O que é a Engenharia Social?
A engenharia social é uma técnica que se baseia na manipulação psicológica das pessoas para obter acesso a informações confidenciais, como senhas, números de cartão de crédito ou dados pessoais. Golpistas que utilizam métodos de engenharia social usam táticas como persuasão, intimidação, carisma e persuasão para convencer as vítimas a compartilhar informações sensíveis.
Os criminosos cibernéticos frequentemente usam táticas de engenharia social para obter dados pessoais ou informações financeiras - credenciais de login, números de cartão de crédito, números de contas bancárias, números de previdência social - que podem ser usados para roubo de identidade, permitindo que eles façam compras usando o dinheiro ou o crédito de outras pessoas, solicitem empréstimos em nome de outra pessoa, solicitem o benefício do seguro-desemprego de outras pessoas e muito mais. Mas um ataque de engenharia social também pode ser o primeiro estágio de um ataque cibernético em grande escala. Por exemplo, um criminoso cibernético pode induzir uma vítima a compartilhar um nome de usuário e uma senha e, em seguida, usar essas credenciais para plantar ransomware na rede do empregador da vítima.
Esta persuasão pode ocorrer em diversas formas, como telefonemas falsos, e-mails de phishing, mensagens de texto fraudulentas ou até mesmo pessoalmente. Por exemplo, um atacante pode se fazer passar por um funcionário de suporte técnico e solicitar que a vítima forneça sua senha ou outras informações confidenciais. Um e-mail que parece ser de um colega de trabalho confiável solicitando informações confidenciais, uma mensagem de voz ameaçadora alegando ser da Receita Federal, uma oferta de riquezas de um potentado estrangeiro são apenas alguns exemplos de engenharia social em uso para a aplicação de golpes cibernéticos.
A engenharia social e os vazamentos de dados são dois aspectos interligados que representam graves desafios para a segurança digital e a privacidade das pessoas e organizações. Enquanto a engenharia social explora a fraqueza humana para obter informações confidenciais, os vazamentos de dados ocorrem quando essas informações sensíveis são indevidamente expostas ao público ou a terceiros não autorizados.
Por que a Engenharia Social é tão eficaz?
As táticas e técnicas de engenharia social são baseadas na ciência da motivação humana. Elas manipulam as emoções e os instintos das vítimas de maneiras que comprovadamente levam as pessoas a tomar atitudes que não são de seu interesse.
A maioria dos ataques de engenharia social emprega uma ou mais das táticas a seguir:
- Fazer-se passar por uma marca confiável: Os golpistas geralmente se fazem passar por empresas que as vítimas conhecem, confiam e com as quais talvez façam negócios com frequência ou regularmente - tão regularmente que elas seguem as instruções dessas marcas por reflexo, sem tomar as devidas precauções. Alguns golpistas de engenharia social usam kits amplamente disponíveis para criar sites falsos que se assemelham aos de grandes marcas ou empresas.
- Posar como uma agência governamental ou figura de autoridade: As pessoas confiam, respeitam ou temem a autoridade (em graus variados). Os ataques de engenharia social brincam com esses instintos com mensagens que parecem ou afirmam ser de órgãos governamentais (por exemplo, FBI ou IRS), figuras políticas ou até mesmo celebridades.
- Induzir ao medo ou a um senso de urgência: As pessoas tendem a agir de forma precipitada quando estão com medo ou apressadas. Os golpes de engenharia social podem usar várias técnicas para induzir medo ou urgência nas vítimas - dizendo à vítima que uma transação de crédito recente não foi aprovada, que um vírus infectou seu computador, que uma imagem usada no site viola um direito autoral etc. A engenharia social também pode apelar para o medo de ficar de fora (FOMO) das vítimas, o que cria um tipo diferente de urgência.
- Apelo à ganância: O golpe do príncipe nigeriano - um e-mail em que alguém que afirma ser um rei nigeriano tentando fugir de seu país oferece uma grande recompensa financeira em troca das informações da conta bancária do destinatário ou de uma pequena taxa de adiantamento - é um dos exemplos mais conhecidos de engenharia social que apela à ganância. (Ele também vem de uma suposta figura de autoridade e cria um senso de urgência - uma combinação poderosa). Esse golpe é tão antigo quanto o próprio e-mail, mas, em 2018, ainda estava arrecadando USD 700.000 por ano.
