O que são ataques de engenharia social?
Os ataques de engenharia social em informática são métodos sofisticados utilizados pelos cibercriminosos para manipular os indivíduos de modo a comprometerem a sua própria segurança. Estes ataques resultam frequentemente no facto de as vítimas enviarem dinheiro sem saber, revelarem informações pessoais ou organizacionais sensíveis ou violarem protocolos de segurança.
A eficácia da engenharia social reside na sua capacidade de explorar as emoções humanas, como o medo, a curiosidade ou a empatia, levando as pessoas a agir impulsivamente contra o seu bom senso. Ao compreender e jogar com estes estímulos emocionais, os atacantes persuadem as vítimas a tomar decisões que podem parecer irracionais em retrospetiva, como descarregar software nocivo, visitar sítios Web não seguros ou partilhar dados confidenciais.
Como é que a engenharia social funciona?
A engenharia social envolve tácticas psicológicas para manipular as pessoas no sentido de revelarem informações sensíveis, cruciais para o acesso ao sistema ou para o roubo de identidade. Explora o erro humano, muitas vezes através de engano ou personificação, conduzindo a violações de segurança e ao comprometimento de dados, sem depender de métodos técnicos de pirataria informática.
Os ataques de engenharia social são normalmente processos em várias etapas. Inicialmente, o atacante investiga o alvo para recolher informações suficientes e pormenores essenciais, identificando vulnerabilidades e medidas de segurança fracas cruciais para o êxito do ataque. Depois disso, o atacante emprega tácticas como pretextar ou fazer-se passar por figuras de autoridade para ganhar a confiança da vítima. Esta manipulação é concebida para provocar acções que comprometam a segurança, como a divulgação de informações confidenciais ou o acesso a sistemas vitais.
Os ataques de engenharia social manipulam a psicologia humana para contornar as medidas técnicas de segurança. Selecionam cuidadosamente a vítima pretendida com base em vários factores. As principais tácticas incluem:
- Falsificação de identidade: Os atacantes disfarçam-se frequentemente de entidades respeitáveis - grandes marcas, agências governamentais ou figuras de autoridade - para ganhar confiança. Por exemplo, podem criar sítios Web fraudulentos que imitam grandes marcas para enganar os utilizadores e levá-los a revelar informações sensíveis.
- Exploração de emoções: Estes ataques aproveitam normalmente emoções como o medo, a urgência ou a ganância. Os burlões podem enviar mensagens alarmantes sobre uma conta bancária comprometida ou seduzir as vítimas com promessas fraudulentas de ganhos financeiros, como o famoso esquema de correio eletrónico do "Príncipe Nigeriano".
- Aproveitar-se da boa vontade ou da curiosidade: Os engenheiros sociais também exploram a inclinação natural de uma pessoa para ajudar ou a sua curiosidade. Podem enviar mensagens de correio eletrónico que aparentam ser de amigos ou de redes sociais, pedindo informações de contacto, assistência ou induzindo os utilizadores a clicar numa ligação maliciosa sob o pretexto de uma história intrigante ou de um recurso útil.
Compreender estas tácticas é crucial para reconhecer e impedir ataques de engenharia social. Estes ataques baseiam-se mais na natureza humana do que em falhas tecnológicas, pelo que a consciencialização e a vigilância são as principais defesas contra estas ameaças.
Como se proteger contra ataques de engenharia social
Os ataques de engenharia social podem assumir muitas formas, desde e-mails de phishing até à manipulação através de chamadas telefónicas ou mensagens de texto. Uma vez que visam principalmente vulnerabilidades humanas e não falhas tecnológicas, a defesa contra eles requer uma combinação de sensibilização, vigilância e salvaguardas tecnológicas.
Os passos seguintes oferecem uma abordagem abrangente para melhorar a sua defesa contra estes ataques cada vez mais comuns e sofisticados:
- Utilizar a autenticação multi-fator: A implementação da autenticação de dois factores ou de vários factores é crucial. Acrescenta uma camada extra de segurança, garantindo que, mesmo que as credenciais de início de sessão sejam comprometidas, o acesso não autorizado continua a ser impedido.
- Formação de sensibilização para a segurança: A formação regular para todos os funcionários é vital para reconhecer e responder a ataques de engenharia social. Esta formação deve abranger a identificação de actividades suspeitas e a importância de não partilhar informações sensíveis.
- Instale um programa de segurança cibernética forte: Utilize software de cibersegurança abrangente, como o Malwarebytes, que pode reconhecer e neutralizar ameaças, incluindo sites maliciosos, malvertising, malware, vírus e ransomware.
