Os ataques de engenharia social manipulam as pessoas para compartilhar informações que não deveriam compartilhar, baixar software que não deveriam baixar, visitar sites que não deveriam visitar, enviar dinheiro para criminosos ou cometer outros erros que comprometam sua segurança pessoal ou organizacional.
Um e-mail que parece ser de um colega de trabalho confiável solicitando informações confidenciais, uma mensagem de voz ameaçadora alegando ser da Receita Federal e uma oferta de riquezas de um potentado estrangeiro são apenas alguns exemplos de engenharia social. Como a engenharia social utiliza manipulação psicológica e explora o erro ou fraqueza humana em vez de vulnerabilidades técnicas ou de sistemas digitais, também é conhecida como "hacking humano".
Os cibercriminosos frequentemente utilizam táticas de engenharia social para obter dados pessoais ou informações financeiras, incluindo credenciais de acesso, números de cartão de crédito, números de contas bancárias e números da previdência social. Eles utilizam as informações que obtêm para praticar roubo de identidade, podendo fazer compras com o dinheiro ou crédito de outras pessoas, solicitar empréstimos em nome de outra pessoa, solicitar o seguro-desemprego de outras pessoas e outros crimes. Mas um ataque de engenharia social também pode ser o primeiro estágio de um ciberataque em grande escala. Por exemplo, um cibercriminoso pode enganar uma vítima para compartilhar um nome de usuário com senha e usar essas credenciais para plantar ransomware na rede do empregador da vítima.
A engenharia social é atraente para os cibercriminosos, pois permite que acessem redes digitais, dispositivos e contas sem terem que fazer o difícil trabalho técnico de superar firewalls, software antivírus e outros controles de segurança cibernética. Essa é uma das razões pelas quais a engenharia social é a principal causa de comprometimento de redes atualmente de acordo com o relatório State of Cybersecurity 2022 da ISACA (link fora de ibm.com). De acordo com o relatório Cost of a Data Breach 2022 da IBM, as violações causadas por táticas de engenharia social (como phishing e comprometimento de e-mail comercial) estavam entre as mais caras.
Tenha insights para preparar e responder a ciberataques com maior velocidade e eficácia com o Índice IBM® Security X-Force Threat Intelligence.
Cadastre-se para obter o relatório do custo das violações de dados
As táticas e técnicas de engenharia social são fundamentadas na ciência da motivação humana. Elas manipulam as emoções e os instintos das vítimas de maneiras que comprovadamente levam as pessoas a tomar atitudes que não são de seu interesse.
A maioria dos ataques de engenharia social emprega uma ou mais das seguintes táticas:
Como uma marca confiável: os golpistas geralmente se fazem passar por empresas que as vítimas conhecem, confiam e talvez façam negócios com frequência ou regularmente, tão regularmente que seguem as instruções dessas marcas de modo automático, sem tomar as devidas precauções. Alguns golpistas de engenharia social utilizam kits amplamente disponíveis para criar sites falsos que se assemelham aos de grandes marcas ou empresas.
Fazer-se passar por uma agência governamental ou figura de autoridade: as pessoas confiam, respeitam ou temem a autoridade (em vários graus). Os ataques de engenharia social utilizam esses instintos com mensagens que parecem ou afirmam ser de agências governamentais (por exemplo, FBI ou Receita Federal), figuras políticas ou até mesmo celebridades.
Induzir medo ou senso de urgência: as pessoas tendem a agir de forma precipitada se assustadas ou apressadas. Os golpes de engenharia social podem usar diversas técnicas para induzir medo ou urgência nas vítimas. Por exemplo, dizer à vítima que uma transação de crédito recente não foi aprovada, que um vírus infectou o seu computador, que uma imagem usada no seu site viola direitos autorais e assim por diante. A engenharia social também pode apelar ao medo de perder (FOMO) das vítimas, o que cria um tipo diferente de urgência.
Apelar à ganância: o golpe do Príncipe Nigeriano, um e-mail no qual alguém que afirma ser alguém da realeza nigeriana tentando fugir de seu país oferece uma recompensa financeira gigante em troca das informações da conta bancária do destinatário ou de uma pequena taxa antecipada, é um dos exemplos mais conhecidos de engenharia social que apela à ganância. Este tipo de ataque de engenharia social também pode vir de uma suposta figura de autoridade e cria um senso de urgência, o que é uma combinação poderosa. Esse golpe é tão antigo quanto o próprio e-mail, mas ainda arrecadava US$ 700 mil por ano em 2018.
