Nosso Endereço

Bigorrilho, Curitiba - PR, Brasil
Centro, Rio de Janeiro - RJ, Brasil
Fale conosco
Segurança da Informação 28 de maio de 2024

Engenharia Social: o golpe que aborda as emoções humanas

O objetivo do engenheiro social é:

  • Conseguir informações sigilosas como logins dos sistemas;
  • Induzir a pessoa a baixar arquivos maliciosos no dispositivo ou na rede da empresa;
  • Obter ganhos financeiros de forma ilegal se passando por um falso funcionário da alta gerência em uma empresa;
  • Conseguir dados pessoais de usuários comuns para cometer fraudes

 

O primeiro passo do engenheiro social é o reconhecimento do alvo. Se o foco for uma empresa, ele irá estudar os colaboradores por redes sociais, se atentar em funcionários que têm menor conhecimento informático, compreender a estrutura operacional da companhia, os jargões e a linguagem do ramo, entre outras informações.

Todos os exemplos de engenharia social tiram vantagem das vulnerabilidades e qualidades emocionais intrínsecas ao ser humano. Eles focam em emoções como: medo, insegurança, gentileza, sentimento de necessidade e urgência, colaboração, curiosidade…

Depois de estudar o alvo, eles partem para ação. A ação pode ser tentar entrar em um prédio comercial em que há controle de acesso ou, o mais comum, feita de forma online como por email com um link malicioso. Apesar de também atingir usuários comuns, a engenharia social é voltada para empresas porque contém uma grande quantidade de dados de fornecedores, clientes e colaboradores.

Nos exemplos a seguir, vamos demonstrar algumas situações de golpe que se aproveita das emoções para que o ataque tenha êxito.

Por exemplo, você recebe um email com o seguinte conteúdo:

Outro exemplo, você recebe um e-mail do seu diretor executivo em que ele pede o escopo e relatórios do novo produto que será lançado no mercado no mês seguinte, pois ele acabou excluindo acidentalmente o documento que tinha recebido. Com o sentimento de colaboração e gentileza, você envia sem hesitação. Você não percebe mas o e-mail está quase idêntico ao email legítimo do CEO. Nesse caso, ao invés do email ser jrogeluis@data.com, o atacante alterou o endereço do email para jrogeluiss@data.com, adicionando um ‘s’ a mais.

O engenheiro social precisa ter as seguintes habilidades:

  • Excelente comunicação para que consiga criar uma boa história;
  • Poder de persuasão para convencer a pessoa a mudar comportamentos e quebrar normas de segurança;
  • Inteligência analítica para estudar o alvo e arquitetar o plano.

Além disso, há diferentes meios e técnicas para adquirir tais informações. Pode-se utilizar email, SMS, ligação ou agir pessoalmente. Vamos focar nas técnicas mais utilizadas.

Phishing

Envio de links e anexos maliciosos para obtenção de dados pessoais e bancários. É um ataque que não tem um alvo específico. Por exemplo, o envio de email é feito de um modo genérico para o maior número de pessoas. Ao dispararem mais de 10 mil emails, se somente 1% dessas pessoas clicarem para ceder as informações, os golpistas conseguem, pelo menos, dados de 100 pessoas diferentes. A obtenção das informações é vendida na Dark Web ou para uso da pessoa ou grupo criminoso para práticas ilícitas, como roubo de identidade.

Spear Phishing

É uma variação de ataque do phishing, porém nesse caso o ataque é feito para uma pessoa ou um pequeno grupo de pessoas com e-mails altamente personalizados. O atacante despende tempo - semanas ou meses - para estudar o alvo. Geralmente é voltado para pessoas do alto escalão da empresa (como um CEO, CISO, COO) ou uma pessoa de alto valor na sociedade.

Vishing

Vishing é uma ataque feito por chamada de voz (voz + phishing). O autor tenta roubar informações como dados financeiros ou informações sigilosas convencendo a vítima que é de alguma prestadora de serviço por chamada.

Smishing

Ataque feito por mensagens de textos ou por aplicativos de mensagens de texto - sms, Whatsapp, Telegram. A vítima recebe um SMS de uma pessoa que o contato não está salvo, que se passa por uma organização ou companhia conhecida, com um link. Nesse link, a pessoa vai ser direcionada para uma página falsa onde a vítima coloca suas credenciais e, assim, os golpistas conseguem os dados das vítimas.

Baiting

O “bait” é uma palavra em inglês que significa “isca”. Nesse ataque, o autor utiliza objetos, como um pendrive, que contém um script malicioso para poder infectar dispositivos. Por exemplo, é comum pessoas carregarem a bateria de seus dispositivos móveis em aeroportos. Um cibercriminoso poderia instalar um equipamento nesses pontos com um código que infecta os dispositivos. A pessoa não perceberia, pois a função primária para não ter suspeita é, enquanto ela aguarda o voo, carregar o celular. Mas, em segundo plano, a porta do USB transfere códigos maliciosos, captura os contatos da agenda e monitora a atividade no smartphone.

