O que é engenharia social?

As táticas e técnicas de engenharia social são fundamentadas na ciência da motivação humana. Elas manipulam as emoções e os instintos das vítimas de maneiras que comprovadamente levam as pessoas a tomar atitudes que não são de seu interesse.

A maioria dos ataques de engenharia social emprega uma ou mais das seguintes táticas:

• Simular uma marca confiável
• Fazer-se passar por uma agência governamental ou figura de autoridade
• Induzir medo ou senso de urgência
• Apelar à ganância
• Apelar para a utilidade ou curiosidade

Como uma marca confiável

Os golpistas geralmente se fazem passar por empresas que as vítimas conhecem, confiam e talvez façam negócios com frequência ou regularmente, tão regularmente que seguem as instruções dessas marcas de modo automático, sem tomar as devidas precauções.

Alguns golpistas de engenharia social utilizam kits amplamente disponíveis para criar sites falsos que se assemelham aos de grandes marcas ou empresas.

Fazer-se passar por uma agência governamental ou figura de autoridade

As pessoas confiam, respeitam ou temem a autoridade (em vários graus).

Os ataques de engenharia social utilizam esses instintos com mensagens que parecem ou afirmam ser de agências governamentais (por exemplo, FBI ou Receita Federal), figuras políticas ou até mesmo celebridades.

Induzir medo ou senso de urgência

As pessoas tendem a agir de forma precipitada se assustadas ou apressadas.

Os golpes de engenharia social podem usar diversas técnicas para induzir medo ou urgência nas vítimas. Por exemplo, dizer à vítima que uma transação de crédito recente não foi aprovada, que um vírus infectou o seu computador, que uma imagem usada no seu site viola direitos autorais e assim por diante. A engenharia social também pode apelar ao medo de perder (FOMO) das vítimas, o que cria um tipo diferente de urgência.

Apelar à ganância

O golpe do Príncipe Nigeriano, um e-mail no qual alguém que afirma ser alguém da realeza nigeriana tentando fugir de seu país oferece uma recompensa financeira gigante em troca das informações da conta bancária do destinatário ou de uma pequena taxa antecipada, é um dos exemplos mais conhecidos de engenharia social que apela à ganância.

Este tipo de ataque de engenharia social também pode vir de uma suposta figura de autoridade e cria um senso de urgência, o que é uma combinação poderosa. Esse golpe é tão antigo quanto o próprio e-mail, mas ainda arrecadava US$ 700 mil por ano em 2018.

Apelar para a utilidade ou curiosidade

As manobras de engenharia social também podem apelar para a boa vontade das vítimas.

Por exemplo, uma mensagem que parece ser de um amigo ou de um site das mídias sociais pode oferecer ajuda técnica, pedir participação em uma pesquisa, alegar que a postagem do destinatário se tornou viral e apresentar um link que sofreu spoofing para um site falso ou baixar malware.

Os principais tipos de ataques usando engenharia social incluem:

• Phishing
• Baiting (isca)
• Tailgating
• Pretexting
• Quid pro quo
• Scareware
• Ataque de watering hole (poço de água)

Phishing

Ataques de phishing são mensagens digitais ou de voz que tentam manipular os destinatários para compartilharem informações confidenciais, baixarem software mal-intencionado, transferirem dinheiro ou ativos para as pessoas erradas ou adotarem alguma outra ação prejudicial.

Os golpistas criam mensagens de phishing para parecerem ou soarem como se fossem de uma organização ou pessoa confiável ou, às vezes, até mesmo uma pessoa que o destinatário conhece pessoalmente.

Existem muitos tipos de golpes de phishing:

• E-mails de phishing em massa são enviados a milhões de destinatários de cada vez. Eles parecem ser enviados por uma empresa ou organização grande e conhecida, como um banco nacional ou global, um grande varejista on-line, um provedor de pagamentos on-line popular e assim por diante, e fazem uma solicitação genérica como "estamos com problemas para processar sua compra, atualize suas informações de crédito".

  Frequentemente, essas mensagens incluem um link malicioso que leva o destinatário a um site falso que captura nome, senha, dados de cartão de crédito e outras informações do destinatário.

• O spear phishing tem como alvo um indivíduo específico, geralmente com acesso privilegiado às informações dos usuários, à rede de computadores ou aos fundos corporativos.
  
  Um golpista pesquisará o alvo, muitas vezes utilizando informações encontradas no LinkedIn, no Facebook ou em outras redes sociais para criar uma mensagem que pareça vir de alguém que a vítima conhece e confia, ou que se refira a situações com as quais a vítima está familiarizada.
  
  
• O whale phishing é um ataque de spear phishing que tem como alvo uma pessoa de alto perfil, como um CEO ou uma figura política. No comprometimento de e-mail comercial (BEC), o hacker utiliza credenciais comprometidas para enviar mensagens de e-mail da conta de e-mail real de uma autoridade, tornando o golpe muito mais difícil de detectar.
   

• Phishing de voz ou vishing é um phishing realizado por meio de chamadas telefônicas. As pessoas geralmente experimentam vishing na forma de chamadas gravadas ameaçadoras alegando ser do FBI.
   

• O SMS phishing, ou smishing, é phishing por meio de uma mensagem de texto.
   

