O que é engenharia social?

Um e-mail que parece ser de um colega de trabalho confiável solicitando informações confidenciais, uma mensagem de voz ameaçadora alegando ser da Receita Federal e uma oferta de riquezas de um potentado estrangeiro são apenas alguns exemplos de engenharia social. Como a engenharia social utiliza manipulação psicológica e explora o erro ou fraqueza humana em vez de vulnerabilidades técnicas ou de sistemas digitais, ela às vezes é chamada de "hacking humano".

Os cibercriminosos frequentemente utilizam táticas de engenharia social para obter dados pessoais ou informações financeiras, incluindo credenciais de acesso, números de cartões de crédito, números de contas bancárias e números da previdência social. Eles utilizam as informações roubadas para roubo de identidade, podendo fazer compras com o dinheiro ou crédito de outras pessoas, solicitar empréstimos em nome de outra pessoa, solicitar benefícios de outras pessoas e outros crimes.

Mas um ataque de engenharia social também pode ser o primeiro estágio de um ciberataque em grande escala. Por exemplo, um cibercriminoso pode enganar uma vítima para compartilhar um nome de usuário com senha e usar essas credenciais para plantar ransomware na rede do empregador da vítima.

A engenharia social é atraente para os cibercriminosos, pois permite que acessem redes digitais, dispositivos e contas sem terem que fazer o difícil trabalho técnico de superar firewalls, software antivírus e outros controles de cibersegurança.

Essa é uma das razões pelas quais a engenharia social é a principal causa de comprometimento de redes atualmente de acordo com o relatório State of Cybersecurity 2022 da ISACA. De acordo com o relatório do custo das violações de dados da IBM, as violações causadas por táticas de engenharia social (como phishing e comprometimento de e-mail) estavam entre as mais caras.

As táticas e técnicas de engenharia social são fundamentadas na ciência da motivação humana. Elas manipulam as emoções e os instintos das vítimas de maneiras que comprovadamente levam as pessoas a tomar atitudes que não são de seu interesse.

A maioria dos ataques de engenharia social emprega uma ou mais das seguintes táticas:

• Fazer-se passar por uma marca confiável: os golpistas frequentemente se fazem passar por empresas que as vítimas conhecem, confiam e talvez façam negócios com frequência ou regularmente, tão regularmente que seguem as instruções dessas marcas de modo automático, sem tomar as devidas precauções. Alguns golpistas de engenharia social utilizam kits amplamente disponíveis para criar sites falsos que se assemelham aos de grandes marcas ou empresas.

• Fazer-se passar por uma agência governamental ou figura de autoridade: as pessoas confiam, respeitam ou temem a autoridade (em vários graus). Os ataques de engenharia social utilizam esses instintos com mensagens que parecem ou afirmam ser de agências governamentais (por exemplo, FBI ou Receita Federal), figuras políticas ou até mesmo celebridades.

• Induzir medo ou senso de urgência: as pessoas tendem a agir de forma precipitada se assustadas ou apressadas. Os golpes de engenharia social podem usar diversas técnicas para induzir medo ou urgência nas vítimas. Por exemplo, dizer à vítima que uma transação de crédito recente não foi aprovada, que um vírus infectou o seu computador, que uma imagem usada no seu site viola direitos autorais e assim por diante. A engenharia social também pode apelar ao medo de perder (FOMO) das vítimas, o que cria um tipo diferente de urgência.

• Apelar à ganância: o golpe do príncipe nigeriano, um e-mail no qual alguém que afirma ser alguém da realeza nigeriana tentando fugir de seu país oferece uma recompensa financeira gigante em troca das informações da conta bancária do destinatário ou de uma pequena taxa antecipada, é um dos exemplos mais conhecidos de engenharia social que apela à ganância. Este tipo de ataque de engenharia social também pode vir de uma suposta figura de autoridade e cria um senso de urgência, o que é uma combinação poderosa. Esse golpe é tão antigo quanto o próprio e-mail, mas ainda arrecadava US$ 700 mil por ano em 2018.

