Basicamente, a engenharia social envolve a manipulação psicológica do usuário para que ele realize uma ação que permita que hackers tenham acesso a informações confidenciais e privadas, por exemplo, quando um usuário recebe um e-mail afirmando que ele precisa atualizar seus dados para continuar tendo acesso ao seu serviço de streaming e, com isso, induzi-lo a clicar em links mal intencionados, realizar transações financeiras e compartilhar dados confidenciais.
De acordo com a Febraban, esse tipo de golpe cresceu 165% no primeiro semestre de 2021, sendo que alguns tipos de golpe se destacam: o golpe do falso motoboy que cresceu 271%, das falsas centrais telefônicas e falsos funcionários, com crescimento de 62%, o que mostra que esse tipo de golpe não é exclusividade do mundo digital.
O termo “engenharia social” foi introduzido pela primeira vez em 1894, pelo industrial holandês J.C. Van Marken que acreditava que engenheiros sociais poderiam resolver todos os problemas do ser humano. Se suas ideias visavam o bem-estar dos trabalhadores, a engenharia social, hoje, também é vista como uma das ameaças cibernéticas mais difundidas, baratas e fáceis de ser executada. Nos anos 1990, Kevin Mitnick, contribuiu para tornar o temo mais popular, mesmo que muitas das técnicas já existissem.
O famoso golpe nigeriano é um dos mais famosos. Nele, o golpista afirma ser funcionário do governo da Nigéria ou de algum banco e diz precisar de acesso a uma conta no exterior para transferir fundos presos em uma conta nigeriana congelada. Tudo em troca de uma comissão. Com isso, o golpista convence a vítima a enviar uma pequena quantia de dinheiro para quitar valores associados a impostos ou taxas e ele possa realizar a transação. Quando a vítima envia o dinheiro, o golpista simplesmente desaparece.
O impacto da tecnologia
Hoje, os golpes de engenharia social evoluíram e se tornaram mais sofisticados e complexos, criando, depois que a vítima realiza a ação desejada, brechas de segurança que podem ser utilizadas para que hackers invadam sistemas, além de permitir que informações sobre acesso à rede e dados da empresa sejam roubados sem serem detectados.
De acordo com o relatório Global Cybersecurity Outlook 2022 do Fórum Econômico Mundial (WEF), a engenharia social se tornou a segunda maior preocupação entre os líderes de segurança da informação no mundo, com o ransomware em primeiro lugar.
Durante a pandemia, com o mundo passando por uma gigantesca transformação na maneira com que as pessoas interagiam umas com as outras, o uso de videochamadas, SMS e mensagens instantâneas se tornou uma seara lucrativa para os golpistas de plantão. Agora, com o trabalho híbrido se tornando padrão, outras vulnerabilidades estão aparecendo, principalmente pelo uso cada vez maior de dispositivos móveis.
Com isso, atores de ameaças encontram na engenharia social um mundo de oportunidades para serem bem-sucedidos.
Quais as fraquezas exploradas pela engenharia social
Investir contra os pontos fracos de usuários é muito mais fácil e simples que buscar por vulnerabilidades na infraestrutura de uma empresa. Por que gastar tempo para invadir a infraestrutura quando é possível usar as pessoas para contornar as defesas? Afinal, basta apenas que um funcionário cometa um único erro para abrir as portas para criminosos virtuais.
Por meio de técnicas simples e extremamente persuasivas, criminosos podem se passar por uma pessoa que o funcionário confia ou podem oferecer uma proposta irrecusável para atraí-lo. Há poucos anos, cibercriminosos usaram a inteligência artificial para simular a voz de um diretor de uma grande empresa dos Emirados Árabes Unidos para convencer um gerente de banco a realizar uma transferência de US$ 35 milhões.
Quais os tipos de ataque mais comuns
A engenharia social só é bem-sucedida por apostar que o usuário vai ficar tentado a clicar em um link ou realizar uma determinada ação. Ou seja, o erro humano é explorado por novas técnicas de ataques.
Phishing
O phishing é o tipo mais comum de ataque de engenharia social, e também o mais simples e eficaz. O golpe consiste em convencer o usuário a abrir e-mails, clicar em anexos e links maliciosos e, com isso, coletar credenciais, dados privados e espalhar malware pelas redes. E-mails solicitando que os usuários troquem suas senhas ou afirmando que uma sua conta será cancelada se não realizar uma atualização são alguns dos exemplos de mensagens supostamente legitimas, mas cada vez mais difíceis de serem detectadas.
Spear phishing
Semelhante ao phishing e também baseado em e-mail traz uma mensagem mais personalizada e, normalmente, visa um indivíduo ou empresa específica, não um grupo de pessoas heterogêneas. A tática envolve uma pesquisa mais profunda sobre a vítima antes do ataque ser iniciado. Para isso, criminosos usam informações reais da vítima para tornar a mensagem mais atraente e convincente, aumentando a probabilidade que o usuário clique no link ou abra o arquivo malicioso.
Smishing
São mensagens de texto utilizadas para coletar informações, solicitar dinheiro ou distribuir malware. Assim como o Spear Phishing, essas mensagens buscam se passar por mensagens verídicas para convencer o usuário a realizar uma ação.
