10 tipos de ataques de engenharia social
Um ataque de engenharia social é um ataque de cibersegurança que se baseia na manipulação psicológica do comportamento humano para roubar dados confidenciais, credenciais, obter acesso a dispositivos pessoais ou comprometer de algum modo a segurança digital da vítima.
Ataques de engenharia social representam uma grande ameaça à cibersegurança, pois muitos deles começam em nível pessoal e dependem de erro humano para ter êxito. Ao provocar empatia, medo e urgência na vítima, os adversários muitas vezes conseguem obter acesso a informações pessoais ou ao próprio endpoint. Se o dispositivo estiver conectado a uma rede corporativa ou contiver credenciais de contas empresariais, também pode fornecer aos adversários um meio de perpetrar ataques às empresas envolvidas.
Com os ciber criminosos criando métodos cada vez mais manipuladores para enganar pessoas e funcionários, as organizações precisam se manter à frente nessa corrida. Nesta publicação, examinaremos dez dos tipos mais comuns de ataque de engenharia social:
- Phishing
- Whaling
- Baiting
- Diversion theft
- Comprometimento de e-mail comercial (BEC)
- Smishing (phishing por meio de SMS)
- Quid Pro Quo
- Pretexto
- Honeytrap
- Tailgating/Piggybacking
1. Phishing
Phishing é um ciber ataque que usa e-mail, telefone, SMS, redes sociais ou outras formas de comunicação pessoal para induzir a vítima a clicar em links maliciosos, baixar arquivos infectados ou revelar informações pessoais, como senhas ou números de conta.
Embora os ataques de phishing mais conhecidos geralmente envolvam alegações absurdas, como um membro da família real solicitar os dados bancários de alguém, o phishing moderno é muito mais sofisticado. Em muitos casos, ciber criminosos podem se passar por varejistas, provedores de serviços ou agências governamentais para extrair informações pessoais aparentemente inofensivas, como endereços de e-mail, números de telefone, data de nascimento do usuário ou nomes de familiares.
O phishing é um dos tipos mais comuns de ciber ataques e sua prevalência continua crescendo a cada ano. A COVID-19 aumentou drasticamente os ciber ataques de todos os tipos, incluindo os ataques de phishing. Durante o período de lockdown, de modo geral, as pessoas passaram mais tempo on-line e também vivenciaram emoções intensas: a receita perfeita para uma campanha de phishing eficaz. De acordo com o FBI, o phishing foi a principal forma de ciber crime em 2020, com a incidência quase dobrando em comparação a 2019.
2. Whaling
O whaling é um tipo de ataque de phishing que também aproveita a comunicação pessoal para obter acesso ao dispositivo ou a informações pessoais da vítima.
A diferença entre phishing e whaling tem a ver com o nível de personalização do ataque. Enquanto os ataques de phishing não são personalizados e podem ser replicados para milhões de usuários, os ataques de whaling têm como alvo uma pessoa específica, normalmente um executivo de alto nível. Esse tipo de ataque exige uma quantidade significativa de pesquisa sobre o indivíduo, o que geralmente é feito por meio do monitoramento das suas atividades em redes sociais ou outros comportamentos públicos. Essa pesquisa aprofundada resulta em um alcance mais sofisticado e maior probabilidade de sucesso.
Embora os ataques de whaling exijam mais planejamento e esforço inicial, eles geralmente têm grandes recompensas, pois os alvos têm acesso a dados de alto valor ou aos recursos financeiros necessários para promover um ataque de ransomware.
3. Baiting
Baiting é um tipo de ataque de engenharia social em que golpistas fazem falsas promessas à vítima para induzi-la a revelar informações pessoais ou instalar malware no sistema.
Golpes de baiting podem ocorrer na forma de anúncios tentadores ou promoções on-line, como downloads gratuitos de jogos ou filmes, streaming de música ou atualizações de telefone. O invasor espera que a senha que o alvo usa para reivindicar a oferta seja uma que ele também tenha usado em outros websites, o que pode permitir que o hacker acesse os dados da vítima ou venda as informações para outros criminosos na dark web.
O baiting também pode ser físico, normalmente por meio de um pen drive infectado com malware. O invasor deixa o pen drive infectado em uma área onde a vítima normalmente transita. Isso incentivaria a vítima a inserir o pen drive no computador para descobrir a quem pertence. Enquanto isso, o malware é instalado automaticamente.
4. Diversion theft
Diversion theft é um ciber ataque que se originou off-line. Nesse ataque, o ladrão persuade um entregador a pegar ou deixar um pacote no local errado, ao destinatário errado ou entregar o pacote errado.
Atualmente, o diversion theft foi adaptado como um esquema on-line. O ator malicioso rouba informações confidenciais enganando o usuário para enviá-las ao destinatário errado.