• Apelar para a utilidade ou curiosidade: as manobras de engenharia social também podem apelar para a boa vontade das vítimas. Por exemplo, uma mensagem que parece ser de um amigo ou de um site de rede social pode oferecer ajuda técnica, pedir participação em uma pesquisa, alegar que a postagem do destinatário se tornou viral e apresentar um link falsificado para um site falso ou baixar malware.

Ataques dephishing são mensagens digitais ou de voz que tentam manipular os destinatários para compartilharem informações confidenciais, baixarem software mal-intencionado, transferirem dinheiro ou ativos para as pessoas erradas ou adotarem alguma outra ação prejudicial. Os golpistas criam mensagens de phishing para parecerem ou soarem como se fossem de uma organização ou pessoa confiável ou crível, às vezes, até mesmo uma pessoa que o destinatário conhece pessoalmente.

Existem muitos tipos de golpes de phishing:

• E-mails de phishing em massa são enviados a milhões de destinatários de cada vez. Parecem ser enviados por uma grande e conhecida empresa ou organização, como um banco nacional ou global, um grande varejista online, um provedor de pagamentos online popular e assim por diante. Nesses e-mails, eles fazem uma solicitação genérica como "estamos tendo problemas para processar sua compra, atualize suas informações de crédito". Frequentemente, essas mensagens incluem um link malicioso que leva o destinatário a um site falso que captura o nome de usuário, senha, dados de cartão de crédito e muito mais do destinatário.

• O spear phishing tem como alvo um indivíduo específico, geralmente com acesso privilegiado às informações dos usuários, à rede de computadores ou aos fundos corporativos. Um golpista pesquisa o alvo, muitas vezes utilizando informações encontradas no LinkedIn, no Facebook ou em outras redes sociais para criar uma mensagem que pareça vir de alguém que a vítima conhece e confia, ou que se refira a situações com as quais a vítima está familiarizada. O whale phishing é um ataque de spear phishing que tem como alvo uma pessoa de alto perfil, como um CEO ou uma figura política. No comprometimento de e-mail comercial (BEC), o hacker utiliza credenciais comprometidas para enviar mensagens de e-mail da conta de e-mail real de uma autoridade, tornando o golpe muito mais difícil de detectar.

• Phishing de voz ou vishing é um phishing realizado por meio de chamadas telefônicas. As pessoas geralmente experimentam o vishing na forma de chamadas gravadas ameaçadoras alegando ser do FBI.

• O SMS phishing, ou smishing, é phishing por meio de uma mensagem de texto.

• O phishing nos mecanismos de pesquisa envolve hackers criando sites mal-intencionados que ocupam uma posição alta nos resultados de pesquisa de termos de pesquisa populares.

• Angler phishing é phishing utilizando contas falsas de redes sociais que se disfarçam como as contas oficiais de equipes de atendimento ao cliente ou de suporte ao cliente de empresas confiáveis.

De acordo com o IBM® X-Force Threat Intelligence Index, o phishing é o principal vetor de infecção por malware, identificado em 41% de todos os incidentes. De acordo com o relatório do custo das violações de dados , o phishing é o vetor de ataque inicial que leva às violações de dados mais caras.

A isca atrai (sem trocadilho) as vítimas para, consciente ou involuntariamente, liberar informações confidenciais ou baixar código malicioso tentando-as com uma oferta valiosa ou até mesmo um objeto valioso.

O golpe do príncipe nigeriano é provavelmente o exemplo mais conhecido dessa técnica de engenharia social. Exemplos mais atuais são downloads de jogos, músicas ou software gratuitos, mas infectados por malware. Mas algumas formas de isca são pouco engenhosas. Por exemplo, alguns agentes de ameaças deixam unidades USB infectadas com malware onde as pessoas as encontrarão, pegarão e usarão porque "ei, um pendrive grátis".

