Os ataques de engenharia social consistem em várias fases. Um perpetrador inicialmente analisa a vítima-alvo para obter informações básicas necessárias para realizar o ataque, como possíveis rotas de entrada e mecanismos de segurança fracos. Este artigo explicará engenharia social, ataques de engenharia social, como se proteger da engenharia social e exemplos de engenharia social.
Esta é a prática de manipular as pessoas em um contexto online, convencendo-as a fornecer informações pessoais confidenciais, como números de contas, senhas ou informações bancárias de boa fé
A engenharia social também pode acontecer quando o “engenheiro” pede à vítima para transferir dinheiro para o que a vítima pensa ser uma instituição financeira ou pessoa com quem a vítima faz negócios, mas o dinheiro acaba na conta do “engenheiro”.
Os planos de seguro cibernético e de privacidade podem cobrir perdas resultantes de engenharia social se tiverem uma garantia para isso, mas o valor da cobertura geralmente é de no máximo $ 100,000. Além disso, a cobertura de engenharia social, que também atende pelo nome de “cobertura de instrução fraudulenta”, está disponível apenas como cobertura extra acima dos limites de qualquer apólice de seguro contra crimes comerciais aplicável.
O que é a Engenharia Social
A engenharia social é uma forma de obter informações, acesso ou bens privados tirando vantagem dos erros das pessoas. No cibercrime, esses chamados golpes de “hacking humano” costumam ser usados para induzir usuários que não sabem o que está acontecendo a revelar dados, espalhar ataques de malware ou dar acesso a sistemas que devem ser mantidos privados. Os ataques podem acontecer pessoalmente, online ou de outras formas.
A engenharia social é um tipo de fraude que se baseia em como as pessoas pensam e agem. Por causa disso, os ataques de engenharia social são uma ótima maneira de mudar a forma como uma pessoa age. Depois que um invasor sabe o que leva um usuário a fazer o que faz, ele pode enganar e controlar bem o usuário.
Além disso, os hackers tentam tirar proveito da falta de experiência do usuário. Como a tecnologia se move tão rapidamente, muitos clientes e funcionários não sabem sobre os riscos, como downloads não autorizados. As pessoas também podem não perceber o quão importantes são as informações pessoais, como o número de telefone. Por causa disso, muitos usuários não sabem como manter a si mesmos e suas informações seguras.
Leia também: HACKERS ONLINE: 10 tipos de hackers e os perigos e como eles irão prejudicá-lo
Ataque de Engenharia Social
Ataques envolvendo engenharia social podem assumir várias formas diferentes e podem acontecer em qualquer lugar em que as pessoas conversem entre si. Aqui estão as cinco maneiras mais comuns de se experimentar ataques de engenharia social.
#1. Isca
Os ataques de isca, como o nome sugere, usam uma oferta falsa para fazer com que uma pessoa seja gananciosa ou curiosa. As pessoas caem em truques para cair em uma armadilha que rouba suas informações privadas ou coloca malware em seus computadores.
O malware se espalha pela mídia real, que é o tipo de isca mais odiado. Por exemplo, os invasores deixam a isca, que geralmente é um pen drive com malware, em locais onde as possíveis vítimas certamente o verão, como banheiros, elevadores e o estacionamento de uma empresa que está sendo visada. A isca parece real, com coisas como uma etiqueta que diz que é a lista de salários da empresa.
As pessoas mordem a isca porque estão curiosas e a colocam em um computador no trabalho ou em casa, que instala automaticamente o malware no sistema.
Golpes que usam iscas não precisam ocorrer no mundo real. A isca on-line assume a forma de anúncios com boa aparência, mas que levam a sites nocivos ou tentam fazer com que as pessoas baixem software infectado com malware.
#2. Espantalho
Scareware é um tipo de ataque de engenharia social. Envolve o envio de muitos avisos falsos e ameaças falsas às pessoas. Os usuários são levados a pensar que seu computador está infectado por malware, o que os faz executar um software que não faz nada útil (exceto para a pessoa que o fez) ou é o próprio malware. O scareware também é chamado de fraudware, software de scanner ilegal e software enganoso.
O scareware geralmente vem na forma de banners pop-up que parecem reais e dizem coisas como: “Seu computador pode estar infectado com programas de spyware prejudiciais”. Ele oferecerá a instalação da ferramenta para você (que geralmente está contaminada com malware) ou o enviará para um site malicioso que infectará seu computador.
O scareware também se espalha por e-mails de spam que fornecem avisos falsos ou tentam levar as pessoas a comprar serviços inúteis ou prejudiciais.
