Os cibercriminosos têm aplicado cada vez mais o "factor humano", também conhecido como engenharia social, com grande efeito quando realizam um ataque cibernético. Vários estudos mostram que não se trata apenas de rumores e que a engenharia social é uma técnica de ataque cibernético bem sucedida: dados da pesquisa de segurança da PurpleSec, por exemplo, descobriram que 98% dos ataques cibernéticos são baseados em engenharia social.
Os cibercriminosos fizeram dos nossos empregados a linha da frente dos ataques cibernéticos: visando-os através de e-mails maliciosos; enganando-os com chamadas telefónicas enganosas, e manipulando geralmente o comportamento.
Ao educar os nossos empregados sobre tácticas e técnicas de engenharia social, uma empresa capacita-os a lutar contra os autores de fraudes. Mas certas melhores práticas devem ser seguidas para assegurar um programa bem sucedido de educação em engenharia social.
Aqui está o guia MetaCompliance para educar os empregados sobre engenharia social:
O que é Engenharia Social?
A engenharia social, no contexto da segurança cibernética, é uma técnica ou série de técnicas, utilizada para manipular um ser humano para fazer algo benéfico para um cibercriminoso.
Há muitos truques para o ofício de engenheiro social, e estes podem mudar com o tempo à medida que os cibercriminosos optimizam as suas tácticas. O resultado da engenharia social é enganar os empregados (ou o público) para entregarem dados sensíveis, tais como credenciais de login, ou transferir dinheiro para um fraudador, ou cometer um erro, tal como clicar num link de phishing.
A engenharia social é tipicamente uma técnica gradual, que envolve:
- Vigilância: A recolha de informação é uma componente chave de um ataque cibernético socialmente engendrado. São recolhidas informações pessoais e empresariais sobre empregados alvo, os alvos são tipicamente aqueles que trabalham em áreas tais como contas a pagar ou administração de TI.
- Cuidar do alvo: A informação recolhida durante a vigilância é utilizada para construir relações com o funcionário alvo. Alguns autores de fraudes chegam mesmo a chamar o funcionário para criar uma ligação amigável com eles, preparando-os para a exploração.
- Explorando a marca: Esta é uma parte fundamental do ataque cibernético socialmente engendrado, desenvolvendo a relação desenvolvida com base na informação recolhida. Esta relação é explorada para executar o ataque, por exemplo, recebendo um nome de utilizador e uma palavra-chave por telefone ou abrindo um anexo de correio electrónico infectado.
- Levar o hack à conclusão: A fase de exploração lança as bases para levar a cabo a parte central do ataque cibernético. Um engenheiro social experiente será capaz de se afastar do ataque cibernético sabendo que levará algum tempo até que o empregado ou empresa se dê conta de que foram explorados.
Exemplos de Engenharia Social
A engenharia social vem em muitas formas que incluem tanto a baixa tecnologia, como a alta tecnologia e, muitas vezes, híbridos de ambas. Alguns exemplos mostram os tipos de formas em que os nossos empregados são socialmente concebidos:
Ataque Massivo de Engenharia Social contra Google e Facebook
O Business Email Compromise (BEC) é um esquema que utiliza a engenharia social para enganar um empregado a enviar um pagamento da empresa ao fraudador, envolvendo muitas vezes grandes somas de dinheiro.
Em 2019, um grande esquema de BEC roubou cerca de 100 milhões de dólares a empresas, incluindo Google e Facebook. Os golpistas criaram uma empresa falsa com um nome semelhante a uma empresa legítima com a qual as empresas alvo lidavam. A partir daí, enviaram e-mails de pesca submarina a funcionários e agentes específicos das empresas vítimas.
Para obterem conhecimentos sobre quais os empregados a visar, os infractores utilizam tipicamente técnicas de vigilância para compreender a melhor forma de manipular o comportamento do empregado visado.
Esquema Microsoft 365
Marcas como o Microsoft 365 são frequentemente utilizadas para engendrar socialmente e enganar os empregados.
