Se você está por dentro das tendências em crimes cibernéticos, certamente já ouviu falar nele: o ataque de engenharia social não só está se tornando cada vez mais comum, como também mais sofisticado. Com o trabalho cada vez mais excepcional por parte dos hackers, nada mais resta às empresas e aos MSPs (provedores de serviços gerenciados) do que acertar o passo e investir uma proteção à altura.
No caso da engenharia social, que compreende toda uma gama de ações maliciosas, o perigo é ainda mais sorrateiro. Ao apelar para táticas realistas de contato e fazer vítimas mesmo entre profissionais bem treinados, a prática exige vigilância máxima.
A seguir, saiba mais sobre essa forma de ataque, seus principais tipos e como se proteger de forma efetiva da ciberameaça!
Ataque de engenharia social: entenda a ameaça e suas características
Como mencionamos, o termo “engenharia social” abrange diferentes estratégias utilizadas pelos cibercriminosos com base em interação humana, visando enganar e iludir os usuários para que desrespeitem regras básicas de segurança.
Nesse sentido, o ataque de engenharia social tem como principal característica envolver algum tipo de manipulação psicológica, levando as vítimas a revelar dados sensíveis ou confidenciais.
Em geral, a tática aposta em e-mails ou outros canais de comunicação para criar senso de urgência, medo ou outras emoções para induzir os usuários a clicarem em links maliciosos, informarem dados pessoais ou mesmo abrir arquivos mal intencionados. A partir daí, os hackers podem concluir suas intenções criminosas.
É importante ter em mente que, justamente porque a engenharia social envolve o elemento humano nas suas ações, os ataques se tornam ainda mais difíceis de prevenir.
Ataque de engenharia social vs Malware tradicional
A essa altura, vale destacar uma diferença importante entre as táticas de engenharia social e os malwares convencionais.
Enquanto as práticas hackers tradicionais visam acessar, comprometer e/ou explorar os softwares e sistemas das vítimas, o ataque de engenharia social tem como foco ganhar acesso legítimo (ou seja, “permitido” pela vítima) a informações sigilosas.
Dessa forma, é possível entender a particularidade dessa ameaça “psicológica”: o sucesso dos cibercriminosos, aqui, acontece quando há grande habilidade para manipular os usuários, levando-os a executar as ações desejadas ou entregar dados sensíveis, seja de cunho pessoal ou corporativo.
É interessante acrescentar também outro fator relevante que torna o ataque de engenharia social uma ameaça desafiadora para os negócios: como não opera de forma técnica, o cibercrime não pode ser detectado por recursos de segurança convencionais.
Como não envolve nenhum aspecto técnico que possa ser reconhecido pelas ferramentas de segurança tradicionais, os ataques de engenharia social estão entre os maiores riscos cibernéticos às empresas atualmente.
Como funciona: desvendando o mecanismo do ataque
De maneira geral, a ação se desenrola da seguinte maneira: primeiro, o cibercriminoso investiga a vítima em potencial para reunir as informações necessárias para o ataque, a exemplo de protocolos de segurança vulneráveis e possíveis pontos de “entrada”.
Em seguida, o hacker busca obter a confiança da vítima e fornecer estímulo para as próximas ações pretendidas, tais como revelar informações sensíveis e ganhar acesso a recursos críticos.
Nesse cenário, o ataque de engenharia social se baseia no erro humano; não em vulnerabilidades de softwares e sistemas operacionais.
Os 4 principais tipos de ataque de engenharia social
Phishing
Hoje, os golpes de phishing são a forma mais comum de ataque de engenharia social. Aqui, os objetivos centrais da ameaça são:
- usar links abreviados ou adulterados para direcionar os usuários para sites suspeitos com landing pages maliciosas;
- obter dados pessoais como nomes completos, endereços, credenciais de acesso, CPF, RG e informações bancárias;
- fazer uso de medo, ameaças e senso de urgência para induzir o usuário a fornecer respostas rápidas.
Vale mencionar que o phishing ocorre principalmente via e-mail, mas pode se apresentar também como mensagens SMS, sites suspeitos, pop-ups e até telefonemas.
Baiting
O termo baiting vem do inglês “bait”, ou seja, “isca”. Semelhante ao phishing, a prática busca oferecer algo vantajoso e estimulante para o usuário em troca de informações de login ou dados pessoais sigilosos.
A “isca”, nesse cenário, pode vir de muitas formas: tanto digital quanto física. Pode ser, por exemplo, um download de filme ou música, ou ainda um pendrive deixado sobre a mesa para que um usuário o encontre.
