5 ataques de engenharia social a serem observados

Todos nós sabemos sobre o tipo de invasor que aproveita seu conhecimento técnico para se infiltrar em sistemas de computador protegidos e comprometer dados confidenciais. Essa espécie de ator mal-intencionado é notícia o tempo todo, o que nos leva a combater suas explorações, investindo em novas tecnologias que irão reforçar as defesas de nossa rede.

No entanto, há outro tipo de invasor que usa táticas diferentes para contornar nossas ferramentas e soluções. Eles são chamados de “engenheiros sociais” porque exploram a única fraqueza encontrada em todas as organizações: a psicologia humana. Usando ligações e outras mídias, esses invasores enganam as pessoas para que entreguem o acesso às informações confidenciais da organização.

Engenharia social é um termo que abrange um amplo espectro de atividades maliciosas. Para os fins deste artigo, vamos nos concentrar nos cinco tipos de ataque mais comuns que os engenheiros sociais usam para atingir suas vítimas. Eles são phishing, pretextos, iscas e quid pro quo e utilização não autorizada.

Phishing

Phishing é o tipo mais comum de ataque de engenharia social que ocorre hoje. Mas o que é exatamente? Em alto nível, a maioria dos golpes de phishing se esforça para realizar três coisas:

  • Obtenha informações pessoais, como nomes, endereços e números da previdência social.
  • Use links abreviados ou enganosos que redirecionam os usuários para sites suspeitos que hospedam páginas de destino de phishing.
  • Incorpore t ameaças, medo e uma sensação de urgência na tentativa de manipular o usuário para que ele responda rapidamente.

Não existem dois e-mails de phishing iguais. Na verdade, existem pelo menos seis subcategorias diferentes de ataques de phishing. Além disso, todos sabemos que alguns são mal elaborados a ponto de suas mensagens apresentarem erros de ortografia e gramática. Mesmo assim, esses e-mails geralmente têm o mesmo objetivo de usar sites ou formulários falsos para roubar credenciais de login do usuário e outros dados pessoais.

Uma campanha recente de phishing usou uma conta de e-mail comprometida para enviar e-mails de ataque. Essas mensagens pediam aos destinatários para revisar um documento proposto clicando em um URL incorporado. Envolvido com o Click-time URL Protection da Symantec, este URL malicioso redirecionava destinatários para uma conta comprometida do SharePoint que entregava um segundo URL malicioso incorporado em um documento OneNote. Essa URL, por sua vez, redirecionava os usuários para uma página de phishing que fingia ser um portal de login do Microsoft Office 365.

Pretexting

Pretexting é outra forma de engenharia social em que os invasores se concentram em criar um bom pretexto , ou um cenário inventado, que eles usam para tentar roubar as informações pessoais de suas vítimas. Nesses tipos de ataque, o golpista geralmente diz que precisa de certas informações do alvo para confirmar sua identidade. Na verdade, eles roubam esses dados e os usam para cometer roubo de identidade ou preparar ataques secundários.

Ataques mais avançados às vezes tentam enganar seus alvos para fazer algo que abusa das fraquezas digitais e / ou físicas de uma organização. Por exemplo, um invasor pode se passar por um auditor externo de serviços de TI para que ele possa convencer a equipe de segurança física de uma empresa-alvo a deixá-los entrar no prédio.

Enquanto os ataques de phishing usam principalmente o medo e a urgência a seu favor, fingindo os ataques baseiam-se na construção de um falso senso de confiança na vítima. Isso exige que o invasor construa uma história confiável que deixe pouco espaço para dúvidas por parte do alvo.

A pretextação pode assumir várias formas. Mesmo assim, muitos atores de ameaças que adotam esse tipo de ataque decidem se fazer passar por pessoal de RH ou funcionários do desenvolvimento financeiro. Esses disfarces permitem que eles alcancem executivos de nível C, como a Verizon descobriu em seu Relatório de investigações de violação de dados (DBIR) de 2019.

Isca

A isca é em muitos aspectos semelhante a ataques de phishing. No entanto, o que os distingue de outros tipos de engenharia social é a promessa de um item ou bem que atores maliciosos usam para atrair as vítimas. Os baiters podem aproveitar a oferta de downloads gratuitos de músicas ou filmes, por exemplo, para enganar os usuários para que entreguem suas credenciais de login.

