Engenharia social
Engenharia social é a arte de manipular pessoas para que elas revelem informações confidenciais. Todo crime cibernético começa com um ataque de engenharia social. Vamos dar uma olhada em como isso funciona e como você pode se proteger.
Introdução
Quando se trata de segurança cibernética, a maioria das pessoas pensa em ataques técnicos como injeção de SQL, scripts entre sites, ataques man-in-the-middle ou malware. No entanto, os ataques mais comuns e eficazes muitas vezes não são técnicos. Engenharia social é a arte de manipular pessoas para que elas revelem informações confidenciais. Todo crime cibernético começa com um ataque de engenharia social.
Aqui está a definição da Wikipédia:
No contexto da segurança da informação, engenharia social é a manipulação psicológica das pessoas para que realizem ações ou divulguem informações confidenciais. Um tipo de truque de confiança com o propósito de coletar informações, cometer fraude ou obter acesso ao sistema, difere de um "golpe" tradicional, pois frequentemente é um dos vários passos em um esquema de fraude mais complexo.[1] Também tem sido definida como "qualquer ato que influencie uma pessoa a tomar uma ação que pode ou não ser do seu interesse".
Os tipos de informações que esses criminosos estão procurando podem variar, mas quando indivíduos são alvo, os criminosos geralmente estão tentando enganar você para que entregue suas senhas, informações pessoais ou acesse seu computador para instalar secretamente software malicioso – que lhes dará acesso às suas senhas e informações bancárias, além de dar-lhes controle sobre o seu computador.
Como a engenharia social funciona?
Ataques de engenharia social acontecem em uma ou mais etapas. A maioria dos ataques de engenharia social depende de comunicação real entre atacantes e vítimas. É comum que as vítimas sejam alvo de vários atacantes por um longo período, e os ataques são cuidadosamente elaborados para evitar a detecção. Um ataque bem-sucedido envolve as seguintes etapas:
-
Pesquisa: O atacante coleta informações sobre o alvo, como possíveis pontos de entrada e protocolos de segurança fracos, necessários para realizar o ataque. No mundo de hoje, é muito fácil encontrar informações sobre uma pessoa online. Por exemplo, você pode encontrar o endereço de email, número de telefone e até mesmo o endereço residencial de uma pessoa em seu perfil de mídia social. Você também pode descobrir onde ela trabalha, o que faz e com quem trabalha. Essas informações podem ser usadas para criar um email ou ligação de phishing muito convincente no próximo passo.
-
Isca: O atacante usa essas informações para criar um cenário convincente que atrai a vítima a fazer o que o atacante deseja. Por exemplo, o atacante pode ligar para a vítima e se passar por um agente de atendimento ao cliente de seu banco, pedindo que ela verifique suas informações de conta. Ou, pode ligar para um funcionário de uma empresa e se passar por uma pessoa de suporte de TI, pedindo que ele redefina sua senha.
-
Manipulação emocional: O atacante joga com as emoções para fazer com que a vítima aja imediatamente, sem pensar. Por exemplo, o atacante pode ameaçar a vítima com multas, penalidades ou processos legais se ela não cumprir o pedido imediatamente. Ou, pode apelar para a ganância da vítima, prometendo uma grande quantia em dinheiro ou recompensa em troca de sua ajuda.
-
Execução: O atacante executa o ataque, que pode assumir várias formas. Por exemplo, ele pode:
- Enganar a vítima para que instale malware em seu computador.
- Enganar a vítima para que revele informações sensíveis em um email ou por telefone.
- Enganar a vítima para que envie dinheiro ao atacante.
- Enganar a vítima para que clique em um link malicioso em um email ou mensagem de texto.
As etapas acima podem acontecer em um curto período de tempo, ou podem se desenrolar ao longo de semanas ou meses. O atacante pode mirar em uma única pessoa ou em um grupo de pessoas. A conexão pode ser estabelecida por meio de uma ligação telefônica, email, mensagem de texto ou bate-papo em redes sociais. Mas, em última análise, conclui-se com uma ação que você toma, como compartilhar suas informações ou se expor a malware.
