O que é engenharia social?

Aprenda estratégias eficazes para proteger suas informações pessoais e se defender da engenharia social, uma tática astuta usada por cibercriminosos para manipular indivíduos.

BAIXE ANTIVÍRUS GRATUITO E FAÇA UMA VERIFICAÇÃO DE VÍRUS

O que são ataques de engenharia social?

Ataques de engenharia social em computação são métodos sofisticados usados por cibercriminosos para manipular pessoas a comprometerem sua própria segurança. Esses ataques geralmente resultam em vítimas enviando dinheiro sem saber, divulgando informações pessoais sensíveis ou quebrando protocolos de segurança.

A eficácia da engenharia social está na sua capacidade de explorar emoções humanas como medo, curiosidade ou empatia, levando as pessoas a agir impulsivamente contra o seu melhor julgamento. Ao entender e jogar com esses gatilhos emocionais, os atacantes persuadem as vítimas a tomar decisões que podem parecer irracionais, como baixar software prejudicial, visitar sites não seguros ou compartilhar dados confidenciais.

Como funciona a engenharia social?

A engenharia social envolve táticas psicológicas para manipular pessoas a revelarem informações sensíveis, cruciais para acesso a sistemas ou roubo de identidade. Ela explora erros humanos, muitas vezes através de engano ou personificação, levando a vazamentos de segurança e comprometimento de dados sem depender de métodos técnicos de hacking.

Os ataques de engenharia social são tipicamente processos em várias etapas. Inicialmente, o atacante pesquisa o alvo para coletar informações suficientes e detalhes de fundo essenciais, identificando vulnerabilidades e medidas de segurança fracas cruciais para o sucesso do ataque. Após isso, o atacante utiliza táticas como pretexting ou personificar figuras de autoridade para ganhar a confiança da vítima. Essa manipulação é projetada para provocar ações que comprometem a segurança, como divulgar informações confidenciais ou fornecer acesso a sistemas vitais.

Os ataques de engenharia social manipulam a psicologia humana para contornar medidas de segurança técnicas. Eles selecionam cuidadosamente suas vítimas com base em vários fatores. Táticas principais incluem:

  1. Impersonação: Os atacantes frequentemente se passam por entidades respeitáveis — grandes marcas, agências governamentais ou figuras de autoridade — para ganhar confiança. Por exemplo, eles podem criar sites fraudulentos que imitam marcas importantes para enganar usuários a revelarem informações sensíveis.
  2. Exploração de Emoções: Esses ataques comumente exploram emoções como medo, urgência ou ganância. Golpistas podem enviar mensagens alarmantes sobre uma conta bancária comprometida ou atrair vítimas com promessas fraudulentas de ganho financeiro, como o famoso esquema do ‘Príncipe Nigeriano’.
  3. Exploração de Boa Vontade ou Curiosidade: Engenheiros sociais também exploram a inclinação natural das pessoas para ajudar ou sua curiosidade. Eles podem enviar e-mails que parecem ser de amigos ou redes sociais, pedindo informações de contato, assistência ou atraindo usuários a clicarem em um link malicioso sob o pretexto de uma história intrigante ou recurso útil.

Entender essas táticas é crucial para reconhecer e combater ataques de engenharia social. Eles exploram a natureza humana em vez de falhas tecnológicas, tornando a conscientização e a vigilância as principais defesas contra essas ameaças.

Como se proteger contra ataques de engenharia social?

Ataques de engenharia social podem assumir muitas formas, desde e-mails de phishing até manipulação por chamadas telefônicas ou mensagens de texto. Por visarem principalmente vulnerabilidades humanas ao invés de falhas tecnológicas, defesa contra eles requer uma combinação de conscientização, vigilância e proteções tecnológicas.

Os seguintes passos oferecem uma abordagem abrangente para melhorar sua defesa contra esses ataques cada vez mais comuns e sofisticados:

  1. Use Autenticação de Múltiplos Fatores: Implementar autenticação de dois fatores ou múltiplos fatores é crucial. Isso adiciona uma camada extra de segurança, garantindo que mesmo se as credenciais de login forem comprometidas, o acesso não autorizado ainda seja evitado.
  2. Treinamento de Conscientização de Segurança: Treinamentos regulares para todos os funcionários são essenciais para reconhecer e responder a ataques de engenharia social. Este treinamento deve cobrir a identificação de atividades suspeitas e a importância de não compartilhar informações sensíveis.
  3. Instale um Programa de Cibersegurança Eficaz: Use um software de cibersegurança abrangente, como o Malwarebytes, que pode reconhecer e neutralizar ameaças, incluindo sites maliciosos, malvertising, malware, vírus e ransomware.
  4. Implemente Políticas de Controle de Acesso e Tecnologias de Cibersegurança: Implemente políticas rigorosas de controle de acesso, incluindo autenticação adaptativa e uma abordagem de segurança de confiança zero. Utilize tecnologias como filtros de spam, gateways de e-mail seguros, firewalls, software antivírus, e mantenha os sistemas atualizados com os patches mais recentes.
  5. Ative os Filtros de Spam: Ative os filtros de spam para bloquear e-mails de phishing e outras formas de spam. Embora alguns e-mails legítimos possam ser filtrados, você pode mitigar isso marcando-os como "não spam" e adicionando remetentes legítimos à sua lista de contatos.
  6. Aprenda a Identificar E-mails de Phishing: Eduque a si mesmo e a outros sobre como identificar tentativas de phishing. Procure por sinais de alerta como endereços de remetente que não coincidem, saudações genéricas, URLs incomuns, gramática ruim, e ofertas que parecem boas demais para serem verdade.
  7. Desative Macros em Documentos: Desative macros em seu software. Tenha cuidado com anexos de e-mail que pedem para ativar macros, especialmente de fontes desconhecidas. Em caso de dúvida, verifique a legitimidade do anexo com o remetente.
  8. Não Responda a Fraudes Suspeitas: Evite responder a possíveis fraudes, seja por e-mail, SMS ou chamadas telefônicas. Responder confirma aos golpistas que suas informações de contato são válidas, incentivando mais tentativas. Encaminhe textos suspeitos para 7726 (SPAM) para ajudar sua operadora a filtrar spam.

Implementando essas estratégias, você pode criar um sistema de defesa robusto contra ataques de engenharia social, protegendo tanto seus dados pessoais quanto as informações sensíveis de sua organização. Lembre-se, estar informado e cauteloso é sua primeira linha de defesa no cenário sempre em evolução das ameaças de cibersegurança.

Tipos de ataques de engenharia social

Os ataques de engenharia social ocorrem predominantemente através de várias [formas de phishing]( https://www.malwarebytes.com/phishing). Esses ataques exploram a psicologia humana e a confiança, ao invés de contar com métodos técnicos de hacking. A eficácia e a prevalência do phishing fazem dele uma preocupação crítica tanto para indivíduos quanto para organizações. Aqui está uma análise mais detalhada de cada tipo:

  1. Phishing por E-mail: Atacantes se passam por entidades legítimas através de e-mails, enganando destinatários a revelarem dados pessoais ou credenciais. Esses e-mails frequentemente contêm links para sites enganosos ou anexos maliciosos.
  2. Phishing em Massa: Este método envolve o envio do mesmo e-mail de phishing para milhões de pessoas. Os e-mails parecem ser de organizações reconhecíveis e frequentemente solicitam informações pessoais sob falsos pretextos.
  3. Spear Phishing: Uma forma mais direcionada de phishing, onde atacantes customizam suas mensagens para indivíduos específicos usando informações obtidas de redes sociais ou profissionais.
  4. Whale Phishing: Uma tática de spear phishing de alto nível destinada a executivos seniores ou indivíduos de alto perfil. Esses ataques são altamente personalizados e frequentemente envolvem uma complexa decepção.
  5. Voice Phishing (Vishing): Esta técnica usa chamadas telefônicas para enganar indivíduos a divulgarem informações sensíveis. Os atacantes podem se passar por organizações ou figuras de autoridade legítimas.
  6. Phishing por SMS (Smishing): Uma variante do phishing realizada através de mensagens de texto. Essas mensagens atraem os destinatários a clicar em links maliciosos ou divulgar informações sensíveis.
  7. Search Engine Phishing: Nesta abordagem, os atacantes criam sites falsos que aparecem no topo dos resultados de busca. Quando os usuários visitam esses sites, eles correm o risco de roubo de informações.
  8. Angler Phishing: Esta forma explora plataformas de mídia social, onde atacantes criam contas falsas de atendimento ao cliente para interagir com as vítimas, frequentemente levando-as a sites de phishing.