Apelar para a utilidade ou curiosidade: as manobras de engenharia social também podem apelar para a boa vontade das vítimas. Por exemplo, uma mensagem que parece ser de um amigo ou de um site de rede social pode oferecer ajuda técnica, pedir participação em uma pesquisa, alegar que a postagem do destinatário se tornou viral e apresentar um link falsificado para um site falso ou baixar malware.
Phishing
Ataques dephishing são mensagens digitais ou de voz que tentam manipular os destinatários para compartilharem informações confidenciais, baixarem software mal-intencionado, transferirem dinheiro ou ativos para as pessoas erradas ou adotarem alguma outra ação prejudicial. Os golpistas criam mensagens de phishing para parecerem ou soarem como se fossem de uma organização ou pessoa confiável ou, às vezes, até mesmo uma pessoa que o destinatário conhece pessoalmente.
Existem muitos tipos de golpes de phishing:
E-mails de phishing em massa são enviados a milhões de destinatários de cada vez. Eles parecem ser enviados por uma empresa ou organização grande e conhecida, como um banco nacional ou global, um grande varejista on-line, um provedor de pagamentos on-line popular e assim por diante, e fazem uma solicitação genérica como "estamos com problemas para processar sua compra, atualize suas informações de crédito". Frequentemente, essas mensagens incluem um link malicioso que leva o destinatário a um site falso que captura nome, senha, dados de cartão de crédito e outras informações do destinatário.
O Spear phishing tem como alvo uma pessoa específica, geralmente com acesso privilegiado às informações do usuário, à rede de computadores ou a fundos corporativos. Um golpista pesquisará o alvo, muitas vezes utilizando informações encontradas no LinkedIn, no Facebook ou em outras redes sociais para criar uma mensagem que pareça vir de alguém que a vítima conhece e confia, ou que se refira a situações com as quais a vítima está familiarizada. O whale phishing é um ataque de spear phishing que tem como alvo uma pessoa de alto perfil, como um CEO ou uma figura política. No comprometimento de e-mail comercial (BEC), o hacker utiliza credenciais comprometidas para enviar mensagens de e-mail da conta de e-mail real de uma autoridade, tornando o golpe muito mais difícil de detectar.
Phishing de voz ou vishing é um phishing realizado por meio de chamadas telefônicas. As pessoas geralmente experimentam o vishing na forma de chamadas gravadas ameaçadoras alegando ser do FBI. Recentemente, o X-Force® da IBM determinou que a inclusão do vishing em uma campanha de phishing direcionada pode aumentar o sucesso da campanha em até 3x.
O SMS phishing, ou smishing, é phishing por meio de uma mensagem de texto.
O phishing nos mecanismos de pesquisa envolve hackers criando sites mal-intencionados que ocupam uma posição alta nos resultados de pesquisa de termos de pesquisa populares.
Angler phishing é phishing utilizando contas falsas de redes sociais que se disfarçam como as contas oficiais de equipes de atendimento ao cliente ou de suporte ao cliente de empresas confiáveis.
De acordo com o IBM Security X-Force Threat Intelligence Index 2023, o phishing é o principal vetor de infecção por malware, identificado em 41% de todos os incidentes. De acordo com o relatório Cost of a Data Breach 2022, o phishing é o vetor de ataque inicial que leva às violações de dados mais caras.
Baiting (isca)
A isca atrai (sem trocadilho) as vítimas para, consciente ou involuntariamente, liberar informações confidenciais ou baixar código malicioso tentando-as com uma oferta valiosa ou até mesmo um objeto valioso.
O golpe do príncipe nigeriano é provavelmente o exemplo mais conhecido dessa técnica de engenharia social. Exemplos mais atuais são downloads de jogos, músicas ou software gratuitos, mas infectados por malware. Mas algumas formas de isca são pouco engenhosas. Por exemplo, alguns agentes de ameaças deixam unidades de USB infectadas com malware onde as pessoas as encontrarão, pegarão e usarão porque "veja, um pendrive grátis".
Tailgating
No tailgating, também chamado de "piggybacking" ou carona, uma pessoa não autorizada segue de perto uma pessoa autorizada em uma área que contém informações confidenciais ou ativos valiosos. A utilização não autorizada pode ser conduzida pessoalmente, por exemplo, um criminoso pode seguir um funcionário e passar por uma porta destrancada. Mas o tailgating também pode ser uma tática digital, como quando uma pessoa deixa um computador sem supervisão enquanto ainda está conectado a uma conta ou rede privada.
Pretexting
No pretexting, o criminoso cria uma situação falsa para a vítima e se apresenta como a pessoa certa para resolvê-la. Muitas vezes (e o mais irônico), o golpista alega que a vítima foi afetada por uma violação de segurança e, em seguida, oferece-se para corrigir tudo se a vítima liberar informações importantes da conta, ou controlar o computador ou dispositivo da vítima. Tecnicamente falando, quase todos os ataques de engenharia social envolvem algum grau de pretexting.