Tipos de ataques de engenharia social
Há muitos tipos de ataques de engenharia social, e cada um tem seu próprio propósito e objetivo. Aqui estão alguns dos tipos mais comuns de ataques de engenharia social:
Phishing por Spam
O phishing por spam é o tipo mais comum de ataque de engenharia social. É um tipo de ataque de phishing em que o atacante envia milhões de emails para pessoas aleatórias, esperando que algumas delas caiam no golpe. Os emails geralmente são enviados de um endereço de email falso e frequentemente contêm um link para um site malicioso ou um anexo malicioso. O objetivo do ataque é enganar a vítima para que clique no link ou abra o anexo, o que instalará malware em seu computador.
Exemplo
Imagine que você recebe um email não solicitado em sua caixa de entrada com uma linha de assunto atraente que afirma que você ganhou um prêmio em dinheiro substancial. O título do email afirma que você ganhou $1.000.000 e que precisa reivindicar seu prêmio imediatamente.
Ao abrir o email, você encontra uma mensagem parabenizando você por sua suposta vitória na loteria. Pode incluir promessas extravagantes, como uma quantia de dinheiro que mudará sua vida. O email geralmente contém um link ou informações de contato para que você reivindique seus ganhos.
Esse email exibe sinais clássicos de um ataque de phishing por spam:
-
Não Solicitado: Você nunca participou de nenhuma loteria ou concurso, então não deveria ter ganho nenhum prêmio.
-
Bom Demais Para Ser Verdade: A promessa de uma grande quantia de dinheiro sem motivo aparente é uma tática comum usada para atrair vítimas.
-
Ação Urgente: O email pode afirmar que você precisa agir rapidamente para reivindicar seu prêmio, criando um senso de urgência.
-
Solicitações de Informações Pessoais ou Dinheiro: Para "reivindicar" seu prêmio, pode ser solicitado que você forneça informações pessoais, pague taxas ou transfira dinheiro para cobrir supostos custos de processamento.
Phishing por Spear
O phishing por spear é um tipo de ataque de phishing em que o atacante mira em uma pessoa específica ou grupo de pessoas. O atacante fará uma pesquisa sobre o alvo e, em seguida, enviará um email personalizado que parece ter vindo de uma fonte confiável. O email geralmente conterá um link para um site malicioso ou um anexo malicioso. O objetivo do ataque é enganar a vítima para que clique no link ou abra o anexo, o que instalará malware em seu computador. Ao contrário do phishing por spam, ataques de phishing por spear são altamente direcionados e personalizados, e são muito mais propensos a ter sucesso.
Exemplo
Neste cenário de phishing por spear, você recebe um email que parece ser de um colega ou de alguém que você conhece. O email contém uma linha de assunto que sugere que se trata de um aviso de segurança importante. O que diferencia o phishing por spear do phishing comum é que o atacante mira em uma pessoa específica e frequentemente possui algum conhecimento sobre o alvo.
Ao abrir o email, você encontra uma mensagem que afirma ser do seu consultor de TI, Charles. Ela o chama pelo seu nome completo e menciona um suposto vazamento de segurança na sua conta de trabalho. O email solicita que você clique em um link ou baixe um anexo para proteger sua conta. Você clica no link, e ele leva a um site que se parece exatamente com a página de login da sua empresa. Você insere seu nome de usuário e senha, e o atacante agora tem acesso à sua conta.
Este email exibe sinais clássicos de um ataque de phishing por spear:
-
Personalização: O email se dirige a você pelo seu nome completo, dando-lhe uma aparência legítima.
-
Urgência: A mensagem transmite uma sensação de urgência, sugerindo que você precisa tomar uma ação imediata para solucionar um problema de segurança.
-
Solicitações de Ação: O email pede que você clique em um link ou baixe um anexo. Esses links ou anexos frequentemente contêm malware ou sites de phishing.