Esse tipo de ataque geralmente envolve spoofing, que é uma técnica usada por ciber criminosos para se disfarçarem como uma fonte conhecida ou confiável. O spoofing pode ocorrer de muitas formas, como spoofing de e-mail, spoofing de IP, spoofing de DNS, spoofing de GPS, spoofing de website e spoofing de chamadas.
5. Comprometimento de e-mail comercial (BEC)
O comprometimento de e-mail comercial (BEC) é uma tática de engenharia social em que o invasor se apresenta como um executivo de confiança, autorizado a tratar de questões financeiras dentro da organização.
Nesse cenário de ataque, o golpista monitora de perto o comportamento do executivo e usa spoofing para criar uma conta de e-mail falsa. Assumindo uma identidade falsa, o invasor envia um e-mail solicitando que seus subordinados façam transferências eletrônicas, alterem dados bancários e realizem outras tarefas relacionadas a dinheiro.
O BEC pode resultar em enormes perdas financeiras para as empresas. Ao contrário de outros golpes cibernéticos, esses ataques não dependem de URLS maliciosos ou malware que podem ser detectados por ferramentas de cibersegurança, como firewalls ou sistemas de detecção e resposta de endpoint (EDR). Em vez disso, os ataques de BEC são realizados estritamente por comportamento pessoal, o que geralmente é mais difícil de monitorar e gerenciar, especialmente em grandes organizações.
6. Smishing (ou SMS-phishing)
SMS-phishing, ou smishing, é um ataque de engenharia social conduzido especificamente por meio de mensagens SMS. Nesse ataque, os golpistas tentam induzir o usuário a clicar em um link que o direciona para um website malicioso. Uma vez no website, pedem que a vítima baixe software e conteúdo malicioso.
Os ataques de smishing se tornaram mais populares entre os criminosos, pois as pessoas passam mais tempo em dispositivos móveis. Embora os usuários tenham se tornado mais experientes na detecção de phishing por e-mail, muitas pessoas estão bem menos cientes dos riscos associados às mensagens de texto.
Um ataque de smishing requer pouco esforço do ator de ameaças e geralmente é realizado simplesmente comprando um número com spoofing e configurando o link malicioso.
7. Quid pro quo
Um ataque de quid pro quo envolve a oferta de um serviço altamente desejável em troca de informações confidenciais da vítima.
Por exemplo, o invasor pode se passar por um técnico de suporte de TI e ligar para um usuário sob o pretexto de resolver um problema comum de informática, como lentidão na rede ou correção do sistema, para roubar as credenciais de login do usuário. Uma vez que as credenciais são trocadas, essas informações são usadas para obter acesso a outros dados confidenciais armazenados no dispositivo e sua aplicação, ou são vendidas na dark web.
8. Pretexto
Pretexto é uma forma de engenharia social que envolve a composição de cenários plausíveis, ou pretextos, com alta probabilidade de convencer a vítima a compartilhar dados.
Os praticantes de pretexto podem se passar por alguém em posição de autoridade, como um policial ou um agente tributário, ou uma pessoa de interesse, como um olheiro de agência de talentos ou um organizador de sorteios. Após explicar o contexto, o invasor faz perguntas à vítima para conseguir informações pessoais e confidenciais, que podem ser usadas para avançar em outros cenários de ataque ou acessar dados privados.
9. Honeytrap
Um ataque de honeytrap é uma técnica de engenharia social que tem como alvo específico indivíduos que buscam amor em websites de namoro on-line ou nas redes sociais. O criminoso faz amizade com a vítima criando uma persona fictícia e configurando um perfil falso on-line. Com o tempo, o criminoso se aproveita do relacionamento e engana a vítima para que ela lhe dê dinheiro, compartilhe informações pessoais ou instale malware no sistema.
10. Tailgating/Piggybacking
Tailgating, também conhecido como piggybacking, é um ataque físico em que o invasor consegue acesso a uma instalação física pedindo à pessoa que entra na frente dele para segurar a porta ou conceder-lhe acesso. O invasor pode se passar por um entregador ou outra identidade plausível para aumentar a chance de sucesso. Uma vez dentro da instalação, o criminoso pode realizar reconhecimento de terreno, roubar dispositivos sem vigilância ou acessar arquivos confidenciais.
O tailgating também pode incluir permitir que uma pessoa não autorizada pegue emprestado o laptop ou outro dispositivo de um funcionário para instalar malware.
Como prevenir ataques de engenharia social
Embora seja impossível evitar que ataques de engenharia social ocorram, pessoas e organizações podem se proteger por meio de comportamento responsável, conscientização sobre segurança, capacitação e vigilância.