Vishing
Também conhecido como Voice Phishing usa de ligações ou mensagens de voz para coletar informações pessoais, números de cartões de crédito ou credenciais que serão utilizadas para o roubo de identidade.
Tailgating
É uma forma de golpe de engenharia social em que o golpista tenta entrar em uma área restrita simplesmente acompanhando uma pessoa que tenha acesso liberado. Mais eficaz em pequenas e médias empresas que contam com uma política de acesso menos eficiente.
Baiting
Ganância ou curiosidade são fatores importantes para que um golpe de engenharia social seja bem-sucedido. Nesse caso, os criminosos usam uma unidade USB, por exemplo, marcada com um assunto que chame a atenção do usuário e o faça conectá-la ao seu computador para ver o conteúdo, com isso, o malware é instalado.
Quid Pro quo
Expressão latina que significa “tomar uma coisa por outra” visa buscar informações em troca de algo. Nesse caso, o criminoso se passa por um executivo ou funcionário de alguma empresa e promete um serviço em troca de informações confidenciais.
Pretexting
O criminoso se passa por um colega de trabalho ou uma autoridade para coletar informações da vítima com base na confiança. Normalmente, essas mensagens parecem ter sido enviadas por algum conhecido, o que torna sua identificação como golpe mais difícil.
Scareware
É uma técnica que usa anúncios pop-ups para explorar um medo do usuário. Visa induzir a vítima a comprar um aplicativo para resolver um problema inexistente de segurança cibernética. Por exemplo, quando o usuário entre em um determinado site e um pop-up surge afirmando que o dispositivo está infectado.
Sinais de alerta de engenharia social
Apesar de desenhados para parecerem histórias reais e convincentes, os ataques de engenharia social, muitas vezes, não são barrados por filtros de SPAM, de e-mails maliciosos ou antivírus, então, alguns sinais devem ser observados:
- Receber uma mensagem inesperada de algum colega, superior ou alguma pessoa conhecida
- Obter ofertas “boas demais para serem verdadeiras”
- Receber uma oferta incomum que peça que uma ação seja realizada, senão algo terrível irá acontecer
- Receber um pedido para algo urgente
- Receber mensagens de texto, e-mails ou áudio de pessoas ou números desconhecidos
- Receber mensagens solicitando a confirmação de informações pessoais
- Receber mensagens para alterar senhas imediatamente
- Receber mensagens informando sobre o bloqueio ou encerramento de algum serviço
Como evitar riscos
Não existe uma solução única para evitar ataques de engenharia social, mas é possível reduzir riscos.
Segurança de dados precisa ser parte da cultura da empresa
Combater ataques cibernéticos exige um esforço de todos dentro da empresa, não apenas da área de TI. Portanto incentive os funcionários a relatar incidentes ou suspeitas, desenvolva políticas de segurança e um plano de resposta a incidentes eficiente.
Educação é fundamental
Quanto mais informações os usuários tiverem, mais fácil eles poderão detectar um possível golpe. Implemente programas de treinamento e testes para avaliar o conhecimento dos funcionários e reduzir riscos.
Autenticação de dois fatores ou multifator
Contar apenas com uma senha forte já não é mais suficiente para garantir a segurança das contas. Portanto, implementar a autenticação de dois fatores ou multifator se torna essencial para garantir maior proteção e redução de riscos de ataques de engenharia social.
Ferramentas de cibersegurança
Implementar ferramentas de segurança de dados torna suas informações mais seguras. Antivírus, programas de monitoramento de endpoints e credenciais são apenas alguns exemplos de como a tecnologia pode ser uma grande aliada.
Backup
Se tudo falhar é essencial poder recuperar suas informações rapidamente, por isso os backups têm papel fundamental em uma estratégia de segurança de dados eficiente.
Os usuários são o elo mais fraco da cadeia de segurança de uma empresa, então, entender como os cibercriminosos aproveitam essa fragilidade para que seus golpes sejam bem-sucedidos é essencial para criar uma barreira eficiente contra golpes de engenharia social. Portanto, é fundamental coletar e analisar informações sobre incidentes de segurança, identificar ameaças e notificar a equipe de TI para que a resposta seja a mais ágil possível. Saiba como a Varonis pode ajudar sua empresa nessa tarefa. Entre em contato e solicite uma demonstração gratuita.
O que devo fazer agora?
Listamos abaixo três recomendações para reduzir os riscos de dados na sua organização:
Agende uma demonstração conosco: Veja a usabilidade de Varonis em uma sessão personalizada com base nas necessidades de segurança de dados da sua organização. Responderemos a todas as suas perguntas.
Veja um exemplo do nosso Relatório de Risco de Dados: Conheça as ameaças que podem permanecer no seu ambiente. O Relatório da Varonis é gratuito e demonstra claramente como realizar a remediação automatizada.
Siga-nos no LinkedIn, YouTube e X (Twitter): Obtenha insights detalhados sobre todos os aspectos da segurança de dados, incluindo DSPM, detecção de ameaças, segurança de IA, entre outros.