Baiting
Baiting é um tipo de ataque de engenharia social em que o atacante oferece algo tentador à vítima em troca de suas informações pessoais. Por exemplo, o atacante pode oferecer um cartão-presente grátis ou um download de filme gratuito em troca do endereço de email da vítima. O objetivo do ataque é enganar a vítima para que revele suas informações pessoais, que o atacante pode então usar para roubar sua identidade ou cometer fraude. Ele aproveita a curiosidade ou ganância da vítima.
Exemplo
Neste cenário de baiting, os atacantes deixam um pendrive em um local público, como uma cafeteria ou estacionamento. O pendrive está rotulado como "Confidencial" ou "Privado", e contém um programa malicioso que instalará malware no computador da vítima quando for conectado. O objetivo do ataque é enganar a vítima para que conecte o pendrive em seu computador, o que instalará malware em seu computador.
Você conecta o pendrive em seu computador, esperando encontrar informações valiosas. Ele parece conter um arquivo chamado "Confidential_Project_Data.csv". Ao tentar abrir o arquivo, ele aciona um script oculto que infecta seu computador com malware.
Neste ataque de baiting:
- O bait é o pendrive, que está rotulado como "Confidencial" ou "Privado", tornando-o atraente para qualquer pessoa que o encontrar, especialmente em um ambiente profissional ou de trabalho.
- Fator de Curiosidade: A curiosidade humana é explorada como uma vulnerabilidade, levando as pessoas a tomar ações que normalmente evitariam.
Water Holing
Water holing é um tipo de ataque de engenharia social em que o atacante mira em um grupo específico de pessoas ao infectar um site que eles provavelmente visitarão. Por exemplo, o atacante pode infectar um site de notícias popular ou um site de rede social popular. O objetivo do ataque é enganar a vítima para que visite o site infectado, o que instalará malware em seu computador.
Exemplo
Um grupo de atacantes tem como objetivo comprometer a segurança de uma associação industrial específica que representa uma comunidade de profissionais de cibersegurança. Os atacantes pretendem roubar dados sensíveis e infiltrar-se nos sistemas dos especialistas em cibersegurança.
Os atacantes identificam um site conhecido e respeitado utilizado por essa comunidade. Neste caso, eles escolhem o site oficial da associação da indústria de cibersegurança. Os atacantes identificam e exploram uma vulnerabilidade no site da associação da indústria. Eles podem usar métodos técnicos como injeção de SQL ou cross-site scripting (XSS) para obter acesso não autorizado ao sistema de gerenciamento de conteúdo do site. Depois de obter acesso ao site, os atacantes injetam código malicioso nas páginas do site. Esse código é projetado para entregar malware aos visitantes das páginas comprometidas.
Em seguida, os atacantes aguardam que os profissionais de cibersegurança visitem o site. Eles sabem que muitos especialistas em cibersegurança verificam regularmente o site para se informar sobre atualizações, notícias e recursos.
À medida que os profissionais de cibersegurança visitam o site da associação da indústria para ler artigos, participar de webinars ou baixar recursos, eles, inadvertidamente, expõem seus dispositivos ao malware injetado. O malware pode roubar informações sensíveis, como credenciais de login ou dados pessoais. Também pode fornecer aos atacantes uma base para lançar ataques adicionais, incluindo spear phishing ou a exploração de vulnerabilidades conhecidas nos sistemas das vítimas.
Neste ataque de water holing:
- O water hole é o site da associação da indústria, que é um destino popular para profissionais de cibersegurança.
- Audiência Alvo: Os atacantes miram em um grupo específico de pessoas, neste caso, profissionais de cibersegurança.
- Explorando a Confiança: Os atacantes exploram a confiança que os profissionais de cibersegurança têm no site da associação da indústria.
- Explorando Vulnerabilidades: Os atacantes exploram vulnerabilidades no sistema de gerenciamento de conteúdo do site para injetar código malicioso nas páginas do site.
Como se proteger de ataques de engenharia social
Proteger-se de ataques de engenharia social requer uma combinação de consciência, ceticismo e boas práticas. Aqui estão algumas etapas essenciais para se proteger contra ataques de engenharia social:
-
Eduque-se: Aprenda sobre táticas comuns de engenharia social, incluindo phishing, pretexting, baiting e tailgating. Mantenha-se informado sobre as últimas técnicas e tendências de engenharia social.