• O phishing nos mecanismos de pesquisa envolve hackers criando sites mal-intencionados que ocupam uma posição alta nos resultados de pesquisa de termos de pesquisa populares.
   

• Angler phishing é phishing utilizando contas falsas de redes sociais que se disfarçam como as contas oficiais de equipes de atendimento ao cliente ou de suporte ao cliente de empresas confiáveis.

De acordo com o IBM Security X-Force Threat Intelligence Index 2023, o phishing é o principal vetor de infecção por malware, identificado em 41% de todos os incidentes. De acordo com o relatório Cost of a Data Breach 2024, o phishing é o vetor de ataque inicial que leva às violações de dados mais caras.

Baiting (isca)

A isca atrai (sem trocadilho) as vítimas para, consciente ou involuntariamente, liberar informações confidenciais ou baixar código malicioso tentando-as com uma oferta valiosa ou até mesmo um objeto valioso.

O golpe do príncipe nigeriano é provavelmente o exemplo mais conhecido dessa técnica de engenharia social. Exemplos mais atuais são downloads de jogos, músicas ou software gratuitos, mas infectados por malware. Mas algumas formas de isca são pouco engenhosas.

Por exemplo, alguns agentes de ameaças deixam unidades de USB infectadas com malware onde as pessoas as encontrarão, pegarão e usarão porque "veja, um pendrive grátis".

Tailgating

No tailgating, também chamado de "piggybacking" ou carona, uma pessoa não autorizada segue de perto uma pessoa autorizada em uma área que contém informações confidenciais ou ativos valiosos.

A utilização não autorizada pode ser conduzida pessoalmente, por exemplo, um criminoso pode seguir um funcionário e passar por uma porta destrancada. Mas o tailgating também pode ser uma tática digital, como quando uma pessoa deixa um computador sem supervisão enquanto ainda está conectado a uma conta ou rede privada.

Pretexting

No pretexting, o criminoso cria uma situação falsa para a vítima e se apresenta como a pessoa certa para resolvê-la.

Muitas vezes (e o mais irônico), o golpista alega que a vítima foi afetada por uma violação de segurança e, em seguida, oferece-se para corrigir tudo se a vítima liberar informações importantes da conta, ou controlar o computador ou dispositivo da vítima. Tecnicamente falando, quase todos os ataques de engenharia social envolvem algum grau de pretexting.

Quid pro quo

No golpe quid pro quo, os hackers oferecem um bem ou serviço desejável em troca das informações confidenciais da vítima. Prêmios de concursos falsos ou prêmios de fidelidade aparentemente inocentes ("obrigado pelo seu pagamento, temos um presente para você") são exemplos das tramas do quid pro quo.

Scareware

Também considerado uma forma de malware, o scareware é um software que usa o medo para manipular as pessoas para compartilhar informações confidenciais ou baixar malware.

O scareware frequentemente assume a forma de um aviso falso de segurança pública acusando o usuário de um crime, ou uma mensagem falsa do suporte técnico avisando o usuário sobre malware em seu dispositivo.

Ataque de watering hole (poço de água)

Com o nome retirado da frase "alguém envenenou o poço", os hackers injetam código malicioso em uma página legítima da web frequentada por seus alvos.

Os ataques de watering hole são responsáveis por tudo, desde credenciais roubadas até downloads involuntários de ransomware.

Algumas das etapas que os especialistas recomendam para mitigar o risco e o sucesso dos golpes de engenharia social são:

• Treinamento de conscientização de segurança
• Políticas de controle de acesso
• Tecnologias de segurança cibernética

Os ataques de engenharia social são notoriamente difíceis de impedir porque dependem da psicologia humana em vez de caminhos tecnológicos. A superfície de ataque também é considerável, em uma organização maior, basta o erro de apenas um funcionário para comprometer a integridade de toda a rede corporativa.  

Treinamento de conscientização de segurança

Muitos usuários não sabem como identificar ataques de engenharia social.

Em momentos em que os usuários frequentemente trocam informações pessoais por produtos e serviços, não percebem que entregar informações aparentemente rotineiras, como número de telefone ou data de nascimento, pode permitir que hackers violem uma conta.

O treinamento de conscientização de segurança, combinado com políticas de segurança de dados , pode ajudar os funcionários a entender como proteger seus dados confidenciais e como detectar e responder a ataques de engenharia social em andamento.
 

Políticas de controle de acesso

Políticas e tecnologias seguras de controle de acesso, incluindo autenticação multifator, autenticação adaptativa e uma abordagem de segurança zero trust, podem limitar o acesso dos cibercriminosos a informações e ativos confidenciais na rede corporativa, mesmo que tenham acesso às credenciais de login dos usuários.
 

Tecnologias de segurança cibernética

Filtros de spam e gateways de e-mail seguros podem impedir que alguns ataques de phishing cheguem aos funcionários. Firewalls e software antivírus podem mitigar a extensão de qualquer dano causado por invasores que tenham acesso à rede.

Manter os sistemas operacionais atualizados com as correções mais recentes também pode fechar algumas vulnerabilidades que os invasores exploram por meio da engenharia social. Além disso, soluções avançadas de detecção e resposta, incluindo detecção e resposta de endpoint (EDR) e detecção e resposta estendidas (XDR), podem ajudar as equipes de segurança a detectar e neutralizar rapidamente ameaças de segurança que infectam a rede por meio de táticas de engenharia social.