Sextortion, e-Whoring e Engenharia Social

Primeira advertência: algumas das terminologias deste artigo podem ser consideradas desagradáveis para alguns leitores, mas a intenção é educar em uma questão importante, não causar ofensa. Se você achar que pode se ofender com a terminologia discutida neste artigo, por favor, pare de ler agora.

O mundo em que vivemos hoje é interessante, e os vetores de ameaças estão sempre se expandindo e se tornando mais complicados e perigosos. Sextortion e e-Whoring provavelmente não surgem como um problema potencial para a segurança de uma empresa, mas isso não poderia estar mais longe da verdade.

O que é e-Whoring?
E-Whoring é fingir ser alguém que você não é usando várias imagens obscenas (provavelmente roubadas através de campanhas de roubo de dados) para persuadir o alvo a comprar algo, ingressar em um serviço ou trocar fotos.

O que é Sextortion?

Sextortion é chantagear alguém e ameaçar distribuir material privado ou sensível, caso não seja fornecido algo em troca.

Como essas duas ferramentas estão conectadas?
Normalmente, a maioria dos agentes de ameaças se aproveita de pacotes de imagens (fotografias/vídeos indecentes) para iniciar sua campanha de e-Whoring. Esses pacotes de imagens geralmente são o subproduto de outra campanha de roubo de dados na qual o agente invadiu a biblioteca de fotos de um celular ou o computador de alguém para obtê-los.

A partir daí, o ator de ameaças tem algumas escolhas a fazer. A primeira é manter essas imagens como “reféns”. A segunda, aproximar-se de pessoas aleatórias pelas várias mídias sociais para persuadi-las a entrar em um serviço pago para ver mais. A terceira, usar essas imagens para enganar outra pessoa e fazê-la mandar suas próprias fotos privadas, para então chantageá-la também. A quarta, todos os itens acima.

Isso parece afetar apenas uma ou duas pessoas, como isso poderia prejudicar minha empresa?
Dada a natureza muito segmentada desses métodos de engenharia social, os agentes de ameaça poderiam ter como alvo membros do alto escalão dentro de uma empresa, para então extorquir-lhes recursos da empresa (fundos, dados de funcionários e propriedade intelectual).  

Como podemos proteger os funcionários e a empresa contra esse tipo de ataque?
Primeiro, converse com os funcionários e deixe-os saber que essas ações existem. Como (esperamos) já foi enviado e-mails para alertar sobre phishing, basta adicioná-las à lista de itens a serem discutidos.

Em segundo lugar, crie um plano. O plano deve centrar-se em ajudar os funcionários que são vítimas desse tipo de ataques e fornecer métodos para ajudá-los. Esse plano deve incluir as informações de contato da polícia de crimes cibernéticos.

Espere, não há algum produto que eu possa comprar para proteger todo o mundo da minha empresa desse tipo de campanha?
Infelizmente não. Sua melhor e única ptoteção é o conhecimento. Consciência é a chave para o sucesso.

(*) Chris Stephen é engenheiro de vendas sênior na Cylance