- Apelo à utilidade ou à curiosidade: Estratégias de engenharia social também podem apelar para a boa índole dos usuários. Por exemplo, uma mensagem que parece ser de um amigo ou de um site de rede social pode oferecer ajuda técnica, solicitar a participação em uma pesquisa, alegar que a publicação do destinatário se tornou viral e fornecer um link falsificado para um site falso ou download de malware.
Quais os principais métodos de aplicação de golpes envolvendo a Engenharia Social?
Por ser uma abordagem ampla e centrada em vulnerabilidades individuais de cada usuário, a Engenharia Social proporciona aos golpistas diversas maneiras de aplicação de golpes, entre eles:
1. Phishing
Os ataques de phishing são mensagens digitais ou de voz que tentam manipular os destinatários para que compartilhem informações confidenciais, façam download de software mal-intencionado, transfiram dinheiro ou ativos para as pessoas erradas ou tomem alguma outra medida prejudicial. Os golpistas criam mensagens de phishing para que pareçam ou soem como se viessem de uma organização ou pessoa confiável, às vezes até de uma pessoa que o destinatário conhece pessoalmente.
Há muitos tipos de golpes de phishing:
- E-mails de phishing em massa são enviados a milhões de destinatários de uma só vez. Eles parecem ser enviados por uma empresa ou organização grande e conhecida - um banco nacional ou global, um grande varejista on-line, um provedor de pagamentos on-line popular etc. - e fazem uma solicitação genérica, como "estamos com problemas para processar sua compra, atualize suas informações de crédito". Frequentemente, essas mensagens incluem um link malicioso que leva o destinatário a um site falso que captura o nome de usuário, a senha, os dados do cartão de crédito do destinatário e muito mais.
- O spear phishing tem como alvo um indivíduo específico, geralmente com acesso privilegiado a informações do usuário, à rede de computadores ou a fundos corporativos. Um golpista pesquisará o alvo - geralmente usando informações encontradas no LinkedIn, no Facebook ou em outras mídias sociais - para criar uma mensagem que pareça vir de alguém que o alvo conhece e confia, ou que se refira a situações com as quais o alvo está familiarizado. Whale phishing é um ataque de spear phishing que tem como alvo um indivíduo de alto perfil, como um CEO ou uma figura política. No comprometimento de e-mail comercial (BEC), o hacker usa credenciais comprometidas para enviar mensagens de e-mail da conta de e-mail real de uma figura de autoridade, tornando o golpe muito mais difícil de ser detectado.
- O phishing de voz, ou vishing, é o phishing realizado por meio de chamadas telefônicas. Normalmente, as pessoas sofrem vishing na forma de chamadas gravadas ameaçadoras que alegam ser do FBI. Mas a X-Force da IBM determinou recentemente que adicionar vishing a uma campanha de phishing direcionada pode aumentar o sucesso da campanha em até três vezes.
- O phishing por SMS, ou smishing, é o phishing por mensagem de texto.
- O phishing de mecanismos de pesquisa envolve hackers que criam sites maliciosos com alta classificação nos resultados de pesquisa para termos de pesquisa populares.
- Angler phishing é o phishing por meio de contas falsas de mídia social que se disfarçam como a conta oficial das equipes de atendimento ao cliente ou de suporte ao cliente de empresas confiáveis.
De acordo com o IBM Security X-Force Threat Intelligence Index 2023, o phishing é o principal vetor de infecção por malware, identificado em 41% de todos os incidentes. E, de acordo com o relatório Cost of a Data Breach 2022, o phishing é o vetor de ataque inicial que leva às violações de dados mais caras.
2. Baiting
O baiting (isca) atrai vítimas para que, consciente ou inconscientemente, forneçam informações confidenciais ou façam download de código malicioso, tentando-as com uma oferta valiosa ou até mesmo com um objeto de valor.
O golpe do Príncipe Nigeriano é provavelmente o exemplo mais conhecido dessa técnica de engenharia social. Exemplos mais atuais incluem downloads de jogos, músicas ou softwares gratuitos, mas infectados por malware. Mas algumas formas de isca são pouco engenhosas. Por exemplo, alguns agentes de ameaças simplesmente deixam unidades USB infectadas com malware onde as pessoas as encontrarão, pegam-nas e as usam porque "ei, unidade USB grátis".