#3. pretexto
O pretexto é outra forma de ataque de engenharia social que ocorre quando um invasor obtém informações por meio de uma sucessão de mentiras cuidadosamente elaboradas. Alguém que afirma precisar das informações confidenciais da vítima para concluir uma tarefa importante geralmente inicia o golpe.
O invasor geralmente começa fingindo ser um colega de trabalho, um policial, um banqueiro ou funcionário do fisco ou qualquer pessoa com o direito de saber. O impostor faz perguntas que parecem necessárias para verificar a identidade da vítima, mas na verdade são usadas para obter informações pessoais importantes.
Esse golpe coleta todos os tipos de informações e registros importantes, como números de previdência social, endereços pessoais e números de telefone, registros telefônicos, datas de férias dos funcionários, registros bancários e até informações sobre a segurança de uma fábrica real.
#4. Phishing
Os golpes de phishing são campanhas de e-mail e mensagens de texto que tentam fazer as pessoas sentirem que precisam agir rapidamente, estão curiosas ou com medo. Este é um tipo muito comum de ataque de engenharia social. Em seguida, ele os induz a fornecer informações privadas, clicar em links para sites maliciosos ou abrir anexos que contenham malware.
Um exemplo é um e-mail que os usuários de um serviço online recebem quando quebram uma regra que exige que façam algo imediatamente, como alterar a senha. Ele tem um link para um site falso que se parece quase exatamente com o real. Este site falso solicita ao usuário que insira suas informações de login atuais e uma nova senha. As informações são enviadas ao invasor quando o formulário é enviado.
Como os esquemas de phishing enviam a mesma ou quase a mesma mensagem para todos os usuários, é muito mais fácil para os servidores de e-mail que têm acesso a plataformas de compartilhamento de ameaças encontrá-los e interrompê-los.
Leia também: Consultores de segurança cibernética: visão geral e melhores fornecedores em 2023
Proteja-se da Engenharia Social
Nos ataques de engenharia social, o invasor tenta obter acesso a dados ou serviços construindo relacionamentos com pessoas cuja confiança eles podem usar. Ficar atento é a primeira linha de defesa. O invasor pode tentar falar com você de uma forma que se transforme em questionamento. Mas a melhor maneira de se proteger da engenharia social é saber em quem você pode confiar e ser confiável. Você precisa descobrir quem pode acessar ou alterar sua conta e garantir que eles tenham um bom motivo para fazer isso. Aqui estão algumas maneiras de se proteger da engenharia social.
#1. Remetentes desconhecidos (e-mails x mensagens de texto)
Observe atentamente o endereço de e-mail do remetente e a própria mensagem. É importante saber que você não precisa clicar em nenhum link para documentos obscuros.
#2. Parar de compartilhar informações pessoais
Antes de fornecer informações pessoais como senhas e números de cartão de crédito, você deve pensar nisso. Nenhuma empresa ou pessoa real deve solicitar esse tipo de informação privada. Use senhas difíceis de adivinhar e altere-as com frequência. Se você usar a mesma senha para mais de uma conta, poderá ser alvo de um ataque de engenharia social.
#3. Camadas de segurança
Sempre que puder, use a verificação com dois fatores. Ele pode adicionar uma camada extra de segurança, pedindo aos usuários que digitem seu nome de usuário, senha e um código enviado para o celular. Configure códigos de segurança para seu e-mail e número de telefone para que, se alguém entrar em qualquer um dos sistemas, não possa usar sua conta diretamente.
#4. Software antivírus
Coloque software antivírus e antimalware em todos os gadgets que você possui. Mantenha esses programas atualizados para que possam protegê-lo das ameaças mais recentes. Mas se você tiver um software antivírus instalado em seus dispositivos, pode ser uma ótima defesa contra a engenharia social.
#5. Esteja sempre atento a quaisquer riscos
Você deve sempre pensar nos riscos. Certifique-se de que qualquer pedido de informações esteja correto verificando-o duas ou até três vezes. Fique atento às notícias de segurança cibernética se uma violação recente tiver causado danos a você.
Exemplo de Engenharia Social
Existem muitos exemplos de engenharia social nas notícias, mas aqui estão cinco para lhe dar uma ideia de como funciona:
#1. hotel marriot
Usando métodos de engenharia social, um grupo de hackers roubou 20 GB de dados pessoais e financeiros de um hotel Marriott. Os hackers conseguiram que um funcionário do Marriott Hotel lhes desse acesso ao computador do funcionário.
