Correios

Os ciberataqueiros utilizam ataques de engenharia social que são um tipo de ataque que visa o elemento humano, e não o sistema informático e o seu software. O atacante tenta enganar uma pessoa para que esta realize uma acção que lhe permita ter acesso aos computadores das vítimas.

Um dos tipos mais comuns deste tipo de ataque é um ataque de homem no meio. Um ataque de homem no meio ocorre quando um atacante faz-se passar por outra pessoa para enganar as vítimas, fazendo-as acreditar que estão a falar directamente umas com as outras através de protocolos normalizadores como a resposta interactiva de voz, e-mail, mensagens instantâneas, e conferência via web.

O hacking através da manipulação humana é mais fácil de executar do que o hacking directamente a partir de uma fonte externa. Este artigo discute porque é que os ataques do SE estão a aumentar e porque é que os ciberataqueiros usam habitualmente estas tácticas.

Porque é que os Cyber Attackers usam ataques de Engenharia Social : Causas Prováveis & Razões

Ataques de engenharia social são um dos métodos mais populares e eficazes utilizados actualmente pelos hackers. Estes ataques exploram frequentemente relações entre humanos, tais como a confiança e familiaridade dos empregados, ou a proximidade física entre empregados e clientes.

a. O Elemento Humano é o elo mais fraco na Segurança Tradicional

Os ataques tendem a ser mais eficazes quando dependem da interacção humana, o que significa que não há forma de a tecnologia nos proteger deles.

Tudo o que um agressor precisa é de um pouco de informação sobre os hábitos ou preferências do seu alvo e alguma criatividade na forma como se apresenta à vítima.

Isto faz com que os atacantes obtenham o que querem sem terem de recorrer a técnicas mais complicadas, como o hacking na rede de uma organização ou a invasão dos sistemas de uma empresa.

b. Não há necessidade de Técnicas Avançadas de Hacking

Os ataques de engenharia social utilizam a confiança das pessoas para obterem acesso a um sistema ou rede. Estes ataques são eficazes porque é fácil para um atacante obter acesso, em vez de utilizar técnicas avançadas de hacking para forçar o seu acesso a uma rede.

Quando um atacante o faz, normalmente utilizam técnicas psicologicamente manipuladoras tais como phishing, spear phishing, e pretextos.

➜ Phishing é quando um atacante envia e-mails que parecem legítimos, mas que são concebidos para enganar os utilizadores no sentido de desistir das suas informações pessoais como senhas ou detalhes de cartão de crédito.

➜ Spear phishing é quando um atacante usa os mesmos métodos que o phishing mas com técnicas mais avançadas, tais como fazer-se passar por outra pessoa para o enganar a desistir da sua informação.

➜ Pretexting refere-se a quando um agressor usa pretextos para ganhar a confiança das suas vítimas antes de tentar roubá-las.

Uma vez que os atacantes tenham obtido acesso ao seu sistema ou rede podem fazer tudo o que quiserem dentro dele, incluindo instalar programas, modificar ficheiros, ou mesmo apagá-los a todos sem serem apanhados por um sistema de segurança ou administrador que os poderia impedir de o fazer se soubessem o que estava a acontecer dentro da sua rede!

c. O mergulho em lixeiras é mais fácil do que forçar a entrada numa rede

O mergulho no lixo é o acto de recuperar informação de materiais descartados para levar a cabo ataques de engenharia social. A técnica envolve a busca no lixo de tesouros como códigos de acesso ou palavras-passe escritas em notas pegajosas. O mergulho no lixo torna tais actividades fáceis de realizar porque permite que o hacker tenha acesso à rede sem ter de invadir a mesma.

A informação que os mergulhadores de lixo desenterram pode variar desde a mundana, como uma lista telefónica ou um calendário, até dados mais aparentemente inocentes como um organigrama. Mas esta informação aparentemente inocente pode ajudar um agressor a utilizar técnicas de engenharia social para obter acesso à rede.

Além disso, se um computador tiver sido eliminado, poderá ser uma casa do tesouro para ciberataqueiros. É possível recuperar informação de suportes de armazenamento, incluindo unidades que tenham sido apagadas ou formatadas de forma imprópria. As palavras-passe armazenadas e os certificados de confiança são frequentemente armazenados no computador e são vulneráveis a ataques.

