Ataques de engenharia social manipulam as pessoas para compartilhar informações que não deveriam compartilhar, baixar software que não deveriam baixar, visitar sites que não deveriam visitar, enviar dinheiro para criminosos ou cometer outros erros que comprometam sua segurança pessoal ou organizacional. Como a engenharia social usa manipulação psicológica e explora o erro ou fraqueza humana em vez de vulnerabilidades técnicas ou de sistemas digitais, ela às vezes é chamada de "hacking humano".
Um e-mail que parece ser de um colega de trabalho confiável solicitando informações confidenciais, uma mensagem de voz ameaçadora alegando ser da Receita Federal, uma oferta de riquezas de um potentado estrangeiro — esses são apenas alguns exemplos de engenharia social.
Frequentemente, os cibercriminosos usam táticas de engenharia social para obter dados pessoais ou informações financeiras (credenciais de login, números de cartão de crédito, números de conta bancária, números de previdência social) que eles podem usar para roubo de identidade, permitindo que façam compras com o uso de dinheiro ou crédito de pessoas, solicitem empréstimos em nome de outra pessoa, solicitem benefícios de desemprego de outras pessoas e muito mais. Mas um ataque de engenharia social também pode ser o primeiro estágio de um ciberataque de grande escala. Por exemplo, um cibercriminoso pode enganar uma vítima para compartilhar um nome de usuário e senha e, em seguida, usar essas credenciais para plantar ransomware na rede do empregador da vítima.
A engenharia social é atraente para os cibercriminosos, pois permite que eles acessem redes digitais, dispositivos e contas sem ter que fazer o difícil trabalho técnico de superar firewalls, software antivírus e outros controles de segurança cibernética. Essa é uma das razões pelas quais a engenharia social é a principal causa de comprometimento de redes atualmente, de acordo com o relatório State of Cybersecurity 2022 da ISACA (link externo a iBM.com). E, de acordo com o relatório Cost of a Data Breach 2022 da IBM, violações causadas por táticas de engenharia social (como phishing e comprometimento de e-mail comercial) estavam entre as mais caras.
Veja como o IBM Security® QRadar® SIEM identifica e investiga comportamentos anômalos.
As táticas e técnicas de engenharia social são fundamentadas na ciência da motivação humana. Elas manipulam as emoções e os instintos das vítimas de maneiras que comprovadamente levam as pessoas a tomar atitudes que não são de seu interesse.
A maioria dos ataques de engenharia social emprega uma ou mais das seguintes táticas:
Fazer-se passar por uma marca confiável: os golpistas geralmente se fazem passar por empresas que as vítimas conhecem, confiam e com as quais talvez façam negócios com frequência ou regularmente — tão regularmente que elas seguem as instruções dessas marcas por reflexo, sem tomar as devidas precauções. Alguns golpistas de engenharia social usam kits amplamente disponíveis para criar sites falsos que se assemelham aos de grandes marcas ou empresas.
Fazer-se passar por uma agência governamental ou figura de autoridade: as pessoas confiam, respeitam ou temem a autoridade (em vários graus). Os ataques de engenharia social usam esses instintos com mensagens que parecem ou afirmam ser de agências governamentais (por exemplo, FBI ou Receita Federal), figuras políticas ou até mesmo celebridades.
Induzir medo ou senso de urgência: as pessoas tendem a agir precipitadamente quando assustadas ou apressadas. Os golpes de engenharia social podem usar várias técnicas para induzir medo ou urgência nas vítimas: dizer às vítimas que uma transação de crédito recente não foi aprovada, que um vírus infectou seu computador, que uma imagem usada em seu site viola direitos autorais etc. A engenharia social também pode apelar para o medo das vítimas de perder (FOMO), o que cria um tipo diferente de urgência.
Apelar à ganância: o golpe do Príncipe Nigeriano (um e-mail no qual alguém que afirma ser da realeza nigeriana tentando fugir de seu país oferece uma recompensa financeira gigante em troca das informações da conta bancária do destinatário ou de uma pequena taxa antecipada) é um dos exemplos mais conhecidos de engenharia social que apela à ganância. (Ele também vem de uma suposta figura de autoridade e cria um senso de urgência — uma combinação poderosa.) Esse golpe é tão antigo quanto o próprio e-mail, mas em 2018 ainda arrecadava US$ 700.000 por ano.
