Embora a maioria dos cibercriminosos sejam manipuladores habilidosos, isso não significa que eles sejam sempre manipuladores tecnológicos habilidosos; outros cibercriminosos preferem a prática de manipular as pessoas.
Em outras palavras, eles adotam a engenharia social, que é a prática de lançar um ataque cibernético aproveitando as falhas da natureza humana.
Em um caso simples de engenharia social, isso pode acontecer se um cibercriminoso se passar por um especialista em TI e solicitar seus detalhes de login para corrigir uma falha de segurança em seu sistema.
Se você fornecer as informações, você acabou de dar a uma pessoa ruim acesso à sua conta sem que ela precise se preocupar em acessar seu e-mail ou computador.
Em todas as cadeias de segurança, quase sempre somos o elo mais fraco, pois somos suscetíveis a uma variedade de truques. As técnicas de engenharia social aproveitam essa vulnerabilidade nas pessoas para induzir as vítimas a divulgar informações privadas.
A engenharia social está sempre evoluindo, assim como a maioria das ameaças cibernéticas.
Neste artigo, discutiremos o estado atual da engenharia social, diferentes tipos de ataques a serem observados e sinais de alerta a serem observados.
Vamos começar a introdução à engenharia social.
O que é engenharia social?
A engenharia social na computação refere-se às técnicas que os criminosos cibernéticos empregam para persuadir as vítimas a realizar uma ação duvidosa, que frequentemente envolve uma violação de segurança, a transmissão de dinheiro ou a divulgação de informações pessoais.
Essas atividades frequentemente desafiam a lógica e vão contra nosso melhor julgamento.
No entanto, os fraudadores podem nos convencer a parar de pensar logicamente e começar a agir por instinto, sem pensar no que estamos realmente fazendo, manipulando nossas emoções – tanto positivas quanto negativas – como raiva, medo e amor.
Definida de forma simples, a engenharia social é como os hackers comprometem nossos cérebros, assim como fazem com malware e vírus para comprometer nossas máquinas.
Os invasores frequentemente utilizam a engenharia social porque geralmente é mais simples tirar vantagem de indivíduos do que identificar uma rede ou fraqueza de software.
Como os criminosos e suas vítimas nunca precisam interagir pessoalmente, a engenharia social é sempre um componente de um golpe mais amplo.
Levar as vítimas a: geralmente é o objetivo principal:
- Software malicioso em seu smartphone.
- Renuncie ao seu nome de usuário e senha.
- Dê permissão para um plug-in malicioso, extensão ou aplicativo de terceiros.
- Envie dinheiro por meio de ordem de pagamento, transferência eletrônica de fundos ou cartões-presente.
- Desempenhe o papel de uma mula de dinheiro para transmitir e lavar dinheiro ilegal.
Técnicas de engenharia social são usadas por criminosos porque frequentemente é mais simples tirar vantagem de sua tendência inerente de confiar nos outros do que descobrir como hackear seu programa.
Por exemplo, a menos que a senha seja realmente fraca, é consideravelmente mais simples enganar alguém para lhe dizer sua senha do que tentar hackeá-la.
Como funciona a engenharia social?
Os engenheiros sociais realizam ataques cibernéticos usando uma variedade de estratégias. A maioria dos ataques de engenharia social começa com o atacante realizando reconhecimento e pesquisa sobre a vítima.
Por exemplo, se o alvo for uma empresa, o hacker pode aprender sobre a estrutura organizacional da empresa, processos internos, jargão do setor, potenciais parceiros de negócios e outros detalhes.
Concentrar-se nas ações e hábitos de trabalhadores com baixo nível de acesso, mas inicial, como um segurança ou recepcionista, é uma estratégia utilizada pelos engenheiros sociais.
Os invasores podem pesquisar meios de comunicação social contas para informações pessoais e observar seu comportamento online e pessoalmente.
O engenheiro social pode usar as evidências coletadas para planejar um ataque e aproveitar as falhas descobertas durante a etapa de reconhecimento.
Se de fato o ataque ocorrer, o invasor poderá obter sistemas ou redes protegidos, dinheiro dos alvos ou acesso a dados privados, como números de CPF, detalhes de cartão de crédito ou dados bancários.
Tipos comuns de ataques de engenharia social
Aprender sobre as técnicas típicas usadas em engenharia social é uma das maiores estratégias para se defender de um ataque de engenharia social.
Hoje em dia, a engenharia social geralmente ocorre on-line, inclusive por meio de golpes de mídia social, quando os invasores assumem a identidade de uma fonte confiável ou de um funcionário de alto escalão para induzir as vítimas a divulgar informações confidenciais.
