Como funciona a engenharia social?
A maioria das técnicas de engenharia social não requer quaisquer competências técnicas por parte do agressor, o que significa que qualquer pessoa, desde pequenos ladrões até aos criminosos mais sofisticados, pode operar neste espaço.
Há muitas técnicas que se enquadram no termo geral de engenharia social em cibersegurança. Entre as mais conhecidas encontram-se o spam e o phishing:
O Spam é qualquer forma de comunicação não solicitada enviada em massa. Na maioria das vezes, o spam é um e-mail enviado ao maior número de utilizadores possível, mas também pode ser entregue através de mensagens instantâneas, SMS e redes sociais. O spam não é engenharia social em si, mas algumas das suas campanhas utilizam técnicas de engenharia social como phishing, spearphishing, vishing, smishing ou propagação de anexos ou links maliciosos.
O Phishing é uma forma de ciberataque em que o criminoso se faz passar por uma entidade de confiança para pedir informações sensíveis à vítima. Estes tipos de fraude geralmente tentam criar um sentido de urgência, ou empregam táticas de medo para coagir a vítima a cumprir os pedidos do agressor. As campanhas de phishing podem visar um grande número de utilizadores anónimos, ou uma vítima específica ou vítimas específicas.
Mas não são as únicas técnicas. Considere estas:
O Spearphishing é uma forma orientada de phishing em que o atacante envia mensagens altamente personalizáveis a um grupo limitado de pessoas, ou mesmo apenas a um indivíduo, com o objetivo de recolher os seus dados ou manipulá-los para realizar ações prejudiciais.
O Vishing and Smishing são técnicas de engenharia social semelhantes ao phishing, mas realizadas por outros meios que não o correio eletrónico. O Vishing (phishing de voz) utiliza chamadas telefónicas fraudulentas, enquanto o smishing (phishing por SMS) utiliza mensagens de texto SMS contendo ligações ou conteúdos maliciosos.
A personificação em cibersegurança tem um significado semelhante ao seu equivalente no mundo físico. Os cibercriminosos agem em nome de uma pessoa de confiança e enganam as vítimas, levando-as a tomar medidas que prejudicam a si próprias ou a sua organização. Um exemplo típico é um agressor que se faz passar por CEO de uma empresa - quando o CEO está fora de funções - ordenando e aprovando transações fraudulentas.
Os esquemas de apoio técnico (Technical Support Scams) são normalmente chamadas telefónicas falsas ou anúncios na Internet em que os agressores oferecem às vítimas serviços de apoio técnico não solicitados. Na realidade, os cibercriminosos tentam ganhar dinheiro vendendo serviços falsos e removendo problemas inexistentes.
O Scareware é um software que utiliza várias técnicas indutoras de ansiedade para manipular as vítimas na instalação de mais código malicioso nos seus dispositivos, ao mesmo tempo que normalmente também extrai pagamentos por software malicioso não-funcional ou simplesmente malicioso. Um exemplo típico é um falso produto antivírus concebido para enganar os utilizadores a pensar que os seus dispositivos foram comprometidos e que necessitam de instalar software específico (geralmente prejudicial) para remover o problema.
(Cyber)Scams são esquemas fraudulentos que frequentemente empregam uma ou mesmo várias das técnicas de engenharia social descritas nesta secção.
Porque devem as PMEs preocupar-se com a engenharia social?
As PMEs estão cada vez mais conscientes de que são alvos de cibercriminosos, de acordo com um inquérito de 2019 conduzido pela Zogby Analytics em nome da US National Cyber Security Alliance. Quase metade (44%) das empresas com 251-500 empregados disse ter sofrido uma quebra oficial de dados nos últimos 12 meses. O inquérito concluiu que 88% das pequenas empresas acreditam que são pelo menos um alvo "algo provável" para os cibercriminosos, incluindo quase metade (46%) que acreditam que são um alvo "muito provável".
Os danos são reais e extensos, um ponto bem ilustrado pelo relatório anual do Centro de Crimes pela Internet (IC3) do FBI. O FBI estima que, só em 2018, as empresas americanas perderam mais de 2,7 mil milhões de dólares em ciberataques, incluindo 1,2 mil milhões de dólares atribuídos ao comprometimento de Email profissional (BEC) ou da conta de Correio Eletrónico (EAC), o que que permitiu transferências não autorizadas de fundos.
