Desvendando a Engenharia Social na Segurança da Informação: O Que Você Precisa Saber
A engenharia social é uma forma de hacking de segurança cibernética que aproveita o ponto mais fraco de qualquer sistema de segurança: o usuário final.
Essencialmente, ao apelar para um elemento da psicologia humana (curiosidade, incentivo, medo de se meter em problemas, desejo de ser útil, etc.) um ator malicioso obtém acesso a informações pessoais, privadas ou comerciais, através do que é denominado “Engenharia Social”.
A Kaspersky define Engenharia Social como “uma técnica de manipulação que explora o erro humano para obter informações privadas, acesso ou valores”.
Embora a manipulação social não seja um conceito novo, as novas tecnologias permitiram que os cibercriminosos criassem truques digitais sofisticados para realizar esta manipulação online. Os cibercriminosos podem obter acesso a todas as suas informações armazenadas digitalmente, simplesmente convencendo você a fornecê-las a eles. Isso às vezes é conhecido como ‘Hacking Humano’.
A Engenharia Social baseia-se nas táticas básicas de confiança, manipulação e engano. Porém, o criminoso digital cada vez mais sofisticado conta com um arsenal de diferentes táticas utilizadas em ataques de engenharia social como: baiting, phishing, whaling e muito mais. A maioria desses golpes se enquadra no mesmo tema: fingir ser uma pessoa ou recurso legítimo. Este texto mostrará o que você deve observar, por que isso é feito e como combater a ameaça.
Por que os cibercriminosos usam engenharia social?
Nos últimos anos, a engenharia social tornou-se o método de ataque favorito dos criminosos cibernéticos. Está provado que é a forma mais eficaz de um criminoso entrar “dentro” de uma organização.
Os cibercriminosos estão usando táticas cada vez mais sofisticadas para golpes de hacking humanos. Um engenheiro social descobrirá tudo o que precisa sobre um indivíduo ou uma empresa. Isso pode ser feito por meio das mídias sociais ou pela localização on-line dos dados do alvo.
Evitar os perigos dos Engenheiros Sociais requer atenção, educação e consciência constantes dos métodos que estes hackers utilizam. Um comprometimento de um e-mail comercial pode ter um impacto dramático em seus negócios.
Confira também: Política de Segurança da Informação: Diretrizes Essenciais para a Proteção de Dados
Os diferentes tipos de ataque de engenharia social
Embora a Engenharia Social muitas vezes dependa de um ataque direcionado e específico, abaixo estão algumas táticas comuns. Estes são os tipos de ataques de engenharia social que todos deveriam conhecer:
Baiting
Dê uma olhada em sua interminável caixa de entrada de e-mails e você encontrará uma série de itens gratuitos ou descontos de ‘ofertas especiais’. Embora muitos de nós sejamos céticos quanto ao quão “especiais” essas ofertas são, a maioria das pessoas não consegue resistir à tentação dos brindes. O problema é que nada é verdadeiramente gratuito.
É exatamente por isso que ainda vemos o velho truque de engenharia social do “Software Livre” sendo utilizado e as pessoas ainda caindo nele. O software que está sendo baixado pode realmente ser algo disponível gratuitamente. Os riscos, no entanto, surgem ao visitar o site prejudicial, o que pode resultar no download de software infectado ou comprometido por um usuário.
Você pode correr ainda mais riscos ao visitar sites que oferecem software “agregado”, o que significa que você pode ter que baixar software adicional de que nem precisa, apenas para adquirir o que deseja.
Visitar o site do fornecedor do software é uma maneira simples, mas eficaz, de garantir que ele realmente esteja oferecendo esse software, e que você o esteja baixando de uma fonte legítima.
Quid Pro Quo
Semelhante ao baiting, a técnica quid pro quo depende de uma troca, no entanto, isso também envolve um elemento de falsa representação. Um dos tipos mais comuns de quid pro quo envolve um criminoso que se faz passar por funcionário de serviços de TI. Eles enviarão spam para vários números diretos que pertençam à empresa que desejam atingir. O invasor oferecerá assistência de TI a todas as vítimas. Assim que a vítima concordar, será solicitado que desabilite seu programa AV. Isso ocorre para que o “assistente de TI” agora tenha acesso administrativo para instalar qualquer software malicioso que escolher.
Phishing
O phishing é talvez o crime cibernético mais conhecido, e na verdade está se tornando cada vez mais bem-sucedido. Phishing é o uso de e-mail para fazer com que um alvo insira suas informações privadas ou clique em um link que o exponha a malware. Os números de 2018 mostram que 30% dos e-mails de phishing foram abertos pelo alvo pretendido e 12% dos utilizadores clicaram em anexos maliciosos que permitiram aos atacantes a oportunidade de violar uma organização. A eficácia desta tática de engenharia social depende do criminoso pesquisar os alvos que deseja personificar ou atacar.
