As pessoas são animais sociais; gostamos de nos misturar, comunicar, trabalhar, e divertirmo-nos juntos. Este comportamento socializado, construído sobre relações de confiança, faz com que os grupos humanos cooperem e coexistam.
Infelizmente, são também estes aspectos sociais do comportamento humano que os cibercriminosos, com a intenção de prejudicar, podem explorar as vulnerabilidades. Os ataques de engenharia social utilizam truques e imitações para enganar as pessoas a realizarem uma acção que beneficia um burlão.
Isto é confirmado pelo Relatório de Investigação de Violação de Dados de 2022 da Verizon Data Breach Investigations Report (DBIR), que constatou que 82% das violações envolvem um elemento humano.
Aqui está um olhar sobre como os ataques de engenharia social acontecem e o que pode fazer para evitar que o seu pessoal seja socialmente concebido.
Como acontecem os ataques da Engenharia Social?
De acordo com um relatório, a organização sofre em média 700 ataques de engenharia social por ano. Os ataques de engenharia social assumem muitas formas e evoluem para novas formas de evasão à detecção.
O objectivo de um ataque de engenharia social é levar alguém a fazer algo que beneficie um cibercriminoso. Por exemplo, enganar uma pessoa para que revele detalhes financeiros que são depois utilizados para levar a cabo uma fraude.
A engenharia social não é realizada apenas através de métodos digitais. Os engenheiros sociais recorrerão a qualquer táctica para construir as estruturas necessárias para enganar as pessoas. Isto pode incluir utilizar o telefone ou entrar num escritório e conversar com o pessoal.
Os actuais truques favoritos de engenharia social incluem:
Pretextos e perseguição: os atacantes fingirão ser um colega de trabalho ou uma pessoa com autoridade, por exemplo, um agente da polícia. Utilizarão este disfarce para estabelecer confiança com um alvo através de um método digital, telefone, ou pessoalmente. Uma vez estabelecida a confiança, o golpista tentará extrair informações, tais como dados pessoais ou detalhes financeiros.
Para além disso, os alfaiates realizam frequentemente ataques físicos a empresas, encontrando formas de entrar num edifício, passando despercebidos ou mesmo convidados. Uma vez dentro de um edifício, podem utilizar ferramentas facilmente disponíveis, tais como o RubberDucky, utilizado por testadores de penetração legítimos, para roubar dados, incluindo credenciais de login.
Phishing: o phishing vem em vários sabores, incluindo e-mail, chamadas telefónicas, mensagens de texto e mensagens de social media. As mensagens de phishing encapsulam tácticas de engenharia social, aplicando o fingimento, a confiança, e o desejo de clicar para encorajar os destinatários a divulgar informações pessoais, tais como palavras-passe e detalhes de cartões de crédito.
Um estudo do governo britânico sobre segurança cibernética revelou que a grande maioria (83%) das empresas que identificaram um ataque cibernético disseram que o phishing era o principal vector do ataque.
O Spearphishing é a forma orientada de phishing que leva a engenharia social às maiores alturas de sucesso. Os emails de Spear-phishing são difíceis de diferenciar dos emails legítimos porque os golpistas se esforçam ao máximo para os fazer parecer realistas, muitas vezes formando relações de confiança com o seu alvo. O Spearphishing está por detrás de 93% dos ataques cibernéticos, de acordo com o DBIR de 2018.
Isco: este ataque de engenharia social utiliza o aliciamento ou o medo de falhar (FOMO) para encorajar certos comportamentos. Por exemplo, a um empregado podem ser oferecidos presentes gratuitos se fornecerem informações ou senhas pessoais ou da empresa.
Porque são eficazes os ataques de engenharia social?
Os seres humanos evoluíram para agir e comportar-se de certas formas para estabelecer estruturas sociais fortes e coesas. Elementos como a confiança são componentes vitais de sociedades coerentes. Sem confiança, as relações fracassam.
Os golpistas compreendem o comportamento humano e a necessidade de construir relações de confiança. Compreendem também como manipular as pessoas fingindo ser uma pessoa de confiança ou construindo relações de confiança.