O equipamento descartado pode conter dados sensíveis no Módulo de Plataforma Fidedigna (TPM). Estes dados são importantes para uma organização porque lhes permitem armazenar com segurança informações sensíveis, tais como chaves criptográficas. Um engenheiro social poderia aproveitar as IDs de hardware em que uma organização confia para fazer potenciais explorações contra os seus utilizadores.

d. Faz uso do medo das pessoas, da ganância e de um sentimento de urgência

Os ataques de engenharia social são fáceis de levar a cabo porque dependem do elemento humano. O ciberataque pode usar encanto, persuasão, ou intimidação para manipular a percepção da pessoa ou explorar a emoção da pessoa para obter detalhes importantes sobre a sua empresa.

Por exemplo, um ciberataque pode falar com o funcionário insatisfeito de uma empresa para obter informações escondidas, que podem depois ser utilizadas para invadir a rede.

O empregado descontente pode fornecer informações sobre a empresa a um agressor se sentir que está a ser tratado injustamente ou maltratado pelo seu actual empregador. O empregado descontente pode também fornecer informações sobre a empresa se não tiver outro emprego e em breve estará desempregado.

Os métodos mais avançados de hacking envolveriam a invasão de uma rede utilizando técnicas mais avançadas como malware, keyloggers, e trojans. Estas técnicas avançadas exigiriam muito mais tempo e esforço do que apenas falar com um empregado descontente para obter informações escondidas que podem ser usadas para invadir uma rede.

Os Seis Principais Princípios de Influência

Os esquemas de engenharia social exploram seis vulnerabilidades específicas na psique humana. Estas vulnerabilidades são identificadas pelo psicólogo Robert Cialdini no seu livro "Influence": A Psicologia da Persuasão" e são elas:

Reciprocidade - Reciprocidade é o desejo de retribuir favores em espécie. Tendemos a sentir-nos endividados para com as pessoas que nos ajudaram; sentimos que é nossa responsabilidade ajudá-las. Assim, quando alguém nos pede algo - uma palavra-passe, acesso a registos financeiros, ou qualquer outra coisa - temos mais probabilidades de cumprir se já nos ajudaram antes.

Compromisso e consistência - Temos tendência para fazer coisas ao longo do tempo, em vez de apenas uma vez. É mais provável que concordemos com um pedido se já estivermos de acordo com uma das suas partes - ou mesmo várias. Se alguém já pediu acesso aos seus registos financeiros antes, talvez pedir novamente não seja assim tão importante afinal!

Prova Social - É uma técnica enganosa que se baseia no facto de que tendemos a seguir o exemplo das pessoas que nos rodeiam (também conhecido como o "efeito de comboio"). Por exemplo, os empregados podem ser influenciados por um actor ameaçador que apresente provas falsas de que outro empregado cumpriu um pedido.

Gosto - Gostamos de pessoas que parecem estar no comando; assim, um hacker pode enviar uma mensagem para o seu endereço de e-mail que parece ser do seu chefe ou de um amigo seu, ou mesmo de um perito numa área que lhe interessa. A mensagem pode dizer algo como: "Ei! Sei que estás a trabalhar neste projecto e precisamos de alguma ajuda. Podemos encontrar-nos em breve"? Normalmente pede a sua ajuda - e, ao concordar, está a dar informações sensíveis.

Autoridade - As pessoas submetem-se geralmente a figuras de autoridade porque as vemos como as "certas" para nós seguirmos e obedecermos. Desta forma, as tácticas de engenharia social podem explorar a nossa tendência para confiar naqueles que parecem ter autoridade para obter o que querem de nós.

Scarcity - A escassez é um instinto humano que está ligado aos nossos cérebros. É a sensação de "preciso disto agora", ou "devia ter isto". Assim, quando as pessoas estão a ser enganadas por engenheiros sociais, sentirão um sentimento de urgência em desistir do seu dinheiro ou informação o mais depressa possível.

Personalidades Vulneráveis à Engenharia Social & Porquê?

Segundo a Dra. Margaret Cunningham, a principal cientista investigadora do comportamento humano com Forcepoint X-Labs - uma empresa cibernética de segurança - a agressividade e a extra-versão são os traços de personalidade mais vulneráveis às explorações de engenharia social.

As pessoas de acordo tendem a ser confiantes, amigáveis, e dispostas a seguir instruções sem questionar. Fazem bons candidatos a ataques de phishing porque são mais propensos a clicar em links ou abrir anexos de e-mails que parecem genuínos.

Os extrovertidos são também mais susceptíveis a agressões de engenharia social porque muitas vezes preferem estar perto de outros e podem ter mais probabilidades de confiar nos outros. São mais susceptíveis de desconfiar dos motivos alheios do que as pessoas introvertidas, o que pode levá-los a ser enganados ou manipulados por um engenheiro social.

Personalidades Resilientes à Engenharia Social & Porquê?

As pessoas que resistem a agressões de engenharia social tendem a ser conscienciosas, introvertidas, e têm uma elevada auto-eficácia.

