Os seres humanos são os pontos de entrada de segurança cibernética mais vulneráveis. No relatório Human Hacking publicado pelo SlashNext Threat Labs, os dados mostram que os ataques de phishing aumentaram 51% em 2020 e 59% foram roubo de credenciais.
Como a interação humana mudou amplamente para a nuvem, os cibercriminosos estão tirando proveito disso atacando fora dos e-mails e buscando canais menos seguros, como SMS, mídia sociais, jogos, ferramentas de colaboração e aplicativos de pesquisa. Os ataques de engenharia social são o método preferido de quem não tem boas intenções, conforme demonstrado no aumento de 270% em 2021, segundo o SlashNext.
Mas o que é engenharia social? Como funcionam os ataques e como se proteger? É o que você vai entender ao ler este post.
Engenharia social o que é?
Engenharia social é a arte de manipular as pessoas para que elas forneçam informações confidenciais. Os tipos de informação que esses criminosos procuram podem variar.
Mas quando os indivíduos são visados, os criminosos geralmente tentam enganá-los para que forneçam suas senhas, informações bancárias ou acessem seu computador para instalar secretamente um software malicioso - o que lhes dará acesso a suas senhas e informações bancárias, além de dar controle sobre o computador.
Nos golpes de engenharia social, os criminosos ocultam suas verdadeiras identidades e motivos, apresentando-se como indivíduos ou fontes de informação confiáveis.
O objetivo dos ataques de engenharia social é influenciar, manipular ou induzir os usuários a liberarem informações confidenciais ou acesso dentro de uma organização. Por exemplo, o invasor pode fingir ser um colega de trabalho com algum tipo de problema urgente que requer acesso a recursos de rede adicionais.
Como funcionam os ataques de engenharia social
Os criminosos usam uma variedade de táticas para realizar ataques. A primeira etapa na maioria dos golpes de engenharia social é o invasor realizar uma pesquisa e reconhecimento do alvo. Se o alvo for uma empresa, por exemplo, o hacker pode reunir informações sobre a estrutura organizacional, operações internas, jargão comum da indústria e possíveis parceiros de negócios, entre outras informações.
Uma estratégia comum é focar nos comportamentos e padrões dos colaboradores que têm acesso inicial, como um segurança ou recepcionista. Os invasores podem investigar os perfis de mídia social em busca de informações pessoais e estudar seu comportamento on-line e pessoalmente.
A partir daí, o criminoso pode projetar um ataque com base nas informações coletadas e explorar a fraqueza descoberta durante a fase de reconhecimento. Se o ataque for bem-sucedido, ele terá acesso a informações confidenciais, como números do CPF e informações de cartão de crédito ou conta bancária, além também de obter acesso a sistemas ou redes protegidas.
Por que a engenharia social é perigosa?
Os casos de ataques de engenharia social são populares e perigosos porque geralmente é mais fácil explorar as pessoas do que encontrar uma vulnerabilidade de rede ou software. Os hackers costumam usar essas táticas como uma primeira etapa em uma campanha maior para se infiltrar em um sistema ou rede e roubar dados confidenciais.
Segurança significa saber em quem e em que confiar. É importante saber quanto e quando não acreditar na palavra de uma pessoa. O mesmo se aplica às interações on-line e ao uso do site: quando confiar que o site que está usando é legítimo ou seguro para fornecer suas informações?
Pergunte a qualquer profissional de segurança e ele dirá que o elo mais fraco na cadeia de segurança é o ser humano. Não importa quantas fechaduras haja nas portas e janelas ou se há cães de guarda, sistemas de alarme, cercas eletrificadas ou seguranças armados: se confiar em uma pessoa no portão que diz ser o instalador da internet e deixá-la entrar, se estará completamente exposto a qualquer risco que ela represente.
5 técnicas de ataque de engenharia social
Os golpes de engenharia social vêm em muitas formas diferentes e podem ser executados em qualquer lugar onde haja interação humana. A seguir estão as cinco formas mais comuns de ataques de engenharia social digital.
-
Isca:
Um invasor deixa um dispositivo físico infectado por malware, como um pendrive, em um lugar que certamente será encontrado. O alvo então pega o dispositivo e o insere no computador, instalando o malware sem querer.
-
Phishing:
Quando o criminoso envia um e-mail fraudulento disfarçado de e-mail legítimo, muitas vezes alegando ser de uma fonte confiável. O objetivo da mensagem é enganar o destinatário para que compartilhe informações financeiras ou pessoais ou clique em um link que instale um malware.