Aqui estão alguns outros ataques de engenharia social predominantes:
Phishing
Phishing é um tipo de abordagem de engenharia social em que as comunicações são disfarçadas para que pareçam ser de uma fonte confiável.
Essas comunicações, que geralmente são e-mails, visam induzir as vítimas a divulgar informações pessoais ou financeiras.
Afinal, por que devemos suspeitar da legitimidade de um e-mail de um amigo, familiar ou empresa que conhecemos? Os golpistas aproveitam essa confiança.
vishing
Vishing é um tipo complexo de ataque de phishing. Também é conhecido como “phishing de voz”. Nesses ataques, um número de telefone é frequentemente falsificado para parecer autêntico – os invasores podem se passar por funcionários de TI, colegas de trabalho ou banqueiros.
Alguns invasores podem empregar modificadores de voz para obscurecer ainda mais suas identidades.
Spear phishing
Grandes empresas ou pessoas específicas são alvos de spear phishing, uma espécie de ataque de engenharia social. Os alvos dos ataques de spear phishing são indivíduos fortes ou pequenos grupos, como líderes empresariais e figuras públicas.
Essa forma de ataque de engenharia social é frequentemente bem pesquisada e enganosamente camuflada, dificultando a detecção.
Smishing
Smishing é uma espécie de ataque de phishing que utiliza mensagens de texto (SMS) como meio de comunicação. Ao apresentar URLs prejudiciais para clicar ou números de telefone para contato, esses ataques normalmente exigem ação rápida de suas vítimas.
As vítimas são frequentemente solicitadas a fornecer informações privadas que os invasores podem usar contra elas.
Para persuadir as vítimas a agir rapidamente e cair no ataque, os ataques de smishing frequentemente retratam um senso de urgência.
Scareware
O uso de engenharia social para aterrorizar indivíduos a instalar software de segurança falso ou acessar sites infectados por malware é conhecido como scareware.
Scareware normalmente se manifesta como janelas pop-up que oferecem para ajudá-lo a erradicar uma suposta infecção de computador do seu laptop. Ao clicar no pop-up, você pode instalar inadvertidamente mais malware ou ser enviado para um site perigoso.
Use um programa confiável de erradicação de vírus para verificar seu computador com frequência se achar que tem scareware ou outro pop-up intrusivo. É importante para a higiene digital examinar periodicamente o seu dispositivo quanto a riscos.
Também pode ajudar a proteger suas informações pessoais, evitando futuros ataques de engenharia social.
Baiting
Os ataques de engenharia social também podem começar offline; eles não são necessariamente lançados online.
Baiting é a prática de um invasor deixar um objeto infectado por malware, como uma unidade USB, em algum lugar onde provavelmente será descoberto. Esses dispositivos são frequentemente marcados com a finalidade de despertar o interesse.
Um usuário que pega o gadget e o coloca em seu próprio computador por curiosidade ou ganância corre o risco de infectar involuntariamente essa máquina com um vírus.
Baleeira
Uma das tentativas de phishing mais ousadas, com resultados desastrosos, é o whaling. O alvo típico desse tipo de ataque de engenharia social é uma única pessoa de alto valor.
O termo “fraude do CEO” é ocasionalmente usado para descrever a caça às baleias, o que lhe dá uma indicação do alvo.
Como eles assumem efetivamente um tom de fala comercial adequado e usam o conhecimento interno do setor a seu favor, os ataques de baleias são mais difíceis de detectar do que outros ataques de phishing.
Pré-mensagem de texto
Pretexting é o processo de fabricar uma circunstância falsa, ou “pretexto”, que os vigaristas empregam para enganar suas vítimas.
Os ataques de pretexto, que podem ocorrer offline ou online, estão entre as técnicas de engenharia social mais bem-sucedidas porque os invasores se esforçam muito para parecer confiáveis.
Seja cauteloso ao divulgar informações privadas a estranhos, pois pode ser difícil identificar a farsa de um pretexto.
Para descartar uma tentativa de engenharia social, entre em contato diretamente com a empresa se alguém ligar para você sobre uma necessidade urgente.
Armadilha de mel
Uma armadilha de mel é um tipo de abordagem de engenharia social na qual o agressor seduz a vítima para um ambiente sexual inseguro.
O atacante então aproveita a circunstância para cometer chantagem ou se envolver em sextortion. Ao enviar e-mails de spam com a falsa pretensão de que eles estavam “vendo você através de sua câmera” ou algo igualmente nefasto, os engenheiros sociais frequentemente colocam armadilhas de mel.
Se você receber uma mensagem como essa, certifique-se de que sua webcam esteja protegida.
Então, apenas mantenha a calma e evite responder, já que esses e-mails nada mais são do que spam.
