Porque é que os ciberataques utilizam habitualmente a engenharia social?

Os ciberataques utilizam a engenharia social, que é um tipo de ataque que visa o elemento humano e não o sistema informático e o seu software. O atacante tenta enganar uma pessoa para que realize uma ação que lhe permita obter acesso aos computadores das vítimas. Um dos tipos mais comuns deste tipo de ataque é o ataque man-in-the-middle. Um ataque man-in-the-middle ocorre quando um atacante se faz passar por outra pessoa para enganar as vítimas, fazendo-as crer que estão a falar diretamente umas com as outras através de protocolos de normalização como a resposta interactiva de voz, correio eletrónico, mensagens instantâneas e conferências Web. A pirataria através da manipulação humana é mais fácil de executar do que a pirataria diretamente a partir de uma fonte externa. Este artigo explica por que razão os ataques SE estão a aumentar e por que razão os ciberataques utilizam habitualmente estas tácticas.

Porque é que os ciberataques utilizam a engenharia social: Causas prováveis e razões

Ataques de engenharia social são um dos métodos mais populares e eficazes utilizados actualmente pelos hackers. Estes ataques exploram frequentemente relações entre humanos, tais como a confiança e familiaridade dos empregados, ou a proximidade física entre empregados e clientes.

a. O Elemento Humano é o elo mais fraco na Segurança Tradicional

Os ataques tendem a ser mais eficazes quando dependem da interação humana, o que significa que não há forma de a tecnologia nos proteger deles. Tudo o que um atacante precisa é de um pouco de informação sobre os hábitos ou preferências do seu alvo e alguma criatividade na forma como se apresenta à vítima. Isto faz com que os atacantes consigam o que pretendem sem terem de recorrer a técnicas mais complicadas, como entrar na rede de uma organização ou invadir os sistemas de uma empresa.

Simplifique a segurança da engenharia social com o PowerDMARC!

b. Não há necessidade de Técnicas Avançadas de Hacking

Os ataques de engenharia social utilizam a confiança das pessoas para obter acesso a um sistema ou rede. Estes ataques são eficazes porque é fácil para um atacante obter acesso, em vez de utilizar técnicas avançadas de pirataria informática para forçar a entrada numa rede. Quando um atacante faz isso, normalmente utiliza técnicas de manipulação psicológica, como phishing, spear phishing e pretexting. Phishing é quando um atacante envia e-mails que parecem legítimos, mas que são concebidos para enganar os utilizadores e levá-los a fornecer as suas informações pessoais, como palavras-passe ou detalhes do cartão de crédito. Spear phishing é quando um atacante utiliza os mesmos métodos que o phishing, mas com técnicas mais avançadas, tais como fazer-se passar por outra pessoa para enganar o utilizador e levá-lo a fornecer as suas informações. As fraudes de pretexto referem-se a quando um atacante usa pretextos para ganhar a confiança das suas vítimas antes de as tentar roubar. Uma vez que os atacantes tenham obtido acesso ao seu sistema ou rede, podem fazer tudo o que quiserem dentro dele, incluindo instalar programas, modificar ficheiros ou mesmo apagá-los, sem serem apanhados por um sistema de segurança ou administrador que os poderia impedir de o fazer se soubesse o que se passa dentro da sua rede!