Outros comportamentos humanos como a vontade de fazer um bom trabalho, não se meter em problemas, ou não perder uma coisa boa são também abusados por cibercriminosos. Todas estas acções naturais que realizamos diariamente na nossa vida doméstica e laboral estão abertas à exploração por cibercriminosos que pretendem roubar dados e aceder a redes para realizar actos maliciosos.
5 Exemplos de Ataques de Engenharia Social
Exemplos de engenharia social estão regularmente na imprensa, mas aqui estão cinco para lhe dar uma ideia de como funciona a engenharia social:
Hotel Marriott: um grupo de hacking utilizou tácticas de engenharia social para roubar 20 GB de dados pessoais e financeiros de um Hotel Marriott. Os hackers enganaram um associado do Hotel Marriott para dar ao grupo de hacking acesso ao computador do associado.
Departamento do Trabalho dos EUA (DoL): isto envolveu um ataque socialmente engendrado que roubava as credenciais de login do Office 365. O ataque utilizou phishing sofisticado baseado em domínios inteligentemente falsificados que se pareciam exactamente com o domínio legítimo de DoL. Os e-mails pareciam ser de um alto funcionário do DoL convidando-os a apresentar uma proposta para um projecto governamental. Ao clicar no botão de licitação, o empregado foi levado a um site de phishing utilizado para roubar credenciais.
Utilizadores do zoom: uma campanha de phishing dirigida aos empregados afectou pelo menos 50.000 utilizadores. Os engenheiros sociais utilizaram o medo de despedimento para encorajar os empregados a clicar num link para se encontrarem com os RH sobre o Zoom. Clicar no link levou o empregado a um site de login Zoom falso, concebido para roubar palavras-passe.
FACC (fabricante austríaco de aviões): A FACC perdeu cerca de 42 milhões de euros quando a empresa se tornou vítima de um esquema sofisticado de Business Email Compromise (BEC). O CEO da empresa tinha a sua conta de e-mail falsificada e depois enviava um pedido "urgente" de transferência de fundos por e-mail. Este e-mail enganou um empregado de conta a pagar que aceitou o pedido, pagando o dinheiro para a conta do burlão.
Chamada de retorno de crowdstrike: até os vendedores de segurança estão a sentir a força da engenharia social. O crowdstrike tornou-se um peão involuntário no jogo do engenheiro social. Os golpistas estão a utilizar a marca de confiança da Crowdstrike e outros vendedores de segurança para enviar e-mails de phishing aos empregados. O e-mail contém detalhes de uma possível infecção por malware e um número de telefone para telefonar a fim de remover o malware instalado. Se o funcionário atingir o número, é enganado para dar ao atacante acesso ao seu computador.
Como se proteger contra ataques de engenharia social
A engenharia social é bem sucedida porque a técnica manipula as nossas acções diárias. Isto torna difícil para os empregados detectar que eles fazem parte de um ataque de engenharia social.
A engenharia social tem de fazer parte da conversa em torno da sensibilização para a segurança, e as políticas de segurança devem reflectir isto. No entanto, existem formas práticas de assegurar que os empregados estejam a par dos truques que os golpistas da engenharia social jogam:
Faça da engenharia social parte da sua cultura de segurança:
- Envolver o pessoal em actualizações regulares sobre engenharia social e como esta funciona.
- Certifique-se de que a engenharia social faz parte da sua formação regular de Sensibilização para a Segurança.
- Incluir a engenharia social nos cartazes do mês de sensibilização para a segurança e enviar boletins informativos ao pessoal sobre as questões causadas pela engenharia social.
Implementar simulações de phishing: utilizar uma plataforma de phishing simulada avançada para formar o pessoal sobre o aspecto dos e-mails de phishing e para testar a sua resposta a um e-mail de phishing. Adapte estes e-mails a diferentes papéis na sua organização e baseie as simulações em tácticas conhecidas utilizadas pelos golpistas.
Penetração teste a sua empresa e pessoal: estabeleça vários cenários de teste para ver até que ponto o pessoal responde bem a potenciais tentativas de engenharia social. Isto pode incluir testes para ver até que ponto é fácil (ou difícil) conseguir entrar no edifício.
Além disso, testar o pessoal e a sua resposta a indivíduos desconhecidos. Por exemplo, colocar os testadores como limpadores ou empreiteiros e ver até onde podem chegar ao extrair informação sobre a sua empresa ou pedir acesso a um computador.
