Os ataques de engenharia social continuam a crescer em sofisticação e frequência. Tendo isso em vista, as empresas devem buscar educar os funcionários como uma primeira linha de defesa.

O ser humano é o elo mais fraco na cadeia de segurança. Uma empresa pode ter a melhor tecnologia para compensar o risco de um ataque mal-intencionado, mas qualquer organização que não treine sua equipe ou siga as melhores práticas recomendadas, corre um risco ainda maior.

A forma mais eficaz de comprometer uma rede é escolher os alvos e enganar as pessoas para obter acesso a sistemas internos, contas de e-mail ou conseguir concessões.

Uma definição de engenharia social

A engenharia social é uma estratégia não técnica usada por invasores cibernéticos, que depende muito da interação humana. Geralmente se trata de enganar as pessoas para que quebrem as práticas recomendadas de segurança.

O sucesso das técnicas de engenharia social depende da capacidade dos invasores em manipular as vítimas, para executar determinadas ações ou fornecer informações confidenciais. Atualmente, a engenharia social é reconhecida como uma das maiores ameaças de segurança enfrentadas pelas organizações.

A engenharia social difere do hacking tradicional no sentido de que os ataques normalmente não são técnicos e não envolvem necessariamente o comprometimento ou a exploração de software ou sistemas. Quando bem-sucedidos, muitos ataques de engenharia social permitem que invasores obtenham acesso autorizado e legítimo a informações confidenciais.

Apresentamos abaixo uma lista dos tipos de ataques mais comuns. Não temos a pretensão de que seja uma lista definitiva. Livros já foram escritos sobre a matéria. Separamos para você as formas de ataque mais utilizadas:

1. Phishing – Pode ter várias formas e visa obter informações ou informações privadas. Procura enganar o usuário para que insira informações pessoais em um site de aparência legítima, que encaminha as informações ao invasor. Normalmente, a vítima recebe um e-mail que parece ser de uma empresa real, como um banco ou loja conhecida, solicitando que os usuários se cadastrem ou acessem seu cadastro existente. Quando isso acontece, os seus detalhes de login são roubados.

2. Spear Phishing – É um tipo altamente segmentado de ataque de phishing, que se concentra em um indivíduo ou organização específica. Os ataques de spear phishing usam informações pessoais específicas do destinatário, como seu nome ou cargo, para ganhar confiança e parecerem mais legítimos. Muitas vezes essas informações são retiradas das contas de mídia social das vítimas ou de outras atividades on-line. Ao personalizar suas táticas de phishing, os spear phishers têm maiores taxas de sucesso para enganar as vítimas para conceder acesso ou divulgar informações confidenciais, como dados financeiros ou segredos comerciais.

3. Vishing – É o termo usado para descrever um tipo de phishing, que combina e-mails ou mensagens de texto (SMS) e VoIP.  Funciona de forma semelhante ao phishing. Seu fim é persuadir a vítima a fornecer  números de cartão de crédito ou outras informações que podem ser usadas para furto de identidade. Normalmente, um cliente recebe um e-mail ou SMS, aparentemente enviado pela sua operadora de cartão de crédito, com um aviso de suspensão ou desativamento da conta. Então, é solicitado à vítima que autorize a ativação do cartão por meio de uma ligação para um número gratuito. O número direciona a chamada para um sistema automático de atendimento que, muito convincentemente, pede para que os dados do cartão de crédito sejam confirmados. Para evitar cair golpes de vishing, os usuários devem tomar alguns cuidados, como entrar em contato somente pelo número de telefone disponibilizado no verso do cartão ou no website da instituição.

4. Waterholing – É uma analogia a uma fonte de água, onde os animais param para beber e ficam vulneráveis aos predadores que ficam à espreita, no aguardo de uma presa fácil. Como o predador tem dificuldade para atacar e invadir o ambiente de uma empresa maior, ele tenta atacar os ambiente dos parceiros ou outros sites que os funcionários da empresa alvo normalmente acessam. Como essas empresas menores possuem orçamentos mais limitados para implantação de controles de segurança, se esses investimentos existirem, uma invasão nesses ambientes se torna mais fácil e atraente. Os ataques usam como vetor os websites legítimos hospedados por essas empresas menores que não fazem parte de blacklistse que contêm vulnerabilidades que são exploradas por exploits do tipo zero-day, que ainda não possuem vacinas tanto de antivírus quanto de IPS.

5. Quid pro quo – É uma expressão latina, que significa “tomar uma coisa por outra”. Faz referência, no uso do português e de todas as línguas latinas, a uma confusão ou engano. Um ataque quid pro quo ocorre quando os atacantes solicitam informações pessoais de alguém em troca de algo desejável ou algum tipo de compensação. Por exemplo, um invasor solicita dados pessoais de login em troca de um presente gratuito. Lembre-se: se algo parece bom demais para ser verdade, provavelmente não é verdade.

6. Baiting – Bait em inglês é isca. Aqui, um invasor quer atrair sua vítima para a execução de um código executável, geralmente despertando sua curiosidade ou convencendo-o a acionar um hardware ou software com malware Por exemplo, pendrives USB aparentemente inocentes distribuídos em um estande de um evento podem conter malwares. Um ataque comum é simplesmente deixar um USB em um estacionamento.

7. Pretexting – Pretexting e phishing via telefone ou e-mail são bastante semelhantes e ocorrem quando um invasor fabrica circunstâncias falsas para obrigar a vítima a fornecer acesso a dados confidenciais ou sistemas protegidos. Um exemplo de ataque de pretexting pode ser de um fraudador que finge precisar de dados financeiros, para confirmar a identidade do destinatário ou simula ser membro de uma entidade confiável, como o departamento de TI da empresa, para enganar a vítima a informar dados de login ou conceder acesso a um computador. Ao contrário dos e-mails de phishing, que usam o medo e a urgência a seu favor, os ataques de pretexting dependem da criação de uma falsa sensação de confiança com a vítima. Isso exige que o invasor crie uma história confiável, que deixe pouco espaço para dúvidas por parte do alvo.

8. Tailgaiting – É uma técnica física de engenharia social, que ocorre quando pessoas não autorizadas seguem indivíduos autorizados em um local seguro. O objetivo da utilização não autorizada é obter uma propriedade valiosa ou informações confidenciais. A utilização não autorizada pode ocorrer quando alguém observa quando você digita uma senha, pede que você deixe um aplicativo aberto porque esqueceu o cartão de acesso ou pede emprestado seu telefone ou laptop para concluir uma tarefa simples e, em vez disso, instala um malware ou rouba seus dados.

Somos todos humanos e, por conseguinte, somos falíveis. Somos inerentemente confiantes e benevolentes (a maioria de nós, pelo menos). Basicamente, somos todos possíveis alvos para uma fraude e devemos estar preparados para saber o que está por vir.

Não deixe de acompanhar os artigos de nosso blog para ficar informado a respeito das ameaças, novidades e tendências na área de segurança cibernética.