16 de abril de 2020

Conheça algumas das principais empresas que sofreram com os maiores golpes da Engenharia Social ao longo dos últimos 10 anos.

maiores golpes de engenharia social

A Engenharia Social é o tipo de ataque que mais tem crescido com o desenvolvimento da internet, ainda que tenha nascido antes dela.

Sua abordagem social é capaz de tornar qualquer pessoa uma vítima com o uso da persuasão.

Sendo assim, existe uma necessidade estratégia de que empresas comecem a pensar não apenas nas camadas de proteção digital, mas também na mentalidade das pessoas que atuam nelas.

Ao longo dos últimos 10 anos, grandes corporações foram surpreendidas com golpes de Engenharia Social, mas como tudo isso aconteceu?

Neste artigo, iremos explorar:

O que é Engenharia Social

engenharia social

A Engenharia Social que conhecemos hoje é utilizada para definir ataques que se utilizem da fragilidade emocional humana para acontecer.

Mas antes de desenvolver a temática, é importante contextualizar o significado de segurança da informação:

É uma série de práticas que visa a proteção de todos os tipos de dados que a empresa armazene.

Quais os Maiores Golpes da Engenharia Social

Phishing

O Phishing é o ataque da engenharia social mais comum da atualidade, em suas dezenas de versões.

O crime consiste na obtenção de dados de uma pessoa ou organização através de técnicas de comunicação que resultam na persuasão da vítima.

No ambiente corporativo, qualquer usuário pode ser uma porta de entrada para uma brecha de segurança por saber, ter acesso ou simplesmente saber quem sabe de algo importante.

O contato do criminoso pode ocorrer a partir de qualquer meio de comunicação, como telefone, e-mail, ou SMS – na tentativa de fazer com que pessoas caiam em um golpe.

Fácil de ser executado, o phishing também não é um ataque difícil de ser reconhecido quando observado com atenção. Por isso, a chance de sucesso da prática depende de dois fatores: O momento certo e a desatenção do usuário.

Quem é exposto a essa tática pode ser surpreendido com algum contato em um momento em que aquele contato faça sentido, por exemplo.

Pretexting

O Pretexting é uma ação maliciosa que consiste na tentativa de se obter dados pessoais ou sobre uma empresa de maneira voluntária por uma falsa causa.

Este golpe pode vir disfarçado de uma causa ou confirmação de informações e com isso, despertar a generosidade do alvo.

Suas vítimas podem receber um e-mail suspeito, um telefone ou até mesmo mensagem de texto no WhatsApp.

Quid pro quo

O Quid pro quo é uma abordagem de troca inconsciente. Alguém oferece algo em troca de outra coisa.

Uma vítima desta abordagem pode receber ajuda técnica por algo, que embora seja resolvido pelo criminoso, dá a ele o poder de instalar ou induzir a instalação de arquivos maliciosos no dispositivo.

É uma falsa sensação de benefício em troca de dados pessoais ou problemas técnicos maiores no futuo.

Sextorsão

A sextorsão (sexo + extorsão) é um crime virtual em que a vítima é chantageada a realizar uma ação caso não queira que algum conteúdo íntimo seja divulgados.

Quando uma vítima possue algum e-mail ou número de celular exposto e que possam ser encontrado por botnets, é muito provável que receba tentativas de diversos tipos de ataques, incluindo a sextorsão.

É uma prática que se apoia muito na informação que coleta sobre um alvo, por muitas vezes ele não possui, realmente, um arquivo confidencial, mas sua abordagem (mais informada do que a maioria) vai fazer a vítima acreditar que sim.

Dumpster Diving

O dumpster diving é uma das práticas mais comuns e cotidianas que não utilizam dispositivos eletrônicos.

Trata-se do ato de vasculhar o lixo alheio para obter algum bem.

No mundo da tecnologia, vasculhar o lixo não é apenas uma ação de desespero, pois resíduos, peças ou até mesmo dispositivos com falhas podem ser descartados pelas companhias e tornarem-se alvo de algum tipo de vazamento ou boato.

Muitas organizações já possuem políticas de descarte para formalizar a ação e blindar qualquer tipo de vazamento ao tornar os itens inutilizáveis.

Shoulder Surfing

O Shoulder Surfing consiste na prática de observar as ações que uma pessoa está realizando em dispositivos como um celular ou computadores.

