Introducing G2.ai, the future of software buying.Try now
Categoria de Email Anti-spam

Engenharia Social: O Que Você Pode Fazer para Evitar Ser uma Vítima

28 de Maio de 2021
Sagar Joshi
SJ
por Sagar Joshi

Neste post

Neste post

A engenharia social tem como alvo as mentes humanas para transmutar a intenção maliciosa de um atacante em ataques cibernéticos reais.

Ela joga com sua ganância, medo e inseguranças para enganá-lo a fornecer suas senhas e outras informações sensíveis. É comum receber e-mails ou mensagens suspeitas com avisos e ofertas por tempo limitado, incentivando você a inserir detalhes confidenciais.

Você precisa estar ciente e atento o tempo todo, especialmente quando vê ofertas questionavelmente generosas e avisos ominosos com consequências obscuras.

O que é engenharia social?

Na cibersegurança, a engenharia social é uma prática maliciosa de enganar pessoas para revelar suas informações sensíveis usando manipulação psicológica. Os atacantes podem convergir um ataque de engenharia social em uma ou mais etapas enquanto usam diferentes técnicas. 

Cada mente é diferente, e assim são seus vieses cognitivos. A engenharia social usa vários vieses cognitivos da mente humana para projetar um vetor de ataque e técnica adequados. 

Os atacantes tiram vantagem injusta dessas complexidades de tomada de decisão para fazer variações em suas técnicas. Isso resulta na produção de inúmeras técnicas de engenharia social que visam exclusivamente grupos ou indivíduos. 

Consequentemente, torna-se indispensável para você procurar por anomalias e ameaças de engenharia social constantemente. Para as empresas, é ainda mais importante manter um olhar atento sobre as ameaças porque uma única credencial de login comprometida pode resultar em uma violação de segurança incontrolável.

É aconselhável ter sua defesa configurada com sistemas de prevenção e detecção de intrusões, firewalls, software anti-spam de e-mail e outros mecanismos de defesa. Eles ajudariam você a detectar e conter um ataque de engenharia social quando as adversidades surgirem.

Fases de um ataque de engenharia social

O ataque de engenharia social é dividido em quatro fases, conforme segue:

  1. Pesquisa. Coletar informações sobre os interesses da vítima, vida pessoal e profissional e atributos semelhantes desempenha um papel significativo na determinação da taxa de sucesso do ataque.
  2. Engajar. Os atacantes iniciam uma conversa suave com os alvos sem deixar espaço para dúvida ou desconfiança.
  3. Ataque. Quando os alvos estão adequadamente engajados, os atacantes passam a recuperar as informações que procuram ou enganam as vítimas para realizar uma ação.
  4. Encerramento. Uma vez que os objetivos dos atacantes são cumpridos, eles encerram a comunicação com a vítima sem gerar suspeitas.

Técnicas e ataques de engenharia social

As técnicas de engenharia social não se limitam a um número específico, mas seus conceitos subjacentes unem diversas técnicas em clusters únicos.

Phishing

Phishing é uma técnica comum de engenharia social que você encontra com bastante frequência. 

Você pode observá-la em e-mails suspeitos na sua caixa de entrada ou pastas de spam. Esses e-mails carregam anexos maliciosos disfarçados como arquivos genuínos, que podem instalar malware ou scareware no seu dispositivo quando baixados.

30%

 

das mensagens de phishing são abertas pelos usuários-alvo, e 12% desses usuários clicam no anexo ou link malicioso.

Fonte: PurpleSec

Em alguns casos, em vez de enviar anexos, os engenheiros sociais usam links. Esses links levam você a um site malicioso que o manipula para revelar suas informações sensíveis. As empresas usam software anti-spam de e-mail para proteger os usuários de golpes de phishing.

Às vezes, os fraudadores visam um pequeno grupo em vez de conduzir um ataque de phishing em larga escala. Eles realizam uma pesquisa minuciosa sobre o grupo-alvo para ressoar com seus interesses e ganhar sua confiança. Esses tipos de ataques de phishing são chamados de spear phishing.

Os ataques de spear phishing representam ameaças significativas para as organizações, pois a pesquisa por trás deles ajuda a disfarçar os atacantes como funcionários genuínos.

56%

 

dos tomadores de decisão de TI dizem que ataques de phishing direcionados são sua principal ameaça de segurança.

Fonte: PurpleSec

As campanhas de spear phishing envolvem grandes quantidades de reconhecimento. 

