Ataques de engenharia social
Ataques de engenharia social manipulam as pessoas para compartilhar informações que não deveriam compartilhar, baixar software que não deveriam baixar, visitar sites que não deveriam visitar, enviar dinheiro para criminosos ou cometer outros erros que comprometem sua segurança pessoal ou organizacional.
Um e-mail que parece ser de um colega de trabalho confiável solicitando informações confidenciais, uma mensagem de voz ameaçadora alegando ser da Receita Federal e uma oferta de riquezas de um potentado estrangeiro são apenas alguns exemplos de engenharia social. Como a engenharia social usa manipulação psicológica e explora erros ou fraquezas humanas em vez de vulnerabilidades técnicas ou digitais do sistema, às vezes é chamada de “hacking humano”.
Os criminosos cibernéticos frequentemente usam táticas de engenharia social para obter dados pessoais ou informações financeiras, incluindo credenciais de login, números de cartão de crédito, números de contas bancárias e números de previdência social. Eles usam as informações que roubaram para roubo de identidade, permitindo que façam compras usando dinheiro ou crédito de outras pessoas, solicitem empréstimos em nome de outra pessoa, solicitem benefícios de desemprego de outras pessoas e muito mais. Mas um ataque de engenharia social também pode ser o primeiro estágio de um ataque cibernético em larga escala. Por exemplo, um criminoso cibernético pode enganar uma vítima para que ela compartilhe um nome de usuário e senha e, em seguida, usar essas credenciais para plantar ransomware na rede do empregador da vítima.
A engenharia social é atraente para criminosos cibernéticos porque permite que eles acessem redes digitais, dispositivos e contas sem ter que fazer o difícil trabalho técnico de contornar firewalls, software antivírus e outros controles de segurança cibernética. Esta é uma das razões pelas quais a engenharia social é a principal causa de comprometimento de rede hoje, de acordo com o relatório State of Cybersecurity 2022 da ISACA. De acordo com o relatório Cost of a Data Breach da IBM, as violações causadas por táticas de engenharia social (como phishing e comprometimento de e-mail comercial) estavam entre as mais caras.
Como e por que a engenharia social funciona
As táticas e técnicas de engenharia social são baseadas na ciência da motivação humana. Elas manipulam as emoções e os instintos das vítimas de maneiras comprovadamente capazes de levar as pessoas a tomarem ações que não são do seu melhor interesse.
A maioria dos ataques de engenharia social emprega uma ou mais das seguintes táticas:
Fingir-se como uma marca confiável: os golpistas geralmente se passam por ou “falsificam” empresas que as vítimas conhecem, confiam e talvez façam negócios com frequência ou regularmente — tão regularmente que seguem as instruções dessas marcas reflexivamente, sem tomar as devidas precauções. Alguns golpistas de engenharia social usam kits amplamente disponíveis para encenar sites falsos que se assemelham aos de grandes marcas ou empresas.
Fingir-se como uma agência governamental ou figura de autoridade: as pessoas confiam, respeitam ou temem a autoridade (em vários graus). Os ataques de engenharia social exploram esses instintos com mensagens que parecem ou alegam ser de agências governamentais (por exemplo: FBI ou IRS), figuras políticas ou até mesmo celebridades.
Induzir medo ou senso de urgência: as pessoas tendem a agir precipitadamente quando estão assustadas ou apressadas. Golpes de engenharia social podem usar qualquer número de técnicas para induzir medo ou urgência nas vítimas. Por exemplo, dizer à vítima que uma transação de crédito recente não foi aprovada, que um vírus infectou seu computador, que uma imagem usada em seu site viola direitos autorais e assim por diante. A engenharia social também pode apelar ao medo de perder (FOMO) das vítimas, o que cria um tipo diferente de urgência.
