Hoje, em nossa campanha #NoHacked, falaremos sobre engenharia social. Acompanhe as discussões no
Twitter e no
Google+ usando a hashtag #NoHacked. (
Parte 1)
Se você passa algum tempo na web, provavelmente já encontrou algum tipo de
engenharia social. A engenharia social tenta extrair informações confidenciais manipulando ou enganando você de alguma forma.
Phishing
Talvez você saiba o que é o phishing, uma das formas mais comuns de engenharia social. Sites e e-mails de phishing imitam sites legítimos e induzem você a inserir neles informações confidenciais como seu nome de usuário e sua senha. Um
estudo recente do Google (em inglês) descobriu que alguns sites de phishing conseguem enganar as vítimas 45% das vezes. Uma vez que um site de phishing obtém suas informações, elas serão vendidas ou usadas para manipular suas contas.
Outras formas de engenharia social
Como proprietário de um site, o phishing não é a única forma de engenharia social com a qual você precisa tomar cuidado. Outra forma de engenharia social vem do software e das ferramentas usadas no seu site. Caso você faça o download ou use algum
Sistema de gerenciamento de conteúdo (CMS, na sigla em inglês), plug-ins ou add-ons, verifique se eles vêm de fontes confiáveis, como diretamente do site do desenvolvedor. Softwares de sites não confiáveis podem ter códigos maliciosos que permitem aos hackers acessar seu site.
Por exemplo, a webmaster Wanda foi contratada recentemente pelo ‘Brandon’s Pet Palace’ para ajudar a criar um site. Após esboçar alguns projetos, Wanda começou a compilar o software de que ela precisava para criar o site. No entanto, ela viu que o ‘Photo Frame Beautifier’, um de seus plug-ins favoritos, foi retirado do site oficial de plug-ins do CMS e que o desenvolvedor decidiu parar de oferecer suporte ao plug-in. Ela fez uma busca rápida e descobriu um site que oferecia um arquivo de plug-ins antigos. Ela fez o download do plug-in e o usou para terminar o site. Dois meses depois, uma notificação no Search Console informou Wanda que o site do cliente dela foi invadido. Ela rapidamente buscou corrigir o conteúdo invadido e encontrou a fonte do problema. O plug-in ‘Photo Frame Beautifier’ foi modificado por terceiros para permitir que partes maliciosas acessassem o site. Ela então removeu o plug-in, corrigiu o conteúdo invadido, protegeu o site de ataques futuros e enviou um pedido de reconsideração no Search Console. Como pode ser visto, um descuido da Wanda fez com que o site do cliente dela fosse comprometido.
Proteja-se de ataques da engenharia social
A engenharia social é efetiva porque não é claro que exista algo errado com o que você está fazendo. No entanto, há algumas coisas básicas que podem ser feitas para se proteger da engenharia social.
- Fique atento: sempre que você inserir informações confidenciais online ou instalar software de websites, tenha uma boa dose de ceticismo. Confira os URLs para ter certeza de que você não está digitando informações confidenciais em sites maliciosos. Ao instalar um software a partir de um website, verifique se o software vem de fontes conhecidas e respeitáveis, como o site do desenvolvedor.
- Use a autenticação de dois fatores: a autenticação de dois fatores, como a Verificação em duas etapas do Google, adiciona outra camada de segurança que ajuda a proteger sua conta mesmo que sua senha seja roubada. Use a autenticação de dois fatores em todas as contas quando possível. Falaremos mais detalhadamente sobre os benefícios da autenticação de dois fatores na próxima semana.
Recursos adicionais sobre engenharia social:
Poste suas dúvidas no
Fórum de Ajuda para webmasters, onde uma comunidade de webmasters poderá ajudar a respondê-las. Participe também do nosso Hangout sobre segurança no dia 26 de Agosto.
Postado por: Eric Kuan, especialista em relações de webmasters, e Yuan Niu, analista de spam na Web