Entendendo o cenário atual de ameaças de engenharia social

O elo mais fraco da cadeia de segurança não são nossos processos ou nossa tecnologia: somos nós. Por um lado, há erro humano. Um grande número de incidentes de segurança (40%, por estimativas conservadoras) são causadas pelo comportamento humano, como clicar em um hyperlink de phishing. Por outro lado, há o papel da engenharia social no desencadeamento desse erro humano.

Engenharia social é um termo usado para uma ampla gama de atividades maliciosas realizadas por meio de interações humanas. Ele united states manipulação psicológica para explorar nossas vulnerabilidades emocionais e induzir os usuários a cometer erros de segurança ou fornecer informações confidenciais. Muitas vezes, isso envolve oportunidades urgentes e solicitações urgentes para transmitir uma sensação de pânico na vítima.

A tática de engenharia social mais comum: Phishing

A forma mais dominante de ataques de engenharia social são os ataques de phishing. Phishing é uma forma de fraude em que um invasor finge ser uma pessoa ou empresa conhecida pelo alvo e envia uma mensagem solicitando acesso a um sistema seguro na esperança de explorar esse acesso para obter ganhos financeiros. O exemplo mais famoso desse tipo de ataque é o golpe “419”, também conhecido como golpe “Príncipe da Nigéria”, que pretende ser uma mensagem de um príncipe nigeriano, solicitando sua ajuda para obter uma grande quantia de dinheiro de seus país. É um dos golpes mais antigos, que remonta a 1800, quando technology conhecido como “O Prisioneiro Espanhol”.

Enquanto a versão moderna – o golpe “419” – atingiu as contas de e mail pela primeira vez na década de 1990, o mundo do phishing se expandiu ao longo das décadas para incluir métodos como junk mail phishing, que é um ataque generalizado destinado a vários usuários. Esse tipo de ataque “spray-and-pray” se baseia na quantidade em vez da qualidade, pois só precisa enganar uma fração dos usuários que recebem a mensagem.

Spear phishing

Em contraste, as mensagens de spear phishing são ataques direcionados e personalizados direcionados a um indivíduo específico. Esses ataques geralmente são projetados para parecer vir de alguém em quem o usuário já confia, com o objetivo de induzir o alvo a clicar em um hyperlink malicioso na mensagem. Quando isso acontece, o alvo revela involuntariamente informações confidenciais, instala programas maliciosos (malware) em sua rede ou executa o primeiro estágio de uma ameaça persistente avançada (APT), para citar algumas das possíveis consequências.

Whale-phishing ou caça à baleia

Whaling é uma forma de spear phishing destinada a alvos de alto perfil e alto valor, como celebridades, executivos de empresas, membros do conselho e funcionários do governo.

Phishing de pescador

O phishing do pescador é um termo mais recente para ataques tipicamente instigados pelo alvo. O ataque começa com um cliente reclamando nas redes sociais sobre os serviços de uma empresa ou instituição financeira. Os cibercriminosos vasculham contas de grandes empresas, buscando esses tipos de mensagens. Depois de encontrar um, eles enviam a esse cliente uma mensagem de phishing usando contas falsas de mídia social corporativa.

Vishing

O vishing — também conhecido como phishing de voz — emprega a tecnologia de telefone ou VoIP (voz sobre protocolo de web). Este tipo de ataque está crescendo em popularidade com casos aumentando 550% apenas nos últimos 12 meses. Em março de 2022, o número de ataques de vishing sofridos pelas organizações atingiu seu nível mais alto já registrado, ultrapassando o recorde anterior estabelecido em setembro de 2021.

As táticas de vishing são mais comumente usadas contra os idosos. Os atacantes podem, por exemplo, alegar ser um membro da família que precisa de uma transferência imediata de dinheiro para se livrar de problemas, ou uma instituição de caridade buscando doações após um desastre herbal.

Isca e scareware

Além das inúmeras categorias e subcategorias de phishing, existem outras formas de engenharia social, como a baseada em anúncios e a física. Veja, por exemplo, a isca – em que uma promessa falsa, como um anúncio on-line de um jogo gratuito ou device com grandes descontos, é usada para enganar a vítima a revelar informações pessoais e financeiras confidenciais ou infectar seu sistema com malware ou ransomware.

Enquanto isso, os ataques de scareware usam anúncios pop-up para assustar o usuário e fazê-lo pensar que seu sistema está infectado por um vírus de computador e que ele precisa comprar o device antivírus oferecido para se proteger. Em vez disso, o próprio device é malicioso, infectando o sistema do usuário com os mesmos vírus que eles estavam tentando impedir.

Tailgating e surf de ombro

Formas de ataques físicos de engenharia social, incluindo tailgating — uma tentativa de obter acesso físico não autorizado a espaços seguros nas instalações da empresa por meio de coerção ou engano. As organizações devem ser particularmente sensíveis à possibilidade de funcionários demitidos recentemente retornarem ao escritório usando um cartão-chave que ainda está ativo, por exemplo.

Da mesma forma, bisbilhotar ou “surfar no ombro” em espaços públicos é uma maneira extremamente simples de obter acesso a informações confidenciais.

Em última análise, à medida que as tecnologias evoluem, também evoluem os métodos usados ​​pelos cibercriminosos para roubar dinheiro, danificar dados e prejudicar reputações. As empresas podem ter todas as ferramentas do mundo à sua disposição, mas se a causa raiz for motivada por ações humanas que não são protegidas ou controladas, elas permanecem vulneráveis ​​a uma violação. Portanto, é extremamente importante que as empresas implementem uma abordagem de várias camadas para sua estratégia de segurança cibernética, incorporando uma combinação de treinamento de equipe, cultura positiva da empresa e testes de penetração regulares que usam técnicas de engenharia social.

Ian McShane é vice-presidente de estratégia da Arctic Wolf.