Apelando à ganância: O golpe do príncipe nigeriano, um e-mail em que alguém que afirma ser um membro da realeza nigeriana tentando fugir de seu país oferece uma recompensa financeira gigante em troca das informações da conta bancária do destinatário ou uma pequena taxa antecipada, é um dos exemplos mais conhecidos de engenharia social que apela à ganância. Esse tipo de ataque de engenharia social também pode vir de uma suposta figura de autoridade e cria um senso de urgência, o que é uma combinação poderosa. Esse golpe é tão antigo quanto o próprio e-mail, mas ainda arrecadava US$ 700.000 por ano em 2018.
Apelando à utilidade ou curiosidade: Os estratagemas de engenharia social também podem apelar à melhor natureza das vítimas. Por exemplo, uma mensagem que parece ser de um amigo ou de um site de rede social pode oferecer ajuda técnica, pedir participação em uma pesquisa, alegar que a postagem do destinatário se tornou viral e fornecer um link falso para um site falso ou download de malware.
Tipos de ataques de engenharia social
Phishing
Ataques de phishing são mensagens digitais ou de voz que tentam manipular destinatários para compartilhar informações confidenciais, baixar software malicioso, transferir dinheiro ou ativos para pessoas erradas ou tomar outras ações prejudiciais. Golpistas criam mensagens de phishing para parecer ou soar como se viessem de uma organização ou indivíduo confiável ou credível — às vezes, até mesmo de um indivíduo que o destinatário conhece pessoalmente.
Existem muitos tipos de golpes de phishing:
E-mails de phishing em massa são enviados para milhões de destinatários ao mesmo tempo. Eles parecem ser enviados por uma grande empresa ou organização bem conhecida, como um banco nacional ou global, um grande varejista online, um provedor de pagamentos online popular e assim por diante, e fazem uma solicitação genérica como “estamos tendo problemas para processar sua compra, atualize suas informações de crédito”. Frequentemente, essas mensagens incluem um link malicioso que leva o destinatário a um site falso que captura o nome de usuário, senha, dados do cartão de crédito e muito mais do destinatário.
O spear phishing tem como alvo um indivíduo específico, normalmente um com acesso privilegiado às informações do usuário, à rede de computadores ou aos fundos corporativos. Um golpista pesquisará o alvo, geralmente usando informações encontradas no LinkedIn, Facebook ou outras mídias sociais para criar uma mensagem que pareça vir de alguém que o alvo conhece e confia ou que se refira a situações com as quais o alvo está familiarizado. O phishing de baleia é um ataque de spear phishing que tem como alvo um indivíduo de alto perfil, como um CEO ou figura política. No comprometimento de e-mail comercial (BEC), o hacker usa credenciais comprometidas para enviar mensagens de e-mail da conta de e-mail real de uma figura de autoridade, tornando o golpe muito mais difícil de detectar.
Phishing de voz ou vishing é o phishing conduzido por meio de chamadas telefônicas. Os indivíduos geralmente vivenciam o vishing na forma de chamadas gravadas ameaçadoras que afirmam ser do FBI.
Phishing de SMS, ou smishing, é o phishing por meio de uma mensagem de texto.
O phishing de mecanismo de busca envolve hackers criando sites maliciosos que têm alta classificação nos resultados de pesquisa para termos de pesquisa populares.
O phishing de pescador é o phishing usando contas falsas de mídia social que se disfarçam como contas oficiais de equipes de atendimento ao cliente ou suporte ao cliente de empresas confiáveis.
De acordo com o IBM X-Force® Threat Intelligence Index, o phishing é o principal vetor de infecção de malware, identificado em 41% de todos os incidentes. De acordo com o relatório Cost of a Data Breach, o phishing é o vetor de ataque inicial que leva às violações de dados mais custosas.
A isca (sem trocadilhos) as vítimas a, consciente ou inconscientemente, fornecer informações confidenciais ou baixar códigos maliciosos, tentando-as com uma oferta valiosa ou até mesmo um objeto valioso.
O golpe do príncipe nigeriano é provavelmente o exemplo mais conhecido dessa técnica de engenharia social. Exemplos mais atuais incluem jogos, músicas ou downloads de software gratuitos, mas infectados por malware. Mas algumas formas de isca são pouco engenhosas. Por exemplo, alguns agentes de ameaças deixam unidades USB infectadas por malware onde as pessoas as encontrarão, as pegarão e as usarão porque “ei, unidade USB gratuita”.
