Como funciona a engenharia social

O que é engenharia social?

Engenharia social é um termo abrangente que inclui uma série de ciberataques que usam técnicas psicológicas para manipular alguém a realizar uma ação desejada, como fornecer informações confidenciais. Os ataques de engenharia social funcionam porque os seres humanos são suscetíveis a agir ou reagir quando confrontados com fortes motivações, como dinheiro, paixão e medo. Os adversários exploram essas características oferecendo falsas oportunidades de satisfazer algum desses desejos quase primitivos.

Os ataques de engenharia social menos sofisticados apostam no volume: ofereça a um grande número de pessoas a chance de ganhar um dinheiro a mais e uma parte delas com certeza vai responder. No entanto, esses tipos de ataques podem ser bastante sofisticados, de modo que até mesmo uma pessoa muito desconfiada e cautelosa pode acabar sendo enganada.

Os ataques de engenharia social são uma grande preocupação dos profissionais de cibersegurança porque não importa quão forte seja a barreira de segurança criada, ou quão consistentes sejam as políticas em vigor, os usuários ainda podem acabar sendo enganados e cedendo suas credenciais a atores maliciosos. Uma vez dentro, os atores maliciosos podem usar as credenciais roubadas para se passar por usuários legítimos e conseguir se movimentar lateralmente, descobrir quais defesas estão em vigor, instalar backdoors, realizar roubo de identidade e, claro, roubar dados.

Como funciona um ataque de engenharia social?

Um ataque de engenharia social pode ser conduzido por e-mail, mídia social, telefone ou pessoalmente. Entretanto, não importa o canal pelo qual o ataque é realizado, os métodos são consistentes. O invasor se passa por um indivíduo com uma necessidade legítima de informações, como um funcionário de TI que precisa que alguém "verifique suas credenciais de login" ou um novo funcionário que "precisa urgentemente de um token de acesso, mas não sabe o procedimento adequado para adquiri-lo".

Etapas do ataque de engenharia social

Os ataques de engenharia social geralmente seguem essas etapas simples listadas abaixo:

1. Pesquisa: o invasor identifica as vítimas e escolhe um método de ataque.
2. Envolvimento: o invasor faz contato e inicia o processo de ganhar a confiança, apelando para ganância, carência (social ou até financeira) ou curiosidade e criando um senso de urgência.
3. Ataque: o ataque em si começa e o invasor colhe os frutos.
4. Fuga: o invasor apaga seus rastros e finaliza o ataque.

Por que os ataques de engenharia social funcionam?

Os ataques de engenharia social funcionam porque os seres humanos são suscetíveis a agir ou reagir quando confrontados com fortes motivações, como dinheiro, paixão e medo.

Tipos de ataques de engenharia social

Existem muitos tipos de ataques que utilizam técnicas de engenharia social para operar. Algumas das técnicas de engenharia social mais comuns são:

1. Phishing

O ataque de phishing é a técnica de engenharia social mas conhecida que existe. O ataque de phishing usa um e-mail, website, anúncio na Web, bate-papo on-line, SMS ou vídeo para incitar as vítimas a agir de determinada maneira. Os ataques de phishing podem parecer vir de um banco conhecido, um serviço de entrega renomado ou uma agência governamental respeitada. Ou eles podem ser mais específicos e simular mensagens de um departamento interno da empresa da vítima, como RH, TI ou Finanças.

2. Baiting

Os ataques de baiting buscam atrair o alvo com ofertas desejáveis, como músicas, jogos ou toques de celular gratuitos, na esperança de que a senha que o alvo usará para se cadastrar e resgatar os "brindes gratuitos" seja a mesma usada em outros websites mais importantes. Mesmo que a senha seja única e exclusiva, o invasor pode vendê-la na dark web como parte de um pacote com milhares de outras.

No ambiente corporativo, um ataque de baiting pode ocorrer por meio de um pen drive deixado em uma área comum, como a sala de descanso ou o saguão. Quando alguém encontra o dispositivo e o conecta em um computador ligado à rede corporativa para ver a quem ele pertence, o dispositivo baixa o malware infectando o ambiente.

3. Quid pro quo

O ataque de quid pro quo é um golpe de engenharia social semelhante ao baiting, mas em vez de adotar uma abordagem de alvo generalizado, ele visa um indivíduo específico e propõe uma oferta de pagamento por determinado serviço. Por exemplo, o ator da ameaça pode fingir ser um pesquisador acadêmico que deseja pagar para ter acesso ao ambiente corporativo.

4. Pretexto

O ataque de pretexto é uma forma de engenharia social em que o invasor apresenta um cenário falso, ou um “pretexto”, para conquistar a confiança da vítima e fingir ser um investidor experiente, um representante de RH ou outro recurso humano aparentemente legítimo e fidedigno. O ataque de pretexto explora o lado emocional da vítima criando um senso de urgência, oferecendo benefícios bons demais para serem verdade ou tentando ganhar confiança para enganar a vítima.

5. Tailgating

Os ataques de tailgating são únicos porque são empreendidos exclusivamente em pessoa. Também conhecido como ataque de piggyback, o tailgating ocorre quando o invasor se infiltra nas instalações físicas de uma empresa pedindo para um funcionário segurar a porta aberta para ele. Uma vez dentro das instalações, o invasor tenta roubar ou destruir dados e informações da empresa.