3. Tailgating
No "tailgating", também chamado de "piggybacking", uma pessoa não autorizada segue de perto uma pessoa autorizada em uma área que contém informações confidenciais ou ativos valiosos. O tailgating pode ser realizado pessoalmente - por exemplo, um agente de ameaças pode seguir um funcionário por uma porta destrancada. Mas o tailgating também pode ser uma tática digital, como quando uma pessoa deixa um computador sem supervisão enquanto ainda está conectada a uma conta ou rede privada.
4. Pretexting
Neste golpe, o agente da ameaça cria uma situação falsa para a vítima e se apresenta como a pessoa certa para resolvê-la. Com muita frequência (e ironicamente), o golpista alega que a vítima foi afetada por uma violação de segurança e se oferece para consertar a situação se a vítima fornecer informações importantes sobre a conta ou controle sobre o computador ou dispositivo da vítima. (Tecnicamente falando, quase todo ataque de engenharia social envolve algum grau de pretexto).
5. Quid pro quo
Em um golpe quid pro quo, os hackers oferecem um bem ou serviço desejável em troca das informações confidenciais da vítima. Ganhos falsos em concursos ou recompensas de fidelidade aparentemente inocentes ("obrigado pelo seu pagamento - temos um presente para você") são exemplos de estratagemas quid pro quo.
6. Scareware
Também considerado uma forma de malware, o scareware é um software que usa o medo para manipular as pessoas para que compartilhem informações confidenciais ou façam download de malware. O scareware geralmente assume a forma de um aviso falso de aplicação da lei acusando o usuário de um crime ou uma mensagem falsa de suporte técnico alertando o usuário sobre malware em seu dispositivo.
7. Ataque de watering hole
Da frase "alguém envenenou o bebedouro", os hackers injetam código malicioso em uma página da Web legítima frequentada por seus alvos. Os ataques watering hole são responsáveis por tudo, desde credenciais roubadas até downloads involuntários de ransomware drive-by.
Como se proteger contra golpes que envolvem a Engenharia Social?
Os ataques de engenharia social são notoriamente difíceis de impedir porque dependem da psicologia humana em vez de caminhos tecnológicos. A superfície de ataque também é significativa: Em uma organização maior, basta o erro de um funcionário para comprometer a integridade de toda a rede da empresa. Algumas das etapas que os especialistas recomendam para reduzir o risco e o sucesso dos golpes de engenharia social incluem:
- Treinamento de conscientização sobre segurança: Muitos usuários não sabem como identificar ataques de engenharia social. E em uma época em que os usuários frequentemente trocam informações pessoais por bens e serviços, eles não percebem que a entrega de informações aparentemente banais, como número de telefone ou data de nascimento, pode permitir que os hackers invadam uma conta. O treinamento de conscientização sobre segurança, combinado com políticas de segurança de dados, pode ajudar os funcionários a entender como proteger seus dados confidenciais e como detectar e responder a ataques de engenharia social em andamento.
- Políticas de controle de acesso: Políticas e tecnologias de controle de acesso seguro, incluindo autenticação multifatorial, autenticação adaptativa e uma abordagem de segurança de confiança zero, podem limitar o acesso dos criminosos cibernéticos a informações e ativos confidenciais na rede corporativa, mesmo que eles obtenham as credenciais de login dos usuários.
- Tecnologias de segurança cibernética: Filtros de spam e gateways de e-mail seguros podem evitar que alguns ataques de phishing cheguem aos funcionários. Firewalls e software antivírus podem reduzir a extensão de qualquer dano causado por invasores que obtêm acesso à rede. Manter os sistemas operacionais atualizados com os patches mais recentes também pode fechar algumas vulnerabilidades que os invasores exploram por meio da engenharia social. E as soluções avançadas de detecção e resposta, incluindo a detecção e resposta de endpoints (EDR) e a detecção e resposta estendidas (XDR), podem ajudar as equipes de segurança a detectar e neutralizar rapidamente as ameaças à segurança que infectam a rede por meio de táticas de engenharia social.
Em resumo, a combinação de medidas técnicas e conscientização é fundamental para mitigar os riscos associados à engenharia social e aos vazamentos de dados. Proteger informações sensíveis é uma responsabilidade coletiva que envolve tanto ações individuais quanto a cooperação de organizações e autoridades reguladoras.
Fontes
https://www.ibm.com/topics/social-engineering
https://www.ibm.com/reports/data-breach
https://www.cmu.edu/iso/aware/dont-take-the-bait/social-engineering.html