O que é o social engineering? Explore neste artigo cinco exemplos famosos de ataques de engenharia social e descubra como estas tácticas enganam os indivíduos. De fato, os seres humanos são inerentemente seres sociais, que gostam de se misturar, comunicar, trabalhar e partilhar actividades. Esta sociabilidade, baseada na confiança, facilita a cooperação e a coexistência nos grupos humanos.
No entanto, estas características sociais são também exploradas por cibercriminosos com o objetivo de causar danos. Os ataques de engenharia social capitalizam estas vulnerabilidades, empregando o engano e a personificação para manipular os indivíduos e levá-los a realizar acções que sirvam os objectivos do burlão.
Este facto é confirmado pelo Relatório de Investigações de Violação de Dados (DBIR) da Verizon de 2023, que concluiu que 82% das violações envolvem um elemento humano.
Aqui está um olhar sobre como os ataques de engenharia social acontecem e o que pode fazer para evitar que o seu pessoal seja socialmente concebido.
Como acontecem os ataques da engenharia social?
De acordo com um relatório recente, uma organização média sofre 700 ataques de engenharia social por ano. Os ataques de engenharia social assumem muitas formas e evoluem para novas formas para evitar a deteção.
O objectivo de um ataque de engenharia social é levar alguém a fazer algo que beneficie um cibercriminoso. Por exemplo, enganar uma pessoa para que revele detalhes financeiros que são depois utilizados para levar a cabo uma fraude.
A engenharia social não é realizada apenas através de métodos digitais. Os engenheiros sociais recorrerão a qualquer táctica para construir as estruturas necessárias para enganar as pessoas. Isto pode incluir utilizar o telefone ou entrar num escritório e conversar com o pessoal.
Os actuais truques favoritos de engenharia social incluem:
Pretexting e tailgating: os atacantes fingirão ser um colega de trabalho ou uma pessoa com autoridade, por exemplo, um agente da polícia. Utilizarão este disfarce para estabelecer confiança com um alvo através de um método digital, telefone, ou pessoalmente. Uma vez estabelecida a confiança, o golpista tentará extrair informações, tais como dados pessoais ou detalhes financeiros.
Além disso, os tailgators realizam frequentemente ataques físicos a empresas, encontrando formas de entrar num edifício, passando despercebidos ou mesmo convidados. Uma vez dentro de um edifício, podem utilizar ferramentas facilmente disponíveis, como o RubberDucky USB utilizado por testadores de penetração legítimos, para roubar dados, incluindo credenciais de início de sessão.
Phishing: o phishing tem várias formas, incluindo correio eletrónico, chamadas telefónicas, publicações nas redes sociais e mensagens de texto. As mensagens de ataque de phishing encapsulam tácticas de engenharia social, utilizando a pretensão, a confiança e a vontade de clicar para incentivar os destinatários a divulgar informações pessoais, como palavras-passe e detalhes de cartões de crédito.
Um estudo do governo britânico sobre segurança cibernética revelou que a grande maioria (83%) das empresas que identificaram um ataque cibernético disseram que o phishing era o principal vector do ataque.
O Spearphishing é a forma direccionada de phishing que leva a engenharia social ao mais alto nível de sucesso. Os e-mails de spearphishing são difíceis de diferenciar dos e-mails legítimos, porque os burlões fazem de tudo para os fazer parecer realistas, estabelecendo frequentemente relações de confiança com o seu alvo. O Spearphishing está na origem de 93% dos ciberataques, de acordo com o DBIR de 2018.
Baiting: este ataque de engenharia social utiliza o aliciamento ou o medo de falhar (FOMO) para encorajar certos comportamentos. Por exemplo, a um empregado podem ser oferecidos presentes gratuitos se fornecerem informações ou senhas pessoais ou da empresa.
Porque são eficazes os ataques de engenharia social?
Os seres humanos evoluíram para agir e comportar-se de certas formas para estabelecer estruturas sociais fortes e coesas. Elementos como a confiança são componentes vitais de sociedades coerentes. Sem confiança, as relações fracassam.
Os golpistas compreendem o comportamento humano e a necessidade de construir relações de confiança. Compreendem também como manipular as pessoas fingindo ser uma pessoa de confiança ou construindo relações de confiança.