Para os engenheiros sociais, a ação pode representar mais do que uma simples curiosidade e tornar-se uma oportunidade para descobrir e memorizar senhas ou informações da vítima ou empresa que trabalha.

Tailgating

O tailgating é uma tática mais complexa que consiste no acesso presencial a lugares restritos por pessoas não autorizadas.

Considerada a mais antiga das abordagens de engenharia social, utiliza-se na maioria das vezes da bondade da vítima, como quando alguém está com as mãos tão ocupadas que uma pessoa gentil decide ajudar ao abrir e segurar a porta.

10 empresas que sofreram os maiores golpes da Engenharia Social nos últimos 10 anos

2010 – Netflix

A empresa sofreu com ataques quando deram a participantes de um concurso o acesso a informações de mais 480,000 assinantes.

A organização, no entanto, recuperou os dados de alguns candidatos.

2011 – Sony PSN

O marketplace Sony PSN, do console PlayStation, deu acesso a participantes de um concurso mais de 1.6 milhões dados,

incluindo cartões de crédito, endereços, datas de aniversário, senhas e respostas para as perguntas de segurança.

2012 – LinkedIn

Em 2012, o LinkedIn teve uma vazamento de dados de mais de 167 milhões de dados,

sendo a maioria e-mails, senhas e endereços.

2013 – Yahoo

Mais de 3 bilhões de dados da Yahoo foram expostos em 2013,

incluindo e-mails, endereços, datas de nascimento e respostas para as perguntas de segurança dos usuários.

Mas o vazamento só foi descoberto 3 anos depois, no final de 2016.

2014 – Sony Pictures Entertainment

Em 2014 a Sony Pictures Entertainment sofreu um pequeno vazamento de dados que envolveu cerca de 47 mil dados,

o que não diminuiu o impacto nas finanças e reputação da empresa.

Os criminosos tiveram acesso a e-mails particulares, filmes não lançados e o contato de celebridades.

2015 – Ashley Madison

A plataforma de relacionamentos extraconjugais teve mais de 37 milhões de dados vazados,

incluindo o cartão de crédito, endereço e número de telefone dos usuários.

2016 – Comitê Nacional Democrático

O Comitê Nacional Democrático dos Estados Unidos teve muitas informações publicamente expostas,

incluindo a de políticos como Hillary Clinton e o atual presidente do país, Donald Trump.

2017 – Equifax

Mais de 143 milhões de norte-americanos tiveram dados como o número de documentos,

cartão de crédito, nome e endereço após um vazamento da Equifax, uma das maiores empresas de crédito do país.

2018 – Facebook

O Facebook sofreu com ao menos 2 vazamentos de dados ao longo de 2018.

Em setembro, foram mais de 50 milhões, e em outubro, 30 milhões, totalizando ao menos 80 milhões de dados expostos.

2019 – OxyData.Io e People Data Labs

Mais de 1.2 bilhões de usuários tiveram dados como e-mail, contas em redes sociais e telefone expostos em 2019,

tornando-se o maior vazamento partindo da mesma fonte.

No caso, envolvia um banco de dados compartilhado entre duas empresas agregadoras de dados: OxyData.Io e People Data Labs.

Como proteger funcionários dos maiores golpes da Engenharia Social

Muitas empresas erram na prevenção contra golpes virtuais ao só importarem-se com eles após uma primeira ocorrência.

A verdade é que quando falamos que a maior vulnerabilidade de segurança no ambiente corporativo é o fator humano e não suas tecnologias, não estamos falando que os funcionários são menos competentes, mas sim, que todos podem ser persuadidos.

É por isso que uma boa estratégica para combater a engenharia social possui duas características:

  • Prevenção.
  • Constância.

O fato de ser preventiva mostra que a organização já está preparada para caso algo aconteça, ela reconhece o problema e suas probabilidades, e só isso já é o suficiente para afastar muitos criminosos entusiastas.

Quanto a ser constante, é para que os funcionários também estejam sempre alertas sobre o perigo e não apenas em campanhas específicas ou ações reativas a ataques sofridos.

Em outras palavras, a prevenção é a melhor arma contra os maiores golpes de engenharia social. Confira algumas dicas que podem ser lembradas dentro do ambiente corporativo:

Manter gavetas e armários fechados.