- Implementar políticas de controlo de acesso e tecnologias de cibersegurança: Aplicar políticas de controlo de acesso rigorosas, incluindo autenticação adaptativa e uma abordagem de segurança de confiança zero. Utilize tecnologias como filtros de spam, gateways de correio eletrónico seguros, firewalls, software antivírus e mantenha os sistemas actualizados com os patches mais recentes.
- Ativar os filtros de spam: Active os filtros de spam para bloquear e-mails de phishing e outras formas de spam. Embora alguns e-mails legítimos possam ser filtrados, pode atenuar esta situação marcando-os como "não spam" e adicionando remetentes legítimos à sua lista de contactos.
- Saiba como detetar e-mails de phishing: Informe-se a si e aos outros sobre como identificar tentativas de phishing. Procure sinais de alerta como endereços de remetente incompatíveis, saudações genéricas, URLs invulgares, gramática incorrecta e ofertas que pareçam demasiado boas para serem verdadeiras.
- Desativar macros em documentos: Desactive as macros no seu software. Seja cauteloso com anexos de e-mail que solicitam a ativação de macros, especialmente de fontes desconhecidas. Em caso de dúvida, verifique a legitimidade do anexo com o remetente.
- Não responder a suspeitas de burla: Evite responder a potenciais burlas, seja por correio eletrónico, SMS ou chamadas telefónicas. Responder confirma aos burlões que as suas informações de contacto são válidas, encorajando mais tentativas. Reencaminhe as mensagens de texto suspeitas para o 7726 (SPAM) para ajudar o seu operador a filtrar o spam.
Ao implementar estas estratégias, pode criar um sistema de defesa robusto contra ataques de engenharia social, salvaguardando os seus dados pessoais e as informações sensíveis da sua organização. Lembre-se, manter-se informado e cauteloso é a sua primeira linha de defesa no cenário em constante evolução das ameaças à cibersegurança.
Tipos de ataques de engenharia social
Os ataques de engenharia social ocorrem predominantemente através de várias [formas de phishing](malwarebytes. Estes ataques exploram a psicologia e a confiança humanas, em vez de se basearem em métodos técnicos de pirataria informática. A eficácia e a prevalência do phishing tornam-no numa preocupação crítica tanto para os indivíduos como para as organizações. Segue-se uma análise mais pormenorizada de cada tipo:
- Phishing de correio eletrónico: Os atacantes fazem-se passar por entidades legítimas através de mensagens de correio eletrónico, enganando os destinatários para que revelem dados pessoais ou credenciais. Estas mensagens de correio eletrónico contêm frequentemente ligações para sítios Web enganadores ou anexos maliciosos.
- Bulk Phishing: Este método envolve o envio do mesmo e-mail de phishing para milhões de pessoas. As mensagens de correio eletrónico parecem ser de organizações reconhecidas e solicitam frequentemente informações pessoais sob falsos pretextos.
- Phishing de lança: Uma forma mais direcionada de phishing, em que os atacantes personalizam as suas mensagens para indivíduos específicos, utilizando informações provenientes das redes sociais ou de redes profissionais.
- Phishing de baleias: Uma tática de spear phishing de alto nível destinada a executivos seniores ou indivíduos de alto perfil. Estes ataques são altamente personalizados e muitas vezes envolvem enganos complexos.
- Phishing de voz (Vishing): Esta técnica utiliza chamadas telefónicas para enganar as pessoas e levá-las a divulgar informações sensíveis. Os atacantes podem fazer-se passar por organizações legítimas ou figuras de autoridade.
- SMS Phishing (Smishing): Uma variante de phishing efectuada através de mensagens de texto. Estas mensagens induzem os destinatários a clicar em ligações maliciosas ou a divulgar informações sensíveis.
- Search Engine Phishing: Nesta abordagem, os atacantes criam sítios Web falsos que aparecem nos resultados dos motores de busca. Quando os utilizadores visitam estes sites, correm o risco de roubo de informações.
- Angler Phishing: Esta forma explora as plataformas de redes sociais, onde os atacantes criam contas falsas de serviço ao cliente para interagir com as vítimas, conduzindo-as frequentemente a sítios de phishing.
A seguir ao Phishing, os outros métodos de engenharia social são:
- Isco: Tenta as vítimas com uma falsa promessa de bens ou serviços para roubar informações ou instalar malware.
- Tailgating/Piggybacking: Envolve o acesso não autorizado a áreas restritas seguindo fisicamente uma pessoa autorizada ou explorando digitalmente a sessão ativa de outra pessoa.
- Pretexto: Os atacantes fabricam cenários para extrair informações sensíveis ou obter acesso, muitas vezes fazendo-se passar por alguém com autoridade ou com necessidade de verificar a identidade.
- Quid Pro Quo: Oferece um serviço ou benefício em troca de informações sensíveis, explorando o desejo da vítima por um bom negócio ou recompensa.