Outros comportamentos humanos como a vontade de fazer um bom trabalho, não se meter em problemas, ou não perder uma coisa boa são também abusados por cibercriminosos. Todas estas acções naturais que realizamos diariamente na nossa vida doméstica e laboral estão abertas à exploração por cibercriminosos que pretendem roubar dados e aceder a redes para realizar actos maliciosos.
5 Exemplos de Ataques de Engenharia Social
Exemplos de engenharia social estão regularmente na imprensa, mas aqui estão cinco para lhe dar uma ideia de como funciona a engenharia social:
Hotel Marriott: um grupo de hacking utilizou tácticas de engenharia social para roubar 20 GB de dados pessoais e financeiros de um Hotel Marriott. Os hackers enganaram um associado do Hotel Marriott para dar ao grupo de hacking acesso ao computador do associado.
Departamento do Trabalho dos EUA (DoL): isto envolveu um ataque socialmente engendrado que roubava as credenciais de login do Office 365. O ataque utilizou phishing sofisticado baseado em domínios inteligentemente falsificados que se pareciam exactamente com o domínio legítimo de DoL. Os e-mails pareciam ser de um alto funcionário do DoL convidando-os a apresentar uma proposta para um projecto governamental. Ao clicar no botão de licitação, o empregado foi levado a um site de phishing utilizado para roubar credenciais.
Utilizadores do Zoom: uma campanha de phishing dirigida aos empregados afectou pelo menos 50.000 utilizadores. Os engenheiros sociais utilizaram o medo do despedimento para incentivar os empregados a clicar numa ligação para se reunirem com os RH através do Zoom. Ao clicar na hiperligação, o funcionário era conduzido a um falso sítio de início de sessão no Zoom, concebido para roubar palavras-passe.
FACC (fabricante austríaco de aviões): A FACC perdeu cerca de 42 milhões de euros quando a empresa se tornou vítima de um esquema sofisticado de Business Email Compromise (BEC). O CEO da empresa tinha a sua conta de e-mail falsificada e depois enviava um pedido "urgente" de transferência de fundos por e-mail. Este e-mail enganou um empregado de conta a pagar que aceitou o pedido, pagando o dinheiro para a conta do burlão.
Chamada de retorno de crowdstrike: até os vendedores de segurança estão a sentir a força da engenharia social. O crowdstrike tornou-se um peão involuntário no jogo do engenheiro social. Os golpistas estão a utilizar a marca de confiança da Crowdstrike e outros vendedores de segurança para enviar e-mails de phishing aos empregados. O e-mail contém detalhes de uma possível infecção por malware e um número de telefone para telefonar a fim de remover o malware instalado. Se o funcionário atingir o número, é enganado para dar ao atacante acesso ao seu computador.
Como se proteger contra ataques de engenharia social
A engenharia social é bem sucedida porque a técnica manipula as nossas acções diárias. Isto torna difícil para os empregados detectar que eles fazem parte de um ataque de engenharia social.
A engenharia social tem de fazer parte da conversa em torno da sensibilização para a segurança, e as políticas de segurança devem reflectir isto. No entanto, existem formas práticas de assegurar que os empregados estejam a par dos truques que os golpistas da engenharia social jogam:
Faça da engenharia social parte da sua cultura de segurança:
- Envolver o pessoal em actualizações regulares sobre engenharia social e como esta funciona.
- Certifique-se de que a engenharia social faz parte da sua formação regular de Sensibilização para a Segurança.
- Incluir a engenharia social nos cartazes do mês de sensibilização para a segurança e enviar boletins informativos ao pessoal sobre as questões causadas pela engenharia social.
Implementar simulações de phishing: utilize uma plataforma avançada de simulação de phishing para formar o pessoal sobre o aspeto dos e-mails de phishing e para testar a sua resposta a um e-mail de phishing. Adapte estas mensagens electrónicas a diferentes funções na sua organização e baseie as simulações em tácticas conhecidas utilizadas pelos burlões.
Penetração teste a sua empresa e pessoal: estabeleça vários cenários de teste para ver até que ponto o pessoal responde bem a potenciais tentativas de engenharia social. Isto pode incluir testes para ver até que ponto é fácil (ou difícil) conseguir entrar no edifício.
Além disso, testar o pessoal e a sua resposta a indivíduos desconhecidos. Por exemplo, colocar os testadores como limpadores ou empreiteiros e ver até onde podem chegar ao extrair informação sobre a sua empresa ou pedir acesso a um computador.