Quid pro quo
No golpe quid pro quo, os hackers oferecem um bem ou serviço desejável em troca das informações confidenciais da vítima. Prêmios de concursos falsos ou prêmios de fidelidade aparentemente inocentes ("obrigado pelo seu pagamento, temos um presente para você") são exemplos das tramas do quid pro quo.
Scareware
Também considerado uma forma de malware, o scareware é um software que usa o medo para manipular as pessoas para compartilhar informações confidenciais ou baixar malware. O scareware frequentemente assume a forma de um aviso falso de segurança pública acusando o usuário de um crime, ou uma mensagem falsa do suporte técnico avisando o usuário sobre malware em seu dispositivo.
Ataque de watering hole (poço de água)
Com o nome retirado da frase "alguém envenenou o poço", os hackers injetam código malicioso em uma página legítima da web frequentada por seus alvos. Os ataques de watering hole são responsáveis por tudo, desde credenciais roubadas até downloads involuntários de ransomware.
Os ataques de engenharia social são notoriamente difíceis de impedir porque dependem da psicologia humana em vez de caminhos tecnológicos. A superfície de ataque também é considerável: em uma organização maior, basta o erro de apenas um funcionário para comprometer a integridade de toda a rede corporativa. Algumas das etapas que os especialistas recomendam para mitigar o risco e o sucesso dos golpes de engenharia social são:
Treinamento de conscientização de segurança: muitos usuários não sabem como identificar ataques de engenharia social. Em momentos em que os usuários frequentemente trocam informações pessoais por produtos e serviços, não percebem que entregar informações aparentemente rotineiras, como número de telefone ou data de nascimento, pode permitir que hackers violem uma conta. O treinamento de conscientização de segurança, combinado com políticas de segurança de dados, pode ajudar os funcionários a entender como proteger seus dados confidenciais e como detectar e responder a ataques de engenharia social em andamento.
Políticas de controle de acesso: políticas e tecnologias seguras de controle de acesso, incluindo autenticação de vários fatores, autenticação adaptativa e uma abordagem de segurança de zero trust, podem limitar o acesso dos cibercriminosos a informações e ativos confidenciais na rede corporativa, mesmo que tenham acesso às credenciais de login dos usuários.
Tecnologias de segurança cibernética: filtros de spam e gateways de e-mail seguros podem impedir que alguns ataques de phishing cheguem aos funcionários. Firewalls e software antivírus podem mitigar a extensão de qualquer dano causado por invasores que tenham acesso à rede. Manter os sistemas operacionais atualizados com as correções mais recentes também pode fechar algumas vulnerabilidades que os invasores exploram por meio da engenharia social. Além disso, soluções avançadas de detecção e resposta, incluindo detecção e resposta de endpoints (EDR) e detecção e resposta estendidas(XDR), podem ajudar as equipes de segurança a detectar e neutralizar rapidamente ameaças de segurança que infectam a rede por meio de táticas de engenharia social.
Teste seu pessoal por meio de exercícios de phishing, vishing e engenharia social física. Descubra vulnerabilidades de funcionários, processos e políticas para reduzir o risco de que os ataques reais de engenharia social tenham sucesso.
Envie mensagens de texto para aplicativos, redes, hardware e pessoal para descobrir e corrigir vulnerabilidades que expõem seus ativos mais importantes a ataques. O X-Force Red Portal permite que todos os envolvidos na remediação visualizem imediatamente os resultados dos testes e agendem testes de segurança conforme a conveniência.
Entre os profissionais do SOC 81% dizem que perdem tempo com investigações manuais.1 Acelere as investigações de alertas com o IBM Security® QRadar Suite, uma seleção moderna de tecnologias de segurança que apresenta uma experiência unificada de analistas construída com IA e automação.
Proteja sua organização contra ameaças internas, maliciosas ou não intencionais.
Proteja seus usuários, ativos e dados gerenciando e prevenindo a fraude antes que ela ocorra.
Proteja seus funcionários contra ataques de phishing que podem comprometer a segurança da sua organização.
CISOs, equipes de segurança e líderes de negócios: encontrem insights acionáveis para saber como os agentes de ameaças estão enfrentando ataques e como proteger sua organização de forma proativa.
Os golpes de phishing induzem as vítimas a divulgar dados confidenciais, baixar malware e expor a si mesmas ou suas organizações ao cibercrime.
Saiba como a autenticação de vários fatores fortalece a segurança, atende aos requisitos de conformidade regulamentar e apoia uma estratégia de segurança zero.
Soluções de inteligência de ameaças global com produtos e conhecimento líderes no mercado.