Chamamos de engenharia social qualquer estratégia não-técnica usada pelos hackers que, em grande parte, dependem da interação humana e geralmente envolvem iludir o usuário para desrespeitar práticas de segurança padrão, como abrir links maliciosos, baixar arquivos suspeitos ou compartilhar informações confidenciais que permitam ao hacker atingir seus objetivos.

O sucesso das técnicas de ataques de engenharia social depende da habilidade do hacker de manipular as vítimas para que executem certas ações ou ofereçam informações. Como não envolve nenhum aspecto técnico que possa ser reconhecido pelas ferramentas de segurança tradicionais, os ataques de engenharia social estão entre as maiores ameaças às empresas atualmente.

A maior diferença entre os ataques de engenharia social e o trabalho de hacking tradicional é que os ataques de engenharia social não envolvem o comprometimento ou a exploração de softwares ou sistemas. Quando é bem-sucedido, esse tipo de ataque permite que os hackers ganhem acesso legítimo a informações confidenciais.

Como funcionam os ataques de engenharia social

Hackers que recorrem a ataques de engenharia social não deixam de ser fraudadores e estelionatários. Eles usam técnicas do tipo com o objetivo de ganhar acesso legítimo à rede e aos dados da empresa roubando credenciais de usuários autorizados para se passar por funcionários da própria empresa.

Um dos hackers mais famosos do mundo, Kevin Mitnick, começou muito jovem a praticar engenharia social para pequenos ganhos. Chegou a revirar o lixo de empresas para conseguir informações e fazer telefonemas enganosos (você pode conhecer um pouco mais sobre essa história clicando aqui)

É comum que esse tipo de cibercriminoso se aproveite da inocência e da natureza prestativa de alguns usuários. Eles podem, por exemplo, ligar para algum deles simulando ter de resolver algum incidente, dizendo então que necessita do acesso urgente à rede corporativa.

Os ataques também podem ser feitos por meio das redes sociais. Os cibercriminosos podem apelar a uma série de sentimentos por meio dos perfis de redes sociais das vítimas, descobrindo, por exemplo, sua posição dentro da empresa, seus amigos e seus gostos pessoais.

As táticas servem para convencer os usuários a abrir anexos infectados com malwares, persuadir funcionários a divulgar informações sensíveis ou até assustá-los para que instalem softwares infectados com malwares.

Principais tipos de ataques de engenharia social

Os tipos mais comuns de ataques de engenharia social incluem baiting, phishing, pretexting, quid pro quo, spear phishing e tailgating. Soluções como firewalls, filtros de e-mail e ferramentas de monitoramento da rede e de dados podem ajudar a mitigar essas ameaças, porém, a conscientização do usuário é a tarefa mais importante para combater os ataques de engenharia social.

Contar com funcionários capazes de reconhecer e evitar os tipos mais comuns de ataques de engenharia social é a melhor defesa nesses casos. Saiba mais sobre os tipos mais comuns de ações de engenharia social a que os funcionários devem saber reagir:

Baiting

Por meio dessa técnica, hackers deixam à disposição do usuário um dispositivo infectado com malware, como um pen-drive ou um CD. A intenção é despertar a curiosidade do indivíduo para que insira o dispositivo em uma máquina a fim de checar seu conteúdo.

O sucesso dos ataques de baiting depende de três ações do indivíduo: encontrar o dispositivo, abrir seu conteúdo e instalar o malware sem perceber. Uma vez instalado, o malware permite que o hacker tenha acesso aos sistemas da vítima.

A tática envolve pouco trabalho por parte do hacker. Tudo que ele precisa fazer é infectar um dispositivo e ocasionalmente deixá-lo à vista do alvo, seja na entrada ou no interior dos escritórios. O dispositivo pode ser, por exemplo, um pen-drive contendo um arquivo com nome “chamativo”, como “folha salarial 2017”.

