Os ciberataques utilizam a engenharia social, que é um tipo de ataque que visa o elemento humano e não o sistema informático e o seu software. O atacante tenta enganar uma pessoa para que realize uma acção que lhe permita obter acesso aos computadores das vítimas.
Um dos tipos mais comuns deste tipo de ataque é um ataque de homem no meio. Um ataque de homem no meio ocorre quando um atacante faz-se passar por outra pessoa para enganar as vítimas, fazendo-as acreditar que estão a falar directamente umas com as outras através de protocolos normalizadores como a resposta interactiva de voz, e-mail, mensagens instantâneas, e conferência via web.
O hacking através da manipulação humana é mais fácil de executar do que o hacking directamente a partir de uma fonte externa. Este artigo discute porque é que os ataques do SE estão a aumentar e porque é que os ciberataqueiros usam habitualmente estas tácticas.
Porque é que os ciberataques utilizam a engenharia social: Causas prováveis e razões
Ataques de engenharia social são um dos métodos mais populares e eficazes utilizados actualmente pelos hackers. Estes ataques exploram frequentemente relações entre humanos, tais como a confiança e familiaridade dos empregados, ou a proximidade física entre empregados e clientes.
a. O Elemento Humano é o elo mais fraco na Segurança Tradicional
Os ataques tendem a ser mais eficazes quando dependem da interacção humana, o que significa que não há forma de a tecnologia nos proteger deles.
Tudo o que um agressor precisa é de um pouco de informação sobre os hábitos ou preferências do seu alvo e alguma criatividade na forma como se apresenta à vítima.
Isto faz com que os atacantes obtenham o que querem sem terem de recorrer a técnicas mais complicadas, como o hacking na rede de uma organização ou a invasão dos sistemas de uma empresa.
b. Não há necessidade de Técnicas Avançadas de Hacking
Os ataques de engenharia social utilizam a confiança das pessoas para obterem acesso a um sistema ou rede. Estes ataques são eficazes porque é fácil para um atacante obter acesso, em vez de utilizar técnicas avançadas de hacking para forçar o seu acesso a uma rede.
Quando um atacante o faz, normalmente utilizam técnicas psicologicamente manipuladoras tais como phishing, spear phishing, e pretextos.
➜ Phishing é quando um atacante envia e-mails que parecem legítimos, mas que são concebidos para enganar os utilizadores no sentido de desistir das suas informações pessoais como senhas ou detalhes de cartão de crédito.
➜ Spear phishing é quando um atacante usa os mesmos métodos que o phishing mas com técnicas mais avançadas, tais como fazer-se passar por outra pessoa para o enganar a desistir da sua informação.
➜ Pretexting refere-se a quando um agressor usa pretextos para ganhar a confiança das suas vítimas antes de tentar roubá-las.
Uma vez que os atacantes tenham obtido acesso ao seu sistema ou rede podem fazer tudo o que quiserem dentro dele, incluindo instalar programas, modificar ficheiros, ou mesmo apagá-los a todos sem serem apanhados por um sistema de segurança ou administrador que os poderia impedir de o fazer se soubessem o que estava a acontecer dentro da sua rede!
c. O mergulho em lixeiras é mais fácil do que forçar a entrada numa rede
O mergulho no lixo é o acto de recuperar informação de materiais descartados para levar a cabo ataques de engenharia social. A técnica envolve a busca no lixo de tesouros como códigos de acesso ou palavras-passe escritas em notas pegajosas. O mergulho no lixo torna tais actividades fáceis de realizar porque permite que o hacker tenha acesso à rede sem ter de invadir a mesma.
A informação que os mergulhadores de lixo desenterram pode variar desde a mundana, como uma lista telefónica ou um calendário, até dados mais aparentemente inocentes como um organigrama. Mas esta informação aparentemente inocente pode ajudar um agressor a utilizar técnicas de engenharia social para obter acesso à rede.
Além disso, se um computador tiver sido eliminado, poderá ser uma casa do tesouro para ciberataqueiros. É possível recuperar informação de suportes de armazenamento, incluindo unidades que tenham sido apagadas ou formatadas de forma imprópria. As palavras-passe armazenadas e os certificados de confiança são frequentemente armazenados no computador e são vulneráveis a ataques.
O equipamento descartado pode conter dados sensíveis no Módulo de Plataforma Fidedigna (TPM). Estes dados são importantes para uma organização porque lhes permitem armazenar com segurança informações sensíveis, tais como chaves criptográficas. Um engenheiro social poderia aproveitar as IDs de hardware em que uma organização confia para fazer potenciais explorações contra os seus utilizadores.
d. Faz uso do medo das pessoas, da ganância e de um sentimento de urgência
Os ataques de engenharia social são fáceis de levar a cabo porque dependem do elemento humano. O ciberataque pode usar encanto, persuasão, ou intimidação para manipular a percepção da pessoa ou explorar a emoção da pessoa para obter detalhes importantes sobre a sua empresa.
Por exemplo, um ciberataque pode falar com o funcionário insatisfeito de uma empresa para obter informações escondidas, que podem depois ser utilizadas para invadir a rede.
O empregado descontente pode fornecer informações sobre a empresa a um agressor se sentir que está a ser tratado injustamente ou maltratado pelo seu actual empregador. O empregado descontente pode também fornecer informações sobre a empresa se não tiver outro emprego e em breve estará desempregado.
Os métodos mais avançados de hacking envolveriam a invasão de uma rede utilizando técnicas mais avançadas como malware, keyloggers, e trojans. Estas técnicas avançadas exigiriam muito mais tempo e esforço do que apenas falar com um empregado descontente para obter informações escondidas que podem ser usadas para invadir uma rede.
