A engenharia social descreve a maneira como as vítimas são manipuladas para compartilhar informações, baixar malware e enviar dinheiro para criminosos. Ao contrário dos pacotes de software malicioso, o cérebro humano não pode ser corrigido – num nível básico, todos são igualmente vulneráveis à engenharia social. E embora a percepção pública da engenharia social não tenha se desenvolvido muito desde os dias do golpe do príncipe nigeriano, os invasores conseguiram se beneficiar de níveis altíssimos de violações de dados para testar algumas das técnicas mais nefastas e manipuladoras até então.
Como funciona a engenharia social?
A engenharia social pode assumir diversas formas diferentes, dependendo da abordagem dos atacantes. Para ataques contra organizações, fazer-se passar por marca ou parceiro confiável é um dos mais lucrativos. Em 2019, os cibercriminosos cobraram software baseado em IA para se fazer passar pela voz de um executivo-chefe.
O CEO de uma empresa de energia sediada no Reino Unido recebeu um telefonema do seu chefe – ou assim ele pensou – pedindo-lhe para transferir urgentemente uma quantia de € 220,000 ($ 243,000) para um fornecedor húngaro. Embora isso represente um caso raro de invasores que aproveitam a IA, a maioria dos engenheiros sociais ainda está ciente do poder de se passar por uma organização confiável. Na mesma linha estão os ataques que visam imitar figuras governamentais e de autoridade. A confiança concedida às instituições governamentais apresenta uma oportunidade frutífera para os agressores praticarem abusos: fazer-se passar pelo IRS também pode dar aos ataques de engenharia social uma vantagem punitiva ou limitada no tempo, levando as vítimas a agir sem a devida reflexão.
Os métodos de engenharia social atacam em grande parte dois grupos de emoções. O primeiro envolve medo e urgência. Décadas de evolução viram os cibercriminosos aprimorarem suas técnicas de indução do medo. Um e-mail inesperado informando que uma transação recente com cartão de crédito não foi aprovada, por exemplo, coloca o cérebro sob maior estresse, pois a vítima presume que seu cartão foi usado de forma fraudulenta. Esse pânico os faz clicar no link associado, inserir suas credenciais na página convincente de login do banco, apenas para serem redirecionados para uma página legítima. Sem saber, a vítima acaba de entregar suas credenciais bancárias aos fraudadores. Embora sejam lucrativas para os invasores, as finanças não são a única maneira de induzir o pânico: proprietários de pequenos sites e empresas podem receber uma mensagem alegando falsamente que uma imagem em seu site viola a lei de direitos autorais, o que os obriga a entregar informações pessoais – ou até mesmo dinheiro na forma de uma multa. Alguns ataques baseados em urgência até usam a fachada de acordos por tempo limitado, a fim de pressionar as vítimas a clicarem o mais rápido possível.
A outra forma de ataque de engenharia social apela à ganância; o ataque ao Príncipe Nigeriano é o exemplo tradicional disto. Aqui, a vítima recebe um e-mail de uma pessoa que afirma ser membro de uma família real nigeriana em fuga. O remetente precisa da conta bancária de alguém para enviar seus milhões, mas primeiro precisa das informações bancárias da vítima. A vítima, desejosa de aproveitar os milhões a serem depositados, pode ser persuadida a enviar uma taxa antecipada relativamente pequena ou os seus dados. Na indústria do crime cibernético, esse ataque é antigo – mas em 2018 ainda gerava centenas de milhares de dólares.
Tipos de ataques de engenharia social
A engenharia social abrange uma ampla gama de padrões de ataque, cada um dos quais adota sua própria abordagem para manipular as vítimas.
Ataques de phishing
O phishing abrange um dos tipos mais notórios de ataques de engenharia social. Esses ataques fazem com que a vítima receba mensagens que visam manipulá-la para que compartilhe informações confidenciais ou baixe arquivos maliciosos. Os golpistas reconhecem que a caixa de entrada é a área mais vulnerável de cada organização, e as mensagens são elaboradas com crescente legitimidade, imitando organizações conhecidas, amigos do destinatário ou clientes confiáveis.
