O que é Engenharia Social?

Os ataques de engenharia social ocorrem em uma ou mais etapas. Um criminoso primeiro investiga a vítima pretendida para reunir as informações necessárias, como pontos de entrada em potencial e protocolos de segurança fracos, necessários para prosseguir com o ataque. Em seguida, o invasor se move para ganhar a confiança da vítima e fornecer estímulos para ações subsequentes que violam as práticas de segurança, como revelar informações confidenciais ou conceder acesso a recursos críticos.

Ciclo de vida de um ataque de engenharia social:

O que torna a engenharia social especialmente perigosa é que ela depende de erro humano, em vez de vulnerabilidades em software e sistemas operacionais. Erros cometidos por usuários legítimos são muito menos previsíveis, tornando-os mais difíceis de identificar e impedir do que uma invasão baseada em malware.

Técnicas de ataque de engenharia social

Os ataques de engenharia social ocorrem de muitas formas diferentes e podem ser realizados em qualquer lugar em que a interação humana esteja envolvida. A seguir, são apresentadas as cinco formas mais comuns de ataques de engenharia social digital.

Isca
Como o próprio nome indica, ataques de isca usam uma promessa falsa para despertar a ganância ou a curiosidade da vítima. Eles atraem os usuários para uma armadilha que rouba suas informações pessoais ou inflige seus sistemas com malware.

A forma mais criticada de isca usa mídia física para dispersar malware. Por exemplo, os invasores deixam a isca - normalmente unidades flash infectadas por malware - em áreas conspícuas onde as vítimas em potencial as verão (por exemplo, banheiros, elevadores, estacionamento de uma empresa-alvo). A isca tem uma aparência autêntica, como uma etiqueta que a apresenta como a lista de folha de pagamento da empresa.

As vítimas capturam a isca por curiosidade e a inserem em um computador doméstico ou de trabalho, resultando na instalação automática de malware no sistema.

Golpes de isca não precisam necessariamente ser realizados no mundo físico. As formas on-line de isca consistem em anúncios atraentes que levam a sites maliciosos ou que incentivam os usuários a baixar um aplicativo infectado por malware.

Scareware
O scareware envolve vítimas sendo bombardeadas com alarmes falsos e ameaças fictícias. Os usuários são enganados ao pensar que seu sistema está infectado por malware, solicitando a instalação de software que não possui nenhum benefício real (exceto o do autor) ou que é o próprio malware. Scareware também é conhecido como software de fraude, software de scanner desonesto e fraudware.

Um exemplo comum de scareware são os banners pop-up de aparência legítima que aparecem no seu navegador enquanto você navega na web, exibindo textos como "Seu computador pode estar infectado por programas maliciosos de spyware". Ele oferece a instalação da ferramenta (geralmente infectada por malware) para você ou o direciona para um site malicioso no qual seu computador é infectado.

O Scareware também é distribuído por e-mail de spam que distribui avisos falsos ou faz ofertas aos usuários para comprar serviços inúteis / prejudiciais.

Pretexting
Aqui, um invasor obtém informações através de uma série de mentiras habilmente criadas. A fraude é frequentemente iniciada por um criminoso que finge precisar de informações confidenciais de uma vítima para executar uma tarefa crítica.

O atacante geralmente começa estabelecendo confiança com a vítima, passando por colegas de trabalho, policiais, funcionários de bancos e impostos ou outras pessoas que têm autoridade para saber. O pretextador faz perguntas que são ostensivamente necessárias para confirmar a identidade da vítima, através da qual elas coletam dados pessoais importantes.

Todos os tipos de informações e registros pertinentes são coletados usando esse golpe, como números de previdência social, endereços pessoais e números de telefone, registros telefônicos, datas de férias da equipe, registros bancários e até informações de segurança relacionadas a uma instalação física.

Phishing
Como um dos tipos mais populares de ataques de engenharia social, os   golpes de phishing são campanhas de e-mail e mensagens de texto destinadas a criar um senso de urgência, curiosidade ou medo nas vítimas. Em seguida, estimula-os a revelar informações confidenciais, clicar em links para sites maliciosos ou abrir anexos que contêm malware.

Um exemplo é um email enviado aos usuários de um serviço online que os alerta sobre uma violação da política que exige ação imediata da parte deles, como uma alteração de senha necessária. Ele inclui um link para um site ilegítimo - quase idêntico na aparência à sua versão legítima -, solicitando que o usuário inocente insira suas credenciais atuais e nova senha. Após o envio do formulário, as informações são enviadas ao atacante.

Dado que mensagens idênticas ou quase idênticas são enviadas a todos os usuários em campanhas de phishing, detectá-las e bloqueá-las é muito mais fácil para os servidores de email terem acesso a plataformas de compartilhamento de ameaças.

Spear phishing
Essa é uma versão mais direcionada do esquema de phishing, na qual um invasor escolhe indivíduos ou empresas específicos. Eles então adaptam suas mensagens com base em características, cargos e contatos pertencentes às vítimas para tornar o ataque menos visível. O spear phishing  exige muito mais esforço em nome do agressor e pode levar semanas e meses para ocorrer. Eles são muito mais difíceis de detectar e têm melhores taxas de sucesso se realizados com habilidade.

Um cenário de spear phishing pode envolver um invasor que, ao se passar por um consultor de TI de uma organização, envia um email para um ou mais funcionários. É redigido e assinado exatamente como o consultor normalmente faz, enganando os destinatários a pensar que é uma mensagem autêntica. A mensagem solicita que os destinatários alterem sua senha e fornece um link que os redireciona para uma página maliciosa na qual o invasor agora captura suas credenciais.

Prevenção de engenharia social

Os engenheiros sociais manipulam sentimentos humanos, como curiosidade ou medo, para realizar esquemas e atrair vítimas para suas armadilhas. Portanto, tenha cuidado sempre que se sentir alarmado com um email, atraído por uma oferta exibida em um site ou quando se deparar com mídias digitais perdidas. Estar alerta pode ajudá-lo a se proteger contra a maioria dos ataques de engenharia social que ocorrem no mundo digital.

Além disso, as dicas a seguir podem ajudar a melhorar sua vigilância em relação aos hacks de engenharia social.

• Não abra emails e anexos de fontes suspeitas  - se você não conhece o remetente em questão, não precisa responder um email. Mesmo que você os conheça e suspeite da mensagem, verifique e confirme as notícias de outras fontes, como por telefone ou diretamente do site de um provedor de serviços. Lembre-se de que os endereços de email são falsificados o tempo todo; mesmo um e-mail supostamente proveniente de uma fonte confiável pode ter sido realmente iniciado por um invasor.
• Usar autenticação multifator  - Uma das informações mais valiosas que os atacantes buscam são as credenciais do usuário. O uso da autenticação multifatorial ajuda a garantir a proteção da sua conta em caso de comprometimento do sistema. O FortiToken  é uma solução 2FA fácil de implantar que pode aumentar a segurança da conta para seus aplicativos.
• Desconfie de ofertas tentadoras  - Se uma oferta parecer muito atraente, pense duas vezes antes de aceitá-la como fato. A pesquisa no tópico no Google pode ajudar a determinar rapidamente se você está lidando com uma oferta legítima ou uma armadilha.
• Mantenha seu software antivírus / antimalware atualizado  - verifique se as atualizações automáticas estão ativadas ou crie o hábito de baixar as assinaturas mais recentes todos os dias. Periodicamente, verifique se as atualizações foram aplicadas e verifique o seu sistema em busca de possíveis infecções.