Como reconhecer um ataque de engenharia social?
Há várias bandeiras vermelhas que podem assinalar um ataque de engenharia social. A má gramática e ortografia é um dado adquirido. Assim como um elevado sentido de urgência que procura incitar o recetor a agir inquestionavelmente. Qualquer pedido de dados sensíveis deve tocar imediatamente os sinais de alarme: as empresas respeitáveis normalmente não pedem passwords ou dados pessoais através de e-mails ou mensagens de texto.
Algumas das bandeiras vermelhas que apontam para a engenharia social:
1. Linguagem pobre
Normalmente, os atacantes não prestam demasiada atenção aos detalhes, enviando mensagens cheias de erros de ortografia, palavras em falta e má gramática. Outro elemento linguístico que pode assinalar uma tentativa de ataque são as saudações e formulações genéricas. Por isso, se um e-mail começar "Caro destinatário" ou "Caro utilizador", tenha cuidado.
2. Remetente estranho
A maioria dos remetentes de spam não demora a falsificar o nome ou domínio do remetente para que estes pareçam dignos de confiança. Assim, se um e-mail provém de um endereço que é uma mistura de números e caracteres aleatórios ou é desconhecido do destinatário, deve ir diretamente para a pasta de spam e ser comunicado ao departamento de TI.
3. Sentido de urgência
Os criminosos por detrás das campanhas de engenharia social tentam frequentemente assustar as vítimas, utilizando frases indutoras de ansiedade, tais como "envie-nos os seus dados imediatamente, ou a sua encomenda será descartada" ou "se não atualizar o seu perfil agora, fecharemos a sua conta". Bancos, empresas de encomendas, instituições públicas e até departamentos internos comunicam geralmente de forma neutra e factual. Portanto, se a mensagem está a tentar pressionar o destinatário a agir rapidamente, é provavelmente um esquema malicioso e potencialmente perigoso.
4. Pedido de informações sensíveis
As instituições e mesmo outros departamentos da sua própria empresa normalmente não solicitarão informações sensíveis via correio eletrónico ou telefone - a menos que o contacto tenha sido iniciado pelo funcionário.
5. Parece bom demais para ser verdade? É porque deve mesmo ser mentira
Isto é tão verdade para ofertas não solicitadas nas redes sociais como para aquela "oferta excelente, mas limitada no tempo" que acabou de aterrar na sua caixa de correio.
5 formas de proteger a sua organização contra ataques de engenharia social
1. Formação regular em cibersegurança de TODOS os funcionários, incluindo a gestão de topo e o pessoal de TI. Lembre-se de que tal formação deve mostrar ou simular cenários da vida real. Os pontos de aprendizagem devem ser acionáveis e, acima de tudo, ativamente testados fora da sala de formação: as técnicas de engenharia social baseiam-se na baixa “ciberconsciência” dos seus alvos.
2. Procurar passwords fracas que possam potencialmente tornar-se numa porta aberta na rede da sua organização para atacantes. Além disso, proteger as palavras-passe com outra camada de segurança, implementando autenticação multifator.
3. Implementar soluções técnicas para combater as comunicações fraudulentas, para que as mensagens de spam e phishing sejam detetadas, colocadas em quarentena, neutralizadas e eliminadas. As soluções de segurança, incluindo muitas que a ESET fornece, têm algumas ou todas estas capacidades.
4. Criar políticas de segurança compreensíveis que os colaboradores possam utilizar e que os ajudem a identificar as medidas que precisam de tomar quando se deparam com engenharia social.
5. Utilizar uma solução de segurança e ferramentas administrativas, tais como ESET PROTECT Cloud, para proteger os endpoints e as redes da sua organização, dando aos administradores total visibilidade e a capacidade de detetar e mitigar potenciais ameaças na rede.
Combata já a engenharia social
Proteja a sua organização contra a engenharia social utilizando soluções de segurança de endpoints multicamada ESET, incluindo a proteção LiveGrid® através da nuvem e a proteção contra ataques de rede, e a consola ESET PROTECT baseada na cloud, para dar aos seus administradores uma visibilidade de rede completa e detalhada, 24 horas por dia, 7 dias por semana.
