Podemos colocar todo os aparatos de segurança e criar varias camadas para manter nossos dados protegidos. Mas todas essas medidas podem ser quebradas com simples erros cometidos por usuários mais leigos. Uma das coisas que um pentester tenta, na maioria dos casos, em uma auditoria é testar o "elo mais fraco da corrente", o usuário. Essas dicas a seguir são alguns dos exemplos mais comuns cometidos pelos usuários leigos.
- "Você foi sorteado (para um sorteio que você nem sabia que existia) e ganhou alguma coisa, clique aqui para resgatar o seu prêmio."
- "O Banco XPTO precisa que você atualize seus dados, clique aqui para atualizar seus dados."
- "A Policia Federal está intimando você, clique aqui para ver a intimação."
E por ai vai, poderia passar o dia escrevendo esses phishings comuns e os mais elaborados para um certo alvo, conhecidos por Spear Phishing. Só mais um que vou citar que fez um tremendo sucesso. Boa parte das pessoas ouviu falar que vazaram 250 mil senhas do banco de dados do Twitter e que eles mandaram um email para reset de senha. Explorando isso, algumas pessoas mal intencionadas, criaram um email parecido com o aviso do Twitter e mandaram com um link falso. Os que clicaram achando que tinham perdendo sua senha acabaram realmente perdendo a senha neste ataque.
Tenha muito cuidado com compras pela internet, esse tipo de site é muito procurado por crackers, pois em alguns casos onde o site está comprometido, seu cartão de crédito cai na mão dessas pessoas. Algumas dicas para ajudar. Procure por sites que tenham as flags de "site seguro", "site blindado" entre outros. Outra coisa que você pode verificar é que se no painel o número do seu cartão aparece completo é um grande indício de que seu cartão está sendo guardado no site.
Outro ponto muito frágil. Muitos usuários que acham que sabem, baixam softwares tanto gratuitos como piratas, as vezes de fontes desconhecidas ou não muito seguras e acabam comprometendo todo o seu computador ou até mesmo a rede toda, no caso de uma empresa. A disculpa mais comum é: "Esse virus que seu antivirus pegou é um arquivo inofensivo para que o crack funcione". Nós da Brutal Security não recomendamos nenhum software pirata, além de não contribuir com os desenvolvedores acaba pondo em risco seu próprio computador.
Todos esses problemas podem ser facilmente resolvidos treinando os funcionários de uma empresa e seguindo todas as normas das políticas de segurança.
Acessar conta através de link
Muito comum para nós, mas se bem feito pode passar despercebido e enganar o "alvo" mais desatento. Mais conhecidos como phishing, esses ataques acontecem com todas as pessoas todos os dias, mas não são todos que caem nesses golpes. Quanto mais grave é a notícia mais convincente será. Alguns exemplos que vejo diariamente:- "Você foi sorteado (para um sorteio que você nem sabia que existia) e ganhou alguma coisa, clique aqui para resgatar o seu prêmio."
- "O Banco XPTO precisa que você atualize seus dados, clique aqui para atualizar seus dados."
- "A Policia Federal está intimando você, clique aqui para ver a intimação."
E por ai vai, poderia passar o dia escrevendo esses phishings comuns e os mais elaborados para um certo alvo, conhecidos por Spear Phishing. Só mais um que vou citar que fez um tremendo sucesso. Boa parte das pessoas ouviu falar que vazaram 250 mil senhas do banco de dados do Twitter e que eles mandaram um email para reset de senha. Explorando isso, algumas pessoas mal intencionadas, criaram um email parecido com o aviso do Twitter e mandaram com um link falso. Os que clicaram achando que tinham perdendo sua senha acabaram realmente perdendo a senha neste ataque.
Usar a mesma senha para diversos serviços
Tenho que assumir que por um bom tempo eu usei a mesma senha para todas as coisas, mas depois de um tempo percebi que precisava mudar. Devo salientar aqui também que observo por ai e muitas pessoas usam senha curtas, fáceis e diretamente relacionadas com suas vidas como nome de familiares, datas de nascimento, datas especiais, números de telefone entre outros. Se você faz alguma dessas coisas saiba que está super inseguro.Assumir que os softwares para segurança são 100% seguros
Novas vulnerabilidades e uma imensidão de novas ameaças surgem todos os dias. Então é quase impossível que um software, por melhor que seja, vá parar todas esses problemas.Assumir que compras online são 100% seguras
Tenha muito cuidado com compras pela internet, esse tipo de site é muito procurado por crackers, pois em alguns casos onde o site está comprometido, seu cartão de crédito cai na mão dessas pessoas. Algumas dicas para ajudar. Procure por sites que tenham as flags de "site seguro", "site blindado" entre outros. Outra coisa que você pode verificar é que se no painel o número do seu cartão aparece completo é um grande indício de que seu cartão está sendo guardado no site.
Download de softwares
Outro ponto muito frágil. Muitos usuários que acham que sabem, baixam softwares tanto gratuitos como piratas, as vezes de fontes desconhecidas ou não muito seguras e acabam comprometendo todo o seu computador ou até mesmo a rede toda, no caso de uma empresa. A disculpa mais comum é: "Esse virus que seu antivirus pegou é um arquivo inofensivo para que o crack funcione". Nós da Brutal Security não recomendamos nenhum software pirata, além de não contribuir com os desenvolvedores acaba pondo em risco seu próprio computador.
Todos esses problemas podem ser facilmente resolvidos treinando os funcionários de uma empresa e seguindo todas as normas das políticas de segurança.
0 comentários:
Postar um comentário