De acordo com investigações da Beaming, em 2021 as empresas britânicas tiveram de lidar com uma tentativa de violação de dados a cada 47 segundos. O relatório continua a salientar que o trabalho remoto tem sido uma oportunidade para aumentar os ataques cibernéticos. Isto é notável, pois de acordo com o Relatório de Investigação de Violação de Dados de 2021 da Verizon (DBIR), 85% das violações de dados precisam de um ser humano para as iniciar.
Esta tempestade perfeita está a ser chicoteada pela engenharia social; esta táctica cobre uma vasta gama de actividades que manipulam o comportamento humano. Os cibercriminosos irão literalmente usar qualquer ângulo possível para explorar os empregados, usando truques psicológicos conhecidos para nos fazer clicar antes de pensarmos ou descarregarmos malware.
Um relatório recente mostra que os ciberataques baseados na engenharia social aumentaram 270% em 2021. As razões para tal são várias, mas o resultado final é que as técnicas de engenharia social funcionam e precisamos de encontrar formas de proteger os nossos empregados.
Uma forma de evitar que os engenheiros sociais manipulem o nosso pessoal, e eventualmente os nossos dados e redes empresariais, é através da compreensão de como funcionam os ataques de engenharia social.
Aqui estão alguns dos últimos tipos de ataques de engenharia social a ter em conta.
Engenharia Social e Segurança Cibernética
As ameaças à segurança cibernética raramente são de natureza puramente técnica. Em vez disso, os cibercriminosos perceberam rapidamente que a utilização de empregados, não empregados, e do ecossistema mais vasto de fornecedores para realizar os seus desejos nefastos, é uma boa forma de entrar numa rede protegida.
Pesquisas recentes sobre a utilização de e-mails comerciais para iniciar um ataque cibernético descobriram que em 30% das organizações, mais de 50% das ligações recebidas via e-mail acabaram num website malicioso. Isto é uma avalanche de pontos de entrada maliciosos num sistema empresarial e nas suas operações comerciais.
Os ataques de engenharia social utilizam tácticas comuns que funcionam, repetidamente. Mas os hackers podem variar estas tácticas à medida que os acontecimentos se desenrolam. A pandemia de Covid-19 foi um desses eventos.
Alguns dos prováveis ataques de engenharia social a ter em conta para este próximo ano são:
Compromisso de Email de Negócios (e Compromisso de Email de Fornecedores)
O Relatório de Investigação de Violação de Dados da Verizon 2021 (DBIR) observou que o Business Email Compromise (BEC) era a segunda forma mais comum de ataques de engenharia social. BEC e VEC representam a engenharia social na sua forma mais intrincada e multiparte.
Os autores de fraudes BEC utilizam a vigilância para compreender o seu alvo para criar mensagens de correio electrónico à medida, com aspecto legítimo, mas falsificado. Muitas vezes, um ataque BEC começará com uma conta de correio electrónico comprometida. Isto dá aos autores das fraudes a informação necessária para realizar truques sofisticados.
As contas e senhas comprometidas podem também ser redireccionadas para permitir ao hacker vigiar as operações e comunicações da empresa para recolher toda a informação necessária para manipular os empregados na criação de novas facturas ou na alteração de facturas existentes para enviar dinheiro da empresa para o fraudador.
O Relatório 2021 Business Email Security Landscape Report fornece alguns conhecimentos importantes para ajudar a mitigar o sucesso destes tipos de ataques:
- 72% dos inquiridos tinham sofrido um ataque BEC nos últimos 12 meses.
- Quase 50% dos ataques BEC utilizam uma identidade falsificada apresentada na exibição do nome do e-mail.
- Os e-mails de phishing da Spear visam indivíduos com o poder de movimentar dinheiro. Estas mensagens de correio electrónico de phishing dirigidas utilizam nomes de empresas (68%), nomes de alvos individuais (66%), e o nome do chefe/gestor (53%) para personalizar o ataque.
Uma nova variante do BEC é o Vendor Email Compromise (VEC). Este tipo de BEC centra-se nos vendedores para desviar dinheiro. Os ataques VEC utilizam um efeito em cadeia, com propagação de phishing por todo o ecossistema de vendedores se não forem controlados.
Os ataques VEC são tipicamente realizados por cibercriminosos profissionais bem financiados, uma vez que envolvem uma vigilância e reconhecimento profundos para compreender os seus alvos o suficiente para criar comunicações enganosas e credíveis. As técnicas de engenharia social estão no cerne do VEC, tal como está no cerne do BEC, a única diferença é que os cibercriminosos estão a concentrar-se num ecossistema inteiro.
Tal como o BEC, o objectivo do fraudador VEC é defraudar um negócio e roubar fundos. O timing é uma parte fundamental de um ataque VEC, e a engenharia social é utilizada para enganar os empregados a alterar os detalhes de uma factura no momento certo, para que não se levantem suspeitas.