Os constantes avanços do phishing são uma das muitas razões pelas quais eles ainda são bem-sucedidos e continuarão a ser até que todos saibam como identificá-los. Três dos ataques de phishing mais sofisticados estão listados abaixo:
1. Spear-phishing: Este tipo de ameaça de engenharia social tem como alvo um indivíduo específico, como um CEO ou gerente de TI. Eles então usam suas informações para personalizar o ataque por e-mail, aumentando sua legitimidade. Na maioria das vezes, as vítimas não se preocupam com isso e dão ao criminoso acesso aos seus dados. Como os spear-phishers visam apenas um indivíduo, eles podem gastar seu tempo conduzindo pesquisas sobre a vítima, utilizando sua presença digital contra ela.
2. Whaling: Ao contrário do phishing tradicional, o Whaling é uma forma de ataque muito mais direcionada e tem um alvo mais específico. A caça às baleias tem como alvo funcionários de nível sênior, como executivos e CEOs, praticamente qualquer pessoa que tenha acesso a dados valiosos. Ao visar o membro de alto valor de uma organização, o hacker provavelmente obterá acesso a todas as informações da empresa, bem como a capacidade de se passar pelos membros mais legítimos da empresa.
3. Phishing de correio de voz e phishing de SMS: Este é outro tipo de phishing, porém, o golpe ocorre por telefone. Um golpista ligará para o alvo fingindo ser do banco ou mesmo de uma agência governamental. Eles irão “pescar” informações, com o objetivo de descobrir suas informações pessoais para roubar dinheiro ou dados.
Os sinais de alerta típicos para ataques de phishing são um e-mail com um link suspeito, ou um e-mail procurando informações bancárias ou de login.
Conhecer os sinais reveladores e sinalizar e-mails suspeitos o mais rápido possível ajudará a reduzir o risco imediato para você.
Watering hole
Um ataque Watering Hole é uma técnica de engenharia social em que o invasor busca comprometer um grupo específico de usuários finais, seja criando novos sites que os atraiam ou infectando sites existentes que os membros deste grupo costumam visitar. O objetivo é roubar combinações de nome de usuário e senha esperando que a vítima os reutilize ou infectar o computador da vítima e obter acesso à rede no local de trabalho da vítima. O nome é inspirado nos predadores selvagens que rondam perto de bebedouros, esperando a oportunidade de atacar uma presa em potencial.
Num ataque Watering Hole, o “predador” (atacante) esquematiza sites específicos que são populares para a sua “presa” (alvo), procurando oportunidades para os infectar com malware, tornando estes alvos vulneráveis. Em outras palavras, em vez de usar uma campanha de e-mail de spear phishing para atrair vítimas, os hackers infectam sites vulneráveis que compartilham um interesse comum com seus alvos e, em seguida, redirecionam as vítimas para o site ou aplicativo do invasor que contém conteúdo malicioso, como malware.
Pretexting
Pretexting é talvez o “truque de confiança” mais eficiente da Engenharia Social. É uma forma de falsificação de identidade que depende da incapacidade do usuário final de distinguir se é uma fonte legítima. Ele geralmente assume a forma de representação por telefone, onde um ator mal-intencionado pode, por exemplo, fingir ser um cliente que requer acesso às informações privadas do usuário final.
A utilização de uma identidade falsa tornou-se muito mais fácil para estes agentes maliciosos. Com o advento de meios de comunicação mais digitais, torna-se mais difícil reconhecer um perfil social ou endereço de e-mail legítimo. Portanto, é sempre importante certificar-se de que você sabe com quem está se comunicando, antes de enviar qualquer informação sensível.
Identidades Falsas
Há uma infinidade de outras maneiras pelas quais um golpista pode fingir ser legítimo para tentar enganar o usuário final para que revele informações privadas. Existem várias técnicas comuns usadas, incluindo as seguintes:
1. Solicitação de alteração de senha: Um truque comum usado por hackers é enviar um e-mail solicitando ao funcionário que redefina ou altere sua senha. Esses dados são então inseridos em um domínio falso visível para o hacker, dando-lhe acesso à sua conta.
2. Suporte de TI falso: fazendo-se passar pelo gerente de TI, semelhante ao acima, um fraudador pode solicitar acesso à sua conta para, por exemplo, instalar um novo software. Certifique-se sempre de que essas solicitações venham de um pessoa genuína.
3. Perfis falsos do LinkedIn: um fraudador pode se passar por membro da sua organização e solicitar amizade com membros legítimos da organização. Uma vez conectados, eles podem começar a enviar mensagens aos funcionários para tentar obter informações ilícitas.
4. Name-Drop: Outra tática conhecida de Engenharia Social é examinar a rede de alguém (geralmente encontrada nas redes sociais) e solicitar informações se passando por uma fonte confiável.