Existem cinco formas principais de ataque de phishing; a mais perigosa delas é a técnica de spear phishing. Essa tática tem como alvo um indivíduo específico – geralmente aquele que tem acesso privilegiado a informações e redes confidenciais. O invasor conduzirá uma longa investigação sobre o indivíduo visado, muitas vezes usando as redes sociais para rastrear seus comportamentos e movimentos. O objetivo é criar uma mensagem que tenha sido enviada de forma confiável por alguém que o alvo conhece e em quem confia – ou que faça referências a situações com as quais o alvo está familiarizado. A caça às baleias refere-se a este processo sendo aproveitado contra indivíduos de alto perfil, como CEOs. O spear phishing pode ser fortalecido até quase a infalibilidade com o Business Email Compromise (BEC), que permite o envio de e-mails maliciosos a partir da conta de e-mail genuína da figura de autoridade.
Os próximos dois tipos de phishing referem-se ao meio pelo qual a vítima foi contatada. Embora o phishing geralmente lembre e-mails, os invasores estão mais do que dispostos a utilizar qualquer forma de contato potencial com as vítimas. Isso pode incluir vishing – como a voz do CEO já mencionada – e a inclusão de uma pessoa (aparente) do outro lado da linha pode incutir ainda mais um senso de urgência nas vítimas.
Dados divulgados pela IBM que mostrou que a inclusão de vishing em uma campanha aumentou suas chances de sucesso em até 300%. Smishing, por outro lado, vê os invasores usarem mensagens de texto para atingir o mesmo objetivo. A maneira como essas diversas mensagens e e-mails chegam às suas vítimas é tão multifacetada quanto os próprios invasores: a forma mais básica é o phishing em massa. E-mails muito semelhantes – geralmente fora de um modelo – são enviados para milhões de destinatários de uma só vez. Os invasores em massa sabem que o phishing é apenas um jogo de números: envie-os para um número suficiente de pessoas e, eventualmente, alguém será vítima. Esses e-mails são tão genéricos quanto possível, parecendo originar-se de bancos globais e grandes empresas online. Tópicos comuns são e-mails falsos de redefinição de senha e solicitações de atualizações de cuidados de crédito. O phishing em mecanismos de busca, por outro lado, tenta gerar vítimas “orgânicas”; os invasores constroem sites maliciosos que têm uma classificação alta o suficiente nos resultados de pesquisa do Google para que as vítimas presumam que são legítimos. Nas plataformas de redes sociais, os pescadores phishers matam as vítimas disfarçando-se de contas oficiais de empresas confiáveis. Após um cliente entrar em contato com eles, essas contas falsas aproveitarão suas dúvidas e preocupações para coletar suas informações pessoais e detalhes de cartão de crédito.
Ataques de isca
Enquanto o phishing muitas vezes depende de táticas de urgência de alta pressão, os ataques de isca induzem as vítimas a agirem contra os seus melhores interesses. Em 2020, o FBI emitiu um aviso para organizações sediadas nos EUA; foi descoberto que o notório grupo de crimes cibernéticos FIN7 estava usando unidades USB maliciosas para entregar ransomware a várias organizações. Esses USBs foram enviados como pacotes de avisos de relações públicas e de segurança pública; um pacote apreendido foi encontrado imitando o Departamento de Saúde dos EUA, fazendo referência às diretrizes da Covid-19, e outro estava tentando imitar um pacote de presente da Amazon, repleto de vale-presente falso e USB malicioso.
Ataques de utilização não autorizada
A utilização não autorizada, ou carona, deriva de ideias em torno da segurança do perímetro físico. Aqui, um invasor segue de perto uma pessoa legítima e autorizada na área que contém ativos valiosos. A utilização não autorizada digital é uma das formas mais simples de ataque cibernético, dependendo fortemente do descuido dos funcionários. Isso pode parecer um funcionário deixando seu dispositivo sem supervisão enquanto vai ao banheiro da biblioteca local – é assim que o FBI derrubou Ross Ulbricht, dono do site de venda de drogas Silk Road, em 2013.
Ataques de pretexto
Ataques de pretexto envolvem o invasor criando uma situação verossímil, porém falsa, para a vítima. Depois de acreditarem na mentira, as vítimas se tornam muito mais manipuláveis. Por exemplo, muitos ataques de pretexto centram-se no facto de a vítima ser afetada por uma violação de segurança – e depois oferece-se para resolver o problema, quer através do seu “suporte de TI” assumindo o controlo remoto do dispositivo da vítima, quer através da disponibilização de informações confidenciais da conta. Tecnicamente, quase todas as tentativas de engenharia social envolverão um certo grau de pretexto, graças à sua capacidade de tornar a vítima mais maleável.
Ataques quid pro quo
Os ataques quid pro quo usam o método de isca – exibindo um bem ou serviço desejável – na frente do rosto da vítima – mas apenas quando a vítima fornece informações pessoais em troca. Quer se trate de ganhos falsos em concursos ou de um questionário sobre “qual princesa da Disney é você”, as informações divulgadas por esses ataques podem contribuir para ataques mais graves no futuro.