Em 2011, a Bloomberg relatou que, em um teste feito com funcionários do governo norte-americano, 60% das pessoas pegaram um pen-drive deixado no estacionamento e plugaram nos computadores do escritório. No caso dos dispositivos que tinham um logo oficial, 90% instalaram o arquivo.

Phishing

O e-mail de phishing, apesar de já existir há anos, ainda é uma das técnicas mais comuns de engenharia social pelo alto nível de eficiência. O phishing ocorre quando um hacker produz comunicações fraudulentas que podem ser interpretadas como legítimas pela vítima por alegarem vir de fontes confiáveis.

Em um ataque de phishing, os usuários podem ser coagidos a instalar um malware em seus dispositivos ou a compartilhar informações pessoais, financeiras ou de negócio.

Apesar de o e-mail ser o modo mais tradicional para o envio de phishing, esse tipo de ataque também pode vir na forma de um contato telefônica ou de uma mensagem no Facebook, por exemplo.

Os piores ataques de phishing se aproveitam de situações trágicas com o objetivo de explorar a boa vontade das pessoas, fazendo com que passem informações pessoais e de pagamento para realizar doações, por exemplo.

Alguns e-mails de phishing são incrivelmente fáceis de identificar, no entanto, há os que são extremamente convincentes, simulando, por exemplo, comunicações do banco e empresas de cartão de crédito e comunicados oficiais da própria empresa pedindo para que os funcionários façam download de um novo software de segurança corporativa, por exemplo.

Que tal dar uma olhada no nosso infográfico com os principais fatos sobre phishing?

Pretexting

Por meio do pretexting, os hackers fabricam falsas circunstâncias para coagir a vítima a oferecer acesso a informações e sistemas críticos. Nesse caso, os hackers assumem uma nova identidade ou papel para fingir que são alguém de confiança da vítima.

Tudo que o cibercriminoso precisa é dar uma olhada nos perfis da vítima nas redes sociais para descobrir informações como data e local de nascimento, empresa, cargo, nomes de parentes, colegas de trabalho, amigos, entre outros.

Depois, basta enviar um e-mail (ou outro tipo de comunicação) à vítima fingindo a necessidade de confirmar dados para garantir seu acesso a algum sistema específico. Pode ser, por exemplo, um e-mail supostamente da equipe de TI coagindo a vítima a divulgar suas credenciais.

Quid pro quo

Um ataque de quid pro quo ocorre quando um hacker requer informações privadas de alguém em troca de algo. “Quid pro quo” basicamente significa “isso por aquilo”, em que o cibercriminoso oferece algo à vítima em troca de informações sensíveis.

A tática mais comum envolve se passar por alguém da TI e abordar diversas vítimas encontrar alguém com um problema real de TI. Sob instruções do hacker, a vítima então dá acesso a códigos, desabilita programas vitais e instala malwares achando que conseguirá resolver seu problema.

Outra tática bastante usada é a de simular uma pesquisa em que funcionários passam uma série de informações sensíveis em troca de brindes, como canetas e canecas.

Spear phishing

O spear-phishing é uma forma mais sofisticada de phishing que foca em indivíduos e organizações específicas. Nesse tipo de ataque, o hacker se passa por algum executivo ou outro membro chave da empresa e aborda funcionários com intuito de obter informações sensíveis.

Os cibercriminosos podem obter, por meio das redes sociais, informações sobre o alvo e o quadro organizacional da empresa. Depois disso, basta enviar alguma comunicação fingindo ser, por exemplo, um dos executivos da empresa com uma demanda urgente que requer uma transação financeira imediata para uma conta específica.

Esse tipo de ataque costuma ter altas taxas de sucesso no convencimento de funcionários para que executem ações específicas ou passem informações sensíveis.

Segundo o SANS Institute Report de 2016, os ataques de spear-phishing  estão cada vez mais efetivos pois são tão tecnicamente convincentes que a maioria dos destinatários não se dá ao trabalho de procurar por pequenos indícios de fraude ou tentar se comunicar com o remetente por outro meio.