Exemplos de engenharia social

Golpes de e-mail da COVID-19

Quando a COVID-19 se espalhou pelo planeta, as pessoas ficaram com o emocional abalado e como muito medo, incertezas e esperança - que são os principais ingredientes para uma campanha eficaz de engenharia social. Os criminosos cibernéticos aproveitaram ao máximo esse estado emocional para disseminar ataques de conteúdo spam malicioso (malspam) por e-mail pelo mundo todo.

Leia mais sobre ataques de spam por e-mail individual aqui: Malspam na época da COVID-19 > 

Atores de ameaças se passam por colaboradores da CrowdStrike em golpe de phishing

A Inteligência CrowdStrike identificou uma campanha de phishing com número de telefone falso se passando por importantes empresas de cibersegurança, inclusive a própria CrowdStrike. O e-mail de phishing dizia que a empresa do destinatário havia sido invadida e insistia que a vítima ligasse para o número de telefone informado. Os hackers estavam, na verdade, tentando capturar informações confidenciais das vítimas.

Leia mais sobre o golpe de phishing aqui: Campanhas de malware com número de telefone falso se passam pela CrowdStrike e outras empresas de cibersegurança >

Golpe de malvertising disfarçado de atualização de firmware

As campanhas de malvertising com shlayer usavam falsas atualizações de firmware e táticas de engenharia social para induzir as vítimas a instalar manualmente malware de macOS, comprometendo o próprio sistema. O shlayer é um tipo de malware que pode infectar o sistema da vítima de modo rápido e discreto.

Leia mais sobre o golpe de malvertising aqui: Campanhas de malvertising com shlayer usando a atualização de firmware como disfarce >

Prevenção contra ataques de engenharia social

A melhor maneira de prevenir ameaças de engenharia social é adotando na sua estratégia de defesa uma abordagem que combine a visão humana com as ferramentas tecnológicas disponíveis.

Práticas recomendadas para prevenir ataques de engenharia social

O treinamento de conscientização sobre segurança é a melhor maneira de evitar se tornar uma vítima. Certifique-se de que sua empresa tenha em vigor um processo para permitir que os funcionários envolvam a equipe de segurança de TI caso tenham algum motivo para acreditar que possam estar sendo vítimas de um ataque de engenharia social.

Como parte dos programas de conscientização de segurança, a organização deve lembrar constantemente seus funcionários das seguintes práticas comuns:

• NÃO CLIQUE EM LINKS ENVIADOS POR QUEM VOCÊ NÃO CONHECE. Passe o mouse sobre eles primeiro; só confie após verificar.
• Evite abrir anexos de e-mails de remetentes que você não reconhece.
• Tenha cuidado com e-mails ou telefonemas solicitando informações de conta ou solicitando que você verifique sua conta.
• Não forneça seu nome de usuário, senha, data de nascimento, número de benefícios individuais, dados financeiros ou outras informações pessoais em resposta a e-mails ou chamadas automáticas.
• Verifique sempre de modo independente qualquer informação solicitada por uma fonte legítima.
• Sempre verifique o endereço eletrônico de websites legítimos e digite-os manualmente no navegador.
• Verifique se há erros de ortografia ou nomes estranhos nos domínios de link recebidos (por exemplo, um endereço que deveria terminar em .gov mas termina em .com ).
• Antes de transferir dinheiro ou dados, sempre verifique por chamada de voz ou de vídeo.
• Fique atento a itens falsificados, como produtos de limpeza e equipamentos de proteção individual, e também a pessoas vendendo produtos que alegam prevenir, tratar, diagnosticar ou curar a COVID-19.

Software para prevenir ataques de engenharia social

Para além do elemento humano, toda organização deve empregar uma solução de cibersegurança que disponha das seguintes capacidades:

• Cobertura de sensor. Não se pode impedir aquilo que não se vê. A organização deve implementar capacidades que proporcionem aos seus defensores visibilidade total sobre o ambiente, para evitar pontos cegos que possam ser usados como porto seguro para adversários.
• Inteligência técnica. Aproveite a inteligência técnica, como indicadores de comprometimento (IOCs), e consuma esses dados com um gerenciador de informações e eventos de segurança (SIEM) para fins de enriquecimento de dados. Isso permite inteligência adicional ao conduzir correlação de eventos, potencialmente destacando eventos na rede que, de outra forma, poderiam ter passado despercebidos. A implementação de IOCs de alta fidelidade em diversas tecnologias de segurança aumenta a tão necessária consciência situacional.
• Inteligência de ameaças. Consumir relatórios com as narrativas da inteligência de ameaças é um método infalível para pintar um quadro vívido do comportamento dos atores de ameaças, das ferramentas que eles utilizam e das estratégias que empregam. A Inteligência de ameaças ajuda a traçar os perfis de atores de ameaças e rastrear campanhas e família de malware. Hoje em dia, é mais importante entender o contexto de um ataque do que apenas saber que o ataque em si aconteceu, e é aí que entra a inteligência de ameaças desempenha um papel vital.
• Investigação de ameaças. Entender que a tecnologia só levará as organizações até certo ponto tornou-se, agora, mais importante do que nunca. As tecnologias de segurança não podem garantir 100% de proteção por si só, e entender que a tecnologia não é infalível é o primeiro passo para compreender a necessidade de adotar uma investigação de ameaças gerenciada e feita por seres humanos, 24 horas por dia, 7 dias por semana.