Após o Phishing, os outros métodos de engenharia social são:

  1. Baiting: Atrai vítimas com uma falsa promessa de bens ou serviços para roubar informações ou instalar malware.
  2. Tailgating/Piggybacking: Envolve acesso não autorizado a áreas restritas seguindo fisicamente uma pessoa autorizada ou explorando digitalmente a sessão ativa de outra pessoa.
  3. Pretexting: Atacantes fabricam cenários para extrair informações sensíveis ou obter acesso, muitas vezes se passando por alguém com autoridade ou necessidade de verificar identidade.
  4. Quid Pro Quo: Oferece um serviço ou benefício em troca de informações sensíveis, explorando o desejo da vítima por um bom negócio ou recompensa.
  5. Scareware: Usa táticas de medo para manipular vítimas a instalarem malware ou revelarem informações confidenciais.
  6. Watering Hole Attack: Almeja grupos específicos infectando sites que eles frequentam, levando a roubo de dados ou instalação de malware.
  7. Ataques de Trojan: Malware disfarçado como software legítimo, frequentemente espalhado através de anexos de e-mail de fontes aparentemente confiáveis.
  8. Golpes de Suporte Técnico: Enganam vítimas a acreditarem que seu dispositivo está comprometido e cobram dinheiro por "consertos" desnecessários.
  9. Chamadas de Golpe: Envolve o uso de chamadas telefônicas (incluindo robocalls) para enganar vítimas, muitas vezes se passando por organizações ou autoridades legítimas.

Entender esses métodos de phishing e outras táticas de engenharia social é crucial para se proteger contra essas ameaças prevalentes e em evolução.

Exemplos de ataques de engenharia social

Aqui estão alguns exemplos reais de engenharia social que relatamos no Malwarebytes Labs. Em cada exemplo, os golpistas de engenharia social procuram o alvo certo e o gatilho emocional certo. Às vezes, a combinação de alvo e gatilho pode ser hiper-específica (como em um ataque de spear phishing). Outras vezes, os golpistas podem ir atrás de um grupo muito mais amplo.

O golpe de sextorsão: Neste primeiro exemplo, os golpistas estão lançando uma ampla rede. O alvo? Qualquer pessoa que assista pornografia. A vítima é notificada por e-mail que sua webcam foi supostamente hackeada e usada para gravá-la assistindo vídeos adultos. O golpista também alega ter invadido a conta de e-mail do destinatário, usando uma senha antiga como prova. Se a vítima não pagar em Bitcoin, o golpista ameaça divulgar o vídeo para todos os contatos da vítima. Em geral, o golpista não tem vídeo algum de você e sua senha antiga vem de um vazamento de dados anteriormente divulgado.

O golpe do avô/avó: Este golpe circula há anos e mira em qualquer pessoa com família viva, geralmente os idosos. Pais ou avós recebem uma ligação ou mensagem de texto do golpista, se passando por um advogado ou policial. O golpista alega que o parente da vítima foi preso ou está ferido e precisa de dinheiro para cobrir fiança, despesas legais ou hospitalares. No caso da versão do golpe por mensagem de texto, apenas responder já acaba custando dinheiro à vítima.

O golpe do Número de Seguro Social: Neste esquema, as coisas começam a se estreitar, pois se aplica apenas a cidadãos dos EUA. A vítima recebe uma ligação robocall pré-gravada alegando ser da Administração do Seguro Social. A mensagem afirma que o SSN da vítima foi "suspenso" por "trajetos suspeitos de informações". Não importa o fato de que seu SSN não pode ser suspenso, se a vítima cair no ardil e retornar a chamada, será solicitado o pagamento de uma multa para resolver tudo.

O golpe do John Wick 3: Aqui está um bom exemplo de spear phishing. Neste caso, os golpistas estão atrás de um alvo muito específico: um fã de John Wick que gosta de quadrinhos, mas prefere lê-los no Amazon Kindle. Enquanto procura por quadrinhos de John Wick, o alvo é oferecido um download gratuito do terceiro filme de John Wick — na época do golpe, o filme ainda não havia sido lançado nos cinemas. Seguir o link embutido na descrição do filme leva a vítima por um buraco de coelho de sites de streaming ilegal para filmes pirateados.

Golpes do Coronavírus: Os golpistas notaram a escassez de informações sobre o vírus, especialmente nos primeiros dias e meses da epidemia. Enquanto as autoridades de saúde lutavam para entender o vírus e como ele se espalhava de pessoa para pessoa, os golpistas preenchiam as lacunas com sites falsos e e-mails de spam.

Relatamos e-mails de spam se passando por informações sobre vírus da Organização Mundial da Saúde. Os e-mails continham anexos repletos de malware. Em outro exemplo, Labs relatou um site de rastreamento de COVID-19 que exibia infecções em tempo real ao redor do mundo. Nos bastidores, o site carregava um Trojan ladrão de informações nos computadores das vítimas.

O que é phishing?

O que é spear phishing?

O que é um ataque de vishing?

O que é catfishing?

O que é roubo de identidade?

FAQs

Qual é a diferença entre engenharia social e engenharia social reversa?

Na engenharia social, os atacantes abordam os alvos para manipulá-los e fazê-los compartilhar informações. Na engenharia social reversa, as vítimas iniciam, sem saber, o contato com atacantes enganosos.