Ataques de Scarware
Scareware descreve qualquer forma de malware que visa assustar suas vítimas e fazê-las compartilhar informações ou baixar outros malwares. Embora mensagens falsas de suporte técnico sejam o exemplo tradicional, os ataques mais recentes utilizam plenamente sentimentos de medo e vergonha. Recentemente, endereços de e-mail foram roubados de um site de recrutamento e ofertas de emprego falsas foram enviadas para cada um deles; clicar no documento anexado iniciaria o download de um vírus Trojan. O ataque teve como alvo específico endereços de e-mail corporativos, sabendo que os funcionários vítimas hesitariam em contar aos seus empregadores que tinham sido infectados enquanto procuravam emprego alternativo.
Ataques de Watering Hole
Por fim, os ataques watering hole fazem com que os invasores tenham como alvo páginas legítimas populares. Ao injetar código malicioso em sites comumente frequentados por alvos, os invasores conseguem capturar indiretamente as vítimas com downloads drive-by e roubo de credenciais.
Como identificar ataques de engenharia social
Os ataques de engenharia social são tão bem-sucedidos graças à sua capacidade de passar despercebidos. Portanto, reconhecer um ataque – de preferência antes que você seja enredado – é uma parte fundamental da prevenção de ataques. Aqui estão os 6 principais identificadores de uma tentativa de ataque de engenharia social:
Remetente suspeito
Uma das maneiras mais fáceis de se passar por uma empresa legítima é falsificar e-mails. Aqui, o endereço do invasor será quase idêntico ao da organização genuína – mas não exatamente. Alguns caracteres podem ser ligeiramente alterados ou totalmente omitidos; isso pode ser incrivelmente sorrateiro, como mudar um 'I' maiúsculo para um 'l' minúsculo.
Saudações e aprovações genéricas
E-mails de phishing em massa quase sempre usam uma saudação genérica, como senhor ou senhora. No entanto, o material de marketing genuíno geralmente começa com um nome, pois organizações confiáveis normalmente utilizam os detalhes de contato incluídos em seu banco de dados. Essa forma de contato de organizações confiáveis também se estenderá até o final do e-mail, já que a assinatura do remetente geralmente incluirá informações de contato. A combinação de saudação genérica e falta de informações de contato é um forte indicador de phishing.
Hiperlinks e sites falsificados
Uma das maneiras mais fáceis de comprometer um dispositivo é através de um site carregado com código malicioso. Graças à formatação de hiperlinks dos dispositivos modernos, qualquer texto pode ser vinculado a qualquer URL. Embora seja possível verificar isso em um PC passando o mouse sobre o link e avaliando sua validade, os usuários de celulares e tablets correm maior risco de clicar involuntariamente. Para piorar a onda de hiperlinks falsificados está a capacidade dos invasores de imitar sites legítimos, adicionando camadas de credibilidade a um ataque. Um URL falsificado seguirá o mesmo padrão de um endereço de e-mail falsificado: uma variação na ortografia ou no domínio, como alterar .gov para .net, são algumas das técnicas mais bem-sucedidas.
Destinos Secundários
É muito comum que materiais de marketing e outras mensagens incluam documentos anexados. Os invasores fazem uso disso direcionando a vítima para um documento genuíno – ou site de hospedagem – que, por sua vez, direciona a vítima para uma página maliciosa. Essa técnica é comumente aplicada a equipes de funcionários que cooperam regularmente no trabalho. Se um documento legítimo incluir um link para um arquivo malicioso, ele não apenas será mais confiável para suas vítimas, mas também contornará os mecanismos básicos de segurança da caixa de entrada.
Ortografia e layout
A indicação mais óbvia de ataques de phishing: gramática e ortografia inadequadas. Organizações respeitáveis quase sempre dedicam tempo à verificação e revisão da correspondência dos clientes. Ao mesmo tempo, a gramática pobre associada à arte da engenharia social dos ataques de hackers humanos atua como um mecanismo de filtragem inerente. Os invasores não querem perder tempo lidando com pessoas suspeitas: aqueles que caem na má gramática e ortografia são vulneráveis o suficiente para serem presas fáceis.