Os Seis Principais Princípios de Influência
Os esquemas de engenharia social exploram seis vulnerabilidades específicas na psique humana. Estas vulnerabilidades são identificadas pelo psicólogo Robert Cialdini no seu livro "Influence": A Psicologia da Persuasão" e são elas:
➜ Reciprocidade - Reciprocidade é o desejo de retribuir favores em espécie. Tendemos a sentir-nos endividados para com as pessoas que nos ajudaram; sentimos que é nossa responsabilidade ajudá-las. Assim, quando alguém nos pede algo - uma palavra-passe, acesso a registos financeiros, ou qualquer outra coisa - temos mais probabilidades de cumprir se já nos ajudaram antes.
➜ Compromisso e consistência - Temos tendência para fazer coisas ao longo do tempo, em vez de apenas uma vez. É mais provável que concordemos com um pedido se já estivermos de acordo com uma das suas partes - ou mesmo várias. Se alguém já pediu acesso aos seus registos financeiros antes, talvez pedir novamente não seja assim tão importante afinal!
➜ Prova Social - É uma técnica enganosa que se baseia no facto de que tendemos a seguir o exemplo das pessoas que nos rodeiam (também conhecido como o "efeito de comboio"). Por exemplo, os empregados podem ser influenciados por um actor ameaçador que apresente provas falsas de que outro empregado cumpriu um pedido.
➜ Gosto - Gostamos de pessoas que parecem estar no comando; assim, um hacker pode enviar uma mensagem para o seu endereço de e-mail que parece ser do seu chefe ou de um amigo seu, ou mesmo de um perito numa área que lhe interessa. A mensagem pode dizer algo como: "Ei! Sei que estás a trabalhar neste projecto e precisamos de alguma ajuda. Podemos encontrar-nos em breve"? Normalmente pede a sua ajuda - e, ao concordar, está a dar informações sensíveis.
➜ Autoridade - As pessoas submetem-se geralmente a figuras de autoridade porque as vemos como as "certas" para nós seguirmos e obedecermos. Desta forma, as tácticas de engenharia social podem explorar a nossa tendência para confiar naqueles que parecem ter autoridade para obter o que querem de nós.
➜ Scarcity - A escassez é um instinto humano que está ligado aos nossos cérebros. É a sensação de "preciso disto agora", ou "devia ter isto". Assim, quando as pessoas estão a ser enganadas por engenheiros sociais, sentirão um sentimento de urgência em desistir do seu dinheiro ou informação o mais depressa possível.
Personalidades Vulneráveis à Engenharia Social & Porquê?
Segundo a Dra. Margaret Cunningham, a principal cientista investigadora do comportamento humano com Forcepoint X-Labs - uma empresa cibernética de segurança - a agressividade e a extra-versão são os traços de personalidade mais vulneráveis às explorações de engenharia social.
As pessoas de acordo tendem a ser confiantes, amigáveis, e dispostas a seguir instruções sem questionar. Fazem bons candidatos a ataques de phishing porque são mais propensos a clicar em links ou abrir anexos de e-mails que parecem genuínos.
Os extrovertidos são também mais susceptíveis a agressões de engenharia social porque muitas vezes preferem estar perto de outros e podem ter mais probabilidades de confiar nos outros. São mais susceptíveis de desconfiar dos motivos alheios do que as pessoas introvertidas, o que pode levá-los a ser enganados ou manipulados por um engenheiro social.
Personalidades Resilientes à Engenharia Social & Porquê?
As pessoas que resistem a agressões de engenharia social tendem a ser conscienciosas, introvertidas, e têm uma elevada auto-eficácia.
As pessoas conscienciosas são as mais capazes de resistir a esquemas de engenharia social, concentrando-se nas suas próprias necessidades e desejos. Também têm menos probabilidades de se conformar às exigências dos outros.
Os introvertidos tendem a ser menos susceptíveis à manipulação externa porque levam tempo para si próprios e gozam de solidão, o que significa que têm menos probabilidades de serem influenciados por sugestões sociais ou por pessoas insistentes que tentam influenciá-los.
A auto-eficácia é importante porque nos ajuda a acreditar em nós próprios, pelo que temos mais confiança de que podemos resistir à pressão dos outros ou a influências externas.
Proteja a sua organização de esquemas de engenharia social com PowerDMARC
A engenharia social é a prática de manipular empregados e clientes para divulgar informação sensível que pode ser utilizada para roubar ou destruir dados. No passado, estas informações eram obtidas através do envio de e-mails que pareciam provir de fontes legítimas, como o seu banco ou o seu empregador. Hoje em dia, é muito mais fácil falsificar endereços de correio electrónico.
PowerDMARC ajuda a proteger contra este tipo de ataque através da implementação de protocolos de autenticação de e-mail como SPF, DKIM, e DMARC p=política de rejeição no seu ambiente para minimizar o risco de spoofing directo de domínio e ataques de phishing por e-mail.
Se estiver interessado em proteger-se, a sua empresa e os seus clientes de ataques de engenharia social, inscreva-se no nosso teste DMARC grátis hoje!
- Como encontrar o melhor fornecedor de soluções DMARC para a sua empresa? - 25 de abril de 2024
- PowerDMARC e Zendata formam parceria para aprimorar a segurança de domínios - 25 de abril de 2024
- PowerDMARC faz parceria com a CNS para avançar as práticas de segurança de e-mail no Oriente Médio - 24 de abril de 2024