-
Spear phishing:
É como o phishing, mas o ataque é feito sob medida para um indivíduo ou organização específica.
-
Vishing:
Também conhecido como phishing de voz, o vishing envolve o uso de engenharia social por telefone para coletar informações financeiras ou pessoais do alvo.
-
Whaling:
Um tipo específico de ataque de phishing. Funciona como um ataque de caça às baleias e tem como alvo funcionários de alto perfil, como o diretor financeiro ou o diretor executivo. O objetivo é enganar o colaborador visando que ele divulgue informações confidenciais.
Casos de ataques de engenharia social
Os exemplos de casos de ataques por engenharia social a seguir darão uma ideia de como eles funcionam e como podem ser prejudiciais para empresas e indivíduos.
-
COVID-19
Devido ao surto do COVID-19, surgiu um aumento nos esquemas de phishing. Pessoas mal-intencionadas estão se passando por representantes do Ministério da Saúde ou da Organização Mundial da Saúde (OMS). Esses e-mails são projetados para enganar e induzir os destinatários a uma ação, como clicar em um link malicioso ou abrir um anexo com um vírus.
-
Shark Tank
A juíza do programa de televisão Shark Tank, Barbara Corcoran, foi enganada em um esquema de phishing e engenharia social de quase US$ 400 mil em 2020. Um cibercriminoso se fez passar por sua assistente e enviou um e-mail para o contador solicitando a renovação do pagamento relacionado a investimentos imobiliários. Ele usou um endereço de e-mail semelhante ao legítimo. A fraude só foi descoberta depois que o contador enviou um e-mail para o endereço correto do assistente perguntando sobre a transação.
-
Toyota
A Toyota Boshoku Corporation, fornecedora de peças automotivas, foi vítima de um ataque de engenharia social e BEC (Business Email Compromise) em 2019. O dinheiro perdido chega a US$ 37 milhões. Usando persuasão, os invasores persuadiram um executivo financeiro a alterar as informações da conta bancária do destinatário em uma transferência eletrônica.
Como se proteger da engenharia social
Os engenheiros sociais manipulam os sentimentos humanos, como curiosidade ou medo, para realizar esquemas e atrair as vítimas para suas armadilhas. Portanto, é preciso cuidado sempre que se sentir alarmado por um e-mail, atraído por uma oferta exibida em um site ou quando se deparar com um pendrive perdido.
Estar alerta pode ajudar contra a maioria dos ataques que ocorrem no mundo digital. Além disso, as dicas a seguir podem ajudar a se proteger da engenharia social:
-
Não abrir e-mails e anexos de fontes suspeitas
Se você não conhece o remetente em questão, não precisa responder a um e-mail. Mesmo que você os conheça e suspeite da mensagem, cruze e confirme as notícias de outras fontes, como por telefone ou diretamente do site de um provedor de serviços. Lembre-se de que endereços de e-mail são falsificados o tempo todo, até mesmo um e-mail supostamente vindo de uma fonte confiável.
-
Use autenticação multifator
Uma das informações mais valiosas que os invasores buscam são as credenciais do usuário. O uso da autenticação multifator ajuda a garantir a proteção de sua conta no caso de comprometimento do sistema.
-
Desconfie de ofertas tentadoras
Se uma oferta parecer muito atraente, pense duas vezes antes de aceitá-la como um fato. Pesquisar o tópico no Google pode ajudar a determinar rapidamente se você está lidando com uma oferta legítima ou uma armadilha.
-
Mantenha seu software antivírus e antimalware atualizados
Certifique-se de que as atualizações automáticas estejam ativadas. Verifique periodicamente para certificar-se de que as atualizações foram aplicadas e faça uma varredura em seu sistema em busca de possíveis infecções.
-
Treinamento de conscientização em cibersegurança
Os funcionários de uma empresa estão expostos a ataques sofisticados de phishing e ransomware, podendo ser o elo mais fraco ou a defesa mais poderosa. Por esse motivo, é importante que possuam consciência em cibersegurança, o que requer treinamentos de conscientização e simulações de ataques de phishing.
Quer saber mais sobre o universo da cibersegurança e ver, em tempo real, como os ataques são realizados? Então não perca o blog post “6 mapas de ataques cibernéticos online para acompanhar”.