Retribuição igual
Latim significa “algo por algo”, neste caso refere-se à vítima recebendo uma recompensa em troca de sua cooperação.
Uma excelente ilustração é quando os hackers se apresentam como assistentes de TI. Eles telefonarão para o maior número possível de funcionários de uma empresa e alegarão ter uma solução simples, acrescentando que “você só precisa desativar seu AV”.
Qualquer pessoa que sucumba a ele tem ransomware ou outros vírus instalados em seu computador.
A utilização não autorizada
Tailgating, também conhecido como piggybacking, ocorre quando um hacker segue uma pessoa usando um cartão de acesso válido em um prédio seguro.
Para realizar este ataque, supõe-se que a pessoa que tem permissão para entrar no prédio seria atenciosa o suficiente para manter a porta aberta para a pessoa que está vindo atrás dela.
Como você pode evitar ataques de Engenharia Social?
Ao usar essas medidas preventivas, você e sua equipe terão a melhor chance de evitar ataques de engenharia social.
Educar os funcionários
A principal causa da falibilidade dos funcionários a ataques de engenharia social é a ignorância. Para ensinar o pessoal a reagir a tentativas típicas de violação, as organizações devem oferecer treinamento de conscientização de segurança.
Por exemplo, o que fazer se alguém tentar arrastar um funcionário para o local de trabalho ou solicitar informações confidenciais.
Alguns dos ataques cibernéticos mais frequentes estão descritos na lista abaixo:
- Ataques DDoS
- Ataques de phishing
- Ataques clickjacking
- Ataques Ransomware
- Ataques de malware
- Como responder ao rebaixamento
Verifique a resistência ao ataque
Realize ataques controlados de engenharia social em sua empresa para testá-la. Envie e-mails falsos de phishing e repreenda gentilmente os membros da equipe que abrem anexos, clicam em links prejudiciais ou reagem.
Em vez de serem percebidos como falhas de segurança cibernética, esses casos devem ser vistos como situações altamente educativas.
Segurança da Operação
OPSEC é um método para detectar comportamento amigável que pode ser vantajoso para um futuro invasor. OPSEC pode expor dados confidenciais ou importantes se forem processados adequadamente e agrupados com outros dados.
Você pode limitar a quantidade de informações que os engenheiros sociais podem obter usando os procedimentos OPSEC.
Encontrar vazamentos de dados
Saber se as credenciais foram expostas como resultado de uma tentativa de phishing pode ser um desafio.
Sua empresa deve procurar constantemente exposições de dados e credenciais vazadas porque alguns phishers podem levar meses ou até anos para explorar as credenciais que coletam.
Implemente a autenticação multifator
Aplique um método de autenticação multifator que exija que os usuários possuam um token, saibam uma senha e possuam sua biometria para obter acesso a recursos críticos.
Implemente um sistema de gerenciamento de risco de terceiros
Antes de contratar novos fornecedores ou continuar trabalhando com fornecedores atuais, crie um sistema para gerenciar os riscos de terceiros, uma política de gerenciamento de fornecedores e conduza uma risco de segurança cibernética avaliação.
Especialmente depois que os dados roubados são vendidos na dark web, é consideravelmente mais simples evitar violações de dados do que limpá-los.
Encontre software que possa gerenciar automaticamente o risco do fornecedor e acompanhar, classificar e avaliar regularmente a segurança cibernética de seus fornecedores.
Modifique suas preferências de e-mail de spam.
Alterar suas configurações de e-mail é um dos métodos mais simples para se defender de tentativas de engenharia social. Você pode melhorar seus filtros de spam para manter os e-mails fraudulentos de engenharia social fora da sua caixa de entrada.
Você também pode adicionar diretamente os endereços de e-mail de indivíduos e organizações que você sabe que são reais às suas listas de contatos digitais – qualquer pessoa fingindo ser eles, mas usando um endereço diferente no futuro, provavelmente é um engenheiro social.
Conclusão
Finalmente, a engenharia social é uma técnica bastante simples que pode ser usada para cometer fraudes, fraudes ou outros crimes. Pode ocorrer com qualquer pessoa pessoalmente, por telefone ou online.
Os engenheiros sociais não precisam ser muito técnicos; eles só precisam ser capazes de convencê-lo a dar-lhes informações privadas.
É uma fraude potencialmente desastrosa, já que estamos todos em perigo. A mídia social também permitiu que os engenheiros sociais se tornassem mais habilidosos, permitindo que eles criassem contas falsas que são simples de confundir com as reais ou até mesmo se passar por indivíduos reais.
Sempre tenha cuidado ao ver perfis estranhos ou desconhecidos nas mídias sociais.
Deixe um comentário