A técnica também está sendo muito utilizada de forma direcionada para pequenas e médias empresas, pois geralmente são menos maduras em segurança.

Tailgating

O tailgating é uma técnica física de engenharia social que ocorre quando indivíduos não autorizados seguem indivíduos autorizados até localizações seguras. O objetivo é obter ativos valiosos e informações confidenciais.

É o caso, por exemplo, de quando alguém pede para o outro “segurar a porta” porque esqueceu seu cartão de acesso, ou pede seu smartphone ou computador emprestado para fazer “algo rapidinho”, mas na verdade instala malwares e rouba dados da máquina.

Afinal, como se proteger?

A coisa mais importante que você pode fazer para evitar ser uma vítima de engenharia social é abraçar o ceticismo saudável e sempre ser tão vigilante quanto possível.

Apenas estar ciente de truques comuns coloca você um passo à frente do jogo (mas não fique muito arrogante e lembre-se de questionar tudo, sempre)

No fim das contas, podemos listar algumas boas práticas comportamentais que ajudam na segurança e prevenção desse tipo de investida maliciosa.

Cuidado ao falar sobre informações sensíveis

Nunca divulgue informações confidenciais ou mesmo informações aparentemente não confidenciais sobre você ou sua empresa, seja por telefone, on-line ou pessoalmente, a menos que você possa primeiro verificar a identidade da pessoa que solicita e a necessidade dessa pessoa para ter essa informação.

Digamos que você recebeu uma chamada de sua empresa de cartão de crédito dizendo que seu cartão foi comprometido. Diga “Ok”, desligue o telefone e retorne diretamente para a empresa de cartões, em vez de falar com quem te ligou. Aposte em uma “dupla autenticação” no mundo físico, sem acreditar de primeira nos telefonemas e mensagens que chegam até você.

Além disso, lembre-se sempre que os departamentos de TI reais e seus serviços financeiros nunca pedirão sua senha ou outras informações confidenciais por telefone ou e-mail.

Tenha calma

Os engenheiros sociais sabem que cometemos erros quando estamos sob pressão, e eles usam isso contra nós. Eles vão tentar encher sua cabeça com avisos sobre as consequências terríveis da inação, e podem até mesmo fazer ameaças sobre o que poderia acontecer se você não ajudar.

O risco é ainda maior quando as empresas não possuem políticas claras de segurança. É importante que a política de segurança seja cumprida e que os funcionários compreendam que não serão punidos por respeitar essa política, mesmo que isso torne a ação mais lenta.

Para as empresas

Mudando táticas regularmente e incorporando informações de negócios e tecnologia em seus esquemas, os atacantes criaram uma paisagem variável de ataques muito sofisticados. Como resultado, as equipes de segurança devem ir além de simplesmente treinar funcionários para responder corretamente a ameaças específicas.

Os funcionários devem ter o poder de reconhecer ameaças potenciais e tomar decisões de segurança corretas por conta própria, de modo que mesmo solicitações muito realistas de informações seguras possam ser instintivamente atendidas com ceticismo e cautela.

Incorporar consciência de segurança tão profundamente nas mentes dos funcionários é um desafio significativo que envolve muito mais do que programas periódicos de conscientização.

Cultura de Segurança é a melhor prevenção

Os riscos de segurança da engenharia social são significativos e as organizações devem abordar as ameaças de engenharia social como parte de uma estratégia global de gestão de riscos.

A melhor maneira de mitigar o risco representado por métodos de ataques de engenharia social em rápida evolução é através de um compromisso organizacional com uma cultura de segurança.

O treinamento contínuo em conjunto com softwares de proteção avançada voltados para o endpoint proporcionarão aos funcionários as ferramentas necessárias para reconhecer e responder às ameaças de engenharia social. Em paralelo, o apoio da equipe executiva criará uma atitude de apropriação e responsabilidade que incentiva a participação ativa na cultura de segurança.