c. O mergulho em lixeiras é mais fácil do que forçar a entrada numa rede

O mergulhono lixo é o ato de recuperar informações de materiais descartados para realizar ataques de engenharia social. A técnica consiste em procurar no lixo tesouros como códigos de acesso ou palavras-passe escritas em notas adesivas. O mergulho no lixo facilita este tipo de actividades porque permite ao hacker obter acesso à rede sem ter de a invadir. A informação que os mergulhadores de contentores de lixo descobrem pode variar desde o mundano, como uma lista telefónica ou um calendário, até dados aparentemente mais inocentes, como um organograma. Mas estas informações aparentemente inocentes podem ajudar um atacante a utilizar técnicas de engenharia social para obter acesso à rede. Além disso, se um computador tiver sido eliminado, pode ser um tesouro para os ciber-atacantes. É possível recuperar informações de suportes de armazenamento, incluindo unidades que tenham sido apagadas ou formatadas incorretamente. As palavras-passe armazenadas e os certificados de confiança são frequentemente armazenados no computador e estão vulneráveis a ataques. O equipamento descartado pode conter dados confidenciais no Trusted Platform Module (TPM). Esses dados são importantes para uma organização porque permitem armazenar com segurança informações confidenciais, como chaves criptográficas. Um engenheiro social pode aproveitar as IDs de hardware em que uma organização confia para criar potenciais explorações contra os seus utilizadores.

d. Faz uso do medo das pessoas, da ganância e de um sentimento de urgência

Os ataques de engenharia social são fáceis de efetuar porque se baseiam no elemento humano. O ciberataque pode utilizar o charme, a persuasão ou a intimidação para manipular a perceção da pessoa ou explorar a sua emoção para obter detalhes importantes sobre a sua empresa. Por exemplo, um ciberataque pode falar com um empregado descontente de uma empresa para obter informações ocultas, que podem depois ser utilizadas para entrar na rede. O empregado descontente pode fornecer informações sobre a empresa a um atacante se sentir que está a ser tratado injustamente ou maltratado pelo seu atual empregador. O empregado descontente também pode fornecer informações sobre a empresa se não tiver outro emprego e estiver prestes a ficar sem trabalho. Os métodos mais avançados de pirataria informática envolvem a invasão de uma rede utilizando técnicas mais avançadas, como malware, keyloggers e cavalos de Troia. Estas técnicas avançadas exigiriam muito mais tempo e esforço do que apenas falar com um funcionário descontente para obter informações ocultas que podem ser utilizadas para invadir uma rede.

Os Seis Principais Princípios de Influência

As fraudes de engenharia social exploram seis vulnerabilidades específicas da psique humana. Estas vulnerabilidades são identificadas pelo psicólogo Robert Cialdini no seu livro "Influence: A Psicologia da Persuasão" e são elas: ➜ Reciprocidade - A reciprocidade é o desejo de retribuir favores em géneros. Temos tendência para nos sentirmos em dívida para com as pessoas que nos ajudaram; sentimos que é nossa responsabilidade ajudá-las. Por isso, quando alguém nos pede alguma coisa - uma palavra-passe, acesso a registos financeiros ou qualquer outra coisa - é mais provável que o façamos se essa pessoa já nos tiver ajudado antes. ➜ Compromisso e consistência - Temos tendência para fazer as coisas ao longo do tempo e não apenas uma vez. É mais provável que concordemos com um pedido se já tivermos concordado com uma das suas partes - ou mesmo com várias. Se alguém já pediu acesso aos seus registos financeiros antes, talvez pedir novamente não seja assim tão importante! ➜ Prova social - É uma técnica de engano que se baseia no facto de termos tendência para seguir o exemplo das pessoas que nos rodeiam (também conhecido como "efeito de comboio"). Por exemplo, os empregados podem ser influenciados por um agente de ameaça que apresente provas falsas de que outro empregado cumpriu um pedido. ➜ Gostar - Gostamos de pessoas que parecem estar no comando; assim, um hacker pode enviar uma mensagem para o seu endereço de correio eletrónico que pareça ser do seu chefe ou de um amigo seu, ou mesmo de um especialista numa área que lhe interesse. A mensagem pode dizer algo como: "Olá! Sei que está a trabalhar neste projeto e precisamos de ajuda. Podemos encontrar-nos em breve?" Normalmente, pede a sua ajuda e, ao concordar, está a dar informações sensíveis. ➜ Autoridade - As pessoas geralmente submetem-se a figuras de autoridade porque as vemos como as "certas" para seguirmos e obedecermos. Desta forma, as tácticas de engenharia social podem explorar a nossa tendência para confiar naqueles que parecem ter autoridade para conseguir o que querem de nós. ➜ Escassez - A escassez é um instinto humano que está enraizado no nosso cérebro. É o sentimento de "eu preciso disso agora" ou "eu deveria ter isso". Assim, quando as pessoas estão a ser enganadas por engenheiros sociais, sentem uma sensação de urgência para dar o seu dinheiro ou informação o mais rapidamente possível.

