Relatórios como o 2022 Verizon’s Data Breach Investigations Report (DBIR) colocam o ser humano como um componente central em 82% dos ataques cibernéticos. Os burlões utilizam técnicas baseadas na engenharia social para enganar as pessoas e levá-las a realizar acções que beneficiem o hacker.

A engenharia social é um termo genérico que abrange muitas tácticas utilizadas para manipular funcionários e outros utilizadores. Aqui estão seis dos tipos mais comuns de engenharia social e como evitar que os hackers os explorem com sucesso na tua organização.

Seis dos ataques mais comuns de engenharia social

1. Phishing e engenharia social

O spear-phishing, uma forma direcionada de phishing, está implicado em 93% dos ciberataques, de acordo com o DBIR de 2018. A forma menos direcionada de phishing continua a ser a segunda forma mais comum de tática de ataque cibernético, de acordo com a Cisco.

O phishing é o meio perfeito para permitir que os hackers manipulem os seres humanos e, por isso, faz parte da engenharia social. O phishing manifesta-se de várias formas. Já mencionámos o phishing e o spear phishing, mas os hackers utilizam qualquer meio de comunicação, incluindo mensagens de texto e chamadas telefónicas (SMShing e Vishing), para encorajar as pessoas a clicar numa ligação para um sítio Web malicioso, fornecer informações pessoais ou descarregar um anexo infetado.

2. Redes sociais para engenharia social

As redes sociais fornecem uma mina de ouro de informações que os cibercriminosos podem utilizar para atacar pessoas, aplicações, redes e dados: os burlões precisam de dados para alimentar os ciberataques, incluindo o Business Email Compromise (BEC).

Quando os empregados ou outras pessoas partilham informações nas redes sociais, os autores de fraudes estão atentos. De acordo com um documento de investigação, as empresas enfrentam os seguintes problemas quando os empregados partilham informações nas redes sociais:

    • partilha demasiada informação

    • perda de informações confidenciais

    • maior exposição a litígios

O documento conclui que as redes sociais proporcionam um meio aberto de partilha que complica os desafios da engenharia social.

3. Seguir a pista e andar à boleia

O “Tailgating” é um dos esquemas de engenharia social mais antigos que existem. O “tailgating”, ou “piggybacking”, é frequentemente visto como um esquema físico, mas também pode ser digital. No mundo físico, o “tailgating” é exemplificado pelo burlão que entra no edifício de escritórios de uma empresa sem ser notado. Os burlões sabem como parecer discretos, o que lhes permite aceder a um edifício sem autorização ou “apanhar boleia” de alguém que entra num edifício.

Uma vez lá dentro, podem enganar os empregados para que partilhem credenciais de contas, como palavras-passe, ou utilizar ferramentas de pirataria informática para roubar dados diretamente dos computadores. Podem até utilizar o velho truque de olhar por cima dos ombros de alguém que tenha acesso a uma área sensível da rede.

4. Pretexto

Os burlões precisam frequentemente de dados para garantir o êxito de uma burla de engenharia social. Como já foi referido, o hacker pode recolher informações para enganar uma pessoa utilizando as redes sociais, o phishing e o tailgating. O pretexting utiliza a engenharia social para fazer as pessoas acreditarem que o burlão é alguém com autoridade ou autorizado a estar num determinado local: por outras palavras, o burlão faz-se passar por alguém.

Por exemplo, pode fingir ser um empreiteiro ou um executivo de nível C; isto pode parecer improvável, mas um burlão confiante pode fazer com que isto aconteça numa grande organização com vários escritórios.

5. Isco

As pessoas adoram coisas grátis e o baiting utiliza este comportamento para enganar os empregados e levá-los a entregar informações como dados sensíveis ou detalhes financeiros. Por exemplo, o fraudador escolhe um funcionário ou envia um e-mail em massa oferecendo um produto gratuito, como o download de um filme. Se o empregado carregar no botão de download, o resultado é um dispositivo infetado.

Esta é uma forma eficaz de instalar malware. Um exemplo disso foi a versão pirata de Game of Thrones, que se tornou o programa de TV mais infetado por malware de todos os tempos em 2018; no total, 126.340 utilizadores foram infectados por malware quando descarregaram a versão pirata do programa de TV.

6. Quid Pro Quo

Quid Pro Quo é uma expressão latina (isto por aquilo) utilizada para descrever uma troca de algo por bens ou serviços. Os cibercriminosos querem dados, e um Quid Pro Quo é uma forma de obter esses dados.

Um ataque Quid Pro Quo típico funciona da seguinte forma: um empregado recebe uma chamada do “apoio técnico” que lhe diz que há um ataque de ransomware em curso e que é necessário remover o vírus antes que danifique o trabalho do empregado. O hacker tem de ter o nome de utilizador e a palavra-passe do empregado para o fazer. Se o empregado cair neste truque, o hacker terá acesso à rede da empresa, que pode utilizar para aumentar os privilégios para áreas mais sensíveis.

Três maneiras de proteger os teus funcionários de ataques de engenharia social

1. Põe em prática processos e políticas

Muitas vezes, os engenheiros sociais precisam de confiar em processos deficientes que lhes permitem explorar as falhas de segurança. Por exemplo, no caso do “tailgating”, o intruso pode depender da falta de controlo das pessoas que entram num edifício. Os engenheiros sociais baseiam-se muitas vezes na confiança em figuras de autoridade para encorajar um empregado a agir, por exemplo, a transferir dinheiro, como aconteceu numa burla BEC.

A maioria dos esquemas de engenharia social necessita de dados, pelo que os burlões recorrem às redes sociais ou ao phishing para obterem as informações de que necessitam para levar a cabo um ataque informático. Processos robustos que adicionam controlos e equilíbrios sempre que ocorre uma ação como a transferência de dinheiro ou de dados podem ajudar a evitar um ataque de engenharia social. As políticas que asseguram que os empregados não partilham demasiado nas plataformas de redes sociais ajudam a evitar esta forma de recolha de dados.

2. Treina os funcionários em tácticas de engenharia social

A engenharia social assume muitas formas e os cibercriminosos por detrás dos ataques de engenharia social ajustam estes esquemas para evitar a deteção. Por isso, os pacotes de Formação de Sensibilização para a Segurança devem incluir formação em truques de engenharia social, incluindo as seis fraudes descritas acima.

A formação deve ser feita de forma cativante e utilizar módulos de formação que sejam interessantes, divertidos e informativos.

A plataforma de sensibilização para a segurança também deve oferecer formas de captar a taxa de sucesso de um pacote de formação para garantir que a sua organização pode atualizar e ajustar a formação para criar os melhores resultados possíveis. A formação dos empregados para reconhecerem ataques de engenharia social deve ser realizada regularmente para captar as alterações nos padrões de ameaça.

3. Usa programas de phishing simulados

O phishing é uma técnica fundamental em que se baseiam muitos ataques de engenharia social. Detetar os sinais reveladores de um e-mail ou outra mensagem de phishing é uma primeira linha de defesa vital contra ataques de engenharia social.

O software de simulação de phishing fornece modelos que podem ser adaptados para refletir os truques actuais de engenharia social. Depois, envia-os, como habitualmente, aos empregados e outros colaboradores da empresa. Se um utilizador clicar numa ligação maliciosa ou descarregar um anexo, a plataforma de simulação de phishing intervém com uma lição sobre o que aconteceria se continuasse com essa ação.