Os atacantes usam sites de redes sociais como LinkedIn, Twitter, Instagram e outros para coletar informações sobre um alvo. Eles usam informações pessoais e profissionais para preparar um e-mail que parece genuíno, mas carrega uma intenção maliciosa oculta. 

Outro elemento do phishing que exige sua atenção é vishing (ou phishing por chamada telefônica). Um perpetrador usa um sistema de resposta de voz interativa (IVR) desonesto projetado para replicar um IVR original de uma instituição ou banco em um ataque de vishing. 

Os atacantes enviam um e-mail para as vítimas, convencendo-as a discar um número gratuito que as conecta ao IVR desonesto. O sistema de resposta de voz interativa as orienta a inserir credenciais de usuário em uma página da web maliciosa, semelhante a uma legítima. 

As vítimas inserem suas senhas várias vezes, mas a página da web maliciosa as rejeita. Isso engana as vítimas a divulgar várias senhas para o atacante.

Quando o phishing é realizado usando um serviço de mensagens curtas (SMS), é comumente chamado de smishing. Os atacantes atraem as vítimas para sites maliciosos, enganando-as a clicar em um link malicioso em uma mensagem de texto. Os atacantes disfarçam essas mensagens para replicar alertas de coleta ou entrega de correio, prêmios atraentes, descontos ou avisos que incentivam o destinatário a agir.

Sony Pictures foi vítima de um ataque de engenharia social em 2014. Cibercriminosos enviaram vários e-mails de phishing reforçados com anexos de malware para obter acesso à rede da Sony. 

Os atacantes realizaram reconhecimento encoberto por alguns meses. À medida que obtiveram acesso à rede, começaram a enviar e-mails com ameaças a executivos e funcionários da empresa, acessando informações confidenciais e outros dados sensíveis. 

Baiting

Baiting envolve todas as táticas de engenharia social que atraem uma vítima-alvo com isca. 

Normalmente, essa técnica usa isca física, mas não se limita a isso. Em ambientes digitais, as iscas podem ser entregues criando anúncios maliciosos e usando meios semelhantes.

Um atacante pode entregar uma isca física na forma de um disco rígido externo, USB, disquete, CDs, DVDs e similares. Você os encontrará em locais comuns acessíveis aos funcionários. Os maus atores marcam as iscas com rótulos que podem interessar mais a você. Por exemplo, pode ser uma lista de promoções, promoções e coisas semelhantes.

Se alguém no seu local de trabalho conectá-lo ao seu sistema de computador, ele entrega malware à sua máquina. As empresas usam suites de proteção de endpoint para bloquear a isca em tais situações e impedir que o malware seja instalado no seu desktop ou laptop.

Em 2016, um estudo interessante foi conduzido na Universidade de Illinois, onde os pesquisadores deixaram 297 pen drives USB pelo campus em um ambiente controlado. 

Os resultados foram:

  • 290 pen drives foram retirados dos locais de queda
  • 135 pen drives foram inseridos em um computador ou laptop, e um ou mais arquivos foram abertos
  • 155 pen drives não mostraram sinais de arquivos abertos. Eles podem ou não ter sido inseridos.

98% dos pen drives sendo recolhidos reflete como é fácil cair na isca e arriscar sua segurança sem saber.

Você precisa garantir que sua força de trabalho esteja bem educada e informada sobre as técnicas de engenharia social para evitar ser sua presa. 

Aprendizado contínuo e conscientização transmitidos por meio de software de treinamento de conscientização de segurança podem ajudá-lo a treinar funcionários em larga escala e avaliar sua prontidão para segurança.

Pretexting

Pretexting envolve a criação de cenários falsos para envolver as vítimas e persuadi-las a agir de acordo com a intenção maliciosa dos atacantes. Essa técnica requer que um atacante conduza uma pesquisa minuciosa sobre o alvo e realize a personificação o mais próximo possível. 

O pretexting é unanimemente visto como a primeira evolução na engenharia social. Agora, é usado para enganar as pessoas a revelar suas informações pessoalmente identificáveis ou dados confidenciais de negócios.

No primeiro passo, os atacantes tentam estabelecer confiança com a vítima, personificando a polícia, banco ou instituições semelhantes com um direito presumível de saber. Os pretextadores podem arrancar suas vítimas de suas informações sensíveis, como número de conta bancária, número de segurança social, detalhes do cartão de crédito e vários outros dados confidenciais.

