo de informação em um programa de treinamento pode ser a diferença entre uma falha de dados e uma noite calma no escritório. 

8 comentários:

  1. Tenho o prazer de anunciar ao mundo todo sobre esses confiáveis ​​e fervorosos tecnófilos da computação que estão em serviço há mais de 2 décadas. Tenho o orgulho de dizer que AMERICANHACKERS1@GMAIL.COM são atualmente os melhores em sua profissão. Prometo que se você entrar em contato com eles uma vez, ficará feliz em contatá-los novamente porque eles não deixam de entregar, por favor, contate-os agora para que você também possa atestar seus
    bom serviço contato whatsapp = +17605446037
    Eles oferecem os seguintes serviços
    Transferências bancárias em uma hora Mudança de diploma universitário.
    Vendas de TITLES universitários originais
    Whatsapp e todas as redes sociais hack em 30 minutos
    Vendas de cartão multibanco, cartão em branco e cartão de crédito.
    Nós credenciamos a conta sem deixar rastros
    Liquidação de dívidas bancárias em 2 horas
    atualização de pontuação de crédito em uma hora
    Ajude a se registrar no illuminati e fique mais rico
    excluindo vídeos do youtube
    Mudanças de Grau
    rastreamento de localização de vítimas e interceptação de telefone celular
    Hacking todas as contas de mídia social em uma hora
    Criação de carteira de habilitação
    Corte de conta PayPal verificado
    hack do servidor travou
    Hacking banco de dados Apagar registros criminais
    A conta do cartão de crédito é creditada antecipadamente.
    Corte de blogs WordPress
    Computadores individuais cortados ...
    Controle os dispositivos hackeados remotamente.
    Número de fogos queimados invadidos
    Qualquer conta de mídia social hackeada
    Cartão de crédito para transações online gratuitas
    Eles também carregam o ip rastreável da conta do blockchain do bitcoin e muito mais
    Contato de email = AMERICANHACKERS1@GMAIL.COM
    Contato Whatsapp = +17605446037

    ResponderExcluir
  2. Olá a todos, Vocês precisam de serviços de hacking? . entre em contato com = STANDARDWEBHACKERS@GMAIL.COM
    Fique avisado, a maioria desses hackers chamados aqui são impostores, eu sei como funcionam os hackers de verdade, eles nunca fazem propaganda tão crédula e são sempre discretos. Fui enganado tantas vezes por desespero tentando encontrar ajuda urgente para mudar minhas notas na escola, finalmente meu amigo me apresentou a um grupo de hackers confiáveis ​​que trabalham com discrição e entrega prontamente, eles fazem todos os tipos de hackers que variam;
    + Hacking de banco de dados,
    + Espionagem e monitoramento de qualquer dispositivo
    + Hack de grau escolar,
    + Registros e sistemas da empresa,
    + Hacks de contas bancárias,
    + Compensação de registros criminais de diversos tipos,
    + Software VPN,
    + Monitoramento de localizações GPS,
    + Transferência bancária, Western Union, Money Gram, transferência de cartão de crédito,
    + Hacks de contas bancárias,
    + Aumento da pontuação de crédito
    + Hack de notas universitárias,
    + Qualquer hack de plataforma de mídia social,
    + Recuperação de documentos perdidos
    + Truques de hacking do Facebook,
    + Hack de email: Gmail, AOL, Yahoomail, Proton-mail etc,
    + Telefone celular (Hacking de chamadas e mensagens de texto também estão disponíveis)
    + Hack de ATM,
    + Recuperação de documentos perdidos, etc.
    Contate-os em = STANDARDWEBHACKERS@GMAIL.COM
    ELES SÃO 100% CONFIÁVEIS, RECUPERÁVEIS E RETENTÁVEIS

    ResponderExcluir
  3. Olá a todos, Vocês precisam de serviços de hacking? . entre em contato com = STANDARDWEBHACKERS@GMAIL.COM
    Fique avisado, a maioria desses hackers chamados aqui são impostores, eu sei como funcionam os hackers de verdade, eles nunca fazem propaganda de forma tão crédula e são sempre discretos. Fui enganado tantas vezes por desespero tentando encontrar ajuda urgente para mudar minhas notas na escola, finalmente meu amigo me apresentou a um grupo de hackers confiáveis ​​que trabalham com discrição e entrega prontamente, eles fazem todos os tipos de hackers que variam;
    + Hacking de banco de dados,
    + Espionagem e monitoramento de qualquer dispositivo
    + Hack de grau escolar,
    + Registros e sistemas da empresa,
    + Hacks de contas bancárias,
    + Compensação de registros criminais de diversos tipos,
    + Software VPN,
    + Monitoramento de localizações GPS,
    + Transferência bancária, Western Union, Money Gram, transferência de cartão de crédito,
    + Hacks de contas bancárias,
    + Aumento da pontuação de crédito
    + Hack de notas universitárias,
    + Qualquer hack de plataforma de mídia social,
    + Recuperação de documentos perdidos
    + Truques de hacking do Facebook,
    + Hack de email: Gmail, AOL, Yahoomail, Proton-mail etc,
    + Telefone celular (Hacking por chamada e mensagem de texto também está disponível)
    + Hack de ATM,
    + Recuperação de documentos perdidos, etc.
    Contate-os em = STANDARDWEBHACKERS@GMAIL.COM
    ELES SÃO 100% CONFIÁVEIS, RECUPERÁVEIS E RETENTÁVEIS