-
Verifique a Identidade: Sempre verifique a identidade de pessoas ou organizações que solicitam suas informações pessoais ou confidenciais. Não confie apenas em números de telefone, emails ou sites fornecidos pela pessoa que entra em contato com você. Use informações de contato oficiais obtidas de fontes confiáveis independentemente.
-
Questione as Solicitações: Seja cético quanto a solicitações não solicitadas de informações pessoais, financeiras ou confidenciais. Organizações legítimas geralmente não solicitam essas informações por meio de email ou telefone. Se alguém pedir informações confidenciais, pergunte por que é necessário e como será utilizado.
-
Cuidado com Urgência e Pressão: Engenheiros sociais frequentemente criam um senso de urgência para apressar você a tomar decisões sem pensar. Leve seu tempo para considerar solicitações ou ofertas. Verifique a legitimidade da situação.
-
Proteja o Acesso Físico: Proteja seu espaço de trabalho físico contra acesso não autorizado. Tranque seu computador e dispositivos quando não estiverem em uso. Seja cauteloso ao permitir que indivíduos desconhecidos entrem em áreas seguras.
-
Treinamento de Funcionários: Se você faz parte de uma organização, forneça treinamento de conscientização sobre engenharia social para funcionários. Ensine os funcionários a reconhecer e relatar atividades suspeitas.
-
Use Fontes Confiáveis: Obtenha informações de fontes confiáveis e verificadas. Evite confiar em sites não oficiais ou notícias não verificadas.
-
Criptografia de Dados: Criptografe dados sensíveis, tanto em repouso como durante a transmissão, para protegê-los contra acesso não autorizado.
Pratique Comportamento Seguro Online
Para desenvolvedores e proprietários de negócios. Se você está desenvolvendo uma aplicação web, deve seguir as melhores práticas para proteger seus usuários de ataques de engenharia social. Há várias maneiras de habilitar segurança adicional para sua aplicação:
- Use senhas fortes. A maioria das pessoas usa senhas fracas que são fáceis de adivinhar com base em suas informações pessoais. Para implementar um sistema de gerenciamento de identidade de usuário seguro e confiável, você deve habilitar políticas de senhas fortes. Isso impedirá que os usuários usem suas senhas fracas sem medidas de segurança adequadas.
- Habilite autenticação multifatorial. A autenticação multifatorial (MFA) adiciona uma camada extra de segurança à conta dos usuários, exigindo que eles insiram um código enviado para seu telefone ou outro dispositivo além das senhas. Isso dificulta muito que os atacantes tenham acesso à conta de seus clientes. Mesmo que as senhas de seus clientes sejam comprometidas, os atacantes não conseguirão acessar suas contas sem o segundo fator.
- Criptografe os dados dos usuários. Criptografar os dados dos usuários é uma boa maneira de protegê-los contra acesso não autorizado. Se um atacante obtiver acesso ao seu banco de dados, não conseguirá ler os dados sem a chave de criptografia. Isso impedirá que eles roubem as informações pessoais de seus clientes.
- Gire frequentemente as chaves de acesso. Chaves de acesso são usadas para acessar os recursos de sua aplicação. Se um atacante obtiver acesso às suas chaves de acesso, ele poderá acessar os recursos de sua aplicação sem sua permissão. Para evitar isso, você deve girar frequentemente as chaves de acesso.
- Use sistemas de autenticação modernos. Protocolos de autenticação modernos como OAuth 2.0 e OpenID Connect são muito mais seguros do que protocolos antigos como SAML e WS-Federation. Eles usam algoritmos criptográficos modernos e são muito mais difíceis de atacar.
- Pré-registre as URLs de redirecionamento de login e dispositivos. Se você estiver usando OAuth 2.0 ou OpenID Connect para autenticação, deve pré-registrar as URLs de redirecionamento de login e dispositivos. Isso impedirá que os atacantes usem as contas de seus clientes para fazer login em sua aplicação a partir de seus próprios dispositivos.