Explora neste artigo cinco exemplos famosos de ataques de engenharia social e descobre como estas tácticas enganam os indivíduos. Os seres humanos são inerentemente seres sociais, que gostam de se misturar, comunicar, trabalhar e partilhar actividades. Esta sociabilidade, baseada na confiança, facilita a cooperação e a coexistência nos grupos humanos.

No entanto, estas caraterísticas sociais também são exploradas por cibercriminosos com o objetivo de causar danos. Os ataques de engenharia social capitalizam estas vulnerabilidades, empregando o engano e a personificação para manipular os indivíduos em acções que servem a agenda do burlão.

Este facto é confirmado pelo Relatório de Investigações de Violação de Dados (DBIR) de 2023 da Verizon, que concluiu que 82% das violações envolvem um elemento humano.

Eis um resumo de como ocorrem os ataques de engenharia social e o que podes fazer para evitar que o teu pessoal seja vítima de engenharia social.

Como é que os ataques de engenharia social acontecem?

De acordo com um relatório recente, uma organização média sofre 700 ataques de engenharia social por ano. Os ataques de engenharia social assumem muitas formas e evoluem para novas formas para evitar a deteção.

O objetivo de um ataque de engenharia social é levar alguém a fazer algo que beneficie o cibercriminoso. Por exemplo, enganar uma pessoa para que revele detalhes financeiros que depois serão utilizados para cometer fraudes.

A engenharia social não é efectuada apenas através de métodos digitais. Os engenheiros sociais recorrem a qualquer tática para construir as estruturas necessárias para enganar as pessoas. Isto pode incluir o uso do telefone ou entrar num escritório e conversar com os funcionários.

Os truques de engenharia social preferidos atualmente incluem:

Pretexting e tailgating: os atacantes fingem ser um colega de trabalho ou uma pessoa com autoridade, por exemplo, um agente da polícia. Usa este disfarce para estabelecer confiança com o alvo através de um método digital, telefone ou pessoalmente. Uma vez estabelecida a confiança, o burlão tentará extrair informações, como dados pessoais ou financeiros.

Além disso, os tailgators realizam frequentemente ataques físicos a empresas, encontrando formas de entrar num edifício, passando despercebidos ou mesmo convidados. Uma vez dentro de um edifício, podem utilizar ferramentas facilmente disponíveis, como o RubberDucky USB utilizado por testadores de penetração legítimos, para roubar dados, incluindo credenciais de início de sessão.

Phishing: o phishing tem várias formas, incluindo correio eletrónico, chamadas telefónicas, publicações nas redes sociais e mensagens de texto. As mensagens de ataque de phishing encapsulam tácticas de engenharia social, utilizando a pretensão, a confiança e a vontade de clicar para incentivar os destinatários a divulgar informações pessoais, como palavras-passe e detalhes de cartões de crédito.

Um estudo do Governo britânico sobre cibersegurança revelou que a grande maioria (83%) das empresas que identificaram um ciberataque afirmou que o phishing foi o principal vetor do ataque.

O Spearphishing é a forma direcionada de phishing que leva a engenharia social ao mais alto nível de sucesso. Os e-mails de spearphishing são difíceis de diferenciar dos e-mails legítimos porque os golpistas fazem de tudo para que pareçam realistas, muitas vezes estabelecendo relações de confiança com o seu alvo. O Spearphishing está na origem de 93% dos ciberataques, de acordo com o DBIR de 2018.

Baiting: este ataque de engenharia social utiliza a sedução ou o medo de perder (FOMO) para incentivar determinados comportamentos. Por exemplo, podem ser oferecidos brindes a um empregado se este fornecer informações pessoais ou da empresa ou palavras-passe.

Porque é que os ataques de engenharia social são eficazes?

Os seres humanos evoluíram para atuar e comportar-se de determinadas formas para estabelecer estruturas sociais fortes e coesas. Elementos como a confiança são componentes vitais de sociedades coerentes. Sem confiança, as relações fracassam.

Os burlões compreendem o comportamento humano e a necessidade de construir relações de confiança. Também sabem como manipular as pessoas fingindo ser uma pessoa de confiança ou criando confiança.

Outros comportamentos humanos, como o desejo de fazer um bom trabalho, de não se meter em sarilhos ou de não perder uma coisa boa, são também abusados pelos cibercriminosos. Todas estas acções naturais que realizamos diariamente na nossa vida doméstica e profissional podem ser exploradas por cibercriminosos que pretendem roubar dados e aceder a redes para realizar actos maliciosos.