Os ataques de baiting também não se restringem a esquemas online. Os invasores também podem se concentrar em explorar a curiosidade humana por meio do uso de mídia física.

Em julho de 2018, por exemplo, o KrebsOnSecurity relatou uma campanha de ataque visando agências governamentais estaduais e locais nos Estados Unidos. A operação enviou envelopes com carimbo do correio chinês que incluíam uma carta confusa junto com um CD (CD). O objetivo era despertar a curiosidade dos destinatários para que eles carregassem o CD e, assim, infectassem inadvertidamente seus computadores com malware.

Quid Pro Quo

Semelhante à isca, prometem ataques quid pro quo um benefício em troca de informações. Esse benefício geralmente assume a forma de um serviço, enquanto a isca geralmente assume a forma de um bem.

Um dos tipos mais comuns de ataques quid pro quo que surgiram nos últimos anos é quando os fraudadores se fazem passar pela Administração da Segurança Social dos Estados Unidos (SSA). Esses falsos funcionários da SSA entram em contato com indivíduos aleatórios, informam-nos de que houve um problema no computador e pedem que esses indivíduos confirmem seu número de previdência social, tudo com o propósito de cometer roubo de identidade. Em outros casos detectados pela Federal Trade Commission (FTC), agentes mal-intencionados configuram sites SSA falsos que dizem que podem ajudar os usuários a se inscreverem para novos cartões de Seguro Social, mas simplesmente roubam suas informações pessoais.

É importante notar, entretanto, que os invasores podem usar ofertas quid pro quo que são muito menos sofisticadas do que artifícios com o tema SSA. Como os ataques anteriores mostraram, os funcionários de escritório estão mais do que dispostos a dar suas senhas por uma caneta barata ou mesmo uma barra de chocolate.

Utilização não autorizada

Nosso último tipo de ataque de engenharia social de o dia é conhecido como tailgating ou “piggybacking”. Nesses tipos de ataques, alguém sem a autenticação adequada segue um funcionário autenticado em uma área restrita. O invasor pode se passar por um motorista de entrega e esperar do lado de fora de um prédio para começar. Quando um funcionário obtém a aprovação da segurança e abre a porta, o invasor pede ao funcionário para segurar a porta, obtendo acesso ao prédio.

A utilização não autorizada não funciona em todos os ambientes corporativos, como grandes empresas cujas entradas exigem o uso de um cartão-chave. No entanto, em empresas de médio porte , os invasores podem iniciar conversas com os funcionários e usar essa demonstração de familiaridade para passar pela recepção.

Na verdade, Colin Greenless, consultor de segurança da Siemens Enterprise Communications, usou essas táticas para obter acesso a vários andares e a sala de dados de uma empresa financeira listada na FTSE. Ele até conseguiu abrir uma loja em uma sala de reuniões do terceiro andar e trabalhar lá por vários dias.

Recomendações de engenharia social

M atores maliciosos que se envolvem em ataques de engenharia social são vítimas da psicologia humana e da curiosidade, a fim de comprometer as informações de seus alvos. Com esse enfoque centrado no ser humano em mente, cabe às organizações ajudar seus funcionários a conter esses tipos de ataques.

Aqui estão algumas dicas que as organizações podem incorporar em seus programas de treinamento de conscientização de segurança que ajudarão os usuários para evitar esquemas de engenharia social:

  • Não abra nenhum e-mail de fontes não confiáveis. Contacte um amigo ou familiar pessoalmente ou por telefone se receber uma mensagem de correio eletrónico suspeita.
  • Não dê ofertas de estranhos o benefício da dúvida. Se eles parecem bons demais para ser verdade, provavelmente são.
  • Bloqueie seu laptop sempre que estiver longe de sua estação de trabalho.
  • Compre um software antivírus. Nenhuma solução antivírus pode se defender contra todas as ameaças que procuram colocar em risco as informações dos usuários, mas podem ajudar a proteger contra algumas.
  • Leia a política de privacidade de sua empresa para entender sob quais circunstâncias você pode ou deve permitir que um estranho entre no edifício.

Write a Comment

O seu endereço de email não será publicado. Campos obrigatórios marcados com *