Os ataques de engenharia social são responsáveis por uma grande parte de todos os ataques cibernéticos, e estudos mostram que eles estão aumentando. De acordo com a KnowBe4, mais de 90% dos hacks e violações de dados bem-sucedidos começam com um tipo comum de ataque de engenharia social, o phishing.
Os engenheiros sociais são espertos e usam táticas de manipulação para enganar suas vítimas para que revelem informações privadas ou confidenciais. Depois que um engenheiro social engana sua vítima para fornecer essas informações, eles podem usá-las para promover seus ataques.
Uma das melhores maneiras de se proteger contra um ataque de engenharia social é ser capaz de identificá-los. Neste artigo nós explicamos como eles funcionam e damos dicas para você proteger a sua empresa. Vamos lá?
O que é engenharia social?
A engenharia social é um ataque psicológico contra uma empresa ou organização que visa explorar a tendência natural das pessoas de confiar nos outros. Um invasor de engenharia social fabrica um pretexto familiar aos alvos e, em seguida, ataca seus preconceitos cognitivos para induzi-los a uma falsa sensação de segurança e confiança. Resumindo, o invasor assume um alter-ego em que se espera que os alvos confiem de forma inerente.
Usando essa relação de confiança falsificada, o invasor persuade os alvos a divulgar dados confidenciais ou executar uma ação que normalmente não realizariam. Alguns dados vazados, como credenciais, podem ser o objetivo final do invasor. Outros dados, como o nome de um gerente de departamento, podem ser um meio para um fim.
Como funciona a engenharia social?
Os engenheiros sociais usam uma variedade de táticas para realizar ataques. A primeira etapa na maioria dos ataques de engenharia social é o invasor realizar pesquisa e reconhecimento do alvo. Se o alvo for uma empresa, por exemplo, o hacker pode reunir informações sobre a estrutura organizacional, operações internas, jargão comum usado na indústria e possíveis parceiros de negócios, entre outras informações.
Uma tática comum dos engenheiros sociais é focar os comportamentos e padrões dos funcionários que têm acesso inicial, mas de baixo nível, como um segurança ou recepcionista. Os invasores podem escanear perfis de mídia social em busca de informações pessoais e estudar seu comportamento online e pessoalmente.
A partir daí, ele pode projetar um ataque com base nas informações coletadas e explorar a fraqueza descoberta durante a fase de reconhecimento. Se o ataque for bem-sucedido, o invasor terá acesso a informações confidenciais, como números de previdência social e informações de cartão de crédito ou conta bancária, ganha dinheiro com as metas ou obtém acesso a sistemas, ou redes protegidos.
Quais são os principais tipos de ataques feitos por engenheiros sociais?
Vamos explorar os seis tipos comuns de ataques de engenharia social.
Phishing
Phishing é uma técnica de engenharia social na qual um invasor envia e-mails fraudulentos, alegando ser de uma fonte confiável. Por exemplo, um engenheiro social pode enviar um e-mail que parece vir de um gerente de sucesso do cliente em seu banco.
Eles podem alegar ter informações importantes sobre sua conta, mas exigem que você responda com seu nome completo, data de nascimento e número da conta primeiro para que eles possam verificar sua identidade. Em última análise, a pessoa que está enviando o e-mail não é um funcionário do banco, mas uma pessoa tentando roubar dados privados. O phishing, em geral, lança uma rede ampla e tenta atingir o maior número possível de pessoas.
Vishing e smishing
Embora o phishing seja usado para descrever práticas de e-mail fraudulentas, técnicas de manipulação semelhantes são praticadas usando outros métodos de comunicação, como chamadas telefônicas e mensagens de texto.
Vishing (abreviação de phishing de voz) ocorre quando um fraudador tenta induzir a vítima a divulgar informações confidenciais ou fornecer acesso ao computador da vítima pelo telefone. Golpes desse tipo costumam ter como alvo pessoas idosas, mas qualquer um pode cair em um vishing se não for adequadamente treinado.
Já o smishing (abreviação de phishing de SMS) é semelhante e incorpora as mesmas técnicas de phishing e vishing, mas é feito por meio de SMS / mensagens de texto.
Baiting
O baiting coloca algo atraente ou curioso na frente da vítima para atraí-la para a armadilha da engenharia social. Um esquema desse pode oferecer um download gratuito de música ou um cartão-presente na tentativa de enganar o usuário para que forneça credenciais.
Um engenheiro social pode distribuir drives USB grátis para usuários em uma conferência. O usuário pode acreditar que está apenas obtendo um dispositivo de armazenamento gratuito, mas o invasor pode tê-lo carregado com malware de acesso remoto que infecta o computador quando conectado.
Quid pro quo
Quid pro quo (latim para “algo por algo”) é um tipo de tática de engenharia social em que o invasor tenta uma troca de serviço por informações. Um cenário de compensação poderia envolver um invasor ligando para as linhas principais de empresas fingindo ser do departamento de TI, tentando entrar em contato com alguém que estava tendo um problema técnico.
Assim que o invasor encontrar um usuário que necessite de assistência técnica, ele dirá algo como: “Posso consertar isso para você. Precisarei apenas de suas credenciais de login para continuar”. Esta é uma maneira simples e sem sofisticação de obter as credenciais de um usuário.
Como evitar os ataques de engenharia social?
A melhor maneira de evitar ataques de engenharia social é tomar medidas preventivas.Aqui estão algumas medidas e técnicas que podem ser úteis para você blindar sua rede.
Conscientização de segurança
Uma abordagem de segurança cibernética saudável depende muito da consciência humana. Como as táticas de engenharia social são baseadas na manipulação de comportamento, você pode ficar à frente garantindo que toda a força de trabalho de uma organização entenda os diferentes truques que os cibercriminosos usam.
Política de privacidade e postagem nas mídias sociais
Os sites de mídia social costumam ser o terreno de caça de cibercriminosos e usam e-mails de spear-phishing para recuperar detalhes pessoais da vítima. Esse processo exige que o alvo seja preparado por meio da coleta inteligente de informações sobre ele. Para evitar isso, a política de segurança deve ter uma abordagem robusta em relação à privacidade e postagem na mídia social que os funcionários devem aderir.
Certificados SSL
Se os dados, e-mail e comunicação forem criptografados, os hackers não podem acessar as informações, mesmo que o canal de comunicação seja interceptado. Isso pode ser feito por meio da certificação SSL de autoridades confiáveis.
Além disso, a verificação de qualquer site que solicite informações confidenciais é uma obrigação. As URLs podem oferecer uma visão sobre a autenticidade dos sites. Por exemplo, aquelas que começam com “https: //” são sites criptografados que podem ser confiáveis em relação aos sites que começam com “http://”, pois o último não oferece uma conexão segura.
Ative o filtro de spam
Os filtros de spam podem ser usados para reduzir a janela de oportunidades para os infratores que se dedicam à engenharia social. A filtragem pode proteger sua caixa de entrada, segregando e barrando os e-mails de natureza suspeita. Com os recursos de spam, você será capaz de categorizar e-mails e detectar os enganosos perfeitamente.
A segurança cibernética é um campo que não envolve apenas abordagens tecnológicas, mas também corrige o comportamento humano de uma forma que evita ataques de engenharia social. Os pontos mencionados acima podem ajudar você a mitigar ataques desse tipo e garantir a segurança dos dados corporativos.
E na sua empresa, como vocês lidam com as ameaças de engenharia social? Conte sua experiência para a gente nos comentários abaixo!