Anexos suspeitos
E-mails não solicitados que solicitam que o usuário baixe e abra anexos devem fazer soar alarmes. Quando combinado com um tom de urgência, é importante redirecionar esse pânico para um sentimento de cautela. Em casos de comprometimento de e-mails comerciais, é possível que até mesmo mensagens incrivelmente curtas desencadeiem um pandemônio generalizado: receber um e-mail de um alto executivo declarando 'Preciso deste documento impresso, na minha mesa em 10 minutos' poderia enganar um estagiário e fazê-lo ignorar o erro gramatical por medo.
Como prevenir ataques de engenharia social
Embora seja comum ver os ataques de phishing como um problema puramente individual, há uma demanda crescente para ver a prevenção da engenharia social como um esforço coletivo. Afinal, os invasores estão simplesmente transformando as respostas naturais dos usuários ao medo e ao pânico. A proteção de uma organização – e dos seus utilizadores – resume-se a três áreas principais.
#1. Treinamento de conscientização sobre segurança
Em primeiro lugar: dar aos funcionários as ferramentas para se defenderem. A formação em matéria de sensibilização para a segurança deve ser relevante para os seus utilizadores, enfatizando ao mesmo tempo algumas regras unilaterais. Os funcionários precisam entender que não devem clicar em links de e-mails e mensagens. Em vez disso, eles precisam criar o hábito de simplesmente procurar uma versão legítima. As velocidades modernas da Internet tornam isso uma solução fácil.
A higiene das senhas é, neste momento, um lembrete de que todo funcionário já ouviu milhares de vezes. Dadas as dezenas de contas online que cada pessoa possui atualmente, senhas únicas e complexas só são realmente viáveis através do uso de um gerenciador de senhas. Apoiar os funcionários dessa forma pode ajudar muito a limitar o raio de ação de ataques bem-sucedidos.
Finalmente, os funcionários precisam compreender que todos são vulneráveis. O vazamento de informações pessoais através das redes sociais é o que impulsiona o enorme sucesso da indústria de phishing de baleias. Embora seja bom ter em mente que escolas, animais de estimação e locais de nascimento devem ser mantidos fora dos olhos do público, alguns funcionários podem achar mais fácil definir perguntas de segurança que sejam memoráveis, mas tecnicamente falsas. Por exemplo, definir a pergunta de segurança 'onde você estudou?' com 'Hogwarts' poderia afastar completamente qualquer invasor curioso.
#2. Políticas de controle de acesso
Controlar o acesso a cada endpoint é uma parte vital da prevenção da engenharia social. Do usuário aos processos de autenticação, é necessário haver um controle rígido sobre quem acessa o quê. Os utilizadores finais precisam de bloquear computadores e dispositivos sempre que se afastam – isto deve ser reforçado e automatizado através de temporizadores curtos. Quando os dispositivos são utilizados em espaços públicos, eles precisam ser mantidos sempre em posse dos funcionários. Toda autenticação precisa ser reforçada com MFA. Isso pode anular completamente a ameaça de BEC e roubo de credenciais de login.
Em última análise, a simples verificação da identidade com uma impressão digital ou telefone pode fazer a diferença entre um e-mail falsificado que é capturado – e um ataque BEC que causa milhões em danos.
#3. Tecnologias de segurança
Os funcionários devem ser totalmente apoiados por um conjunto abrangente de tecnologias de segurança. Por exemplo, se a filtragem de spam de um programa de e-mail ainda permite e-mails suspeitos nas caixas de entrada, filtros de terceiros podem ajudar a monitorar e prevenir ataques de engenharia social com uma abordagem de lista negra de URLs. Embora a prevenção baseada na caixa de entrada seja importante, o que talvez seja ainda mais importante é a implementação de segurança do navegador de alta qualidade. Idealmente, isso combaterá rootkits, cavalos de Tróia e falsificações de roubo de credenciais, oferecendo uma proteção de alcance muito mais profundo do que o reconhecimento parcial de URL.
A solução LayerX
A extensão de navegador do LayerX que prioriza o usuário oferece uma abordagem única e abrangente para combater ataques de engenharia social. As sessões do navegador são monitoradas na camada do aplicativo, proporcionando visibilidade total de todos os eventos de navegação. Cada página da web pode ir um passo além do processo de “bloquear ou negar”, com análises aprofundadas que permitem a neutralização de ameaças em tempo real. Dessa forma, a aplicação granular pode impedir que até mesmo ataques BEC altamente avançados entreguem cargas úteis. Em vez de depender de uma abordagem passo a passo por meio de listas de bloqueios de DNS, a abordagem preparada para o futuro da LayerX combina inteligência de ameaças de ponta com aplicação profunda em cada endpoint.