A engenharia social é tão antiga quanto a humanidade. Mas suas técnicas evoluíram com o tempo. Aqui estão os truques mais recentes que os criminosos estão usando para enganar os usuários finais.

(Imagem: James Thew via Adobe Stock)

Por: Joan Goodchild

Engenharia social é a arte de manipular humanos – mas Chris Hadnagy chama isso de “hacking the human”. E o presidente e CEO da Social-Engineer LLC viu muito disso enquanto lutava contra a boa luta para educar as pessoas sobre manipulação humana nos últimos 16 anos. Hoje em dia, com muito dinheiro para ser enganado, os criminosos de engenharia social usam truques modernos para obter acesso a informações, dinheiro ou edifícios seguros. 

“Quando se trata de hackers humanos, não há muita diferença nos últimos dois mil anos”, diz Hadnagy. “Mas o que vemos [mudando] é a maneira como os atacantes pensam através dos ataques”.

O mesmo acontece com as tecnologias que os estão ajudando a ser ainda mais eficazes. 

A empresa de pesquisa CyberEdge  relata  que o número de organizações atingidas com pelo menos um ataque bem-sucedido de engenharia social por ano é de cerca de 79%. E, de acordo com o recente relatório “Fator Humano” da Proofpoint , mais de 99% das ameaças cibernéticas observadas pela empresa exigiam interação humana para serem executadas, significando a importância da engenharia social nos ataques cibernéticos bem-sucedidos contra uma organização.

“Usuários individuais [são] a última linha de defesa”, diz Kevin Epstein, vice-presidente de operações de ameaças da Proofpoint. “Para reduzir significativamente os riscos, as organizações precisam de uma abordagem holística e centrada na segurança cibernética, que inclua treinamento eficaz em conscientização da segurança e defesas em camadas que forneçam visibilidade aos usuários mais atacados”.

Mídia social ‘pretextando’
Mesmo com o aumento da conscientização sobre engenharia social por meio da educação, a engenharia social continua sendo muito eficaz.

Uma das razões pelas quais as apostas estão mais altas agora, e por que a engenharia social está impactando tantos, é por causa das mídias sociais, diz Hadnagy. As mensagens de spear-phishing, uma forma comum de engenharia social direcionada a uma pessoa específica, geralmente são criadas usando informações coletadas em sites de mídia social.

Hadnagy diz que a grande maioria das mensagens de spear-phishing agora contém detalhes das mídias sociais. “As pessoas colocam tanta informação nas mídias sociais que estão dando aos atacantes uma vantagem no desenvolvimento de pretextos para ataques”, diz ele.

Bisbilhotar as contas de mídia social ajuda os invasores a criar uma razão falsa, mas crível (ou “pretexto”) para abordar sua vítima. De fato, os sites de mídia social agora são um playground para criminosos que procuram detalhes que podem ser usados ​​para obter uma variedade de contras. Os criminosos criam perfis de mídia social falsos para coletar informações de pessoas com as quais se conectam para fingir. Ao aprender mais sobre seus alvos, os atacantes podem criar mensagens convincentes e convencê-los a clicar em um link malicioso ou enviar dinheiro para uma instituição de caridade falsa, por exemplo.

“A representação de contas legítimas faz com que uma fraude pareça muito mais realista, de modo que os usuários tendem a se apaixonar por fraudes postadas por uma conta que falsifica uma pessoa ou organização credível”, diz Ashlee Benge, pesquisadora de ameaças da ZeroFOX. “Uma página de golpe fraudulenta pode postar um link promocional que oferece itens gratuitos ou com desconto, com link para o que é realmente um ataque de phishing ou um site que contém algum outro conteúdo malicioso”.

Hadnagy diz que essa técnica de pretexto para mídia social é freqüentemente usada em ataques de comprometimento de email comercial / de email. De acordo com o último relatório do FBI , os ataques do BEC / EAC custaram US $ 1,3 bilhão aos americanos em 2018, com algumas vítimas sendo atingidas por US $ 50.000 ao mesmo tempo.

Sites de mídia social também são um lugar onde os golpistas podem lançar uma ampla rede e esperar pelo melhor. Criar conteúdo malicioso em torno de notícias populares é uma estratégia frequentemente empregada.

“Freqüentemente, os golpes ocultam os ciclos de notícias”, diz Benge. “Os golpistas usam eventos atuais como inspiração, e geralmente vemos picos em golpes relacionados a eventos mundiais importantes. Também vemos picos em domínios registrados relacionados a eventos atuais. Por exemplo, imediatamente após a violação do Capital One, observamos muitos novos domínios de typosquatting registrados relacionadas à violação “. Vishing & SMiShing Você certamente recebeu essas chamadas. “Olá, este é o suporte da Microsoft. Seu computador está infectado.” Vishing, que é uma farsa que envolve simplesmente ligar para a vítima para obter informações confidenciais, é uma maneira popular de atingir as pessoas, diz Hadnagy.


“O telefone – é enorme. Os vetores de vishing estão sendo usados ​​em tantos ataques. Chamadas para apoiar phish, chamadas para obter credenciais, chamadas para violar uma rede”, disse ele. “Vimos tudo.”

E embora muitos de nós agora usemos nossos telefones celulares para muito mais do que ligações, os engenheiros sociais estão um passo à frente, encontrando maneiras de explorar os telefones celulares e usá-los para fraudes de outras maneiras.

Agora, as mensagens SMS são um canal comum para fraudes, acrescenta o Benge da ZeroFOX. Assim como uma mensagem de phishing por e-mail, um truque do SMiShing envolve o envio de um link para um site malicioso com a esperança de que o destinatário clique. Os aplicativos de SMS e mensagens são apenas outros caminhos para os engenheiros sociais atingirem sua marca. 

Última linha de defesa
Em resposta a essa sofisticação de ataques de engenharia social e à ameaça que eles representam para a segurança nas organizações, Hadnagy tem hospedado seu SEVillage como um evento adjacente em várias conferências de segurança nos últimos anos. O SEVillage inclui várias faixas de educação em engenharia social, além de competições de captura de bandeira para profissionais de segurança.

No próximo ano, ele está lançando um evento nacional do SEVillage em Orlando, Flórida, que se baseia no conceito que ele criou inicialmente. O objetivo é ir além dos profissionais de segurança e ajudar pessoas de todas as origens profissionais a reconhecer e usar a engenharia social em sua vida diária. É a educação de que todos os tipos de pessoas realmente precisam e se concentrará em aprender e se conectar com outras pessoas, diz Hadnagy.

“A engenharia social é o maior vetor usado hoje. Como podemos aprender a defender? Uma das maneiras é aprender a usar e a reconhecer vetores de engenharia social na vida cotidiana”, diz ele.

Fonte: Dark Reading