- Cuidado: Utiliza tácticas de medo para manipular as vítimas de modo a que estas instalem malware ou revelem informações confidenciais.
- Ataque Watering Hole: Visa grupos específicos, infectando sítios Web que estes visitam frequentemente, levando ao roubo de dados ou à instalação de malware.
- Ataquesde Trojans: Malware disfarçado de software legítimo, muitas vezes disseminado através de anexos de correio eletrónico de fontes aparentemente fiáveis.
- Fraudes de suporte técnico: Enganam as vítimas fazendo-as acreditar que o seu dispositivo está comprometido e cobram dinheiro por "correcções" desnecessárias.
- Chamadas fraudulentas: Consiste na utilização de chamadas telefónicas (incluindo chamadas automáticas) para enganar as vítimas, muitas vezes fazendo-se passar por organizações ou autoridades legítimas.
Compreender estes métodos de phishing e outras tácticas de engenharia social é crucial para se proteger contra estas ameaças prevalecentes e em evolução.
Exemplos de ataques de engenharia social
Aqui estão alguns exemplos reais de engenharia social que reportámos no Malwarebytes Labs. Em cada exemplo, os burlões de engenharia social estão à procura do alvo certo e do gatilho emocional certo. Por vezes, a combinação de alvo e estímulo pode ser hiperespecífica (como num ataque de spear phishing). Outras vezes, os burlões podem ir atrás de um grupo muito mais vasto.
O esquema de sextorsão: Neste primeiro exemplo, os burlões estão a lançar uma rede alargada. O alvo? Qualquer pessoa que veja pornografia. A vítima é notificada por correio eletrónico de que a sua câmara Web foi supostamente pirateada e utilizada para a gravar a ver vídeos para adultos. O burlão também afirma que pirateou a conta de correio eletrónico do destinatário, utilizando uma palavra-passe antiga como prova. Se a vítima não pagar através de Bitcoin, o burlão ameaça divulgar o vídeo a todos os contactos da vítima. De um modo geral, o burlão não tem um vídeo seu e a sua palavra-passe antiga é de uma violação de dados anteriormente divulgada.
A burla dos avós: Esta burla existe há anos e tem como alvo qualquer pessoa com família viva, normalmente os idosos. Os pais ou avós recebem uma chamada ou mensagem de texto do burlão, que se faz passar por advogado ou agente da autoridade. O burlão afirma que o familiar da vítima foi preso ou ferido e precisa de dinheiro para pagar a fiança, os honorários do advogado ou as contas do hospital. No caso da versão de mensagem de texto SMS da burla, o simples facto de responder acaba por custar dinheiro à vítima.
A burla do número de segurança social: Neste golpe, as coisas começam a estreitar-se, uma vez que só se aplica a cidadãos americanos. A vítima recebe uma chamada automática pré-gravada que se faz passar pela Administração da Segurança Social. A mensagem afirma que o SSN da vítima foi "suspenso" por "rasto suspeito de informação". Não importa o facto de o seu SSN não poder ser suspenso, se a vítima cair no estratagema e devolver a chamada, ser-lhe-á pedido que pague uma multa para esclarecer tudo.
O esquema John Wick 3: Aqui está um bom exemplo de spear phishing. Neste caso, os burlões procuram um alvo muito específico: um fã de John Wick que gosta de banda desenhada, mas prefere lê-la no Amazon Kindle. Enquanto procurava por banda desenhada de John Wick, o alvo recebe uma oferta para descarregar gratuitamente o terceiro filme de John Wick - na altura da burla, o filme ainda não tinha sido lançado nos cinemas. Seguir a hiperligação incluída na descrição do filme leva a vítima para uma toca de coelho de sites ilegais de streaming de filmes pirateados.
Fraudes relacionadas com o coronavírus: Os burlões tomaram nota da escassez de informação sobre o vírus, especialmente nos primeiros dias e meses da epidemia. Enquanto as autoridades sanitárias se esforçavam por compreender o vírus e a forma como se propagava de pessoa para pessoa, os burlões preenchiam os espaços em branco com sítios Web falsos e mensagens de correio eletrónico não solicitado.
Informámos sobre e-mails de spam que se faziam passar por informações sobre vírus da Organização Mundial de Saúde. Na realidade, os e-mails continham anexos cheios de malware. Noutro exemplo, Labs informou sobre um site de rastreio da COVID-19 que mostrava as infecções em todo o mundo em tempo real. Nos bastidores, o site carregava um cavalo de Troia ladrão de informações nos computadores das vítimas.
Artigos relacionados
FAQs
Qual é a diferença entre engenharia social e engenharia social inversa?
Na engenharia social, os atacantes abordam os alvos para os manipular e levá-los a partilhar informações. Na engenharia social inversa, as vítimas iniciam, sem saber, o contacto com atacantes enganadores.