Ataques de engenharia social

Os ataques de engenharia social, que envolvem a persuasão de pessoas para a obtenção de informações pessoais, vêm se tornando uma prática cada vez mais comum. Funcionários desprevenidos se tornam alvos fáceis desses golpes e são explorados para fornecer dados sigilosos ou acesso a sistemas.

Essas práticas aumentaram bastante durante o primeiro semestre de 2020, com a pandemia da COVID-19. Nesse período, houve um aumento dos sofisticados esquemas de e-mail de phishing por cibercriminosos em todo o mundo. Alguns deles se passam por representantes do Centro de Controle e Prevenção de Doenças (CDC) dos Estados Unidos ou da Organização Mundial da Saúde (OMS).

De acordo com uma pesquisa da Verizon, os engenheiros sociais são agora responsáveis por 33% de todos os ataques cibernéticos. Para se ter uma ideia do impacto geral, os danos causados por crimes cibernéticos podem atingir US $ 6 trilhões anualmente até 2021, segundo a Cybersecurity Ventures.

Neste artigo, nós vamos apresentar os principais tipos de ataques de engenharia social e mostrar quais são os principais mecanismos de prevenção contra esses golpes.

Como são feitos os ataques de engenharia social

A maior diferença entre os ataques de engenharia social e a atividade de hacking tradicional é que ela não requer o comprometimento ou a exploração de softwares ou sistemas.

Esses ataques geralmente envolvem a interação humana, em que as vítimas são manipuladas para que executem certas ações ou ofereçam informações sigilosas.

Os criminosos procuram enganar a vítima para estabelecer uma relação de confiança com ela. Isso pode ser feito usando informações privilegiadas, deturpando uma identidade, citando pessoas conhecidas da vítima, oferecendo assistência ou ocupando um papel de autoridade.

Os criminosos iludem o usuário para induzi-lo a desrespeitar as práticas de segurança básicas das empresas. Por exemplo, eles podem convencê-lo a abrir links maliciosos, baixar arquivos infectados ou compartilhar informações confidenciais.

As motivações desses criminosos vão desde a obtenção de ganhos financeiros ou outras vantagens de interesse próprio, até o sentimento de vingança por algum motivo.

Como veremos a seguir, a engenharia social apresenta abordagens de ataques diversas, como phishing, pretexting, baiting, quid pro quo, dumpster diving e tailgating.

Os diferentes tipos de engenharia social

Fishing

As campanhas de phishing utilizam e-mails com mensagens para atrair as vítimas e levá-las a clicar em um link malicioso. Cerca de 96% dos malawares são enviados por e-mail, segundo um relatório de investigações de violação de dados da Verizon de 2020. O objetivo é obter acesso a dados privados para cometer fraudes e extorsões.

Geralmente, esses golpistas fingem pertencer a uma empresa legítima ou uma agência governamental para convencer as vítimas. Por exemplo, eles podem enviar e-mails pedindo doações para uma falsa organização sem fins lucrativos ou fazer um telefonema em nome de um banco, solicitando o número de seguro social da pessoa alvejada.

Pretexting

Nesses ataques, os cibercriminosos usam uma identidade falsa para convencer as pessoas a fornecer informações privadas. Essa estratégia envolve a criação de um cenário e a simulação de uma autoridade legítima para ganhar a confiança da vítima e convencê-la a fornecer uma informação ou executar uma ação. O criminoso pode fingir ser, por exemplo, um provedor de serviços de TI, um zelador ou um eletricista da empresa.

Baiting

No baiting, os criminosos atraem as vítimas com promessas de informações ou downloads, mas disponibilizam um arquivo malicioso. Para isso, eles apenas precisam deixar à disposição da vítima um dispositivo infectado com malware, seja um pen-drive ou um CD, e contar com a ajuda da curiosidade dela.

A intenção é fazer com que a vítima insira um dispositivo em uma máquina da empresa para checar o seu conteúdo. Desse modo, ela pode vir a instalar um malware em seu computador sem perceber, possibilitando assim que o hacker tenha acesso ao seu sistema.

Tudo o que o engenheiro social precisa fazer é infectar um dispositivo e deixá-lo à vista do alvo, seja na entrada ou no estacionamento dos escritórios. Pode ser, por exemplo, um pen-drive contendo um arquivo com nome chamativo.