Holerites, documentos e diversos outros arquivos impressos, com informações sensíveis, podem tornar-se uma vulnerabilidade ao serem facilmente vistas por colegas no ambiente corporativo.

Por isso, é importante manter as gavetas e armários fechados, e instruir os funcionários a levarem tudo o que for crítico para casa no final do expediente, ou disponibilizar um armazenamento específico para este fim.

Minimizar ou encerrar softwares que exponham dados da empresa ou funcionário.

Especialmente em empresas em que as mesas e computadores estiverem expostas em ambiente aberto, é muito comum que, quase inconscientemente, funcionários “bisbilhotam” o que outros estão executando no dispositivo.

Embora na maioria das vezes isso não represente nenhum problema, pode representar uma vulnerabilidade ao gerar oportunidades para pessoas com más intenções.

Não compartilhar login e senha com nenhum colega de trabalho.

Talvez a prática mais comumente difundida em qualquer ambiente, o compartilhamento de senhas é uma das práticas simples que podem causar as piores consequências a um trabalhador.

Imagine que ao fornecer a senha, a pessoa não apenas ganhar acesso total aos recursos disponibilizados para o dono da conta como também abre uma nova vulnerabilidade para seus dados pessoais, que podem a qualquer momento ser obtidos por algum usuário mal intencionado dependendo da prática do novo portador das informações de acesso.

Na necessidade de ausentar-se da mesa de trabalho, realizar o logout até o retorno.

Isso pode ser feito através do menu iniciar ou CTRL + Alt + Del caso esteja utilizando o Windows como sistema operacional.

Da mesma maneira que é importante fechar gavetas e armários que contenham documentos críticos, é essencial que os integrantes de qualquer equipe em uma empresa recebam o treinamento adequado para adquirirem o hábito de, ao ausentar-se da mesa de trabalho, encerrem a sessão de login no computador.

Isso porque ao manter o sistema logado o usuário abre brechas para que outras pessoas acessem ou alterem um arquivo específico que possa comprometer a vítima.

Não jogue documentos inteiros no lixo, rasgue-o ou fragmente caso seja uma opção no local de trabalho.

Jogar documentos e itens críticos como cartões de crédito, exames ou papéis com outras informações podem abrir brechas para a prática de no-hacking conhecida como “dumpster diving”, que consiste basicamente na vulnerabilidade encontrada num lugar muito comum: as lixeiras.

Em situações externas, evitar ao máximo mencionar informações internas da empresa (quadro de funcionários, rotinas, procedimentos).

Exceto quando receber instruções específicas e treinamento de uma assessoria de imprensa, por exemplo.

Colaboradores bem informados sobre a própria organização nunca representarão algo negativo.

No entanto, é importante que os mesmos sejam instruídos nos lugares e momentos em que poderão falar sobre os temas internas.

Pessoas passam por diversos ambientes, além da empresa, ao longo do dia: transportes públicos, outras empresas e claro, a própria residência.

Todos os lugares externos podem abrir vulnerabilidades para que pessoas de fora ganhem acesso a informações privadas e que podem usar para finalidades de impacto negativo.

Coletar documentos impressos logo em seguida.

Impressão em rede é um excelente recurso para a maioria das empresas, afinal, diminui a necessidade de espaços físicos para diversas impressoras e permite que os funcionários compartilhem um mesmo equipamento.

No entanto, o compartilhamento desse dispositivo pode abrir vulnerabilidades para que pessoas tenham acesso ao que foi impresso antes mesmo de quem o solicitou.

E por isso recomendação geral é de que os documentos sejam coletados logo depois da impressão ser solicitada.

O Brasil no foco dos ataques de Phishing

Infográfico Phishing no Brasil

Ninguém está imune

Corporações das mais diversas culturas foram prejudicadas pela engenharia social, através de ataques envolvendo, inicialmente, profissionais de diversos setores.

Para a Compugraf, além das camadas digitais de proteção é preciso dedicar investimentos também na segurança das pessoas que atuam na rotina da empresa.

Quer saber como é possível começar a fazer isso ainda hoje? Consulte nosso Especialista em Segurança da Informação.

Compugraf

Especialista em segurança de dados e certificada por parceiros reconhecidos mundialmente, a Compugraf está pronta para proteger sua empresa na era digital.

O que procura?