No tailgating, também chamado de "piggybacking" ou carona, uma pessoa não autorizada segue de perto uma pessoa autorizada em uma área que contém informações confidenciais ou ativos valiosos. A utilização não autorizada pode ser conduzida pessoalmente, por exemplo, um criminoso pode seguir um funcionário e passar por uma porta destrancada. Mas o tailgating também pode ser uma tática digital, como quando uma pessoa deixa um computador sem supervisão enquanto ainda está conectado a uma conta ou rede privada.

No pretexting, o criminoso cria uma situação falsa para a vítima e se apresenta como a pessoa certa para resolvê-la. Muitas vezes (e o mais irônico), o golpista alega que a vítima foi afetada por uma violação de segurança e, em seguida, oferece-se para corrigir tudo se a vítima liberar informações importantes da conta, ou controlar o computador ou dispositivo da vítima. Tecnicamente falando, quase todos os ataques de engenharia social envolvem algum grau de pretexting.

No golpe quid pro quo, os hackers oferecem um bem ou serviço desejável em troca das informações confidenciais da vítima. Prêmios de concursos falsos ou recompensas de fidelidade aparentemente inocentes ("obrigado pelo seu pagamento, temos um presente para você") são exemplos de golpes de quid pro quo.

Também considerado uma forma de malware, o scareware é um software que usa o medo para manipular as pessoas para compartilhar informações confidenciais ou baixar malware. O scareware frequentemente assume a forma de um aviso falso de segurança pública acusando o usuário de um crime, ou uma mensagem falsa do suporte técnico avisando o usuário sobre malware em seu dispositivo.

Com o nome retirado da frase "alguém envenenou o poço", os hackers injetam código malicioso em uma página legítima da web frequentada por seus alvos. Os ataques de watering hole são responsáveis por tudo, desde credenciais roubadas até downloads involuntários de ransomware.

Os ataques de engenharia social são notoriamente difíceis de impedir porque dependem da psicologia humana em vez de caminhos tecnológicos. A superfície de ataque também é considerável: em uma organização maior, basta o erro de apenas um funcionário para comprometer a integridade de toda a rede corporativa. Algumas das etapas que os especialistas recomendam para mitigar o risco e o sucesso dos golpes de engenharia social são:

• Treinamento de consciência de segurança: muitos usuários não sabem como identificar ataques de engenharia social. Em momentos em que os usuários frequentemente trocam informações pessoais por produtos e serviços, não percebem que entregar informações aparentemente rotineiras, como número de telefone ou data de nascimento, pode permitir que hackers violem uma conta. O treinamento de consciência de segurança, combinado com políticas de segurança de dados, pode ajudar os funcionários a entender como proteger seus dados sensíveis e como detectar e responder a ataques de engenharia social em andamento.

• Políticas de controle de acesso: políticas e tecnologias seguras de controle de acesso, incluindo autenticação multifator, autenticação adaptativa e uma abordagem de segurança zero trust, podem limitar o acesso dos cibercriminosos a informações e ativos confidenciais na rede corporativa, mesmo que tenham acesso às credenciais de login dos usuários.

• Tecnologias de cibersegurança: filtros de spam e gateways de e-mail seguros podem impedir que alguns ataques de phishing cheguem aos funcionários. Firewalls e software antivírus podem mitigar a extensão de qualquer dano causado por invasores que tenham acesso à rede. Manter os sistemas operacionais atualizados com as correções mais recentes também pode fechar algumas vulnerabilidades que os invasores exploram por meio da engenharia social. Além disso, soluções avançadas de detecção e resposta, incluindo detecção e resposta de endpoints (EDR) e detecção e resposta estendidas (XDR), podem ajudar as equipes de segurança a detectar e neutralizar rapidamente ameaças de segurança que infectam a rede por meio de táticas de engenharia social.