Saber como detectar os sinais de um ataque de engenharia social pode ajudar a impedir que estes tipos de ataques tenham êxito e proteger os dados e sistemas sensíveis da sua organização.
Porquê passar pelo incómodo de arrombar uma porta quando se pode pedir a alguém que lhe entregue a chave? Este cenário é a analogia que descreve porque é que a engenharia social se tornou a técnica de ataque cibernético mais utilizada.
O Relatório de Investigação de Violação de Dados de 2021 Verizon observou uma tendência ascendente na utilização da engenharia social desde 2017. Outro relatório identificou um aumento de 270% nos ciberataques baseados na engenharia social em 2021.
É tão difícil detectar os sinais da engenharia social porque funciona através da manipulação do comportamento quotidiano da nossa vida quotidiana. Então, como pode um empregado saber se é alvo de um esquema de engenharia social?
O que é Engenharia Social?
A compreensão dos vários elementos utilizados durante a engenharia social ajuda as pessoas a detectar os sinais de um ataque de engenharia social.
Os cibercriminosos estão sempre à procura de formas de aceder a informação sensível ou de manipular um processo comercial para prejudicar. Estes danos variam, incluindo esquemas de Business Email Compromise (BEC) e infecção por malware.
Ambos estes tipos de ataques cibernéticos estão a aumentar: As burlas BEC custaram às empresas globais mais de 43 mil milhões de dólares nos cinco anos até 2021, com um aumento de 65% das perdas entre Julho de 2019 e Dezembro de 2021; a investigação revelou que 71% das empresas foram vítimas de um ataque de malware em 2021. Esquemas sofisticados e complexos de engenharia social estão por detrás destes aumentos.
A engenharia social explora o comportamento humano, pelo que os indivíduos levam a cabo acções que beneficiam o defraudador. Por outras palavras, os infractores conseguem que os indivíduos façam o seu trabalho sujo por eles sem o saberem. As tácticas utilizadas pelos golpistas durante um ataque de engenharia social baseiam-se na manipulação de comportamentos, enganos e truques psicológicos. Esta manipulação é ajudada por uma falta de conhecimento em nome do alvo individual.
A engenharia social é um método de ataque subtil e inteligente. Os investigadores Abid, et al., identificaram as fases típicas do ciclo de vida de um ataque de engenharia social:
- Recolha de informação: reconhecimento para identificar padrões de comportamento, aplicações utilizadas, e processos empresariais que podem ser explorados. Isto permite estabelecer um nível de confiança com o alvo e inteligência para explorar essa confiança.
- Desenvolver relações: esta confiança é utilizada para desenvolver relações em preparação para a fase seguinte.
- Exploração: a tarefa maliciosa é realizada, por exemplo, clicando num link num e-mail de phishing ou activando uma transferência bancária de dinheiro.
- Execução: a última fase em que o hacker recebe dinheiro ou ganha acesso às credenciais de login para instalar o ransomware ou aceder a informação sensível.
Com as fases de um ataque de engenharia social em mente, como se pode detectar um ataque de engenharia social antes que seja demasiado tarde?
Cinco Sinais que Está a Ser Engenheiro Social
Alguns dos sinais mais óbvios são também os mais difíceis de detectar, pois disfarçam-se de eventos regulares. No entanto, a arte de detectar o inesperado ou quando algo está simplesmente "errado" é algo que a Formação Regular de Sensibilização para a Segurança ajuda a estabelecer.
Aqui estão cinco sinais típicos da engenharia social:
Um Anexo ou Ligação Inesperado
Os ataques de phishing e smishing (phishing móvel) contêm frequentemente ou um anexo ou um link para um website malicioso. O próprio e-mail conterá motivadores comportamentais típicos, tais como urgência, pressão emocional, curiosidade, medo e ameaças, e outras declarações relativas a declarações, tais como uma ameaça à segurança. O ataque de phishing encorajará o destinatário a abrir um anexo ou a clicar num link utilizando estas pressões emocionais.
Pense antes de clicar, antes de abrir um anexo. Será que a mensagem parece legítima? Verifique se há sinais de phishing, tais como "o endereço de e-mail do remetente corresponde ao nome de domínio esperado? A língua e a gramática do e-mail estão um pouco fora do normal?
Consulte o MetaCompliance Ultimate Guide to Phishing para mais sinais de phishing por e-mail.
Um Pedido Inusitado
Os autores de fraudes podem entregar-se, pedindo algo um pouco inesperado. Isto é especialmente notório se o defraudador estiver a fazer-se passar por outra pessoa no negócio, talvez um CFO ou CEO.
Os esquemas BEC, por exemplo, podem envolver funcionários do departamento de contas a quem é enviado um e-mail de phishing de lança que parece ser de um executivo de nível C a pedir para fazer uma transferência de dinheiro imediata e urgente. Outros e-mails de phishing podem pedir ao destinatário para abrir um anexo de gravação de voz, e assim por diante.
Se um pedido parecer fora do comum e invulgar, pare e pense, será isto um esquema? Então, faça uma simples verificação - ligue à pessoa que supostamente enviou o pedido e pergunte se é legítimo.
Um Pedido ou Exigência Urgente
A urgência é um excelente exemplo de uma táctica utilizada para manipular as emoções humanas. Se um pedido urgente também parecer ter vindo da gerência superior ou do nível C, então, reserve um momento para verificar a legitimidade do pedido.
O Business Email Compromise (BEC) envolve frequentemente a manipulação emocional dos empregados que trabalham no departamento financeiro. Por exemplo, um fraudador do BEC tentará pressionar um empregado a transferir dinheiro utilizando uma ameaça de perda de negócios, se não agir rapidamente.
Verificar duas vezes o pedido, e chamar a pessoa que supostamente fez o pedido.
Uma oferta demasiado boa para ser verdade
Os cibercriminosos utilizam por vezes a chantagem ou a coerção para extrair informações, especialmente durante a fase de recolha de informações de um ataque de engenharia social.
Pense duas vezes se receber uma oferta em dinheiro ou um prémio por partilhar informação pessoal ou de empresa, pois poderia ser uma tentativa de invadir a sua conta.
Um Pedido sobre Meios de Comunicação Social de Alguém que Não Reconhece
Nos seis meses até Junho de 2021, o LinkedIn removeu mais de 66 milhões de spam e esquemas na plataforma, com 232.000 removidos depois de um utilizador se ter queixado. Os hackers criam falsas contas nos meios de comunicação social e depois contactam para fazer ligações. Os fraudadores utilizam as redes sociais para recolher informação e construir relações com alvos e contactos dos alvos.
Se receber um pedido de ligação numa plataforma de comunicação social, verifique o perfil do requerente e procure sinais de que pode ser falso. Por exemplo, têm eles um perfil completo e histórico de trabalho, têm recomendações legítimas, etc.?
A engenharia social funciona e continuará a fazê-lo até que aprendamos a detectar os sinais. A Formação de Sensibilização para a Segurança que incorpora a educação em tácticas de engenharia social capacita os empregados com o conhecimento para impedir os golpistas de explorarem o seu comportamento.