Você sabia que é possível sofrer diversos tipos de ataque de engenharia social? Conheça as principais abordagens.
Existe algo precioso na Engenharia Social: todos da organização podem ser um alvo.
Diante disso, as empresas precisam reconhecer que sua maior vulnerabilidade não são as máquinas que são utilizadas, mas sim, os usuários.
Existe um imenso número de ataques cibernéticos – e até mesmo sem necessidade de nenhuma conexão com a internet, que podem se utilizam através da engenharia social.
Aqui neste artigo iremos discutir alguns dos principais tipos de ataque de engenharia social:
- Phishing
- Pretexting
- Quid Pro Quo
- Sextorsão
- Dumpster Diving
- Shoulder Surfing
- Tailgating
Você já conhecia todos eles?
Também iremos discutir as melhores práticas para proteger os funcionários de sua empresa contra ataques de engenharia social.
Podemos começar?
Como funciona um Ataque de Engenharia Social na Segurança da Informação
Para entendermos como os ataques de Engenharia Social, ainda que semelhantes, possam ter impactos diferentes, é importante compreender que seu sistema funciona na base de tentativa e erro:
Coleta de informações, planejamento de ataques, aquisição das ferramentas necessárias, ataque, uso das informações coletadas.
Sendo assim, novas tentativas de ataques podem ser mais convincentes por trazerem elementos que as tornem mais verídicas, com os dados coletados na tentativa anterior.
Phishing
O Phishing é o ataque da engenharia social mais comum da atualidade, em suas dezenas de versões.
O crime consiste na obtenção de dados de uma pessoa ou organização através de técnicas de comunicação que resultam na persuasão da vítima.
No ambiente corporativo, qualquer usuário pode ser uma porta de entrada para um ataque de engenharia social por saber, ter acesso ou simplesmente saber quem sabe de algo importante.
O contato do criminoso pode ocorrer a partir de qualquer meio de comunicação, como telefone, e-mail, ou SMS – na tentativa de fazer com que pessoas caiam em um golpe.
Fácil de ser executado, o phishing também não é um ataque difícil de ser reconhecido quando observado com atenção. Por isso, a chance de sucesso da prática depende de dois fatores: O momento certo e a desatenção do usuário.
Quem é exposto a essa tática pode ser surpreendido com algum contato em um momento em que aquele contato faça sentido, por exemplo.
Vishing
O Vishing é uma das variações do Phishing, sendo também um ataque de engenharia social.
Enquanto o termo principal é utilizado para descrever a prática de maneira geral, o vishing surgiu para referir-se a ataques realizados especificamente por telefone (voz + phishing).
A prática é bem popular, sendo ainda hoje a mais comum no Brasil e seu funcionamento é exatamente o mesmo do phishing tradicional, alterando apenas o meio de contato, que é por telefone ou através de chamadas de serviços VoIP, este último a escolha favorita dos criminosos pela possibilidade de anonimato.
Em um episódio de Vishing, a vítima recebe uma chamada em que é induzida a realizar alguma ação rapidamente ou compartilhar informações pessoais ou sigilosas de uma empresa, como documentos e números de faturamento, etc.
Um dos casos mais antigos e tradicionais no país é quando os criminosos realizam uma chamada anunciando um suposto sequestro. Na ação, o falso sequestrador simula uma voz infantil em perigo.
Embora seja um golpe fácil de se identificar, caso a chamada ocorra para as pessoas certas (pais) e no momento certo (como quando o filho está na escola) funcionam pois na apreensão do momento, a vítima muitas vezes não se dá conta de se tratar de uma falsa afirmação.
Apesar de já ser uma ação mais conhecida, este golpe de engenharia social continua causando diversos problemas, incluindo o caso recente de um casal de idosos de Belo Horizonte que transferiu R$ 300 mil para salvar a filha de um falso sequestro, dos quais apenas R$ 15 mil foram recuperados pelo banco após a descoberta do caso.