Lixo

A engenharia social também pode ser feita de maneira offline. O lixo de uma empresa pode ser vasculhado por um atacante na tentativa de encontrar documentos importantes ou informações relevantes se não for descartada corretamente. Mesmo que a empresa se desfaça de dados que ela considera simples dos clientes, qualquer dado é útil nas mãos de um engenheiro social. Além de poder sofrer penalizações de acordo com a Lei Geral da Proteção de Dados. Lei que pune empresas que não lidam com prudência pelas informações de pessoas físicas.

A fraude do CEO

Uma fraude clássica da engenharia social que ainda faz vítimas. O golpista se passa por um fornecedor, empresa parceira ou um gestor do alto escalão e induz a vítima a fazer pagamentos financeiros para a conta bancária do autor. Eles estudam a estrutura da empresa e seus colaboradores para dar mais confiança à pessoa que irá realizar a transação financeira.

Um caso que aconteceu em 2016 foi o de Waltar Stephan, que era diretor executivo da FACC, empresa de peças aeroespaciais. Ele recebeu um email de um outro “colaborador” da alta gerência da empresa solicitando uma transação secreta de mais de $50 milhões de dólares. Prontamente, Waltar fez a transferência e foi conferir com o financeiro se a transação tinha sido concluída. Imediatamente, o financeiro percebeu a fraude e Walter foi demitido em seguida.

Para que um ataque de engenharia social não seja bem sucedido, é necessário tomar algumas medidas para evitá-lo. Dentre eles, são:

  • Treinamento dos colaboradores e clientes sobre boas práticas de cibersegurança;
  • Ativar antispam no email pessoal e corporativo;
  • Acesso restrito no sistema corporativo e permissões apenas para pessoas que realmente necessitem saber da informação;
  • Atenção e mais desconfiança aos emails e links que clica;
  • Deixar a tela em modo de suspensão ou fechar o notebook quando se ausentar no ambiente de trabalho;
  • Desconfiar de SMS que recebe sem a pessoa estar na sua lista de contatos ou de ligações que logo pedem dados pessoais sem fazer perguntas de segurança;
  • Cuidado com benefícios exagerados que parece “muito bom pra ser real”;
  • Adicionar perguntas e controles extras de segurança para transações financeiras;
  • Verificar se o remetente é do email oficial da empresa;
  • Cautela em abrir email com erros gramaticais ou com senso de urgência;
  • Descartar papéis, envelopes e documentos em um triturador de documentos.

Dica:

O Google lançou um teste para identificar e-mails phishing. Ele é simples de fazer, mostra os sinais para identificar o email malicioso e apresenta cenários em que há duas opções - se é uma situação de phishing ou não. Você consegue identificar um email falso?

Por fim…

O Brasil é líder na América Latina em relação a golpes de engenharia social. Além da perda financeira e de informações sigilosas, há a perda de reputação da empresa e perda de competitividade. É necessário estar atento aos detalhes para evitar cair em um ataque de engenharia social. Com as recomendações citadas acima e com as ferramentas certas, você dificulta que o atacante tenha êxito no golpe.

Tags: smishingphishinggolpe

Notícias Recentes

Deepfake: Um Risco Crescente para a Segurança Digital

17 de outubro de 2024

Malware afeta milhões de servidores Linux

15 de outubro de 2024

Categorias

Tags

Proteção De DadosAtaque HackerPhishingVazamento De DadosHackerGolpeFraudeGolpes DigitaisGolpe Digital

Artigos Relacionados

Golpes Digitais
17 de out. de 2024
Deepfake: Um Risco Crescente para a Segurança Digital
Ataques Hackers
15 de out. de 2024
Malware afeta milhões de servidores Linux
Segurança da Informação
10 de out. de 2024
A Importância da Cibersegurança para o Futuro das Empresas
Segurança da Informação
8 de out. de 2024
A falta de proteção digital pode comprometer as vendas no E-commerce brasileiro
Segurança da Informação
3 de out. de 2024
O desafio da Cibersegurança no Agronegócio
Ataques Hackers
25 de set. de 2024
Cada vazamento no Brasil custa R$ 6,75 milhões
Constituição de Cibersegurança
19 de set. de 2024
Anatel vai premiar melhores ideias para bloquear TV Box pirata
Ataques Hackers
10 de set. de 2024
O que é um ataque hacker de clique zero?
Boas Práticas
4 de set. de 2024
Atualize já! Falha grave no Chrome já é utilizada pelo cibercrime
Golpes Digitais
29 de ago. de 2024
Golpistas usam a busca do Google para exibir números de atendimento falsos
Ataques Hackers
22 de ago. de 2024
Hacker que roubou 3 bilhões de dados dos EUA foi descoberto e é brasileiro
Golpes Digitais
8 de ago. de 2024
Proteções contra roubo de celular Android são lançadas no Brasil; veja como ativar
Golpes Digitais
1 de ago. de 2024
Recebeu SMS dos Correios? Conheça o novo golpe que busca o seu dinheiro
Golpes Digitais
31 de jul. de 2024
Crimes cibernéticos avançam no Brasil e aceleram com a tecnologia
Segurança da Informação
24 de jul. de 2024
5 passos para proteger sua empresa de ciberataques