O que é engenharia social?

O que são ataques de engenharia social?

Os ataques de engenharia social em computação são métodos sofisticados usados por criminosos cibernéticos para manipular indivíduos e fazê-los comprometer sua própria segurança. Esses ataques geralmente fazem com que as vítimas enviem dinheiro sem saber, divulguem informações pessoais ou organizacionais confidenciais ou violem protocolos de segurança.

A eficácia da engenharia social está em sua capacidade de explorar as emoções humanas, como medo, curiosidade ou empatia, levando as pessoas a agirem impulsivamente contra seu bom senso. Ao compreender e aproveitar esses gatilhos emocionais, os invasores persuadem as vítimas a tomar decisões que podem parecer irracionais em retrospectiva, como baixar softwares nocivos, visitar sites inseguros ou compartilhar dados confidenciais.

Como funciona a engenharia social?

A engenharia social envolve táticas psicológicas para manipular as pessoas a revelarem informações confidenciais, essenciais para o acesso ao sistema ou roubo de identidade. Ela explora o erro humano, geralmente por meio de engano ou personificação, levando a violações de segurança e comprometimento de dados, sem depender de métodos técnicos de hacking.

Os ataques de engenharia social geralmente são processos de várias etapas. Inicialmente, o invasor pesquisa o alvo para coletar informações suficientes e detalhes essenciais do histórico, identificando vulnerabilidades e medidas de segurança fracas, cruciais para o sucesso do ataque. Em seguida, o atacante emprega táticas como pretextar ou se passar por figuras de autoridade para ganhar a confiança da vítima. Essa manipulação é projetada para provocar ações que comprometam a segurança, como a divulgação de informações confidenciais ou o fornecimento de acesso a sistemas vitais.

Os ataques de engenharia social manipulam a psicologia humana para contornar as medidas técnicas de segurança. Eles selecionam cuidadosamente a vítima pretendida com base em vários fatores. As principais táticas incluem:

1. Falsificação de identidade: Os atacantes geralmente se disfarçam de entidades respeitáveis - grandes marcas, órgãos governamentais ou figuras de autoridade - para ganhar confiança. Por exemplo, eles podem criar sites fraudulentos espelhando grandes marcas para enganar os usuários e fazê-los revelar informações confidenciais.
2. Exploração de emoções: Esses ataques geralmente aproveitam emoções como medo, urgência ou ganância. Os golpistas podem enviar mensagens alarmantes sobre uma conta bancária comprometida ou seduzir as vítimas com promessas fraudulentas de ganhos financeiros, como o famoso golpe de e-mail do "Príncipe Nigeriano".
3. Aproveitar-se da boa vontade ou da curiosidade: Os engenheiros sociais também exploram a inclinação natural de uma pessoa para ajudar ou sua curiosidade. Eles podem enviar e-mails que pareçam ser de amigos ou de redes sociais, solicitando informações de contato, assistência ou induzindo os usuários a clicar em um link malicioso sob o pretexto de uma história intrigante ou de um recurso útil.

Compreender essas táticas é fundamental para reconhecer e impedir ataques de engenharia social. Eles se aproveitam da natureza humana em vez de falhas tecnológicas, o que faz com que a conscientização e a vigilância sejam as principais defesas contra essas ameaças.

Como se proteger contra ataques de engenharia social

Os ataques de engenharia social podem assumir várias formas, desde e-mails de phishing até a manipulação por meio de chamadas telefônicas ou mensagens de texto. Como eles visam principalmente as vulnerabilidades humanas e não as falhas tecnológicas, a defesa contra eles exige uma combinação de conscientização, vigilância e proteções tecnológicas.

As etapas a seguir oferecem uma abordagem abrangente para aprimorar sua defesa contra esses ataques cada vez mais comuns e sofisticados:

1. Use a autenticação multifator: A implementação da autenticação de dois fatores ou de vários fatores é fundamental. Ela acrescenta uma camada extra de segurança, garantindo que, mesmo que as credenciais de login sejam comprometidas, o acesso não autorizado ainda será evitado.
2. Security Treinamento de conscientização: O treinamento regular para todos os funcionários é vital para reconhecer e responder a ataques de engenharia social. Esse treinamento deve abranger a identificação de atividades suspeitas e a importância de não compartilhar informações confidenciais.
3. Instale um programa sólido de segurança cibernética: Use um software abrangente de segurança cibernética, como o Malwarebytes, que pode reconhecer e neutralizar ameaças, inclusive sites mal-intencionados, malvertising, malware, vírus e ransomware.
4. Implemente políticas de controle de acesso e tecnologias de segurança cibernética: Imponha políticas rigorosas de controle de acesso, incluindo autenticação adaptativa e uma abordagem de segurança de confiança zero. Utilize tecnologias como filtros de spam, gateways de e-mail seguros, firewalls, software antivírus e mantenha os sistemas atualizados com os patches mais recentes.
5. Ativar os filtros de spam: Ative os filtros de spam para bloquear e-mails de phishing e outras formas de spam. Embora alguns e-mails legítimos possam ser filtrados, você pode atenuar esse problema marcando-os como "não spam" e adicionando remetentes legítimos à sua lista de contatos.
6. Saiba como identificar e-mails de phishing: Eduque a si mesmo e a outras pessoas sobre como identificar tentativas de phishing. Procure sinais de alerta, como endereços de remetente incompatíveis, saudações genéricas, URLs incomuns, gramática ruim e ofertas que pareçam boas demais para ser verdade.
7. Desativar macros em documentos: Desative as macros em seu software. Seja cauteloso com anexos de e-mail que solicitam a ativação de macros, especialmente de fontes desconhecidas. Em caso de dúvida, verifique a legitimidade do anexo com o remetente.
8. Não responda a suspeitas de golpes: Evite responder a possíveis golpes, seja por e-mail, SMS ou ligações telefônicas. Responder confirma aos golpistas que suas informações de contato são válidas, incentivando mais tentativas. Encaminhe textos suspeitos para 7726 (SPAM) para ajudar sua operadora a filtrar spam.

Ao implementar essas estratégias, você pode criar um sistema de defesa robusto contra ataques de engenharia social, protegendo seus dados pessoais e as informações confidenciais da sua organização. Lembre-se: manter-se informado e cauteloso é sua primeira linha de defesa no cenário em constante evolução das ameaças à segurança cibernética.

Tipos de ataques de engenharia social

Os ataques de engenharia social ocorrem predominantemente por meio de várias [formas de phishing] (https://www.malwarebytes.com/phishing). Esses ataques exploram a psicologia e a confiança humanas, em vez de depender de métodos técnicos de hacking. A eficácia e a prevalência do phishing o tornam uma preocupação fundamental para indivíduos e organizações. Veja a seguir uma análise mais detalhada de cada tipo:

1. Phishing de e-mail: os atacantes se fazem passar por entidades legítimas por meio de e-mails, enganando os destinatários para que revelem dados pessoais ou credenciais. Esses e-mails geralmente contêm links para sites enganosos ou anexos maliciosos.
2. Bulk Phishing: esse método envolve o envio do mesmo e-mail de phishing para milhões de pessoas. Os e-mails parecem ser de organizações reconhecidas e geralmente solicitam informações pessoais sob falsos pretextos.
3. Spear Phishing: Uma forma mais direcionada de phishing, em que os invasores personalizam suas mensagens para indivíduos específicos usando informações provenientes de mídias sociais ou redes profissionais.
4. Phishing de baleias: Uma tática de spear phishing de alto nível voltada para executivos seniores ou indivíduos de alto perfil. Esses ataques são altamente personalizados e geralmente envolvem fraudes complexas.
5. Phishing por voz (Vishing): Essa técnica usa chamadas telefônicas para enganar as pessoas e fazê-las divulgar informações confidenciais. Os invasores podem se passar por organizações legítimas ou figuras de autoridade.
6. SMS Phishing (Smishing): Uma variante de phishing conduzida por meio de mensagens de texto. Essas mensagens induzem os destinatários a clicar em links maliciosos ou a divulgar informações confidenciais.
7. Phishing de mecanismo de pesquisa: nessa abordagem, os invasores criam sites falsos que aparecem em destaque nos resultados dos mecanismos de pesquisa. Quando os usuários visitam esses sites, eles correm o risco de ter suas informações roubadas.
8. Angler Phishing: essa forma explora as plataformas de mídia social, onde os invasores criam contas falsas de atendimento ao cliente para interagir com as vítimas, muitas vezes levando-as a sites de phishing.

