O que é Engenharia social?
A engenharia social é uma classe de técnicas de ataque que manipulam a psicologia humana — a confiança, o medo, a urgência ou a disposição de ajudar — para enganar as pessoas e fazê-las divulgar informações confidenciais, conceder acesso não autorizado ou realizar ações que comprometam a segurança.
Também conhecido como: social engineering attack, pretexting
Os ataques de engenharia social têm como alvo o elo mais fraco de qualquer sistema de segurança: as pessoas. As técnicas comuns incluem o pretexting (fabricar um cenário para ganhar confiança), o baiting (oferecer algo tentador como um pen drive), o tailgating (seguir alguém através de uma porta segura) e o phishing (mensagens enganosas). Esses ataques contornam os firewalls, a criptografia e os controles de acesso explorando os humanos que os operam.
Os ataques de engenharia social mais perigosos são os de várias etapas. Um atacante poderia primeiro coletar informações de redes sociais e fontes públicas, e depois usar esse contexto para ligar para um serviço de suporte técnico e convencê-lo a redefinir uma senha. Ou se passar por um funcionário novo para conseguir que um colega compartilhe as credenciais do wi-fi ou o acesso ao sistema. A superfície de ataque se amplia drasticamente em organizações onde as informações sensíveis são compartilhadas habitualmente por canais inseguros.
Os controles técnicos podem reduzir — mas não eliminar — o risco de engenharia social. Os procedimentos rigorosos de verificação, as políticas de acesso de menor privilégio e os programas de conscientização sobre segurança ajudam. De forma crítica, minimizar a quantidade de dados sensíveis que existem em forma persistente e legível (e-mails, registros de chat, documentos compartilhados) limita o que um engenheiro social pode extrair mesmo quando consegue enganar seu alvo.
Como o Vaulted usa Engenharia social
O Vaulted limita o raio de impacto dos ataques de engenharia social contra os fluxos de trabalho de compartilhamento de segredos. Como os links do Vaulted se autodestroem após um número configurado de visualizações e o servidor armazena apenas texto cifrado sem capacidade de descriptografá-lo (arquitetura zero-knowledge), um engenheiro social que acesse um canal de comunicação encontra apenas links expirados ou dados indecifráveis. A chave de criptografia no fragmento da URL e a proteção opcional com frase-senha adicionam barreiras extras que a engenharia social por si só não consegue contornar.