Antes de mergulharmos nos tipos de ataques de engenharia social a que as vítimas caem diariamente, juntamente com os próximos ataques que tomaram a Internet por uma tempestade, vamos primeiro entrar brevemente no que é a engenharia social.

Para o explicar em termos leigos, a engenharia social refere-se a uma táctica de desdobramento de ataques cibernéticos em que os actores da ameaça utilizam a manipulação psicológica para explorar as suas vítimas e defraudá-las.

Engenharia Social: Definição e exemplos

O que é um ataque de engenharia social?

Ao contrário dos cibercriminosos que invadem o seu computador ou sistema de correio electrónico, os ataques de engenharia social são orquestrados ao tentar influenciar as opiniões de uma vítima a manobrá-las para expor informação sensível. Os analistas de segurança confirmaram que mais de 70% dos ciberataques que ocorrem anualmente na Internet são ataques de engenharia social.

Exemplos de Engenharia Social

Veja o exemplo mostrado abaixo:

Aqui podemos observar um anúncio online que atrai a vítima com uma promessa de ganhar $1000 por hora. Este anúncio contém uma ligação maliciosa que pode iniciar uma instalação de malware no seu sistema.

Este tipo de ataque é vulgarmente conhecido como Isco Online ou simplesmente Isco, e é uma forma de ataque de engenharia social.

Outro exemplo é dado abaixo:

Tal como demonstrado acima, os ataques de engenharia social também podem ser perpetrados utilizando o correio electrónico como um meio potente. Um exemplo comum disto é um ataque de Phishing. Estaríamos a entrar nestes ataques com mais detalhe, na secção seguinte.

Tipos de Ataques de Engenharia Social

1. Pesca e Smishing

Suponha que hoje recebe um SMS do seu banco (supostamente) pedindo-lhe para verificar a sua identidade clicando num link, ou então a sua conta será desactivada. Esta é uma mensagem muito comum que é frequentemente difundida por cibercriminosos para enganar pessoas insuspeitas. Uma vez clicado no link, é redireccionado para uma página de falsificação que exige as suas informações bancárias. Esteja certo de que se acabar por fornecer os seus dados bancários a atacantes, estes irão drenar a sua conta.

Da mesma forma, o Vishing ou Voice phishing é iniciado através de chamadas telefónicas em vez de SMS.

2. Isco Online / Isco

Encontramos todos os dias uma série de anúncios online enquanto navegamos nos websites. Embora a maioria deles sejam inofensivos e autênticos, pode haver algumas maçãs más escondidas no lote. Isto pode ser facilmente identificado através de anúncios que parecem ser demasiado bons para serem verdadeiros. Têm normalmente alegações e atracções ridículas, tais como acertar no jackpot ou oferecer um enorme desconto.

Lembre-se que isto pode ser uma armadilha (t.c.p. a isca). Se algo parece demasiado bom para ser verdade, é provável que o seja. Por isso é melhor evitar anúncios suspeitos na Internet, e resistir a clicar neles.

3. Phishing

Os ataques de engenharia social são mais frequentemente realizados através de emails, e são denominados Phishing. Os ataques de Phishing têm vindo a causar estragos à escala global há quase tanto tempo quanto o próprio correio electrónico existe. Desde 2020, devido a um pico nas comunicações por correio electrónico, a taxa de phishing também disparou, defraudando organizações, grandes e pequenas, e fazendo manchetes todos os dias.

Os ataques de phishing podem ser categorizados em Spear phishing, caça à baleia, e fraude do CEO, referindo-se ao acto de personificar funcionários específicos dentro de uma organização, decisores da empresa, e o CEO, respectivamente.

4. Os esquemas românticos

O Federal Bureau of Investigation (FBI) define esquemas de romance na Internet como "esquemas que ocorrem quando um criminoso adopta uma identidade online falsa para ganhar o afecto e a confiança de uma vítima. O burlão utiliza então a ilusão de uma relação romântica ou próxima para manipular e/ou roubar a vítima".

Os esquemas românticos enquadram-se nos tipos de ataques de engenharia social, uma vez que os atacantes usam tácticas manipuladoras para formar uma estreita relação romântica com as suas vítimas antes de actuarem na sua agenda principal: ou seja, enganá-las. Em 2021, os esquemas românticos tomaram a posição #1 como o ataque cibernético mais prejudicial financeiramente do ano, seguido de perto pelos resgates.

5. Spoofing

A falsificação de domínios é uma forma altamente evoluída de ataque de engenharia social. Isto é quando um atacante forja um domínio legítimo da empresa para enviar e-mails aos clientes em nome da organização de envio. O atacante manipula as vítimas, levando-as a acreditar que o referido e-mail provém de uma fonte autêntica, ou seja, de uma empresa cujos serviços confiam.

Os ataques de spoofing são difíceis de seguir uma vez que os e-mails são enviados a partir do próprio domínio de uma empresa. No entanto, há formas de resolver os problemas. Um dos métodos populares utilizados e recomendados pelos peritos da indústria é minimizar a falsificação com a ajuda de um DMARC configuração.

6. Pretexto

O pretexto pode ser referido como um predecessor de um ataque de engenharia social. É quando um atacante tece uma história hipotética para apoiar a sua reivindicação de informação sensível da empresa. Na maioria dos casos o pretexto é realizado através de chamadas telefónicas, em que um agressor faz-se passar por um cliente ou empregado, exigindo informações sensíveis da empresa.

O que é um método comum utilizado na engenharia social?

O método mais comum utilizado na engenharia social é o Phishing. Vejamos algumas estatísticas para compreender melhor como o Phishing é uma ameaça global crescente:

O relatório 2021 Cybersecurity Threat Trends da CISCO destacou que 90% das violações de dados ocorrem como resultado de phishing
A IBM, no seu Relatório de Custo de uma Violação de Dados de 2021, delegou o título de vector de ataque de maior custo financeiro ao phishing
A cada ano, a taxa de ataques de phishing tem vindo a aumentar 400%, tal como relatado pelo FBI

Como se proteger dos ataques da Engenharia Social?

Protocolos e ferramentas que pode configurar:

Implantar protocolos de autenticação de e-mail na sua organização como SPF, DKIM, e DMARC. Comece hoje mesmo por criar um registo DMARC gratuito com o nosso Gerador de registos DMARC.
Forcem a sua Política DMARC para p=rejeitar para minimizar a falsificação directa do domínio e os ataques de phishing por e-mail
Certifique-se de que o seu sistema informático está protegido com a ajuda de um software antivírus

Medidas pessoais que pode tomar:

Sensibilizar a sua organização contra tipos comuns de ataques de engenharia social, vectores de ataque, e sinais de aviso
Informe-se sobre os vectores e tipos de ataque. Visite a nossa base de conhecimentos, introduza "phishing" na barra de pesquisa, acerte enter, e comece a aprender hoje mesmo!
Nunca submeter informação confidencial em websites externos
Habilitar aplicações de identificação do chamador no seu dispositivo móvel
Lembre-se sempre que o seu banco nunca lhe irá pedir para enviar as informações da sua conta e palavra-passe por e-mail, SMS, ou telefone
Verifique sempre novamente o correio A partir do endereço e do caminho de retorno dos seus e-mails para garantir que são compatíveis
Nunca clique em anexos ou ligações suspeitas de correio electrónico antes de ter 100% de certeza sobre a autenticidade da sua fonte
Pense duas vezes antes de confiar nas pessoas com quem interage online e que não conhece na vida real
Não navegar em sítios Web que não estejam protegidos por uma ligação HTTPS (ex. http://domain.com)