Primeira advertência: algumas das terminologias deste artigo podem ser consideradas desagradáveis para alguns leitores, mas a intenção é educar em uma questão importante, não causar ofensa. Se você achar que pode se ofender com a terminologia discutida neste artigo, por favor, pare de ler agora.
O mundo em que vivemos hoje é interessante, e os vetores de ameaças estão sempre se expandindo e se tornando mais complicados e perigosos. Sextortion e e-Whoring provavelmente não surgem como um problema potencial para a segurança de uma empresa, mas isso não poderia estar mais longe da verdade.
O que é e-Whoring?
E-Whoring é fingir ser alguém que você não é usando várias imagens obscenas (provavelmente roubadas através de campanhas de roubo de dados) para persuadir o alvo a comprar algo, ingressar em um serviço ou trocar fotos.
O que é Sextortion?
Sextortion é chantagear alguém e ameaçar distribuir material privado ou sensível, caso não seja fornecido algo em troca.
Como essas duas ferramentas estão conectadas?
Normalmente, a maioria dos agentes de ameaças se aproveita de pacotes de imagens (fotografias/vídeos indecentes) para iniciar sua campanha de e-Whoring. Esses pacotes de imagens geralmente são o subproduto de outra campanha de roubo de dados na qual o agente invadiu a biblioteca de fotos de um celular ou o computador de alguém para obtê-los.
A partir daí, o ator de ameaças tem algumas escolhas a fazer. A primeira é manter essas imagens como “reféns”. A segunda, aproximar-se de pessoas aleatórias pelas várias mídias sociais para persuadi-las a entrar em um serviço pago para ver mais. A terceira, usar essas imagens para enganar outra pessoa e fazê-la mandar suas próprias fotos privadas, para então chantageá-la também. A quarta, todos os itens acima.
Isso parece afetar apenas uma ou duas pessoas, como isso poderia prejudicar minha empresa?
Dada a natureza muito segmentada desses métodos de engenharia social, os agentes de ameaça poderiam ter como alvo membros do alto escalão dentro de uma empresa, para então extorquir-lhes recursos da empresa (fundos, dados de funcionários e propriedade intelectual).
Como podemos proteger os funcionários e a empresa contra esse tipo de ataque?
Primeiro, converse com os funcionários e deixe-os saber que essas ações existem. Como (esperamos) já foi enviado e-mails para alertar sobre phishing, basta adicioná-las à lista de itens a serem discutidos.
Em segundo lugar, crie um plano. O plano deve centrar-se em ajudar os funcionários que são vítimas desse tipo de ataques e fornecer métodos para ajudá-los. Esse plano deve incluir as informações de contato da polícia de crimes cibernéticos.
Espere, não há algum produto que eu possa comprar para proteger todo o mundo da minha empresa desse tipo de campanha?
Infelizmente não. Sua melhor e única ptoteção é o conhecimento. Consciência é a chave para o sucesso.
(*) Chris Stephen é engenheiro de vendas sênior na Cylance
A Pure Storage está redefinindo sua estratégia de mercado com uma abordagem que abandona o…
A inteligência artificial (IA) consolidou-se como a principal catalisadora de novos unicórnios no cenário global…
À primeira vista, não parece grande coisa. Mas foi na pequena cidade de Pornainen, na…
O processo de transição previsto na reforma tributária terá ao menos um impacto negativo sobre…
O que antes parecia uma aliança estratégica sólida começa a mostrar rachaduras. Segundo reportagem do…
O Departamento de Defesa dos Estados Unidos firmou um contrato de US$ 200 milhões com…