    ResponderExcluir
  4. Enlargement Pills and cream call Herbalist.Prof Mama Khulusum +27732318372, in usa ,cananda ,south africa ,france ,sudan ,america,brazil


    **bleep** Enlargement Pills and cream call Herbalist.Prof +27732318372,You can watsup
    SURE Enhancements introduces the new and strongest **bleep** enlargements pills and cream on market,
    when you start using these products , you will have to see a great **bleep** change in just 3 days and in just 7 days,
    you will be having our permanent results and stated below,
    • Multiple Male Orgasms
    • Harder Erections
    • Satisfying Your Partner
    • A More Vascular Look
    • Increased Ejaculations
    • Staying Erect after Orgasm
    • Meditation and Visualization
    Another major difference is how people will treat you. Your lover will get a new spark
    of excitement when it comes to **bleep**. You will start to get the jealous looks in
    the locker room. You will feel better about yourself on many different levels.
    You will be more confident in the bedroom,
    which will equate to more confidence in your day-to-day life. No more hiding in the dark,
    or covering up after **bleep**. You will proudly display the new you with an unbelievable confidence.
    Feeling too small or inadequate in the **bleep** department is one of the biggest problems men suffer with mentally.
    After a few short weeks using my **bleep** Enlargement Herbs these old feelings will start to fade
    and will be replaced by a new you that you never dreamed possible.
    SURE **bleep** enlargement pills and cream has helped men change their relationships and reach
    otherwise unattainable goals. They reach a point of happiness that was never thought possible before.
    Your life will change once you embark on this wonderful **bleep** Enlargement journey. You will feel
    and see these changes in every part of your life.
    All these products are extracted from Local herbs, Zimaba trees from Sudan and Congo forests
    and approved by the SURE enhancements in South Africa, All our products are tested and approved
    and they have got no any side effect to any human, Ready for use,
    SURE Enhancements have other products for both male and female, Stretch marks removal gel, weight
    gaining and loss pills for both male and female, **bleep** tightening pills and cream, Tummy cutters,
    skin lightening products, spots removal, Hips,Bums,Thighs and Breasts enhancements and more.
    for order

    CALL OR WHATSAPP MAMA KHULUSUM
    ON +27732318372
    EMAIL: mamakhulusum@gmail.com
    info@strongspellcaster.us.com
    WEB: https://www.strongspellcaster.us.com

    ResponderExcluir
  5. Conheci hackers profissionais além da imaginação humana, tenho o prazer de anunciar ao mundo sobre suas habilidades de hacking, apenas os clientes sérios podem CONTACT = STANDARDWEBHACKERS@GMAIL.COM
    WHATSAPP = +13185287717
    ele passou até 2 décadas na profissão de Hacking como uma lenda e sua reputação ainda permanece a mesma positivamente ... As pessoas o escolhem porque ele não falha em entregar ... Ele oferece plug-ins de software rápido sem quaisquer notificações de banco de dados ... oferecer todas as formas de serviços de Hacking que não se limitem aos seguintes;
    - Carregamento de Bitcoin
    -Remoção da pontuação de crédito antiga
    - Cartão ATM em branco ilimitado com código de rastreamento para retirada
    -excluir vídeos do Youtube ou aumentar as visualizações
    - transferência escolar e falsificação de certificado
    -Verificar contas para transferência Paypal e logins bancários
    - Hackear o sistema judiciário e limpar registros criminais
    - Mineração de bitcoin
    - Entrega de cartão de crédito
    - Atualização de notas escolares
    -Facebook hack
    -Whatsapp Hack
    -Local IP
    - Limpa a má condução
    - Logins do Hack Bank
    E outros incontáveis ​​serviços mas não de graça .... entrega perfeitamente sem nenhum arrependimento de nenhum cliente ... CONTATO = STANDARDWEBHACKERS@GMAIL.COM
    WHATSAPP = +13185287717
    na verdade ele está entre os gurus mundiais da internet .. porque o seu sorriso é a felicidade dele.

    ResponderExcluir
  6. Esses grupos de CYBER GURUS ajudaram minha família a obter um empréstimo e também me ajudaram a obter um título universitário em uma das melhores universidades do mundo, estou agradecendo muito a eles, entre em contato agora AT =
    NOBLEWEBHACKERS@GMAIL.COM
    -Recuperação de fundos de FOREX / BINARY TRADING falso

    -Recuperação de fundos fraudulentos

    -Serviço de transferência bancária

    -CASH-APP Carregando

    -COMPLEMENTO DE BITCOIN

    - EMPRÉSTIMO GRATUITO SEM ANTECIPAÇÃO

    - Ajude a se registrar no ILUMINATI e fique mais rico

    - Dinheiro, recuperação de qualquer país do mundo

    - Mudança de diplomas universitários

    - Espionagem de todas as contas de mídia social dentro

    - Vendas de caixas eletrônicos e cartões de crédito em branco

    - Vendas de originais de títulos universitários.

