O que é um ataque de engenharia social?

Publicados: 2022-08-11

Os ataques de engenharia social referem-se a uma ampla gama de táticas que dependem de erro humano e não de vulnerabilidades nos sistemas. Os hackers empregam engenharia social para induzir os usuários a ganhar dinheiro, coletar informações confidenciais ou instalar malware em seus sistemas de computador.

Neste artigo, exploraremos tipos críticos de ataques de engenharia social e como você pode evitá-los. Vamos mergulhar:

Ataques de engenharia social - uma visão geral

Os humanos são o elo mais fraco da segurança cibernética. Muitas vezes, requer tempo, talento e recursos de alta tecnologia para encontrar uma vulnerabilidade nos sistemas e explorá-la. Mas o hacking humano é muito mais fácil do que isso.

Não é surpresa que 95% dos problemas de segurança cibernética sejam atribuídos a erro humano. Hackers ou agentes de ameaças aproveitam o comportamento humano e as tendências naturais para induzi-los a coletar informações confidenciais, obter dinheiro ou instalar software malicioso.

Existem quatro fases previsíveis da maioria dos ataques de engenharia social:

  • Os hackers coletam as informações necessárias sobre seus alvos. Quanto mais informações os hackers tiverem, mais preparados estarão para enganar os usuários
  • Na segunda fase, os hackers tentam construir rapport e relacionamentos com seu alvo por meio de uma variedade de táticas.
  • Na terceira fase, hackers ou agentes de ameaças se infiltrarão no alvo usando informações e relacionamento
  • A quarta fase é a fase de fechamento – assim que os hackers obtêm dinheiro ou dados confidenciais, como credenciais de login ou informações da conta bancária, eles encerram a interação de forma a evitar suspeitas

Ataques de engenharia social custam muito dinheiro às empresas. O engenheiro social Evaldas Rimasauskas roubou mais de US$ 100 milhões do Facebook e do Google por meio de engenharia social. Em outro ataque de engenharia social, a empresa de energia do Reino Unido perdeu US$ 243.000 para fraudadores.

Com as pequenas empresas tendo mais consciência de segurança, os hackers provavelmente empregarão mais esquemas de engenharia social para explorar o comportamento humano.

De fato, a engenharia social, de acordo com o State of Cybersecurity Report da ISACA, é o principal método de ataques cibernéticos.

Técnicas de engenharia social para estar ciente

Aqui estão as táticas de engenharia social usadas com frequência que os atores de ameaças empregam para induzir os usuários a obter dinheiro ou divulgar informações confidenciais:

Ataques de isca

Os ataques de isca exploram a ganância, a curiosidade e o medo dos humanos. Nesse tipo de ataque, os hackers criam uma isca atraente para o alvo. À medida que a vítima vai para a isca, seu sistema de computador é infectado.

Os atores de ameaças conduzem ataques de isca por meio de mídia física e formas digitais.

Em um ataque de rebatidas físico, um hacker deixaria uma mídia física (como um pen drive ou CD infectado) nas instalações da empresa para ser descoberto por seus funcionários. A mídia teria nomes como o Employee Bonus Scheme ou algo assim. Uma vez que qualquer funcionário reproduza essa mídia infectada em seu sistema, ela infectará o sistema. E através da rede interna, pode infectar outros sistemas também.

Os cibercriminosos podem criar um site falso com um link malicioso para baixar gratuitamente uma série de TV popular ou um filme. Quando alguém clica nesse link, ele pode instalar malware em seu sistema.

Quid pro Quo

Os hackers abusam da confiança e manipulam o comportamento humano em ataques quid pro quo. Um hacker entrará em contato com pessoas aleatórias e transmitirá que está oferecendo uma solução para um problema de tecnologia. Se alguém com o mesmo problema de tecnologia responder, o hacker informará alguns passos para resolver o problema. E nessas etapas, o hacker pode infectar o sistema.

Ataques de phishing

Um ataque de phishing é um e-mail falsificado, mensagem de texto ou qualquer outro tipo de comunicação, que parece ser proveniente de empresas legítimas. A mensagem geralmente tem um acordo ou oferta que é bom demais para ser verdade para atrair usuários.

Os hackers criam uma página de destino falsa que se assemelha a um site legítimo. Em seguida, eles enviam uma mensagem com uma ótima oferta aos usuários.

