Engenharia Social, você está facilitando demais?

A engenharia social é uma constante no mundo da segurança na internet e sempre fez parte de grandes ataques. Utilizando-se dados deixados pelo próprio usuário em redes como Facebook, Instagram, Linkedin, Youtube e Twitter ou obtendo de uma forma sofisticada como spam, e-mails de phishing ou impersonation.

Leia mais:

Uso de armazenamento na nuvem entrou na estratégia de ciberataques
17 ferramentas que todo profissional de TI deveria conhecer
Como monitorar mensagens rejeitadas do Office 365 via Script
O que é uma política de privacidade?
E-mail falso. Como detectar?

Quase diariamente vemos pessoas sofrendo com essa categoria de ataque, seja um youtuber que recebe um alerta falso de alguém se passando pelo google e enviando e-mails de phishing contendo Urls maliciosas fazendo com que o alvo seja infectado por malwares ou alguém se passando por alguma agencia e enganando jovens no instagram com falsas promessas de patrocínio após um aporte inicial.

Ela depende diretamente da fragilidade/incapacidade do alvo de não se proteger, um grande exemplo do poder que a engenharia social tem é Stanley Mark Rifkin um consultor que em 1978 conseguiu roubar US$ 12,2 milhões através de uma transferência bancária feita pelo telefone.

Pessoas descuidadas compartilham em suas redes: e-mails, interesses, sonhos, endereços, contatos, perfis familiares, fazendo com que a lista de possíveis armas e alvos aumente consideravelmente.

Pois bem! Estava navegando tranquilamente pelo instagram até que um perfil peculiar foi recomendado, ao acessá-lo, a ideia para esse artigo surgiu, percebi o excesso desnecessário de informações que podem ser usadas por possíveis predadores.

Disclaimer: O cenário as seguir demonstra como funciona a mente de um possível hacker ou predador, nenhum ataque foi realizado.

Imagem análise inicial do caso

Ao acessar o perfil já nos deparamos com algumas informações relevantes:

– E-mail;

– Um endereço;

– O possível ano de nascimento está referenciado no e-mail.

– Na sessão destaques temos varias informações como locais visitados e possíveis amigos.

Imagem para busca de dados.
Todos os rostos foram censurados para manter a integridade e privacidade.

Como podemos notar, em todas as fotos a uma localização, e ocorreu a inserção de três alvos secundários que podem ser usados, por exemplo, como novas fontes de dados, trocando mensagens se passando por alguém ou realizando uma nova varredura em busca de novos endereços e informações.

Devemos sempre está atentos com as informações que publicamos, pois, nunca sabemos que tipo de gente está visualizando nosso perfil, pode ser um hacker, um perseguidor em busca de sua localização ou ex raivoso.

marcação de todos os pontos
os pontos de localizações foram circulados com as cores, para fácil interpretação.

Se triangularmos todos os endereços começamos a notar um padrão, todos são praticamente na mesma rota. Um perseguidor, utilizando de todo o seu tempo pode facilmente triangular todos os endereços já compartilhados e começar definir o raio de busca.

Vendo dessa forma, começa a ficar assustador como pequenas informações podem facilitar a vida de um predador em potencial. Devemos tomar muito cuidado com o que crianças e adolescentes praticam na internet, tendo em vista que são mais fáceis de serem ludibriadas e convencidas, são muitos os casos de pedófilos perseguindo jovens na internet e em alguns casos chegam a conseguir contato com crianças no “mundo físico”.

Conclusão

Neste breve estudo de caso conseguimos levantar informações como e-mail, que pode ser usado para um ataque mais sofisticado usando, por exemplo, phishing e spam, a possível rota comum do alvo, a possível idade e aparentemente amigos, fazendo com que, caso seja uma informação positiva, o nível de informações aumente de forma considerável.

Devemos ter cuidado com todo tipo de informação, seja o mais simples possível como sua idade, até a foto de sua identidade (existem pessoas que compartilham esse tipo de coisa).

“Na internet, se um serviço é de graça, o produto é você”.

Este artigo foi útil?

Para manter um padrão de qualidade para vocês, investimos em um ótimo plano de hospedagem, CDN Pago, Plugins de Otimização para o Site, etc…

Ajude-nos a manter o projeto ativo! 

Acompanhe as novidades em tempo real. Siga nosso perfil no Instagram..

Jose Anselmo
Cursando Análise e Desenvolvimento de Sistemas, iniciando no caminho blue team, apaixonado por contraespionagem.
pt_BRPortuguese

ATÉ 90% DE DESCONTO

DECOLE SUA CARREIRA!!

Quer dar um upgrade na sua carreira? 

Invista em você e saia na frente! Conquiste aquele emprego dos sonhos em 2022!