Personalidades Vulneráveis à Engenharia Social & Porquê?

De acordo com a Dra. Margaret Cunningham, a principal cientista de investigação do comportamento humano da Forcepoint X-Labs - uma empresa de cibersegurança - a concordância e a extroversão são os traços de personalidade mais vulneráveis a explorações de engenharia social. As pessoas agradáveis tendem a ser confiantes, amigáveis e dispostas a seguir instruções sem questionar. São boas candidatas a ataques de phishing porque têm maior probabilidade de clicar em hiperligações ou abrir anexos de mensagens de correio eletrónico que pareçam genuínas. Os extrovertidos também são mais susceptíveis a ataques de engenharia social, porque muitas vezes preferem estar rodeados de outras pessoas e podem ser mais propensos a confiar nos outros. É mais provável que desconfiem dos motivos dos outros do que as pessoas introvertidas, o que pode levá-las a serem enganadas ou manipuladas por um engenheiro social.

Personalidades Resilientes à Engenharia Social & Porquê?

As pessoas que resistem a ataques de engenharia social tendem a ser conscienciosas, introvertidas e a ter uma elevada auto-eficácia. As pessoas conscienciosas são as mais susceptíveis de resistir às fraudes de engenharia social, concentrando-se nas suas próprias necessidades e desejos. Também é menos provável que se conformem com as exigências dos outros. Os introvertidos tendem a ser menos susceptíveis à manipulação externa, porque tiram tempo para si próprios e gostam da solidão, o que significa que são menos susceptíveis de serem influenciados por sinais sociais ou por pessoas insistentes que os tentam influenciar. A auto-eficácia é importante porque nos ajuda a acreditar em nós próprios, pelo que temos mais confiança de que podemos resistir à pressão dos outros ou a influências externas.

Proteja a sua organização de esquemas de engenharia social com PowerDMARC

A engenharia social é a prática de manipular empregados e clientes para divulgar informação sensível que pode ser utilizada para roubar ou destruir dados. No passado, estas informações eram obtidas através do envio de e-mails que pareciam provir de fontes legítimas, como o seu banco ou o seu empregador. Hoje em dia, é muito mais fácil falsificar endereços de correio electrónico. O PowerDMARC ajuda a proteger contra esse tipo de ataque implantando protocolos de autenticação de e-mail como SPF, DKIM e Política DMARC p=rejeitar no seu ambiente para minimizar o risco de falsificação direta de domínio e ataques de phishing por correio eletrónico. Se estiver interessado em proteger-se a si, à sua empresa e aos seus clientes contra ataques de engenharia social, inscreva-se no nosso teste gratuito do DMARC hoje!

• Sobre
• Últimos Posts

Ahona Rudra

Especialista em segurança de domínios e e-mails da PowerDMARC

Ahona é gerente de marketing da PowerDMARC, com mais de 5 anos de experiência em escrever sobre tópicos de segurança cibernética, especializada em segurança de domínio e e-mail. Ahona possui uma pós-graduação em Jornalismo e Comunicação, solidificando sua carreira no setor de segurança desde 2019.

Últimos posts de Ahona Rudra (ver todos)

• Configuração do DKIM: Guia passo a passo para configurar o DKIM para segurança de e-mail (2025) - 31 de março de 2025
• PowerDMARC é reconhecido como líder de rede para DMARC no G2 Spring Reports 2025 - 26 de março de 2025
• Como identificar e-mails falsos de fraude de confirmação de encomenda e proteger-se - 25 de março de 2025