A engenharia social reversa é um exemplo típico de pretexting. Aqui, os atacantes não entram em contato com a vítima, mas a manipulam para ser enganada a entrar em contato com o atacante. 

Por exemplo, um cartaz em um quadro de avisos informando a mudança no número de telefone do serviço de TI. Nesse caso, os funcionários entrarão em contato com o atacante por meio de detalhes de contato ilegítimos.

Alguns engenheiros sociais usam bots sociais para enviar solicitações de amizade em larga escala e, em seguida, empregam técnicas de engenharia social reversa. Uma vez que os atacantes identificam seus alvos potenciais, eles aproveitam os dados pessoais das vítimas nas redes sociais para estabelecer confiança e enganá-las a divulgar informações confidenciais ou sensíveis.

Um exemplo notável de pretexting é o escândalo Hewlett e Packard. A empresa contratou investigadores particulares para encontrar a fonte de vazamentos de informações e deu-lhes acesso às informações de seus funcionários. Os investigadores então ligaram para empresas de telefonia, personificando funcionários para obter registros de chamadas. 

Water holing

Water holing ou (ataque de poço de água) é uma técnica de engenharia social onde os atacantes observam ou adivinham sites específicos que as organizações usam diariamente. Uma vez que eles tenham reduzido os sites familiares aos funcionários, os atacantes os infectam com trojan ou adicionam código malicioso.

Consequentemente, alguns funcionários do grupo-alvo se tornam vítimas. Quando o atacante deseja informações específicas dos usuários, eles podem atacar endereços IP específicos.

Você sabia?

O termo “water holing” foi derivado da técnica de caça de predadores no mundo real, que esperam perto de poços de água para atacar suas presas.

Fonte: Wikipedia

A preparação de um ataque de poço de água começa com pesquisa. Envolve observar e investigar sites que as organizações usam. O próximo passo é escanear esses sites em busca de vulnerabilidades e infectá-los com malware.

Os atacantes supostamente usaram a técnica de water holing para obter acesso a sistemas de alta segurança. Isso ocorre porque a armadilha é montada em um ambiente que a vítima confia. As pessoas podem evitar com sucesso clicar em um link em um e-mail não solicitado. Mas não hesitariam em seguir um link em sites que confiam.

Um exemplo notável de um ataque de poço de água é a Campanha Holy Water, que visa sociedades religiosas e de caridade asiáticas. Os atacantes enganaram as vítimas a atualizar seu Adobe Flash, o que desencadeou o ataque.

Tailgating

Tailgating é uma técnica de engenharia social onde um perpetrador tenta acessar locais seguros enganando alguns funcionários a acreditar que eles estão autorizados a acessar seu local. Por exemplo, para acessar seu escritório, um perpetrador pode pedir que você destranque a porta da frente com um token de identidade ou tag RFID, enganando você a acreditar que eles esqueceram sua tag em casa.

Em alguns casos, eles podem carregar um crachá de identidade falso e solicitar que você lhes dê acesso, pois a máquina biométrica não está aceitando sua impressão digital devido a algum defeito técnico.

O tailgating geralmente tira vantagem indevida da cortesia comum. 

Como um ato de ajuda, um funcionário pode segurar a porta aberta para um atacante (disfarçado de outro funcionário) e esquecer de pedir prova de identidade. Às vezes, o perpetrador pode apresentar uma prova de identidade falsa projetada exatamente como a real, e uma pessoa autorizada não está atenta aos detalhes da prova.

Quer aprender mais sobre Software Anti-spam de Email? Explore os produtos de Email Anti-spam.

Categorias de engenheiros sociais

Há uma ampla gama de engenheiros sociais que usam várias técnicas para coletar informações sensíveis. Podemos categorizá-los em:

  • Hackers de chapéu preto são pessoas com intenção maliciosa que estão dispostas a se envolver em atividades ilegais para obter acesso não autorizado aos seus ativos. Hackers de chapéu preto usam técnicas de engenharia social porque os humanos são mais fáceis de hackear em comparação com vulnerabilidades de rede ou sistema.
  • Testadores de penetração empregam várias táticas para verificar se as pessoas em uma organização são suscetíveis a divulgar informações confidenciais e sensíveis.
  • Espiões usam métodos de engenharia social para coletar informações secretamente sobre uma organização ou instituição. Seu objetivo está principalmente ligado a fornecer benefícios estratégicos ou financeiros à organização que os empregou.
  • Ladrões de identidade roubam informações pessoalmente identificáveis (PII), como seu número de segurança social, nome, endereço, endereço de e-mail, etc. Essas informações, quando vendidas na dark web, oferecem um benefício financeiro.
  • Corretores de dados são empresas ou agências que coletam informações sobre consumidores para fins de revenda. Há casos em que corretores de dados são enganados involuntariamente a fornecer informações sensíveis a maus atores, algo que aconteceu na violação de dados ChoicePoint
  • Funcionários ou ex-funcionários descontentes podem usar técnicas de engenharia social para convergir uma ameaça interna em uma organização. A intenção principal é obter algum tipo de vingança da organização por não atender às suas expectativas, ou pode ser para negociar informações inacessíveis em troca de dinheiro.
  • Vendedores que entram em contato com você para saber quais sistemas ou tecnologia você está usando atualmente, para que possam oferecer seu produto de acordo com suas necessidades. Há a possibilidade de que eles possam ser engenheiros sociais fingindo ser vendedores e estejam tentando coletar informações sensíveis. 
  • Pessoas em geral usam técnicas de engenharia social com mais frequência do que estão cientes. Pode ser um adolescente tentando acessar a conta social de seu parceiro respondendo às perguntas de segurança. Podem haver várias outras instâncias comuns de engenharia social na vida.

Como detectar ameaças de engenharia social

Os engenheiros sociais jogam com o desejo das pessoas de obter satisfação. Os golpistas geralmente se disfarçam de alguém em quem você confiaria ou tentam ganhar sua confiança em primeiro lugar. 

Você precisa estar atento e cuidadoso quando alguém que você não conhece tão bem tenta estabelecer confiança do nada.

Você pode detectar ameaças de engenharia social quando mantém um olhar atento sobre:

  • E-mail de uma fonte confiável motivando você a clicar em um link irrelevante
  • Colega ou amigo pedindo ajuda de maneiras menos esperadas, induzindo um senso de urgência
  • E-mail da empresa de um site conhecido, mas com um nome de domínio incomum
  • E-mail de liderança sênior ou colega de trabalho pedindo que você execute uma tarefa o mais rápido possível ou revele informações específicas
  • Solicitações de doação de ONGs populares e sites de caridade usando nomes de domínio irregulares
  • Mensagens afirmando que você ganhou uma recompensa altamente generosa
  • Solicitação de verificação (OTP, alteração de senha, etc.) de produtos ou serviços que você não usou recentemente
  • Resposta a uma pergunta que você nunca fez
  • Mensagens criando desconfiança entre colegas de trabalho
  • Pessoas pedindo que você lhes dê acesso a um local 
  • Mensagens afirmando que você violou uma lei
  • E-mails exigindo que você pague um valor como multa por uma atividade ilegal que você realizou
  • Tentativas de login repetidas realizadas em um dispositivo não reconhecido
  • Usuários autorizados tentando acessar informações da empresa ou financeiras fora de seu escopo

Essas são algumas das ações que podem convergir como ameaças de engenharia social, mas não se limitam às acima. Uma ampla gama de ameaças de engenharia social prevalece nos negócios, e a detecção é o primeiro passo para remediá-las.

Sempre que você sentir algo suspeito, lembre-se de tirar um tempo e se perguntar as seguintes perguntas:

  • A mensagem veio de uma fonte confiável?
  • É realmente meu amigo que me enviou a mensagem?
  • Minhas emoções (medo, ganância, excitação, curiosidade) estão elevadas?
  • Este site parece diferente do usual?
  • Esta oferta parece boa demais para ser verdade?
  • Esses anexos ou links parecem suspeitos?
  • Eles podem provar sua identidade?

Como prevenir ataques de engenharia social

Você pode prevenir ataques de engenharia social adotando medidas contrárias adequadas.

Conscientização e treinamento

Os ataques de engenharia social acontecem como resultado da falta de atenção e ingenuidade. Você precisa fornecer conscientização adequada e regular aos seus funcionários para torná-los bem informados sobre a natureza das ameaças. Paul Kubler, membro fundador da CYBRI, diz: "Os humanos precisam ser treinados – eles são o elo mais fraco."

“As empresas devem empregar um treinamento semestral voltado para cada grupo de usuários (usuários finais, equipe de TI, etc.) para que todos estejam cientes dos ataques mais recentes.”