Depois do phishing, os outros métodos de engenharia social são:

1. Baiting (isca): Tenta as vítimas com uma falsa promessa de bens ou serviços para roubar informações ou instalar malware.
2. Tailgating/Piggybacking: Envolve o acesso não autorizado a áreas restritas seguindo fisicamente uma pessoa autorizada ou explorando digitalmente a sessão ativa de outra pessoa.
3. Pretexto: Os invasores fabricam cenários para extrair informações confidenciais ou obter acesso, geralmente fazendo-se passar por alguém com autoridade ou com necessidade de verificar a identidade.
4. Quid Pro Quo: Oferece um serviço ou benefício em troca de informações confidenciais, explorando o desejo da vítima por um bom negócio ou recompensa.
5. Scareware: Usa táticas de medo para manipular as vítimas para que instalem malware ou revelem informações confidenciais.
6. Ataque Watering Hole: Tem como alvo grupos específicos, infectando sites que eles visitam com frequência, levando ao roubo de dados ou à instalação de malware.
7. Ataques de cavalos de Troia: Malware disfarçado de software legítimo, geralmente disseminado por meio de anexos de e-mail de fontes aparentemente confiáveis.
8. Golpes de suporte técnico: Enganam as vítimas, fazendo-as acreditar que seus dispositivos estão comprometidos, e cobram dinheiro por "consertos" desnecessários.
9. Chamadas fraudulentas: Envolve o uso de chamadas telefônicas (incluindo chamadas automáticas) para enganar as vítimas, muitas vezes fazendo-se passar por organizações ou autoridades legítimas.

Compreender esses métodos de phishing e outras táticas de engenharia social é fundamental para se proteger contra essas ameaças predominantes e em evolução.

Exemplos de ataques de engenharia social

Aqui estão alguns exemplos reais de engenharia social que relatamos em Malwarebytes Labs . Em cada exemplo, os golpistas de engenharia social estão procurando o alvo certo e o gatilho emocional certo. Às vezes, a combinação de alvo e gatilho pode ser hiperespecífica (como em um ataque de spear phishing). Outras vezes, os golpistas podem ir atrás de um grupo muito mais amplo.

O esquema de sextortion: Neste primeiro exemplo, os golpistas estão lançando uma rede ampla. O alvo? Qualquer pessoa que assista a pornografia. A vítima é notificada por e-mail de que sua webcam foi supostamente invadida e usada para gravá-la assistindo a vídeos adultos. O golpista também alega que invadiu a conta de e-mail do destinatário, usando uma senha antiga como prova. Se a vítima não pagar via Bitcoin, o golpista ameaça divulgar o vídeo para todos os contatos da vítima. De modo geral, o golpista não tem um vídeo seu e sua senha antiga é de uma violação de dados divulgada anteriormente.

O golpe dos avós: Esse golpe vem sendo aplicado há anos e tem como alvo qualquer pessoa com família viva, geralmente os idosos. Os pais ou avós recebem uma ligação ou mensagem de texto do golpista, que se faz passar por advogado ou policial. O golpista alega que o parente da vítima foi preso ou ferido e precisa de dinheiro para pagar a fiança, os honorários advocatícios ou as contas do hospital. No caso da versão de mensagem de texto SMS do golpe, o simples fato de responder acaba custando dinheiro à vítima.

O golpe do Social Security Number: Nesse golpe, as coisas começam a se restringir, pois ele se aplica somente a cidadãos dos EUA. A vítima recebe uma chamada automática pré-gravada que alega ser da Administração do Social Security . A mensagem afirma que o SSN da vítima foi "suspenso" por "rastros suspeitos de informações". Não importa o fato de que seu SSN não pode ser suspenso, se a vítima cair no truque e retornar a ligação, ela será solicitada a pagar uma multa para resolver o problema.

O golpe John Wick 3: Este é um bom exemplo de spear phishing. Nesse caso, os golpistas estão atrás de um alvo muito específico: um fã de John Wick que gosta de histórias em quadrinhos, mas prefere lê-las no Amazon Kindle. Ao pesquisar os quadrinhos de John Wick, o alvo recebe uma oferta de download gratuito do terceiro filme de John Wick - na época do golpe, o filme ainda não havia sido lançado nos cinemas. Seguir o link embutido na descrição do filme leva a vítima a uma toca de coelho de sites ilegais de streaming de filmes piratas.

Golpes do coronavírus: Os golpistas perceberam a escassez de informações sobre o vírus, principalmente nos primeiros dias e meses da epidemia. Enquanto as autoridades de saúde se esforçavam para entender o vírus e como ele se espalhava de pessoa para pessoa, os golpistas preenchiam os espaços em branco com sites falsos e e-mails de spam.

Informamos sobre e-mails de spam disfarçados de informações sobre vírus da Organização Mundial da Saúde. Na verdade, os e-mails continham anexos cheios de malware. Em outro exemplo, o site Labs informou sobre um site de rastreamento da COVID-19 que exibia infecções em todo o mundo em tempo real. Nos bastidores, o site carregava um Trojan ladrão de informações nos computadores das vítimas.

Artigos relacionados

O que é phishing?

O que é spear phishing?

O que é um ataque de vishing?

O que é catfishing?

O que é roubo de identidade?