As pessoas conscienciosas são as mais capazes de resistir a esquemas de engenharia social, concentrando-se nas suas próprias necessidades e desejos. Também têm menos probabilidades de se conformar às exigências dos outros.

Os introvertidos tendem a ser menos susceptíveis à manipulação externa porque levam tempo para si próprios e gozam de solidão, o que significa que têm menos probabilidades de serem influenciados por sugestões sociais ou por pessoas insistentes que tentam influenciá-los.

A auto-eficácia é importante porque nos ajuda a acreditar em nós próprios, pelo que temos mais confiança de que podemos resistir à pressão dos outros ou a influências externas.

Proteja a sua organização de esquemas de engenharia social com PowerDMARC

A engenharia social é a prática de manipular empregados e clientes para divulgar informação sensível que pode ser utilizada para roubar ou destruir dados. No passado, estas informações eram obtidas através do envio de e-mails que pareciam provir de fontes legítimas, como o seu banco ou o seu empregador. Hoje em dia, é muito mais fácil falsificar endereços de correio electrónico.

PowerDMARC ajuda a proteger contra este tipo de ataque através da implementação de protocolos de autenticação de e-mail como SPF, DKIM, e DMARC p=política de rejeição no seu ambiente para minimizar o risco de spoofing directo de domínio e ataques de phishing por e-mail.

Se estiver interessado em proteger-se, a sua empresa e os seus clientes de ataques de engenharia social, inscreva-se no nosso teste DMARC grátis hoje!

Antes de mergulharmos nos tipos de ataques de engenharia social a que as vítimas caem diariamente, juntamente com os próximos ataques que tomaram a Internet por uma tempestade, vamos primeiro entrar brevemente no que é a engenharia social. 

Para o explicar em termos leigos, a engenharia social refere-se a uma táctica de desdobramento de ataques cibernéticos em que os actores da ameaça utilizam a manipulação psicológica para explorar as suas vítimas e defraudá-las.

Engenharia Social: Definição e exemplos

O que é um ataque de engenharia social?

Ao contrário dos cibercriminosos que invadem o seu computador ou sistema de correio electrónico, os ataques de engenharia social são orquestrados ao tentar influenciar as opiniões de uma vítima a manobrá-las para expor informação sensível. Os analistas de segurança confirmaram que mais de 70% dos ciberataques que ocorrem anualmente na Internet são ataques de engenharia social.

Exemplos de Engenharia Social

Veja o exemplo mostrado abaixo:

 

Aqui podemos observar um anúncio online que atrai a vítima com uma promessa de ganhar $1000 por hora. Este anúncio contém uma ligação maliciosa que pode iniciar uma instalação de malware no seu sistema. 

Este tipo de ataque é vulgarmente conhecido como Isco Online ou simplesmente Isco, e é uma forma de ataque de engenharia social. 

Outro exemplo é dado abaixo:

Tal como demonstrado acima, os ataques de engenharia social também podem ser perpetrados utilizando o correio electrónico como um meio potente. Um exemplo comum disto é um ataque de Phishing. Estaríamos a entrar nestes ataques com mais detalhe, na secção seguinte.

Tipos de Ataques de Engenharia Social

1. Pesca e Smishing

Suponha que hoje recebe um SMS do seu banco (supostamente) pedindo-lhe para verificar a sua identidade clicando num link, ou então a sua conta será desactivada. Esta é uma mensagem muito comum que é frequentemente difundida por cibercriminosos para enganar pessoas insuspeitas. Uma vez clicado no link, é redireccionado para uma página de falsificação que exige as suas informações bancárias. Esteja certo de que se acabar por fornecer os seus dados bancários a atacantes, estes irão drenar a sua conta. 

Da mesma forma, o Vishing ou Voice phishing é iniciado através de chamadas telefónicas em vez de SMS.

2. Isco Online / Isco 

Encontramos todos os dias uma série de anúncios online enquanto navegamos nos websites. Embora a maioria deles sejam inofensivos e autênticos, pode haver algumas maçãs más escondidas no lote. Isto pode ser facilmente identificado através de anúncios que parecem ser demasiado bons para serem verdadeiros. Têm normalmente alegações e atracções ridículas, tais como acertar no jackpot ou oferecer um enorme desconto.

Lembre-se que isto pode ser uma armadilha (t.c.p. a isca). Se algo parece demasiado bom para ser verdade, é provável que o seja. Por isso é melhor evitar anúncios suspeitos na Internet, e resistir a clicar neles.

