Fonte: Cylance
Por Chris Stephen*
Advertência:
Algumas das terminologias deste artigo podem ser consideradas desagradáveis para alguns leitores, mas a intenção é educar em uma questão importante, não causar ofensa. Se você achar que pode se ofender com a terminologia discutida neste artigo, por favor, pare de ler agora.
Engenharia Social: e-Whoring e Sextortion
O mundo em que vivemos hoje é interessante, e os vetores de ameaças estão sempre se expandindo e se tornando mais complicados e perigosos. Sextortion e e-Whoring provavelmente não surgem como um problema potencial para a segurança de uma empresa, mas isso não poderia estar mais longe da verdade.
O que é e-Whoring?
E-Whoring é fingir ser alguém que você não é usando várias imagens obscenas (provavelmente roubadas através de campanhas de roubo de dados) para persuadir o alvo a comprar algo, ingressar em um serviço ou trocar fotos.
O que é Sextortion?
Sextortion é chantagear alguém e ameaçar distribuir material privado ou sensível, caso não seja fornecido algo em troca.
Como essas duas ferramentas estão conectadas?
Normalmente, a maioria dos agentes de ameaças se aproveita de pacotes de imagens (fotografias/vídeos indecentes) para iniciar sua campanha de e-Whoring. Esses pacotes de imagens geralmente são o subproduto de outra campanha de roubo de dados na qual o agente invadiu a biblioteca de fotos de um celular ou o computador de alguém para obtê-los.
A partir daí, o ator de ameaças tem algumas escolhas a fazer. A primeira é manter essas imagens como “reféns”. A segunda, aproximar-se de pessoas aleatórias pelas várias mídias sociais para persuadi-las a entrar em um serviço pago para ver mais. A terceira, usar essas imagens para enganar outra pessoa e fazê-la mandar suas próprias fotos privadas, para então chantageá-la também. A quarta, todos os itens acima.
Isso parece afetar apenas uma ou duas pessoas, como isso poderia prejudicar minha empresa?
Dada a natureza muito segmentada desses métodos de engenharia social, os agentes de ameaça poderiam ter como alvo membros do alto escalão dentro de uma empresa, para então extorquir-lhes recursos da empresa (fundos, dados de funcionários e propriedade intelectual).
Como podemos proteger os funcionários e a empresa contra esse tipo de ataque?
Primeiro, converse com os funcionários e deixe-os saber que essas ações existem. Como (esperamos) já foi enviado e-mails para alertar sobre phishing, basta adicioná-las à lista de itens a serem discutidos.
Em segundo lugar, crie um plano. O plano deve centrar-se em ajudar os funcionários que são vítimas desse tipo de ataques e fornecer métodos para ajudá-los. Esse plano deve incluir as informações de contato da polícia de crimes cibernéticos.
Espere, não há algum produto que eu possa comprar para proteger todo o mundo da minha empresa desse tipo de campanha?
Infelizmente não. Sua melhor e única opção aqui é o conhecimento. Consciência é a chave para o sucesso.
_________
*Chris Stephen é engenheiro de vendas sênior na Cylance. Chris tem mais de uma década de experiência na área de TI, desde a sua startup inicial, na qual projetou sistemas de gerenciamento de perfuração para construtores comerciais e residenciais, até o seu trabalho na Apple e na indústria médica. Chris é um cara multitarefas quando se trata de TI.