Quando um usuário ou funcionário visado realiza a ação sugerida ou baixa o anexo, o hacker coleta dados confidenciais ou um código malicioso é instalado no computador da vítima, afetando o sistema.

De acordo com um relatório da CISCO, 86% das empresas relataram ter um funcionário tentando se conectar a um site de phishing. O relatório também afirmou que os ataques de phishing foram responsáveis ​​por 90% das violações de dados.

Educar seus funcionários sobre como identificar sites de phishing e instalar uma ferramenta antiphishing para filtrar e-mails de phishing pode impedir efetivamente ataques de phishing.

Ataques de Spear Phishing

Spear phishing é um ataque de phishing que tem como alvo uma pessoa específica, determinado usuário ou empresa. Um ataque de spear phishing geralmente inclui informações que podem despertar o interesse de um alvo.

Ameaças de Scareware

Scareware explora o medo humano. Em ataques de scareware, os usuários geralmente veem um pop-up solicitando que tomem medidas específicas para se manterem seguros. E seguir essas etapas resulta na compra de software falso, instalação de malware ou visita a sites maliciosos que instalarão automaticamente malware em seus dispositivos.

Manter seu navegador atualizado e usar um programa antivírus de renome pode ajudar a combater ameaças de scareware.

Golpes de pretexto

Em golpes de pretexto, os agentes de ameaças criam um pretexto ou cenário para induzir as pessoas a obter informações de identificação pessoal, informações de cartão de crédito ou qualquer outra informação que possa ser usada para atos fraudulentos, como violação de dados ou roubo de identidade. Os criminosos muitas vezes se passam por autoridades, investigadores de seguros, bancos ou instituições para realizar golpes de pretexto.

Uma maneira eficaz de evitar fraudes de pretexto é verificar solicitações de informações confidenciais entrando em contato com a fonte por meios alternativos.

Traslado

Em um ataque tailgating, uma pessoa não autorizada sem acesso legítimo segue um indivíduo autorizado em uma área restrita, como estações de trabalho de funcionários, sala de servidores, etc.

Por exemplo, um agente de ameaça segurando uma caixa grande com as duas mãos chega ao portão de entrada da sua empresa. Um funcionário abre a porta usando seu cartão de acesso sem perceber que seu bom coração causou uma entrada não autorizada.

A aplicação de políticas rígidas de autenticação digital e física pode ajudá-lo a combater a retaguarda.

Qual é a maneira mais comum de os engenheiros sociais obterem acesso?

Phishing é a forma mais comum que os engenheiros sociais empregam para induzir os usuários a clicar em links maliciosos ou visitar sites maliciosos para espalhar malware.

Os engenheiros sociais costumam fazer tentativas de phishing por meio de e-mails, sites de mídia social, telefonemas ou mensagens de texto para explorar o erro humano.

Como você pode se proteger da engenharia social?

A seguir estão algumas táticas comprovadas para prevenir ataques de engenharia social:

1. Treine seus funcionários

Os ataques de engenharia social exploram o comportamento humano e as tendências naturais. Portanto, treinar os membros de sua equipe ajuda bastante na construção de uma cultura de segurança positiva.

Certifique-se de treinar seus funcionários para:

  • Evite abrir e-mails e anexos de fontes desconhecidas
  • Evite compartilhar informações pessoais ou financeiras por telefone
  • Cuidado com ofertas tentadoras
  • Saiba mais sobre software malicioso, como software de scanner desonesto
  • Evite compartilhar informações de identificação pessoal em sites de redes sociais

Você também pode contratar um consultor de segurança externo para realizar workshops sobre segurança cibernética

2. Aplicar autenticação multifator

A segurança cibernética em sua empresa depende significativamente dos métodos de autenticação que seus funcionários e fornecedores usam.

Para fortalecer a segurança, você deve aplicar a autenticação multifator. É uma maneira eficaz de permitir o acesso a usuários legítimos e manter os criminosos cibernéticos afastados.

3. Instale o software antivírus

Os principais softwares antivírus e antimalware podem ajudar a impedir que malwares cheguem por e-mails. Além disso, uma boa ferramenta pode avisar seus funcionários quando eles se deparam com um site malicioso.

4. Avalie sua preparação

Você deve testar regularmente sua defesa contra ataques de engenharia social. Praticar e executar exercícios de vez em quando pode ajudar os membros de sua equipe a se prepararem melhor para qualquer ataque de engenharia social.

Imagem: Elementos Envato