Apelar para a utilidade ou curiosidade: as manobras de engenharia social também podem apelar para a melhor natureza das vítimas. Por exemplo, uma mensagem que parece ser de um amigo ou de um site de rede social pode oferecer ajuda técnica, pedir participação em uma pesquisa, alegar que a postagem do destinatário se tornou viral e fornecer um link falsificado para um site falso ou baixar malware.
Phishing
Ataques de phishing são mensagens digitais ou de voz que tentam manipular os destinatários para que compartilhem informações confidenciais, baixem software mal-intencionado, transfiram dinheiro ou ativos para as pessoas erradas ou adotem alguma outra ação prejudicial. Os golpistas criam mensagens de phishing para parecer ou soar como se fossem de uma organização ou indivíduo confiável ou crível, às vezes até mesmo um indivíduo que o destinatário conhece pessoalmente.
Existem muitos tipos de golpes de phishing:
E-mails de phishing em massa são enviados a milhões de destinatários de cada vez. Eles parecem ser enviados por uma grande e conhecida empresa ou organização (um banco nacional ou global, um grande varejista on-line, um provedor de pagamentos on-line popular etc) e fazem uma solicitação genérica como "estamos tendo problemas para processar sua compra, atualize suas informações de crédito". Frequentemente, essas mensagens incluem um link malicioso que leva o destinatário a um site falso que captura o nome de usuário, senha, dados de cartão de crédito e muito mais do destinatário.
O spear phishing tem como alvo um indivíduo específico, geralmente com acesso privilegiado às informações do usuário, à rede de computadores ou aos fundos corporativos. Um golpista pesquisará o alvo (muitas vezes, usando informações encontradas no LinkedIn, Facebook ou outras mídias sociais) para criar uma mensagem que pareça vir de alguém que o alvo conhece e confia, ou que se refere a situações com as quais o alvo está familiarizado. O whale phishing é um ataque de spear phishing que tem como alvo um indivíduo de alto perfil, como um CEO ou figura política. No comprometimento de e-mail comercial (BEC), o hacker usa credenciais comprometidas para enviar mensagens de e-mail da conta de e-mail real de uma figura de autoridade, tornando o golpe muito mais difícil de detectar.
O voice phishing, ou vishing, é um phishing conduzido por meio de chamadas telefônicas. Os indivíduos geralmente experimentam vishing na forma de chamadas gravadas ameaçadoras alegando ser do FBI. Mas o X-Force da IBM recentemente determinou que adicionar vishing a uma campanha de phishing direcionada pode aumentar o sucesso da campanha em até 3x.
O SMS phishing, ou smishing, é phishing por mensagem de texto.
O phishing nos mecanismos de pesquisa envolve hackers criando sites mal-intencionados que ocupam uma posição alta nos resultados de pesquisa de termos de pesquisa populares.
Angler phishing é um phishing por meio de contas falsas de mídia social que se disfarçam como a conta oficial de equipes de atendimento ao cliente ou de suporte ao cliente de empresas confiáveis.
De acordo com o IBM Security X-Force Threat Intelligence Index 2023, o phishing é o principal vetor de infecção por malware, identificado em 41% de todos os incidentes. E, de acordo com o relatório Cost of a Data Breach 2022, o phishing é o vetor de ataque inicial que leva às violações de dados mais caras.
Baiting (isca)
O baiting atrai (sem trocadilho) as vítimas para, consciente ou involuntariamente, desistir de informações confidenciais ou baixar código malicioso, tentando-as com uma oferta valiosa, ou até mesmo um objeto valioso.
O golpe do príncipe nigeriano é provavelmente o exemplo mais conhecido dessa técnica de engenharia social. Exemplos mais atuais incluem downloads de jogos, músicas ou software gratuitos, mas infectados por malware. Mas algumas formas de isca dificilmente são engenhosas. Por exemplo, alguns agentes de ameaças simplesmente deixam unidades USB infectadas com malware onde as pessoas as encontrarão, pegarão e usarão porque "ei, unidade USB grátis".
Tailgating
No tailgating (também chamado de “piggybacking”), uma pessoa não autorizada segue de perto uma pessoa autorizada em uma área que contém informações confidenciais ou ativos valiosos. O tailgating pode ser realizado pessoalmente — por exemplo, um agente de ameaça pode seguir um funcionário através de uma porta destrancada. Mas o tailgating também pode ser uma tática digital, como quando uma pessoa deixa um computador sem supervisão enquanto ainda está conectado a uma conta ou rede privada.
