Como se proteger dos ataques de engenharia social?

Texto traduzido e adaptado de “Protecting Against Social Engineering Attacks

A maioria dos cibercriminosos pensam em comprometer um sistema usando malware e codificação para contornar as defesas de segurança e roubar dados ou dinheiro. Os ataques de engenharia social adotam uma abordagem diferente, visando o humano ao invés do software para atingir seus objetivos.

Como funciona a engenharia social

Os atacantes aproveitam o conhecimento do comportamento humano para realizar seus ataques. Vieses ideológicos, suposições, crenças, entre outros podem permitir que o invasor os engane e façam algo que seja do interesse dele. O campo da engenharia social é baseado em psicologia e atuação.

Uma pesquisa de Robert B. Cialdini descobriu que os seres humanos são mais propensos a atender a uma solicitação sob certas circunstâncias:

    • O pedido é feito por uma figura de autoridade;
    • A pessoa que faz o pedido é simpática ou tem interesses, crenças e atitudes semelhantes às da vítima;
    • A pessoa que faz o pedido dá ou promete algo de valor ao alvo em troca de sua ajuda;
    • Se o solicitante estiver pedindo em nome de uma causa que a vítima endossou publicamente;
    • Se cumprir o pedido parece estar em consonância com o que os outros estão fazendo;
    • Quando o solicitante está oferecendo algo em falta ou disponível por tempo limitado.

Os engenheiros sociais estão cientes desses vieses e se aproveitam deles de várias maneiras. Ataques de engenharia social geralmente envolvem:

    • Pretexto: Usado ​​para esconder o verdadeiro propósito ou lógica por trás das ações;
    • “Baiting” (ou isca): Usado para seduzir a vitima com promessas de algo de valor;
    • “Blackmailing” (ou chantagem): Ameaçando revelar algo que o alvo deseja manter em segredo;
    • Quid Pro Quo: Prometendo algo à vitima em troca de sua ajuda.

Eles usam seus conhecimentos sobre como as pessoas pensam de várias formas. Ao atacar o elemento humano, eles aumentam a probabilidade de um ataque bem-sucedido, ignorando as defesas projetadas para proteger contra ataques convencionais.

Tipos de ataques de engenharia social

Ataques de engenharia social podem ser realizados através de qualquer meio. Os engenheiros sociais podem usar a Internet, um telefonema ou uma visita pessoal para contornar as defesas de rede de uma organização. Nesta seção, são descritas brevemente dois tipos muito comuns em ataques de engenharia social

Phishing e SMiShing

“Phishing”, que vem do termo em inglês “fishing” (pesca), é o tipo mais comum de engenharia social. De fato, 91% dos ataques bem-sucedidos começam como um e-mail de phishing. O termo phishing abrange muitos aspectos e refere-se ao uso de comunicações digitais para fazer com que o alvo faça algo que beneficie um cibercriminoso. Em geral, isso significa fazer com que o usuário final clique em um link malicioso ou faça o download e abra um anexo. Os detalhes de phishing estão em constante mudança, à medida que os defensores da rede desenvolvem métodos para identificar e bloquear e-mails de phishing, e os cibercriminosos criam novas maneiras de contornar essas proteções.

Existem nomes para muitos ataques de phishing diferentes baseados no meio usado ou no alvo. Quando mensagens de texto são usadas para phishing, ela é chamada de SMiShing e o phishing pelo telefone “vishing”. Em um ataque de “spearphishing”, um usuário específico é segmentado em vez de um grande grupo de destinatários. Os ataques “Business Email Compromise” (BEC) personificam executivos de alto nível dentro de uma organização, enquanto os ataques de “whaling” os miram como alvo.

Ataques via Telefone

Os ataques de engenharia social via telefone baseiam-se em se fazer passar por alguém que o alvo gostaria de conversar. Selecionar pessoas fora do horário de trabalho, representar o governo (especialmente a Receita Federal) e os bancos são escolhas comuns.

Um tipo específico de engenharia social baseada em telefone é o golpe do “help desk”. Nesse esquema, o invasor finge ser um membro de uma assistência de TI na organização do alvo. Esse pretexto dá ao atacante a capacidade de dizer ao usuário para realizar certas ações em seu computador sem levantar suspeitas. Um esquema de “help desk reverso” é uma variante em que o atacante recebe o alvo para chamá-lo, adicionando outra camada de autenticidade à sua representação do suporte técnico.

Protegendo-se contra a engenharia social

Engenheiros sociais tiram proveito de como as pessoas pensam para realizar seus ataques. Muitos desses vieses e comportamentos ocorrem no nível subconsciente, dificultando a identificação e a proteção contra ataques de engenharia social.

No entanto, engenharia social se resume a alguém tentando fazer algo que eles não estão autorizados a fazer.  Em “The Art of Deception”, o famoso engenheiro social Kevin Mitnick sugere o seguinte processo de três etapas para verificar uma solicitação:

    • Verifique se a pessoa é quem ela reivindica ser;
    • Verifique se a pessoa é um funcionário atual ou se precisa ter um relacionamento com a empresa;
    • Verifique se a pessoa está autorizada a fazer uma solicitação.

Se você puder verificar se todas essas três coisas são verdadeiras, provavelmente não estará lidando com um engenheiro social. Tomar um momento para pensar e seguir os processos apropriados é a melhor maneira de se proteger contra os engenheiros sociais.

Para mais informações a respeito de ataques de engenharia social, clique aqui.