Paul Kubler
Chefe da equipe vermelha e membro fundador da CYBRI, Fonte: Digital Guardian

Deve haver treinamento apropriado fornecido para proteger a si mesmo e responder a diferentes tipos de técnicas de engenharia social. Por exemplo, no tailgating, se um atacante disfarçado de colega de trabalho solicitar que você lhes dê acesso, você deve ser treinado para negar educadamente seu pedido e ajudá-los a entrar em contato com o pessoal de segurança que pode verificar sua identidade. Da mesma forma, você pode fornecer treinamento para todos os cenários comuns e em evolução de engenharia social.

Estrutura unificada

Garanta que sua organização tenha uma estrutura padrão para lidar com informações sensíveis. Cada funcionário precisa saber como lidar com informações. 

Você deve mantê-los bem informados ao compartilhar informações e garantir que eles entendam que tipos de informações podem comunicar internamente e externamente. Estabelecer uma estrutura padrão de segurança da informação para gerenciar informações permite que os funcionários se treinem sobre quando, por que, onde e como as informações sensíveis devem ser tratadas.

Protocolos, ferramentas e políticas preventivas

É essencial ter o software apropriado para resistir a ataques de engenharia social. Embora a melhor defesa contra a engenharia social seja capacitar as mentes humanas para estarem cientes e atentas, soluções de software como firewalls e várias outras ajudam a cobrir as pontas soltas que estão presentes mesmo após programas de treinamento.

Pierluigi Paganini, pesquisador de segurança do InfoSec Institute, aconselha proteger as identidades digitais dos usuários contra ataques de engenharia social. Paganini diz: “Adote sistemas de defesa adequados, como filtros de spam, software antivírus e um firewall, e mantenha todos os sistemas atualizados.”

Garanta que você tenha o arsenal certo de soluções de segurança, protocolos padrão e políticas para prevenir ataques de engenharia social em sua organização.

Testes e revisões

Quando você tiver configurado todos os sistemas de defesa preventiva contra engenharia social e outros ataques cibernéticos, é crucial testá-los e revisá-los regularmente. Para garantir que sua força de trabalho seja resistente a tentativas de persuasão, você pode contratar uma agência externa para conduzir um ataque de engenharia social controlado e encontrar as brechas em sua configuração atual.

Para sistemas de segurança, aproveite testes de penetração para testar diferentes maneiras pelas quais um hacker pode explorar uma vulnerabilidade em seus ativos se eles tiverem sucesso em fraude de identidade por meio de um ataque de engenharia social. Remedie essas vulnerabilidades e conduza varreduras de vulnerabilidade regulares para identificar se novas fraquezas de segurança surgem.

Descarte adequado de resíduos

É essencial manter o lixo eletrônico ou papel da sua organização em lixeiras com trancas até que sejam adequadamente descartados pelas autoridades de gerenciamento de resíduos. Esse lixo pode incluir discos rígidos usados, USBs defeituosos ou documentos sensíveis que não são mais necessários.

Esse lixo pode não ter utilidade para você. No entanto, os atacantes ainda podem usá-lo como um vetor de ataque ou para acessar informações sensíveis, reformando o lixo eletrônico descartado ou reconstruindo documentos de papel rasgados.

Garanta que suas lixeiras estejam atrás de portões ou cercas trancadas, ou sejam visíveis para os funcionários, para que as pessoas percebam se alguém tentar invadir. 

Engenhe sua mente

Os ataques de engenharia social visam enganar as pessoas a fazer algo que normalmente não fariam. Você precisa estar autoconsciente e treinar sua mente nas áreas em que age impulsivamente ou ansiosamente e procurar sinais e ameaças de ataques de engenharia social.

Mesmo após adotar medidas preventivas adequadas, se um atacante passar por uma lacuna de segurança desconhecida, aqui está um plano de resposta a incidentes que ajudará a permanecer reativo sem confusão.

Sagar Joshi
SJ

Sagar Joshi

Sagar Joshi is a former content marketing specialist at G2 in India. He is an engineer with a keen interest in data analytics and cybersecurity. He writes about topics related to them. You can find him reading books, learning a new language, or playing pool in his free time.

Explore mais artigos da G2

Melhor software para gerenciar e armazenar modelos de e-mail
Qual fornecedor oferece os dados de tráfego de pedestres mais precisos?
Principais aplicativos de gestão de serviços de campo
Qual é a principal plataforma de precificação para a indústria de software?