Phishing em todas as suas formas
BEC está entre os muitos tipos de ataques cibernéticos que utilizam phishing ou spear-phishing para iniciar um ataque. O phishing é um dos favoritos dos engenheiros sociais e esteve presente em 36% das infracções, de acordo com o DBIR. O phishing é a ferramenta derradeira no arsenal do engenheiro social, uma vez que o seu conteúdo e contexto podem, em última análise, levar ao controlo sobre uma rede corporativa.
Os e-mails de phishing utilizam uma variedade de truques psicológicos e desencadeadores para levar os destinatários a clicar num link malicioso ou a descarregar um anexo infectado. Estes truques incluem falsificar marcas conhecidas, usar a urgência e o medo para encorajar o clique, e desencadear emoções como o Fear of Missing Out (FOMO). Mais sobre os tipos de tácticas utilizadas para enganar os empregados podem ser encontrados no MetaCompliance "Ultimate Guide to Phishing".
O phishing segue frequentemente eventos ou visa utilizadores para fins específicos.
Manipulação Emocional e Phishing por Eventos: Os eventos podem muitas vezes ser um gatilho emocional para uma pessoa. Os autores de fraudes utilizam estas emoções para manipular os utilizadores, levando-os a sentir que estão a perder algo ou devem agir urgentemente para tirar partido de um evento.
Durante a pandemia de Covid, muitos e-mails de phishing reflectiam a marca "Organização Mundial de Saúde" e jogavam sobre as preocupações de saúde dos destinatários de e-mails. A certa altura durante a pandemia, o Google bloqueou cerca de 17 milhões de e-mails fraudulentos por dia, muitos autores de fraudes utilizaram a pandemia para brincar com as emoções e medos das pessoas. Um único e-mail fraudulento que o transforme na caixa de entrada de um funcionário pode resultar numa violação catastrófica de dados.
Ataques de Ransomware que Usam Phishing de Seguimento: Phishing leva ao ransomware e agora também pode levar ao phishing de seguimento: este foi o caso do recente ataque de Lapsus$ ao maior conglomerado de media de Portugal, Impresa. O grupo é proprietário do maior canal de televisão e jornal do país, SIC e Expresso. Pensa-se que o ataque tenha começado com um email de pesca submarina que levou à aquisição da conta Amazon Web Services (AWS) do grupo. Isto levou à desfiguração do website do grupo, à aquisição da conta do Expresso no Twitter, e à utilização de uma conta de newsletter para enviar e-mails de phishing aos assinantes do grupo.
Quando um cibercriminoso tem acesso a uma rede, geralmente através de credenciais roubadas de phishing ou spear-phishing, pode então usar esse ponto de entrada para aumentar os privilégios e criar mais ataques, como se viu no ataque de Lapsus$. É altamente provável que estes tipos de ataques de sobreposição multifacetada se tornem mais normais.
O phishing continuará a ser utilizado para iniciar ataques informáticos, uma vez que é uma forma de os cibercriminosos 'comunicarem' com pessoas que fazem parte de um alvo empresarial. A utilização deste método de comunicação é uma forma perfeita de engendrar socialmente um humano, o que significa que o cibercriminoso não precisa de "piratear" tecnologia que pode muito bem ser protegida; em vez disso, pirateiam o humano.
Engenharia Social e Falsificações Profundas
As falsificações profundas são a última palavra em ataques de engenharia social e as organizações devem esperar que esta tecnologia seja utilizada por razões nefastas nos próximos anos. O FBI já publicou uma advertência afirmando:
"o FBI prevê que será cada vez mais utilizado por ciber-intervenientes estrangeiros e criminosos para a caça submarina e engenharia social numa evolução do artesanato ciberoperacional".
O FBI sugere tácticas que podem ser utilizadas para reduzir o risco de engenharia social através de falsificações profundas, incluindo "formar os utilizadores para identificar e relatar tentativas de engenharia social e spearphishing que podem comprometer as contas pessoais e empresariais". ”
Enfrentar a Engenharia Social na Fonte
A engenharia social tem proporcionado aos hackers formas de obter acesso a recursos desde que os seres humanos existem. O facto de estes criminosos trabalharem dentro de um domínio digital não altera o facto de o alvo do cibercriminoso ser o comportamento humano.
Para impedir que os engenheiros sociais manipulem os nossos empregados, e a rede mais ampla de associados comerciais, temos de formar estes indivíduos nas formas de engenheiros sociais. Conhecimento é poder, e o equilíbrio de poder deve ser deslocado do cibercriminoso para a empresa através da educação dos empregados e da captura de tentativas usando sistemas de informação.