#2. Departamento do Trabalho dos EUA (DoL)
Este foi um exemplo de ataque de engenharia social que roubou informações de login do Office 365. O ataque foi feito com phishing inteligente, usando domínios falsos que se pareciam exatamente com o domínio DoL real. Os e-mails pareciam ter vindo de um funcionário sênior do DoL pedindo que eles fizessem uma oferta para um emprego no governo. Quando o funcionário clicava no botão “Lance”, era direcionado para um site de “phishing”, usado para roubar senhas.
#3. Zoom usuários
Uma operação de phishing que visava funcionários afetou pelo menos 50,000 pessoas. Os engenheiros sociais usaram o medo de serem demitidos para fazer com que os funcionários clicassem em um link para marcar uma reunião do Zoom com o RH. Quando o funcionário clicou no link, ele o levou a uma página falsa de login do Zoom, configurada para roubar senhas.
#4. FACC (fabricante austríaco de aeronaves)
A FACC sofreu uma perda de cerca de 42 milhões de euros como resultado de um esquema complexo de comprometimento de e-mail comercial (BEC). A conta de e-mail do CEO da empresa foi hackeada e usada para enviar um pedido “urgente” de transferência de dinheiro. Este e-mail enganou uma pessoa que trabalhava em contas a pagar, que concordou com o pedido e enviou o dinheiro para o ladrão.
#5. Retorno de chamada do Crowdstrike
A engenharia social é tão poderosa que até as empresas de segurança estão sentindo isso. Crowdstrike agora está sendo usado como parte e um exemplo no jogo da engenharia social. Os golpistas estão enviando e-mails de phishing para funcionários usando o nome confiável de Crowdstrike e outras empresas de segurança. O e-mail contém informações sobre um possível ataque de malware e um número de telefone para ligar para se livrar de qualquer malware que tenha sido instalado. O funcionário é levado a dar ao invasor acesso ao seu computador se ele alcançar o número.
Leia também: O QUE É SEGURANÇA CIBERNÉTICA? Exemplos, Ameaças e Importância
Conclusão
Para se proteger de ameaças de engenharia social, você precisa aprender a se proteger. Como já falamos sobre alguns métodos testados e comprovados e exemplos de ataques de engenharia social que são usados em todo o mundo há muito tempo, certifique-se de começar a tomar medidas imediatamente. Ataques de engenharia social podem prejudicar a carreira de uma pessoa em questão de segundos. Sempre use dois códigos de verificação de login de configuração para proteger seus dispositivos, senhas e outros logins. Esta é outra medida de segurança.
O que é Engenharia Social em Cyber?
Este é um termo para todos os métodos usados para induzir alguém a fornecer informações ou fazer algo que não deveria.
Qual é a engenharia social mais comum?
Os ataques mais comuns são:
- Ataques por Phishing.
- Hacking focado.
- Baleação.
- Tanto smishing quanto vishing.
- Isca.
- Pegando carona/utilização não autorizada.
- Pretexto.
- (BEC) Compromisso de e-mail comercial
A engenharia social é a maior ameaça?
A engenharia social é um tipo de ataque que depende muito do contato humano e geralmente envolve enganar as pessoas para que quebrem os procedimentos normais de segurança e as melhores práticas para obter acesso ilegal a sistemas, redes, locais físicos ou para ganhar dinheiro.
Quem é o alvo mais provável da engenharia social?
Pessoas ricas, conhecidas ou que ocupam cargos de alto escalão costumam ser os alvos de ataques de engenharia social. Criminosos perseguem pessoas que têm muito poder e acesso.
Qual é a melhor defesa contra a engenharia social?
As pessoas pensam que a melhor maneira de impedir ataques de engenharia social é treinar e educar as pessoas que trabalham para uma empresa.
Como também é conhecida a engenharia social?
Por ter como alvo as fragilidades humanas e não as de sistemas tecnológicos ou digitais, a engenharia social também é chamada de “hacking humano”. Isso se deve ao fato de que seu alvo principal são indivíduos vulneráveis.
Referências
Artigos Relacionados
- GERENTE DE ENGENHARIA: Definição, Deveres, Salário, Software e Perguntas da Entrevista
- Hacking ético: o que é e como funciona?
- Prevenindo e Recuperando Carteiras Ethereum Perdidas e Chaves Privadas
- SPOOFING DE E-MAIL: como prevenir e impedir
- TRABALHO POSITIVO: Significado, Citações, Afirmação e Meio Ambiente