No tailgating, também chamado de “piggybacking”, uma pessoa não autorizada segue de perto uma pessoa autorizada em uma área contendo informações confidenciais ou ativos valiosos. O tailgating pode ser conduzido pessoalmente, por exemplo, um agente de ameaça pode seguir um funcionário por uma porta destrancada. Mas o tailgating também pode ser uma tática digital, como quando uma pessoa deixa um computador sem supervisão enquanto ainda está logada em uma conta ou rede privada.
No pretexting, o agente da ameaça cria uma situação falsa para a vítima e se apresenta como a pessoa certa para resolvê-la. Muitas vezes (e mais ironicamente) o golpista alega que a vítima foi impactada por uma violação de segurança e, então, se oferece para consertar as coisas se a vítima fornecer informações importantes da conta ou controle sobre o computador ou dispositivo da vítima. Tecnicamente falando, quase todo ataque de engenharia social envolve algum grau de pretexting.
Quid pro quo
Em um golpe quid pro quo, os hackers penduram um bem ou serviço desejável em troca de informações confidenciais da vítima. Ganhos falsos em concursos ou recompensas de fidelidade aparentemente inocentes (“obrigado pelo seu pagamento, temos um presente para você”) são exemplos de estratagemas quid pro quo.
Scareware
Também considerado uma forma de malware, o scareware é um software que usa o medo para manipular as pessoas a compartilhar informações confidenciais ou baixar malware. O scareware geralmente assume a forma de um aviso falso da polícia acusando o usuário de um crime, ou uma mensagem falsa de suporte técnico alertando o usuário sobre malware em seu dispositivo.
Ataque de watering hole
Da frase “alguém envenenou o watering hole”, hackers injetam código malicioso em uma página da web legítima que é frequentada por seus alvos. Ataques de watering hole são responsáveis por tudo, desde credenciais roubadas até downloads de ransomware drive-by involuntários.
Defesas contra engenharia social
Ataques de engenharia social são notoriamente difíceis de prevenir porque dependem da psicologia humana em vez de caminhos tecnológicos. A superfície de ataque também é significativa: em uma organização maior, basta um erro de um funcionário para comprometer a integridade de toda a rede empresarial. Algumas das etapas que os especialistas recomendam para mitigar o risco e o sucesso de golpes de engenharia social incluem:
Treinamento de conscientização de segurança: muitos usuários não sabem como identificar ataques de engenharia social. Em uma época em que os usuários frequentemente trocam informações pessoais por bens e serviços, eles não percebem que entregar informações aparentemente mundanas, como um número de telefone ou data de nascimento, pode permitir que hackers invadam uma conta. O treinamento de conscientização de segurança, combinado com políticas de segurança de dados, pode ajudar os funcionários a entender como proteger seus dados confidenciais e como detectar e responder a ataques de engenharia social em andamento.
Políticas de controle de acesso: políticas e tecnologias de controle de acesso seguro, incluindo autenticação multifator, autenticação adaptável e uma abordagem de segurança de confiança zero, podem limitar o acesso de criminosos cibernéticos a informações e ativos confidenciais na rede corporativa, mesmo que obtenham as credenciais de login dos usuários.
Tecnologias de segurança cibernética: filtros de spam e gateways de e-mail seguros podem evitar que alguns ataques de phishing cheguem aos funcionários em primeiro lugar. Firewalls e software antivírus podem mitigar a extensão de qualquer dano causado por invasores que ganham acesso à rede. Manter os sistemas operacionais atualizados com os patches mais recentes também pode fechar algumas vulnerabilidades que os invasores exploram por meio de engenharia social. Além disso, soluções avançadas de detecção e resposta, incluindo detecção e resposta de endpoint (EDR) e detecção e resposta estendida (XDR), podem ajudar as equipes de segurança a detectar e neutralizar rapidamente as ameaças de segurança que infectam a rede por meio de táticas de engenharia social.