Um ataque recente envolvendo o Microsoft 365, foi criado para roubar as credenciais de login dos funcionários. Neste ataque cibernético, os autores das fraudes utilizaram técnicas para escapar aos gateways de correio electrónico, pelo que os e-mails de phishing puderam acabar na caixa de entrada de um funcionário alvo, parecendo um e-mail Microsoft 365 aparentemente legítimo. O e-mail de phishing utilizava uma linha de assunto sobre uma "revisão de preços" e continha um ficheiro de folha de cálculo Excel como anexo. O truque era que a "folha de cálculo" era, de facto, um ficheiro .html disfarçado. O ficheiro redireccionava qualquer pessoa que o abrisse para um sítio web que depois pedia que introduzisse as suas credenciais de login Microsoft 365.
5 Melhores Práticas no Ensino de Engenharia Social aos Empregados
Assim que estiver pronto para educar os seus empregados sobre engenharia social, vale a pena utilizar estas cinco melhores práticas:
Best Practise One: Compreender a complexa teia da engenharia social
Construir uma base de conhecimentos em tácticas e técnicas de engenharia social. Isto formará a base para o seu pacote educativo. A engenharia social baseia-se na psicologia humana, pelo que a compreensão de como os burlões manipulam o comportamento humano é fundamental para prevenir um ataque cibernético bem sucedido com base neste método.
Por conseguinte, a formação de empregados para reconhecer uma tentativa de engenharia social é mais complexa do que a educação em torno do phishing; contudo, as simulações de phishing devem fazer parte de um programa de formação de engenharia social mais amplo.
Um programa abrangente de educação em engenharia social deve também incluir a forma como estes esquemas funcionam e os tipos de comportamento ou situações que manipulam, por exemplo, a confiança, a urgência, as relações, etc.
Melhor Prática Dois: Formação de Sensibilização para a Segurança +SEE
Os pacotes de Formação de Sensibilização para a Segurança Geral devem sempre incluir educação em engenharia social. A higiene da segurança e a sensibilização geral para o phishing fazem todos parte de uma tentativa bem sucedida de engenharia social. Adicione a educação em engenharia social (SEE) ao seu programa mais vasto de Formação de Sensibilização em Segurança para tornar os truques de engenharia social visíveis a todos.
Melhores Práticas Três: Aprendizagem inteligente
Todos os seres humanos tendem a aprender melhor quando são ensinados usando técnicas interactivas. A investigação identificou certos critérios para uma aprendizagem eficaz:
- Faça as lições breves mas informativas:Construa sobre elas e repita-as regularmente para uma aprendizagem óptima.
- A intercalação ou alternância de ideias à medida que se aprende, cria pausas naturais entre sessões, ajudando a reforçar as ideias. Certifique-se também de apontar ligações entre diferentes áreas da segurança cibernética e tácticas de engenharia social para ajudar os funcionários a compreender a complexidade destes tipos de ataques.
- Utilizar 'exemplos concretos' para fazer com que a aprendizagem fique na mente do empregado.
Melhores Práticas Quatro: Enxaguar e Repetir
A engenharia social, tal como outros métodos de ataque à segurança cibernética, está a ser continuamente optimizada por cibercriminosos. Certifique-se de que realiza sessões regulares de formação em engenharia social como parte do seu programa mais vasto de Formação de Sensibilização para a Segurança. Automatize a sua campanha de sensibilização sobre segurança para melhorar e optimizar a formação.
As Melhores Práticas Cinco: Faça do seu Local de Trabalho uma Zona de Engenharia Social Zero-Tolerância
Ao construir a confiança da sua força de trabalho na detecção e prevenção de um ataque cibernético socialmente engendrado, a sua organização construirá uma cultura de consciência de segurança.
Esta cultura irá cimentar a sua força de trabalho contra ataques cibernéticos, mesmo que a engenharia social seja complexa e jogue com os medos, comportamento, urgência e relações dos empregados. Esta cultura estender-se-á também à sua vida doméstica, tornando a sua segurança geral melhor e ajudando também a desarranjar ambientes de trabalho domésticos.
Nos ciberataques que utilizam técnicas de engenharia social, o ser humano é a vulnerabilidade de segurança. Ao capacitar a sua força de trabalho com os conhecimentos necessários para detectar tentativas de engenharia social, fortalece o seu negócio e os seus empregados.