5 exemplos de ataques de engenharia social

Os exemplos de engenharia social aparecem regularmente na imprensa, mas aqui estão cinco para te dar uma ideia de como funciona a engenharia social:

Marriott Hotel: um grupo de piratas informáticos utilizou tácticas de engenharia social para roubar 20 GB de dados pessoais e financeiros de um Marriott Hotel. Os hackers enganaram um funcionário do Marriott Hotel para que ele desse acesso ao computador do grupo de hackers.

US Department of Labor (DoL): este caso envolveu um ataque de engenharia social que roubou as credenciais de início de sessão do Office 365. O ataque utilizou phishing sofisticado baseado em domínios habilmente falsificados que se pareciam com o domínio legítimo do DoL. Os e-mails pareciam ser de um funcionário sénior do DoL, convidando-o a apresentar uma proposta para um projeto governamental. Clicar no botão de licitação levava o funcionário a um site de phishing usado para roubar credenciais.

Utilizadores do Zoom: uma campanha de phishing dirigida aos empregados afectou pelo menos 50.000 utilizadores. Os engenheiros sociais utilizaram o medo do despedimento para incentivar os empregados a clicar numa ligação para se reunirem com os RH através do Zoom. Ao clicar na hiperligação, o funcionário era conduzido a um falso sítio de início de sessão no Zoom, concebido para roubar palavras-passe.

FACC (fabricante austríaco de aeronaves): A FACC perdeu cerca de 42 milhões de euros quando a empresa foi vítima de um sofisticado esquema de Business Email Compromise (BEC). A conta de correio eletrónico do CEO da empresa foi falsificada e utilizada para enviar um pedido “urgente” de transferência de fundos por correio eletrónico. Este e-mail enganou um funcionário responsável pelo pagamento da conta, que acedeu ao pedido, pagando o dinheiro para a conta do burlão.

Regresso do Crowdstrike: até os fornecedores de segurança estão a sentir a força da engenharia social. A Crowdstrike tornou-se um peão involuntário no jogo dos engenheiros sociais. Os burlões estão a utilizar a marca de confiança da Crowdstrike e de outros fornecedores de segurança para enviar e-mails de phishing aos empregados. O e-mail contém detalhes de uma possível infeção por malware e um número de telefone para o qual deves ligar para remover o malware instalado. Se o funcionário ligar para o número, é enganado e dá ao atacante acesso ao seu computador.

Como te proteges contra ataques de engenharia social

A engenharia social é bem sucedida porque a técnica manipula as nossas acções diárias. Isto faz com que seja difícil para os funcionários perceberem que fazem parte de um ataque de engenharia social.

A engenharia social tem de fazer parte da conversa sobre sensibilização para a segurança, e as políticas de segurança devem refletir isso mesmo. No entanto, existem formas práticas de garantir que os funcionários estão a par dos truques que os burlões da engenharia social utilizam:

Torna a engenharia social parte da tua cultura de segurança:

  1. Envolve o pessoal em actualizações regulares sobre engenharia social e o seu funcionamento.

  2. Certifica-te de que a engenharia social faz parte da tua formação regular de sensibilização para a segurança.

  3. Inclui a engenharia social nos cartazes do mês de sensibilização para a segurança e envia boletins informativos ao pessoal sobre os problemas causados pela engenharia social.

Implementar simulações de phishing: utiliza uma plataforma avançada de simulação de phishing para formar o pessoal sobre o aspeto dos e-mails de phishing e para testar a sua resposta a um e-mail de phishing. Adapta estas mensagens electrónicas a diferentes funções na sua organização e baseia as simulações em tácticas conhecidas utilizadas pelos burlões.

Teste de penetração da sua empresa e do seu pessoal: prepara vários cenários de teste para ver como o pessoal responde a potenciais tentativas de engenharia social. Isto pode incluir testes para ver se é fácil (ou difícil) entrar no edifício.

Além disso, testa o pessoal e a sua reação a indivíduos desconhecidos. Por exemplo, faz com que os testadores se façam passar por empregados de limpeza ou empreiteiros e vê até que ponto conseguem extrair informações sobre a tua empresa ou pedir acesso a um computador.

phishing Francês img

[faq_posts]