Outro episódio que vale a pena ser mencionado, é o que ocorreu em 2019, envolvendo uma professora do Mato Grosso do Sul que não apenas perdeu R$ 80 mil como também foi feita de refém no hotel em que os criminosos solicitaram a sua presença, tudo após receber uma ligação informando o falso sequestro de sua filha.
O golpe vishing pode partir de simulações de contatos pessoais (como a ligação de um familiar) ou também um falso funcionário de uma grande empresa de serviços como telefonia e internet.
Sendo assim, identificá-lo pode ser um pouco mais trabalhoso do que o phishing.
Mas as abordagens também possuem suas fragilidades:
Nome da vítima
Ao receber uma ligação, antes de confirmar qualquer dado pessoal, tenha certeza de que a pessoa é quem diz ser ao pedir para ela confirmar algo simples como o seu nome completo ou alguma outra informação que não seja número de documentos.
Não confirme nada até que o contato te responda corretamente. Em ataques amplos e aleatórios, dificilmente o criminoso terá a informação correta.
Anúncios de sequestro
Antes de se desesperar por algum anúncio de sequestro, atente-se as informações que o criminoso está compartilhando e, principalmente, confirme a localização da vítima.
Por exemplo, caso seja uma criança que esteja na escola, a primeira ação deve ser uma chamada de confirmação de presença.
Bancos e outros serviços
O nome é uma informação simples porém bem reveladora em todos os casos.
Mas caso queira outra abordagem, basta informar que não pode falar no momento ou tente ligar para o número que está chamando de um outro aparelho telefônico.
O direcionamento correto da chamada para a empresa que supostamente ligou indica a veracidade do contato. Caso seja falso, reporte a empresa logo em seguida.
Smishing
Se o Vishing é a junção de voz + phishing, o Smishing é a mistura de sms + phishing, ou seja, trata-se do phishing que se utiliza das mensagens SMS para pescar suas vítimas. Com o enfraquecimento das mensagens tradicionais e a ascensão de comunicadores instantâneos como o WhatsApp, o smishing se desenvolve na mesma medida.
O smishing foi uma grande ferramenta, em conjunto as fake news, em campanhas eleitorais e na manipulação de informações.
Usualmente, ele é utilizado no compartilhamento de links maliciosos e possui um ciclo de vida menor, porém viral, já que as pessoas também são induzidas a compartilhar a mensagem.
Para detectar e prevenir-se desse tipo de ataque, é importante desconfiar de qualquer mensagem que chegue a partir de pessoas que não fazem de sua lista de contato e principalmente, não clicar em nenhum link não solicitado.
O smishing pode partir também de contatos que já foram pegos, muitas vezes compartilhando o link malicioso sem saber.
Ao receber a mensagem de um contato existente, atente-se ao formato do texto recebido para analisar se a pessoa escreve ou escreveria de tal maneira, pois pessoas normalmente possuem o mesmo padrão e estilo de escrita.
Nigerian 4-1-9 Scam
O golpe que se iniciou na Nigéria, conhecido como Nigerian 4-1-9 Scam possui uma linha de funcionamento semelhante ao phishing tradicional.
Essa técnica de ataque de engenharia social iniciou-se muitos anos atrás com o envio de cartas do país para estrangeiros com histórias falsas envolvendo doações e transferência de dinheiro.
Ao longo dos anos, a técnica se desenvolveu passando para o e-mail e também novas abordagens surgiram, sendo a mais popular a “romance scam”, envolvendo interesses amorosos.
Neste cenário de engenharia social, o criminoso seduz a vítima com alguma história que possa envolvê-la, e se consegue ‘pescá-la’ com sucesso, passa a encenar o desenvolvimento de uma relação a distância, a qual a longo prazo envolverá a solicitação de dinheiro.
Em 2014, uma moradora do interior de São Paulo perdeu R$ 63 mil em um golpe.
Na época, aos 42 anos, ela começou a conversar com um suposto soldado americano em missão no Afeganistão e construiu uma falsa relação com ele até que foi anunciada o fim de sua missão no país e a chegada no Brasil.
Seduzida pela ideia de viver o romance pessoalmente, ela fez de tudo para auxiliar o golpista em sua chegada ao país, que nunca aconteceu.