5. Ameaça interna: Existe até a possibilidade de um membro da empresa lançar um ataque de engenharia social, utilizando o seu conhecimento interno para obter acesso a dados que não deveria ter.
Confira também: Conheça os 10 Hackers Mais Notórios no Mundo
Cenários de risco de engenharia social
Portanto, sabemos que a engenharia social é uma grande ameaça atualmente. Mas o que você está fazendo que o torna o alvo ideal?
Falta de conhecimento de segurança
Quando você sabe pouco sobre a variedade de ameaças à segurança cibernética existentes, você corre mais riscos. Os cibercriminosos podem facilmente te manipular para que você forneça informações e dados confidenciais.
Compartilhamento excessivo nas redes sociais
A porta pode ser amplamente aberta para os criminosos cibernéticos se você optar por navegar no Facebook, Twitter e outras plataformas sociais durante o trabalho. A rede social é o ingrediente mais comum para um ataque de engenharia social. Uma das principais razões para isto é que muitas pessoas desconhecem os riscos potenciais que advêm daquilo que é, para a maioria de nós, uma atividade diária. Adicione a isso a falta de treinamento de conscientização em segurança com foco no uso de redes sociais e você terá uma receita para um ataque bem-sucedido.
O compartilhamento excessivo nas redes sociais permite que um invasor em potencial se faça passar por você, usando suas informações on-line para perpetrar um dos golpes de “identidade falsa” acima. Eles também podem usar suas próprias informações contra você, para se passar por alguém com quem você pode ter uma conexão.
Aqui estão as principais coisas que você deve evitar compartilhar nas redes sociais:
- Localização
- Cargo de Trabalho
- Endereço de e-mail comercial
- Credenciais
- Captura de tela das conversas
- Números de telefone e endereços
- Sua situação financeira.
Ser excessivamente curioso
Nossa curiosidade sempre leva a melhor sobre nós. Às vezes, pode ser por meio de um e-mail de phishing que oferece dinheiro ou de um simples anúncio que aparece quando você acessa um site. Um e-mail na hora certa pode chamar sua atenção, que, ao ser ansioso, involuntariamente expõe sua empresa a uma ameaça à segurança.
O problema é que os ataques de engenharia social podem ser conduzidos de muitas maneiras diferentes, o que torna mais difícil identificá-los, especialmente se você não tiver formação sobre o assunto.
Táticas para ajudar a prevenir ataques de engenharia social
Se você está preocupado com a possibilidade de ser vítima de um ataque de Engenharia Social, não se preocupe! Existem muitas soluções que você pode usar para construir uma estratégia abrangente de mitigação de engenharia social.
1. Autenticação multifator
Não confie em um só fator. É claro que a senha garante segurança, mas percebemos que ela é inadequada por si só. Porque é muito mais fácil para outra pessoa adivinhar sua senha e obter acesso às suas contas.
As senhas podem ser acessadas por meio de engenharia social. É necessária a verificação multifator, que pode ser qualquer coisa, desde acesso biométrico, questões de segurança até um código OTP.
2. Monitore continuamente o sistema crítico
Certifique-se de que seu sistema, que armazena informações confidenciais, esteja sendo monitorado 24 horas por dia, 7 dias por semana. Quando certas táticas de exploração são empregadas, como cavalos de Tróia, às vezes elas dependem do sistema estar vulnerável. A verificação de sistemas externos e internos com verificação de aplicativos da web pode ajudar a encontrar vulnerabilidades em seu sistema.
3. Utilize WAF baseado em nuvem de última geração
Você provavelmente já utiliza um firewall em sua empresa, mas um firewall de próxima geração para aplicativos da Web baseado em nuvem foi especialmente projetado para garantir proteção máxima contra ataques de engenharia social. O WAF web é muito diferente do WAF tradicional que a maioria das empresas implanta.
Para ser mais específico, o WAF web pode monitorar consistentemente um aplicativo da web ou site em busca de atividades anômalas e mau comportamento. Embora as ameaças de engenharia social dependam de erros humanos, ele bloqueará ataques e alertará você sobre qualquer tentativa de instalação de malware. A implementação do WAF baseado em risco é uma das melhores maneiras de prevenir ataques de engenharia social e qualquer infiltração potencial.
Confira também: Como proteger os seus dados para evitar uma violação?
Proteja-se da engenharia social com os cursos da IBSEC
A melhor defesa contra ataques de engenharia social é o conhecimento e a conscientização. Na IBSEC, compreendemos a importância de capacitar profissionais e indivíduos com as habilidades necessárias para identificar, prevenir e responder a esses tipos de ataques.
Nossos cursos de Segurança da Informação são projetados especificamente para abordar os diversos aspectos da engenharia social, desde técnicas básicas até as mais avançadas. Nossos instrutores são especialistas do setor, com vasta experiência prática em lidar com ameaças cibernéticas e em ensinar as melhores práticas de segurança.
Clique aqui e confira nossos cursos disponíveis.