3. Phishing

Os ataques de engenharia social são mais frequentemente realizados através de emails, e são denominados Phishing. Os ataques de Phishing têm vindo a causar estragos à escala global há quase tanto tempo quanto o próprio correio electrónico existe. Desde 2020, devido a um pico nas comunicações por correio electrónico, a taxa de phishing também disparou, defraudando organizações, grandes e pequenas, e fazendo manchetes todos os dias. 

Os ataques de phishing podem ser categorizados em Spear phishing, caça à baleia, e fraude do CEO, referindo-se ao acto de personificar funcionários específicos dentro de uma organização, decisores da empresa, e o CEO, respectivamente.

4. Os esquemas românticos

O Federal Bureau of Investigation (FBI) define esquemas de romance na Internet como "esquemas que ocorrem quando um criminoso adopta uma identidade online falsa para ganhar o afecto e a confiança de uma vítima. O burlão utiliza então a ilusão de uma relação romântica ou próxima para manipular e/ou roubar a vítima". 

Os esquemas românticos enquadram-se nos tipos de ataques de engenharia social, uma vez que os atacantes usam tácticas manipuladoras para formar uma estreita relação romântica com as suas vítimas antes de actuarem na sua agenda principal: ou seja, enganá-las. Em 2021, os esquemas românticos tomaram a posição #1 como o ataque cibernético mais prejudicial financeiramente do ano, seguido de perto pelos resgates.

5. Spoofing

A falsificação de domínios é uma forma altamente evoluída de ataque de engenharia social. Isto é quando um atacante forja um domínio legítimo da empresa para enviar e-mails aos clientes em nome da organização de envio. O atacante manipula as vítimas, levando-as a acreditar que o referido e-mail provém de uma fonte autêntica, ou seja, de uma empresa cujos serviços confiam. 

Os ataques de spoofing são difíceis de seguir uma vez que os e-mails são enviados a partir do próprio domínio de uma empresa. No entanto, há formas de resolver os problemas. Um dos métodos populares utilizados e recomendados pelos peritos da indústria é minimizar a falsificação com a ajuda de um DMARC configuração.

6. Pretexto

O pretexto pode ser referido como um predecessor de um ataque de engenharia social. É quando um atacante tece uma história hipotética para apoiar a sua reivindicação de informação sensível da empresa. Na maioria dos casos o pretexto é realizado através de chamadas telefónicas, em que um agressor faz-se passar por um cliente ou empregado, exigindo informações sensíveis da empresa.

O que é um método comum utilizado na engenharia social?

O método mais comum utilizado na engenharia social é o Phishing. Vejamos algumas estatísticas para compreender melhor como o Phishing é uma ameaça global crescente:

  • O relatório 2021 Cybersecurity Threat Trends da CISCO destacou que 90% das violações de dados ocorrem como resultado de phishing
  • A IBM, no seu Relatório de Custo de uma Violação de Dados de 2021, delegou o título de vector de ataque de maior custo financeiro ao phishing
  • A cada ano, a taxa de ataques de phishing tem vindo a aumentar 400%, tal como relatado pelo FBI

Como se proteger dos ataques da Engenharia Social?

Protocolos e ferramentas que pode configurar: 

  • Implantar protocolos de autenticação de e-mail na sua organização como SPF, DKIM, e DMARC. Comece hoje mesmo por criar um registo DMARC gratuito com o nosso Gerador de registos DMARC.
  • Forcem a sua Política DMARC para p=rejeitar para minimizar a falsificação directa do domínio e os ataques de phishing por e-mail
  • Certifique-se de que o seu sistema informático está protegido com a ajuda de um software antivírus

Medidas pessoais que pode tomar:

  • Sensibilizar a sua organização contra tipos comuns de ataques de engenharia social, vectores de ataque, e sinais de aviso
  • Informe-se sobre os vectores e tipos de ataque. Visite a nossa base de conhecimentos, introduza "phishing" na barra de pesquisa, acerte enter, e comece a aprender hoje mesmo!  
  • Nunca submeter informação confidencial em websites externos
  • Habilitar aplicações de identificação do chamador no seu dispositivo móvel
  • Lembre-se sempre que o seu banco nunca lhe irá pedir para enviar as informações da sua conta e palavra-passe por e-mail, SMS, ou telefone
  • Verifique sempre novamente o correio A partir do endereço e do caminho de retorno dos seus e-mails para garantir que são compatíveis 
  • Nunca clique em anexos ou ligações suspeitas de correio electrónico antes de ter 100% de certeza sobre a autenticidade da sua fonte
  • Pense duas vezes antes de confiar nas pessoas com quem interage online e que não conhece na vida real
  • Não navegar em sítios Web que não estejam protegidos por uma ligação HTTPS (ex. http://domain.com)