Relatórios como o Data Breach Investigations Report (DBIR) de 2022 da Verizon colocam os seres humanos como componente central em 82% dos ataques cibernéticos. Os golpistas utilizam técnicas baseadas na engenharia social para enganar as pessoas a realizarem acções que beneficiam um hacker.
Engenharia social é um termo geral que cobre muitas tácticas utilizadas para manipular empregados e outros utilizadores. Aqui estão seis dos tipos mais comuns de engenharia social e como evitar que os hackers os explorem com sucesso na sua organização.
Seis dos ataques mais comuns de engenharia social
1. Phishing e Engenharia Social
O Spear-phishing, uma forma direccionada de phishing, está implicado em 93% dos ataques cibernéticos, de acordo com o DBIR de 2018. A forma menos direccionada de phishing é ainda a segunda forma mais comum de táctica de ataque cibernético, de acordo com a Cisco.
O Phishing é o meio perfeito para permitir aos hackers manipularem os seres humanos e, por isso, está sob o guarda-chuva da engenharia social. O phishing manifesta-se de várias formas. Já são mencionados phishing e spear phishing, mas os hackers irão utilizar qualquer meio de comunicação, incluindo mensagens de texto e chamadas telefónicas (SMShing e Vishing), para encorajar as pessoas a clicar num link para um website malicioso, fornecer informações pessoais, ou descarregar um anexo infectado.
2. Meios de Comunicação Social para Engenharia Social
As redes sociais fornecem uma mina de ouro de informação que os criminosos informáticos podem utilizar para atacar pessoas, aplicações, redes e dados: os golpistas precisam de dados para alimentar ciberataques, incluindo o Business Email Compromise (BEC).
Quando empregados ou outros indivíduos partilham informações sobre os meios de comunicação social, os autores das fraudes estarão atentos. De acordo com um trabalho de investigação, as empresas experimentam as seguintes questões quando os empregados partilham informações sobre os meios de comunicação social:
- partilhar demasiada informação
- perda de informação confidencial
- maior exposição a litígios
O documento conclui que os meios de comunicação social constituem um meio aberto de partilha que complica os desafios da engenharia social.
3. Tailgating e Piggybacking
O tailgating é um dos mais antigos esquemas de engenharia social do livro. O tailgating, ou porquinho, é frequentemente visto como um esquema físico, mas também pode ser digital. No mundo físico, o tailgating é exemplificado pelo fraudador que entra sem ser notado no edifício de escritórios de uma empresa. Os burlões sabem como parecer discretos, permitindo-lhes o acesso ao edifício sem autorização ou "piggyback" a alguém que entra num edifício.
Uma vez dentro, podem enganar os empregados na partilha de credenciais de conta, tais como senhas, ou utilizar ferramentas de hacking para roubar dados directamente dos computadores. Podem até usar o velho truque de olhar por cima dos ombros de alguém ligado a uma área sensível da rede.
4. Pretexto
Os golpistas precisam frequentemente de dados para assegurar um esquema de engenharia social bem sucedido. Como mencionado acima, o hacker pode recolher informações para enganar uma pessoa utilizando meios de comunicação social, phishing, e tailgating. O pretexto utiliza a engenharia social para fazer as pessoas acreditarem que o burlão é alguém com autoridade ou autorizado a estar num determinado lugar: por outras palavras, o burlão faz-se passar por alguém.
Por exemplo, podem fingir ser um contratante ou um executivo de nível C; isto pode parecer improvável, mas um defraudador confiante pode fazer com que isto aconteça numa grande organização com múltiplos escritórios.
5. Isco
As pessoas adoram coisas grátis, e a isca usa este comportamento para enganar os empregados a entregarem informações tais como dados sensíveis ou detalhes financeiros. Por exemplo, o defraudador escolhe um empregado ou envia um email em massa oferecendo um produto gratuito, tal como um download de um filme. Se o funcionário carregar no botão de descarga, o resultado é um dispositivo infectado.
Esta é uma forma eficaz de instalar malware. Um exemplo disto em acção foi a versão pirata do Game of Thrones, que se tornou o programa de televisão mais infectado por malware de todos os tempos em 2018; ao todo, 126.340 utilizadores ficaram infectados com malware quando descarregaram a versão pirata do programa de televisão.
6. Quid Pro Quota
Quid Pro Quo é uma frase latina (isto para isso) usada para descrever uma troca de algo por bens ou serviços. Os cibercriminosos querem dados, e uma Quid Pro Quo é uma forma de obter esses dados.
Um típico ataque Quid Pro Quo funcionaria assim: um empregado recebe uma chamada do 'apoio técnico' que lhe diz que há um ataque de resgate em curso e que precisa de remover o vírus antes que este prejudique o trabalho do empregado. O hacker deve ter o nome de utilizador e palavra-passe do funcionário para o fazer. Se o empregado cair neste estratagema, o hacker terá acesso à rede da empresa, que pode utilizar para aumentar os privilégios para áreas mais sensíveis.
Três maneiras de proteger os seus empregados de ataques de engenharia social
1. Colocar processos e políticas em vigor
Muitas vezes, os engenheiros sociais precisam de confiar em processos deficientes que lhes permitam explorar lacunas de segurança. Por exemplo, no tailgating, o intruso pode depender de uma falta de controlo das pessoas que entram num edifício. Os engenheiros sociais dependem frequentemente da confiança em figuras de autoridade para encorajar um empregado a agir, tais como transferir dinheiro, tal como se verifica num esquema de BEC.
A maioria dos esquemas de engenharia social precisam de dados, por isso os golpistas recorrem às redes sociais ou ao phishing para apanharem a informação de que necessitam para levar a cabo um ataque cibernético. Processos robustos que acrescentam verificações e equilíbrios sempre que uma acção como dinheiro ou transferência de dados ocorre, podem ajudar a prevenir um ataque de engenharia social. Políticas que asseguram que os empregados não se sobrepõem em plataformas de redes sociais ajudam a evitar esta forma de recolha de dados.
2. Formar Empregados em Tácticas de Engenharia Social
A engenharia social assume muitas formas, e os cibercriminosos por detrás dos ataques de engenharia social ajustam estes esquemas para evitar a detecção. Assim, os pacotes de Formação de Sensibilização para a Segurança devem incluir formação em truques de engenharia social, incluindo os seis esquemas descritos acima.
A formação deve ser feita de forma cativante e utilizar módulos de formação que sejam interessantes, divertidos, e informativos.
A plataforma de sensibilização para a segurança deve também oferecer formas de captar a taxa de sucesso de um pacote de formação para garantir que a sua organização possa actualizar e ajustar a formação para criar os melhores resultados possíveis. A formação dos funcionários para reconhecerem os ataques de engenharia social deve ser realizada regularmente para captar as mudanças nos padrões de ameaça.
3. Utilizar programas de Phishing Simulado
O Phishing é uma técnica central em que muitos ataques de engenharia social se baseiam. Detectar os sinais de um e-mail de phishing ou outra mensagem de phishing é uma primeira linha vital de defesa contra ataques de engenharia social.
O software de simulação de Phishing fornece modelos que podem ser adaptados para reflectir os truques actuais de engenharia social. Estes são então enviados, como habitualmente, aos empregados e outros associados comerciais. Se um utilizador clica num link malicioso ou vai descarregar um anexo, a plataforma de phishing simulada intervém com uma lição sobre o que aconteceria se continuassem essa acção.