Pretexting
Ao pretextar, o agente de ameaça cria uma situação falsa para a vítima e se apresenta como a pessoa certa para resolvê-la. Muitas vezes (e o mais irônico), o golpista alega que a vítima foi afetada por uma violação de segurança e, em seguida, se oferece para corrigir as coisas se a vítima fornecer informações importantes da conta ou controlar o computador ou dispositivo da vítima. (Tecnicamente falando, quase todos os ataques de engenharia social envolvem algum grau de pretexting.)
Quid pro quo
Em um golpe quid pro quo, os hackers oferecem um bem ou serviço desejável em troca das informações confidenciais da vítima. Ganhos de concursos falsos ou prêmios de fidelidade aparentemente inocentes ("obrigado pelo seu pagamento — temos um presente para você") são exemplos de gospes de qui pro quo.
Scareware
Também considerado uma forma de malware, o scareware é um software que usa o medo para manipular as pessoas para compartilhar informações confidenciais ou baixar malware. O scareware frequentemente assume a forma de um aviso falso de segurança pública acusando o usuário de um crime, ou uma mensagem falsa do suporte técnico avisando o usuário sobre malware em seu dispositivo.
Ataque de watering hole (poço de água)
Da frase "alguém envenenou o poço de água", os hackers injetam código malicioso em uma página legítima da web frequentada por seus alvos. Os ataques de watering hole são responsáveis por tudo, desde credenciais roubadas até downloads involuntários de ransomware drive-by.
Os ataques de engenharia social são notoriamente difíceis de impedir porque dependem da psicologia humana em vez de caminhos tecnológicos. A superfície de ataque também é significativa: em uma organização maior, basta o erro de apenas um funcionário para comprometer a integridade de toda a rede corporativa. Algumas das etapas que os especialistas recomendam para mitigar o risco e o sucesso dos golpes de engenharia social incluem:
Treinamento de conscientização de segurança: muitos usuários não sabem como identificar ataques de engenharia social. E em um momento em que os usuários frequentemente trocam informações pessoais por produtos e serviços, eles não percebem que entregar informações aparentemente rotineiras, como número de telefone ou data de nascimento, pode permitir que hackers violem uma conta. O treinamento de conscientização de segurança, combinado com políticas de segurança de dados , pode ajudar os funcionários a entender como proteger seus dados confidenciais e como detectar e responder a ataques de engenharia social em andamento.
Políticas de controle de acesso: políticas e tecnologias seguras de controle de acesso, incluindo autenticação de vários fatores, autenticação adaptativa e uma abordagem de segurança de zero trust, podem limitar o acesso dos cibercriminosos a informações e ativos confidenciais na rede corporativa, mesmo que obtenham as credenciais de login dos usuários.
Tecnologias de segurança cibernética: filtros de spam e gateways de e-mail seguros podem impedir que alguns ataques de phishing cheguem aos funcionários em primeiro lugar. Firewalls e software antivírus podem mitigar a extensão de qualquer dano causado por invasores que tenham acesso à rede. Manter os sistemas operacionais atualizados com as correções mais recentes também pode fechar algumas vulnerabilidades que os invasores exploram por meio da engenharia social. E soluções avançadas de detecção e resposta, incluindo detecção e resposta de endpoints (EDR) e detecção e resposta estendidas (XDR), podem ajudar as equipes de segurança a detectar e neutralizar rapidamente ameaças de segurança que infectam a rede por meio de táticas de engenharia social.
Teste seu pessoal por meio de exercícios de phishing, vishing e engenharia social física. Descubra vulnerabilidades de funcionários, processos e políticas para reduzir o risco de que os ataques reais de engenharia social tenham sucesso.
Envie mensagens de texto para aplicativos, redes, hardware e pessoal para descobrir e corrigir vulnerabilidades que expõem seus ativos mais importantes a ataques. O X-Force® Red Portal permite que todos os envolvidos na remediação visualizem imediatamente os resultados dos testes e agendem testes de segurança conforme sua conveniência.
81% dos profissionais do SOC dizem que são retardados por investigações manuais.1 Acelere as investigações de alertas com o IBM Security QRadar® Suite, uma seleção modernizada de tecnologias de segurança que apresenta uma experiência unificada de analista construída com IA e automações.