Embora a abordagem romântica tenha se tornado popular, a relação do criminoso com a vítima pode ter outros objetivos afetivos, como uma amizade – se aproveitando também da empatia para obter dinheiro.
Além de também ser multimídia por se adaptar a diferentes formas de contatos na hora de desenvolvimento da relação entre vítima e criminoso.
Outro fato importante é que embora tenha iniciado na Nigéria, o golpe hoje é replicado a partir de diversos países como Turquia, Iraque e o Brasil.
Por envolver a criação de uma relação mais pessoal com as vítimas, os golpes nigerianos podem ser detectados a partir de alguns parâmetros: como o perfil chegou até o alvo, checagem de informações do perfil e a análise geral da interação.
Basicamente, se as coisas estão rápidas demais, pode ser que tenha algo de errado.
Os aplicativos de relacionamento, por exemplo, recebem muitas reclamações pela existência de perfis falsos (também conhecidos como “fakes”) que usando fotos, nome e personalidade falsos buscam praticar a ação, e é por isso que é necessário ter cuidado redobrado na hora de buscar o “par perfeito” online
Ano passado, ocorreu em Macapá (AP) o caso de uma jovem de 23 anos que se passava por um advogado no Tinder, aplicativo de relacionamentos, para obter vantagens financeiras das vítimas, como empréstimos, ao longo do desenvolvimento da falsa relação.
Ela foi presa no mesmo ano e assumiu o crime.
Por isso, a melhor maneira de detectar um golpe nigeriano é observando o contexto do contato, a autenticidade do perfil e analisar as reais intenções quando as solicitações de dinheiro ou fatos estranhos começarem a ocorrer.
Spear Phishing
Atualmente, uma das subcategorias mais conhecidas de Phishing é o Spear Phishing.
Diferente da metodologia tradicional, é executada de maneira direcionada a um grupo de pessoas bem específico e baseado em dados exatos ou muito próximos da realidade dessas pessoas.
Em outras palavras, é uma tática mais perigosa por envolver informações personalizadas e muitas vezes crível o bastante para enganar até mesmo um funcionário mais atento em sua rotina de trabalho dependendo do momento e da abordagem utilizada.
Um dos casos mais recentes em grande escala dessa técnica ocorreu em 2018, nos Estados Unidos, e como resultado gerou alarde dentre os funcionários do departamento do estado sobre um possível Tsunami.
A notícia ganhou grande repercussão na época e confundiu a população, que não sabia se deveria se preocupar ou não com o desastre natural.
Embora o órgão responsável tenha respondido rapidamente que não existia nenhum tipo de anormalidade para ocorrer tal fenômeno, a falsa informação já havia sido espalhada pelo mundo inteiro, gerando alarde e causando grandes prejuízos financeiros.
O spear phishing é uma variação do phishing altamente segmentada. Funcionários, especialmente os mais novos, podem facilmente ser enganados por um falso e-mail partindo de alguém com cargo superior. De fato é assim que a maioria dos ataques obtêm o sucesso esperado.
As pequenas empresas têm se tornado o principal alvo por parte desses cibercriminosos, pois quando não há o treinamento adequado, logo os funcionários acabam sendo a vulnerabilidade humana e mais frágil do ecossistema corporativo.
Mas não são apenas os colaboradores que podem cair nesse tipo de golpe, muitos executivos e até mesmo profissionais da área podem ser surpreendidos com a comunicação segmentada do spear phishing.
Para se prevenir de um possível ataque, além de oferecer treinamento a equipe, é necessário criar protocolos para que as pessoas da organização possam se comunicar e identificar a autenticidade da mensagem, como uma palavra secreta, por exemplo.
Pretexting
O Pretexting é uma ação maliciosa que consiste na tentativa de se obter dados pessoais ou sobre uma empresa de maneira voluntária por uma falsa causa.
Este golpe pode vir disfarçado de uma causa ou confirmação de informações e com isso, despertar a generosidade do alvo.
Suas vítimas podem receber um e-mail suspeito, um telefone ou até mesmo mensagem de texto no WhatsApp.