Quid pro quo

Termo do Latim, que significa ‘uma coisa por outra’. Esse ataque acontece quando o criminoso oferece um benefício em troca de acesso ou informações. Essa técnica deriva do bating, mas o atacante promete um serviço ou benefício em troca de uma ação da vítima.

O ataque quid pro quo mais comum ocorre quando um hacker se faz passar por um membro da equipe de TI de uma grande organização. Ele então oferece a ela alguma atualização do sistema ou instalação de software. O criminoso finge ajudar, mas instrui as vítimas a realizar ações que podem comprometer o sistema da empresa.

Dumpster Diving

Esse ataque caracteriza-se pela exploração do lixo que algum funcionário desavisado jogue fora. Nele, podem estar incluídos dados de cartão de crédito, faturas com informações pessoais, lista de telefones e dados de membros da equipe. A prática envolve a verificação do lixo físico de alguma empresa, em busca de informações que possam facilitar ataques por agentes maliciosos.

Tailgating

Esse ataque envolve um indivíduo não autorizado que segue um funcionário autorizado em uma área restrita. Personificando um mensageiro ou entregador, o atacante espera fora do edifício, geralmente segurando muitas caixas na mão. O criminoso espera conseguir a ajuda de algum funcionário, que venha a deixar a porta aberta para ele entrar. 

Esse método de ataque não funciona em empresas que fazem controle de acesso e obrigam as pessoas que entram no edifício a usar um cartão de identificação.

Como evitar ataques de engenharia social

Crie uma política de segurança da informação

Uma boa política de segurança da informação entre os setores é fundamental para qualquer empresa. Ela envolve um conjunto de boas práticas para instruir os colaboradores a terem consciência quanto aos dados que circulam na empresa. Seja através de um manual ou de comunicados internos, lembre-se de deixar todos avisados de que é preciso ficar de olho em e-mails solicitando cadastros suspeitos e não abrir nenhum anexo de mensagens que não pareçam reais.

Cuide bem de seus dados

Pesquisa aponta que 82% dos empregadores relataram apresentar falta de habilidades de segurança cibernética. Para reverter essa situação, a empresa deve reforçar os seus processos de segurança e modificar o modus operandi da rotina de trabalho. Dados confidenciais, propriedade intelectual e sistemas digitais precisam ser devidamente protegidos.

Invista em treinamento

Todos os colaboradores devem receber treinamento adequado para que fiquem cientes sobre as normas de segurança da empresa. Eles devem ser informados sobre as boas práticas de navegação na web, os cuidados quanto às mensagens de e-mail, a preocupação com dispositivos removíveis, entre outras práticas.

Proteja o sistema de sua empresa

Cuide bem do seu software: faça atualizações regulares, invista em um bom antivírus ou firewall, instale filtros de spam, use extensões de navegador, realize testes de vulnerabilidade regulares.

Use uma VPN

Uma VPN ajudará a mascarar sua identidade e evitar que possíveis hackers interceptem as suas comunicações, especialmente em redes de Wi-Fi públicas.

Adote o Zero standing privileges (ZSP)

O Zero Standing Privileges (ZSP) é um termo cunhado por analistas do Gartner para descrever a necessidade de se evitar o acesso privilegiado ao sistema de uma organização para assim conseguir minimizar o risco de ciberataques.

O termo se refere aos privilégios permanentes de acesso que alguns usuários de TI obtêm para resolver questões críticas do sistema. Geralmente, esses usuários têm acesso aos sistemas das empresas em qualquer momento, independentemente de eles realmente precisarem usá-los.

Com o Zero Standing Privileges, um usuário recebe direitos de acesso a um determinado sistema ou arquivo apenas para realizar uma tarefa específica e pelo tempo necessário para concluir aquela tarefa. Posteriormente, esses direitos são rescindidos. Desse modo, mesmo que um engenheiro social comprometa as credenciais do usuário, ele não terá acesso a nenhum ativo confidencial.

Caso queira reforçar a segurança da sua empresa, conte com a equipe da AIM7 .

Compartilhe este artigo

Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp
Share on email
Share on telegram

Confira os próximos assuntos