A partir do momento em que a isca é fisgada, o malware atinge diretamente sua vítima e o hacker pode seguir com seu trabalho.
Pretexting
Nesse caso, os cibercriminosos assumem uma identidade ou papel falsos para atuar com alguém de confiança das potenciais vítimas. Dessa forma, procuram obter acesso a dados ou sistemas sensíveis e críticos.
Para tanto, o procedimento usual é pesquisar as redes sociais do usuário em questão para levantar informações sobre sua vida pessoal, a exemplo de nomes dos pais, empresa, colegas de trabalho e outras.
Por fim, a interação é realizada, geralmente via e-mail. Pode ser uma suposta mensagem do RH da empresa em que a vítima trabalha, por exemplo, pedindo a confirmação de dados pessoais para um determinado acesso.
Quid pro quo
Por sua vez, o quid pro quo atua de forma similar ao baiting. Aqui, o hacker solicita a revelação de dados pessoais ou credenciais de login em troca de um serviço.
A vítima pode, por exemplo, receber uma ligação de um suposto especialista de TI que oferece assistência gratuita – e solicita as informações de login no processo. Outra situação comum diz respeito a hackers que contatam funcionários como se fossem consultores realizando uma pesquisa, e oferecem uma quantia em dinheiro para que os usuários forneçam acesso à rede corporativa do negócio.
3 famosos casos de ataques de engenharia social
1. Caso do programa de TV Shark Tank, de 2020
Em 2020, um hacker se passou por um assistente de Barbara Corcoran, jurada do programa de TV Shark Tank, e quase roubou 400 mil dólares da mesma através de um golpe de phishing.
Usando um e-mail parecido ao e-mail legítimo, o cibercriminoso entrou em contato para o contador de Corcoran solicitando o pagamento de uma suposta renovação ligada a investimentos em imóveis.
O golpe foi descoberto, no entanto, porque o contador contatou sua cliente para verificar a procedência da transação.
2. Caso do Partido Democrata dos EUA, de 2016
Este é certamente um dos casos de ataques de engenharia social mais icônicos, tendo ocorrido na eleição presidencial dos EUA em 2016.
Usando táticas de spear phishing, os hackers criaram um e-mail falso e convidaram usuários a trocarem suas senhas alegando atividades suspeitas. A partir daí, obtiveram acesso a centenas de e-mails com informações sigilosas sobre a campanha de Hilary Clinton – e o vazamento pode ter tido influência no resultado das eleições, que foram vencidas por Donald Trump.
3. Caso da Sony Pictures, de 2014
Também alvo de técnicas de engenharia social, a companhia Sony Pictures teve milhares de documentos roubados, incluindo arquivos financeiros, informações sobre acordos comerciais e dados pessoais de funcionários.
Para tanto, os hackers enviaram e-mails se passando pela gigante Apple. Depois de amplas investigações, o FBI revelou que o crime cibernético foi proveniente do governo da Coreia do Norte.
Ataque de engenharia social: como se proteger?
Como vimos, esse tipo de ataque explora a confiança, as emoções e a curiosidade de suas vítimas. Nesse sentido, é fundamental treinar colaboradores e clientes nas melhores práticas de segurança da informação, que abrangem cuidados indispensáveis no dia a dia, tais como:
- não engajar com e-mails desconhecidos;
- não clicar em links ou navegar em sites cuja procedência despertar suspeita;
- não baixar ou abrir anexos de fontes suspeitas e/ou desconhecidas;
- sempre desconfiar de interações que solicitem a revelação de dados pessoais e/ou confidenciais, de cunho sigiloso ou de acesso à rede corporativa;
- desconfiar de pedidos urgentes e que envolvam dinheiro e/ou informações confidenciais;
- verificar a procedência e a veracidade de endereços de e-mail, números de telefone e outras ofertas ou contatos na web.
Além dos cuidados básicos no dia a dia (que também ajudam na segurança contra diversos tipos de malwares), é fundamental que seu negócio conte com boa proteção antivírus e ferramentas anti-malware, além de ter o apoio de uma sólida política de segurança da informação.
E então, gostou do conteúdo? Esperamos que tenha esclarecido suas dúvidas! Agora que conferiu mais sobre o ataque de engenharia social, acesse também nosso guia de treinamento em segurança da informação, uma prática essencial para proteger seu negócio!
Créditos da imagem de destaque: freepik