Quid pro quo
O Quid pro quo é uma abordagem de troca inconsciente. Alguém oferece algo em troca de outra coisa.
Uma vítima desta abordagem pode receber ajuda técnica por algo, que embora seja resolvido pelo criminoso, dá a ele o poder de instalar ou induzir a instalação de arquivos maliciosos no dispositivo.
É uma falsa sensação de benefício em troca de dados pessoais ou problemas técnicos maiores no futuo.
Sextorsão
A sextorsão (sexo + extorsão) é um crime virtual em que a vítima é chantageada a realizar uma ação caso não queira que algum conteúdo íntimo seja divulgados.
Quando uma vítima possue algum e-mail ou número de celular exposto e que possam ser encontrado por botnets, é muito provável que receba tentativas de diversos tipos de ataques, incluindo a sextorsão.
É uma prática que se apoia muito na informação que coleta sobre um alvo, por muitas vezes ele não possui, realmente, um arquivo confidencial, mas sua abordagem (mais informada do que a maioria) vai fazer a vítima acreditar que sim.
Dumpster Diving
O dumpster diving é uma das práticas mais comuns e cotidianas que não utilizam dispositivos eletrônicos.
Trata-se do ato de vasculhar o lixo alheio para obter algum bem.
No mundo da tecnologia, vasculhar o lixo não é apenas uma ação de desespero, pois resíduos, peças ou até mesmo dispositivos com falhas podem ser descartados pelas companhias e tornarem-se alvo de algum tipo de vazamento ou boato.
Muitas organizações já possuem políticas de descarte para formalizar a ação e blindar qualquer tipo de vazamento ao tornar os itens inutilizáveis.
Shoulder Surfing
O Shoulder Surfing consiste na prática de observar as ações que uma pessoa está realizando em dispositivos como um celular ou computadores.
Para os engenheiros sociais, a ação pode representar mais do que uma simples curiosidade e tornar-se uma oportunidade para descobrir e memorizar senhas ou informações da vítima ou empresa que trabalha.
Tailgating
O tailgating é uma tática mais complexa que consiste no acesso presencial a lugares restritos por pessoas não autorizadas.
Considerada a mais antiga das abordagens de engenharia social, utiliza-se na maioria das vezes da bondade da vítima, como quando alguém está com as mãos tão ocupadas que uma pessoa gentil decide ajudar ao abrir e segurar a porta.
Quais informações mais importantes que sua empresa precisa proteger
Talvez sua empresa colete muitos dados bancários de usuários, por envolver o credenciamento para alguma plataforma financeira (como uma fintech).
Ou talvez ela simplesmente envolva dados particulares e identificáveis, como documentos e as preferências de cada um, como em uma rede social.
O mais importante a se compreender é que toda empresa possui um dado que acaba sendo mais importante que o outro pelo valor que representa para o negócio.
Para traçar o perfil de quem é vítima e engenheiro social nesse tipo de ataque, é importante primeiro entender qual a informação mais importante para cada marca.
Talvez a informação mais relevante para o setor de limpeza, por exemplo, seja o calendário de locais que precisam ser limpos, listagem de produtos, dentre outras coisas neste sentido, mas o mesmo funcionário pode ter acesso a lugares críticos.
E é por isso que não importa necessariamente quem você é, e sim o que você sabe ou os locais para os quais você tem acesso.
Os ataques seguem a mesma linha de raciocínio
Todos os ataques de Engenharia Social seguem a mesma linha de funcionamento, por isso, as medidas de proteção para um podem servir para os outros.
Além disso, é importante ter consciência de que na maioria das vezes, diferentes ataques ocorrerão simultaneamente.
Para empresas, é muito importante focar na conscientização constante como principal prevenção, além dos softwares de proteção.
Um grande alvo de Phishings
Você sabia que o Brasil foi um dos principais alvos de Phishing em 2019? Descubra o que nos posicionou entre os primeiros colocados.
Mais segurança
Quer saber mais sobre como proteger sua empresa? Converse com nossos especialistas em segurança da informação.
