A ameaça da engenharia social
Uma concepção popular de ataques cibernéticos é que eles envolvem um hacker que identifica e explora uma vulnerabilidade nos sistemas de uma organização. Isso permite que eles acessem dados confidenciais, plantem malware ou realizem outras ações maliciosas. Embora estes tipos de ataques sejam frequentes, uma ameaça mais comum é a engenharia social. Em geral, é mais fácil enganar uma pessoa para que ela execute uma ação específica — como inserir suas credenciais de login em uma página de phishing — do que atingir o mesmo objetivo por outros meios.
11 tipos de ataques de engenharia social
Os atores de ameaças cibernéticas podem usar técnicas de engenharia social de várias maneiras para atingir seus objetivos. Alguns exemplos de ataques comuns de engenharia social incluem o seguinte:
- Phishing: O phishing envolve o envio de mensagens destinadas a enganar ou coagir o alvo a realizar alguma ação. Por exemplo, e-mails de phishing geralmente incluem um link para uma página de phishing ou um anexo que infecta o computador do usuário com malware. Os ataques de spear phishing são um tipo de phishing que visa um indivíduo ou um pequeno grupo.
- Business Email Compromise, BEC (BEC): Em um ataque BEC, o invasor se disfarça de executivo da organização. O invasor então instrui um funcionário a realizar uma transferência eletrônica enviando dinheiro ao invasor.
- Fraude de fatura: Em alguns casos, os cibercriminosos podem se passar por um vendedor ou fornecedor para roubar dinheiro da organização. O invasor envia uma fatura falsa que, quando paga, envia dinheiro ao invasor.
- Personificação de marca: a personificação de marca é uma técnica comum em ataques de engenharia social. Por exemplo, os phishers podem fingir ser de uma marca importante (DHL, LinkedIn, etc.) e enganar o alvo para que faça login em sua conta em uma página de phishing, fornecendo ao invasor as credenciais do usuário.
- Baleeira: Os ataques de caça às baleias são basicamente ataques de spear phishing que têm como alvo funcionários de alto nível dentro de uma organização. Os executivos e a gestão de nível superior têm o poder de autorizar ações que beneficiem um invasor.
- Isca: Os ataques de isca usam um pretexto gratuito ou desejável para atrair o interesse do alvo, levando-o a entregar credenciais de login ou a realizar outras ações. Por exemplo, alvos tentadores com música grátis ou descontos em software premium.
- Vistoria: Vishing ou “phishing de voz” é uma forma de engenharia social realizada por telefone. Ele usa truques e técnicas semelhantes ao phishing, mas em um meio diferente.
- Esmagando: Smishing é um phishing realizado por meio de mensagens de texto SMS. Com o uso crescente de smartphone e serviços de encurtamento de links, o smishing está se tornando uma ameaça mais comum.
- Pretextos: Os pretextos envolvem o invasor criando um cenário falso no qual seria lógico que o alvo enviasse dinheiro ou entregasse informações confidenciais ao invasor. Por exemplo, o invasor pode alegar ser uma parte confiável que precisa de informações para verificar a identidade da vítima.
- Quid Pro Quo: Em um ataque quid pro quo, o invasor dá algo ao alvo – como dinheiro ou um serviço – em troca de informações valiosas.
- Utilização não autorizada/piggybacking: A utilização não autorizada e o piggybacking são técnicas de engenharia social usadas para obter acesso a áreas seguras. O engenheiro social segue alguém através de uma porta com ou sem o seu conhecimento. Por exemplo, um funcionário pode segurar a porta para alguém que está lutando com um pacote pesado.
Como evitar ataques de engenharia social
A engenharia social visa os funcionários de uma organização e não os pontos fracos de seus sistemas. Algumas das maneiras pelas quais uma organização pode se proteger contra ataques de engenharia social incluem:
- Educação dos funcionários: Os ataques de engenharia social são projetados para enganar o alvo pretendido. Treinar os funcionários para identificar e responder adequadamente às técnicas comuns de engenharia social ajuda a reduzir o risco de eles se apaixonarem por elas.
- Ultimo privilégio: os ataques de engenharia social geralmente têm como alvo as credenciais do usuário, que podem ser usadas em ataques subsequentes. Restringir o acesso dos usuários limita os danos que podem ser causados com essas credenciais.
- Separação de responsabilidades: A responsabilidade por processos críticos, como transferências eletrônicas, deve ser dividida entre diversas partes. Isso garante que nenhum funcionário possa ser enganado ou coagido a realizar essas ações por um invasor.
- Soluções Anti-phishing: phishing é a forma mais comum de engenharia social. Soluções Anti-phishing , como verificação de e-mail, podem ajudar a identificar e impedir que e-mails maliciosos cheguem às caixas de entrada dos usuários.
- Autenticação multifatorial (MFA): A MFA torna mais difícil para um invasor usar credenciais comprometidas pela engenharia social. Além de uma senha, o invasor também exigiria acesso a outro fator MFA.
- Segurança do endpoint: A engenharia social é comumente usada para entregar malware aos sistemas alvo. As soluções de segurança para endpoint podem limitar os impactos negativos de um ataque de phishing bem-sucedido, identificando e corrigindo infecções por malware.