Como funciona a engenharia social?
Os engenheiros sociais geralmente aproveitam Os sete princípios-chave de persuasão de Cialdini:
- Reciprocidade: É mais provável que as pessoas façam algo por alguém que fez ou promete fazer algo por elas em troca.
- Compromisso e Consistência: É mais provável que alguém faça algo depois de assumir um compromisso ou se sempre foi feito dessa forma.
- Prova Social: O “efeito movimento” significa que as pessoas são mais propensas a fazer algo que consideram popular e que todos os outros estão fazendo.
- Autoridade: As pessoas são mais propensas a realizar ações ordenadas por uma figura de autoridade.
- Gosto: As pessoas querem ser queridas e farão coisas que farão com que sejam ainda mais apreciadas ou que lhes permitam evitar constrangimentos.
- Escassez: Se algo está em falta, as pessoas o consideram mais valioso e correm para obtê-lo antes que seja tarde demais.
- Unidade: As pessoas são mais propensas a fazer coisas que as pessoas de quem gostam e com as quais se identificam estão fazendo ou sugerem.
Muitos dos tipos mais comuns de ataques de engenharia social tiram vantagem de um ou mais destes princípios. Por exemplo, Business Email Compromise, invasores BEC (BEC) fingem ser figuras de autoridade para roubar informações confidenciais ou dinheiro. Os esquemas de faturas falsas tiram partido do compromisso e da consistência; se uma empresa pensa que usou o produto ou serviço de um fornecedor, ela se sente compelida a pagar por isso.
Tipos de ataques de engenharia social
Phishing é o tipo mais comum de engenharia social usado em ataques cibernéticos. Os ataques de phishing vêm em uma variedade de formas diferentes, incluindo:
- phishinglança: Os ataques de spear phishing são extremamente direcionados. Os spear phishers realizam pesquisas aprofundadas sobre seus alvos para adaptar seus ataques e maximizar a probabilidade de sucesso.
- Baleeira: Os ataques de caça às baleias são ataques de spear phishing direcionados a executivos de alto nível. Esses ataques são projetados para parecerem e-mails legítimos e tentarem tirar vantagem da autoridade e do poder do destinatário.
- Ataques BEC: Em um ataque BEC, o invasor se disfarça como uma figura de autoridade dentro de uma organização ou como fornecedor ou fornecedor de uma empresa. Esses ataques geralmente são projetados para roubar informações confidenciais ou fazer com que um funcionário envie dinheiro ao invasor.
- Esmagando: Os ataques smishing são ataques de phishing realizados através de mensagens de texto SMS. Estes ataques aproveitam o facto de as empresas utilizarem cada vez mais SMS para chegar aos clientes e de os serviços de encurtamento de ligações poderem ser utilizados para ocultar o destino de uma ligação.
- Vistoria: Vishing significa phishing de voz. Esses ataques usam muitas das mesmas técnicas de influência do phishing, mas são realizados por telefone.
Técnicas de ataque de engenharia social
Além de explorar a psicologia para influenciar, os engenheiros sociais também costumam usar truques em seus ataques. Algumas técnicas de ataque comuns usadas em ataques de phishing incluem:
- Links maliciosos: e-mails phishing geralmente contêm links para sites de phishing e outros sites maliciosos. Esses links e os sites para os quais eles geralmente apontam são projetados para parecerem sites legítimos.
- Anexos infectados: Os e-mails de phishing podem incluir malware anexado ou arquivos que baixam malware. Macros do Microsoft Office e PDFs maliciosos são anexos maliciosos comuns.
- Endereços semelhantes: Para fazer com que os e-mails de phishing pareçam realistas, os phishers podem usar endereços semelhantes. Endereços de e-mail que se assemelham a um domínio legítimo têm maior probabilidade de passar rapidamente e enganar o destinatário.
Como prevenir ataques de engenharia social?
O phishing e outros esquemas de engenharia social são uma grande ameaça à segurança cibernética das empresas. Melhores práticas para proteção contra ataques de engenharia social incluir:
- Educação dos funcionários: Os funcionários precisam saber sobre as ameaças de engenharia social que enfrentam para melhor detectá-las e responder a elas. Uma parte importante deste treinamento é como identificar os vários tipos de ataques de phishing e o fato de que o phishing não se limita ao email.
- Autenticação multifatorial (MFA): Os ataques de engenharia social geralmente têm como alvo credenciais de login que podem ser usadas para obter acesso a recursos corporativos. A implantação da MFA em toda a empresa torna mais difícil para os invasores aproveitarem essas credenciais comprometidas.
- Separação de deveres: Os ataques de engenharia social são projetados para induzir os alvos a enviar informações confidenciais ou dinheiro a um invasor. Os processos devem ser concebidos de modo que os pagamentos e outras ações de alto risco exijam múltiplas aprovações, diminuindo a probabilidade de todos serem enganados pelo scam.
- Antivirus and Antimalware: Os ataques de phishing geralmente são projetados para entregar malware a um computador alvo. Antivírus e as proteções antimalware são essenciais para identificar e bloquear esses ataques.
- Soluções de segurança de e-mail: Os phishers usam uma variedade de técnicas para fazer com que suas mensagens pareçam mais realistas e para enganar seus destinatários. Soluções de segurança de e-mail pode verificar e-mails em busca de conteúdo suspeito e retirar conteúdo potencialmente malicioso de mensagens e anexos antes de entregá-los ao destinatário.
Prevenção de engenharia social com Check Point
O phishing é uma das maiores ameaças à segurança cibernética empresarial e é um vetor de ataque comum para malware e violações de dados. A Check Point e a Avanan desenvolveram uma solução de segurança de e-mail que oferece proteção abrangente contra uma série de ataques de engenharia social baseados em e-mail. Para saber como proteger sua organização e seus funcionários contra phishing e engenharia social, você está convidado a inscreva-se para uma demogratuita.