Aqui estão algumas considerações úteis para consulta ao receber qualquer forma de comunicação de uma fonte desconhecida, estranha ou suspeita:
Usuários individuais
|
|
|
|---|---|
| Verificar a validade da fonte. Preste muita atenção ao cabeçalho do e-mail e verifique se ele corresponde aos e-mails anteriores do mesmo remetente. Fique atento a erros de ortografia e gramática, pois esse é um sinal comum de golpe. | Clicar em links ou baixar arquivos de remetentes desconhecidos/suspeitos. Passe o cursor sobre o link para verificar se ele é válido (sem clicar). |
| Atualize e instale os patches de segurança periodicamente no seu sistema operacional e aplicações para reduzir o risco de vulnerabilidades conhecidas. | Compartilhar informações pessoais, como números de conta, senhas ou dados de cartão de crédito. |
| Manter-se vigilante ao receber contato de terceiros. Tenha em mente que organizações confiáveis nunca pedem que usuários compartilhem senhas ou dados de login. Toda conversa deve começar com uma solicitação de verificação de identidade por meio de uma pergunta de segurança previamente configurada. | Responder a solicitações urgentes. O golpista geralmente passa um senso de urgência ao solicitar uma ação. Sempre peça mais tempo para obter informações e verifique a solicitação por outros meios de contato. |
| Instalar um bloqueador de pop-ups e um filtro de spam. Isso ajuda a detectar muitas ameaças e impede que alguns e-mails infectados cheguem ao seu dispositivo. | Inserir um USB ou outro dispositivo desconhecido no seu computador. Se você encontrar um USB ou outro dispositivo abandonado, entregue-o a um profissional de TI ou a um membro da equipe de segurança da informação. |
| Investir em software de cibersegurança. Deve ser de um provedor de segurança confiável e atualizado periodicamente. | Permitir que outro usuário acesse sua conta ou dispositivo pessoal. Malwares podem ser instalados em questão de segundos. Nunca compartilhe seu dispositivo com outros usuários nem permita que amigos ou colegas de trabalho usem seu dispositivo sem supervisão. |
| Acessar somente URLs que comecem com HTTPS. Usar links que oferecem navegação segura minimiza a probabilidade de você acessar uma página Web maliciosa ou falsa. | |
| Habilitar a autenticação multifatorial (MFA) para reduzir as chances de comprometimento de conta. | |
| Efetuar login por meio da sua conta ou website oficial. Acessar websites desse modo, em vez de usar links integrados ou anúncios pop-up, é uma maneira de garantir a legitimidade. | |
| Usar um gerenciador de senhas. Esta ferramenta insere sua senha automaticamente quando o website é legítimo, mas não se ele tiver sido alvo de spoofing. |
Usuários corporativos
- Treinar todos os funcionários sobre as práticas recomendadas de cibersegurança. Os funcionários devem seguir boas práticas de higiene em todos os dispositivos. Isso inclui usar uma proteção por senha forte, conectar-se apenas a redes Wi-Fi seguras e permanecer constantemente vigilante para evitar phishing.
- Manter o SO e demais softwares atualizados e com os patches de segurança aplicados. Isso ajuda a minimizar a exposição a vulnerabilidades conhecidas.
- Use software para detectar e prevenir ameaças desconhecidas. A plataforma CrowdStrike Falcon® fornece antivírus de última geração (NGAV) para proteger os usuários contra malware conhecido e desconhecido usando machine learning com tecnologia de IA. O Falcon busca indicadores de ataque (IOAs) para impedir que o ransomware seja executado e cause danos.
- Monitorar continuamente o ambiente em busca de atividades maliciosas e IOAs. A detecção e resposta de endpoint (EDR) do CrowdStrike® Falcon Insight™ monitora continuamente os endpoints, capturando eventos brutos para detecção automática de atividades maliciosas não identificadas apenas por métodos de prevenção. O Insight também fornece visibilidade para capacidades proativas e avançadas de investigação de ameaças.
- Integrar a inteligência de ameaças à sua estratégia de segurança. Monitore seus sistemas em tempo real e acompanhe as últimas informações sobre ameaças para detectar um ataque rapidamente, entender a melhor forma de responder e evitar que ele se espalhe. CrowdStrike Adversary Intelligence
automatiza a análise de ameaças e a investigação de incidentes para examinar todas as ameaças e implementar contramedidas proativamente em questão de minutos.
Bart é Gerente Sênior de Marketing de Produtos de inteligência de ameaças na CrowdStrike e tem mais de 20 anos de experiência em monitoramento, detecção e inteligência de ameaças. Depois de iniciar sua carreira como analista de operações de segurança de rede em uma organização financeira belga, Bart mudou-se para a Costa Leste dos EUA para atuar em diversas empresas de cibersegurança, incluindo 3Com/Tippingpoint, RSA Security, Symantec, McAfee, Venafi e FireEye-Mandiant, ocupando cargos de gestão e marketing de produtos.