    - Fazemos o credenciamento de conta sem deixar vestígios

    - Compensação de dívidas bancárias ,..,,..

    - Oferta de título universitário e tantos outros...

    Apesar de todas as probabilidades, esse conjunto de gurus da internet provou ser digno de ser chamado de terrorista cibernético profissional ... mais uma vez eu bato no peito para confessar que esse grupo de gurus cibernéticos é confiável e satisfatório .....

    ResponderExcluir
  7. Eles são um conjunto sofisticado e irrestrito de hackers que estiveram de plantão e atenderam às expectativas ao longo dos anos de forma sérica. Os seus serviços são seguros e estão assegurados com total transparência e garantia, sendo o conjunto de lendários hackers mágicos que aplaudem ao máximo a comiseração humana, sou testemunha da sua competência, contacte este grupo de hackers através de:
    e-mail: LEGENDWIZARDHACKERS @ GMAIL.COM
    Whatsapp: +447983601282
    Eles terminaram várias décadas na esfera de hackers como uma lenda em todos os campos de hackers e ainda são os especialistas em hackers mais confiáveis ​​e confiáveis, entre em contato com eles via: email: LEGENDWIZARDHACKERS@GMAIL.COM
    Whatsapp: +447983601282
    Eles são legenda no seguinte campo:
    * Hack de mudanças de notas escolares
    * Hackear transcrições e notas da faculdade
    * Hack de diploma universitário
    * Excluir hack de registro criminal
    * Penetração de site e banco de dados
    * Venda de cartões Dumps de todos os tipos
    * Hackear computadores individuais
    * Controle dispositivos remotamente hackeados
    * Números do gravador hack
    * Hackear contas Paypal verificadas
    * Qualquer invasão de conta de mídia social
    * Hack para Android e iPhone
    * aumentar sua pontuação de crédito
    * Hack de interceptação de mensagens de texto
    * Hack de interceptação de e-mail
    * Desbloquear carteira de criptografia congelada
    * Aumente o tráfego do blog
    * Skype hack
    * Hack de conta bancária
    * empréstimo grátis
    * invasão de conta de e-mail
    * Site bloqueado hack
    * ajuda Inscreva-se no ILLUMINATI e fique famoso mais rápido
    * exclua vídeos do YouTube ou aumente as visualizações
    * transferência escolar e falsificação de certificados
    * falha no hack do servidor
    * Recuperação de arquivos ou documentos perdidos
    * Hacker de cartão de crédito
    * carga bitcoin
    Para mais informações, entre em contato com a equipe deles através de:
    Whatsapp: +447983601282
    E-mail: LEGENDWIZARDHACKERS@GMAIL.COM para que você também possa testemunhar sobre suas boas obras para o mundo em geral

    ResponderExcluir
  8. Você está preocupado em atualizar seu registro de pontuação de crédito, fazer uma transferência bancária bem-sucedida ou comprar um título universitário válido! então você precisa entrar em contato rapidamente
    ► WEBSOFTHACKERS@GMAIL.COM
    Como esses hackers definitivamente colocarão um sorriso eterno no meu rosto, sou uma testemunha viva de seu serviço confiável de hackers! entre em contato com eles agora e me agradeça depois
    contato whatsapp = +559284449697
    contato whatsapp = +15614404246
    Eles oferecem os seguintes serviços
    ❝ eles fazem transferências bancárias em poucas horas
    ❝ eles vendem cartões de crédito para transações online e físicas
    ❝ Rastreamento da localização das vítimas
    ❝ eles hackeam o whatsapp em uma hora e o facebook também
    ❝ Corte Western Union MTCN e Moneygram
    ❝ eles melhoram a pontuação de crédito em uma hora
    ❝ Níveis universitários mudando
    ❝ Excluir hack de registros criminais
    ❝ hack de contas de e-mail
    ❝ vendem títulos universitários válidos e apresentáveis
    ❝ Hacking de todos os sites da empresa
    ❝ Hack de computadores individuais
    ❝ todas as interceptações de celulares
    ❝ Hackear contas do Paypal
    ❝ Ip não rastreável etc.
    ❝ Ajude Inscreva-se no ILLUMINATI e fique famoso mais rápido
    ❝ Aumenta inscritos, curtidas e visualizações no YouTube e também seguidores no Instagram
    ❝ eles dobram o dinheiro em sua conta bancária
    ❝ Transferência de Bitcoin sem nenhum adiantamento
    ❝ Cartão ATM em branco ilimitado
    ❝ Apague o hack de registros criminais
    ❝ Alteração de documentos cadastrais
    ❝ hack e recuperação de arquivos/documentos perdidos.
    por favor, envie-lhes uma mensagem agora AT
    ► WEBSOFTHACKERS@GMAIL.COM para que você possa testemunhar e contar ao mundo inteiro sobre eles também
    contato whatsapp = +559284449697
    contato whatsapp = +15614404246

    ResponderExcluir