7 Novas táticas de engenharia social que agentes maliciosos estão utilizando

Táticas antigas em novos pacotes lideram a lista de ataques de engenharia social atuais. Os especialistas fornecem exemplos do mundo real.

engenharia social phishing

É uma época de popularidade para a execução de métodos de engenharia social. O pânico da pandemia, o desespero à medida que as preocupações com a renda, saúde e o bem-estar aumentaram, tornaram as pessoas cada vez mais alvos fáceis para os criminosos explorarem o medo.

A engenharia social, é claro, significa atacar o usuário e não o próprio sistema de computação, tentando extrair informações ou incitar uma ação que levará à exposição de dados. É tão antigo quanto mentir, com um novo nome para a era da computação – e essa é uma metáfora perfeita de como as táticas de engenharia social evoluem.

“Geralmente são os mesmos truques embrulhados em novas embalagens – e é exatamente isso o que estamos vendo”, disse Perry Carpenter, diretor de estratégia da KnowBe4, uma empresa de treinamento de conscientização de segurança.

Como os profissionais de segurança sabem, a “embalagem” é importante e um ataque familiar pode escapar pelas defesas de uma forma desconhecida.

Aqui estão algumas táticas que os especialistas em engenharia social dizem que estão em alta em 2021.

1. Códigos QR Maliciosos

A fraude de phishing relacionada ao código QR apareceu na tela do radar no ano passado.

Os códigos QR – aqueles códigos de matriz em preto e branco legíveis por máquina dispostos em um quadrado – tornaram-se uma forma cada vez mais popular para as empresas se envolverem com os consumidores e prestar serviços no meio do COVID-19. Por exemplo, muitos restaurantes abandonaram os cardápios de papel e, em vez disso, permitem que os clientes digitalizem um código QR com seus smartphones. Da mesma forma, o uso do QR Code serve para pedidos e entrega de produtos sem contato físico.

Muitos dos sites para os quais os códigos QR enviam às pessoas são operados por fornecedores terceirizados. Quando escaneado, um código QR malicioso pode conectar telefones a um destino malicioso – como clicar em um link inválido. Mesmo conceito; nova embalagem.

“As pessoas podem ficar condicionadas a simplesmente presumir que o código e o site são legítimos”, disse Carpenter.

Os métodos de “entrega” para essa tática de engenharia social variam. Oz Alashe, CEO da CybSafe, empresa de análise e segurança com sede no Reino Unido, disse ter ouvido falar sobre golpes inseridos em folhetos de vendas em alguns bairros com códigos fraudulentos que prometem “Leia este código QR para ter a chance de ganhar um Xbox”.

“Freqüentemente, o código leva a um site duvidoso que baixa malware em seu telefone”, disse Alashe.

2. Invasão por notificação no navegador

Há vários anos, os sites pedem aos visitantes que aprovem “notificações” do site. O que antes era uma forma útil de envolver os leitores e mantê-los atualizados agora é, claro, também uma ferramenta de engenharia social.

“Elas são chamadas de notificações push e podem ser transformadas em armas”, disse Carpenter. “O problema é que muitos usuários clicam cegamente em ‘sim’ para permitir essas notificações.” Embora muitos usuários tenham aprendido algum nível de cautela com navegadores da web, as notificações parecem mais mensagens do sistema do próprio dispositivo, em vez do navegador.

Mesmo para usuários que não dizem sim cegamente, os golpistas encontram maneiras de instalar seus scripts de notificação. As táticas incluem disfarçar o consentimento da assinatura como outra ação, como um CAPTCHA, ou alternar os botões “aceitar” e “recusar” nos alertas de assinatura no meio da ação.

Assim que o criminoso tem o consentimento (obtido de maneira indevida) de um usuário, ele começa a inundá-lo com mensagens – e as mensagens geralmente são esquemas de phishing ou notificações de golpes que contêm malware.

3. Golpes de colaboração

Com essa tática de engenharia social, os criminosos cibernéticos visam profissionais em campos colaborativos, disse Alashe, incluindo designers, desenvolvedores e até pesquisadores de segurança. A isca é um convite que os convida a colaborar no trabalho.

Os recentes “lockdowns” durante a pandemia e a expansão do trabalho em casa aumentaram o conforto das pessoas com a colaboração remota, portanto, essa tática se ajusta bem aos tempos atuais.

“Os atacantes enviam um projeto do Visual Studio contendo código malicioso. O usuário executa o programa por conta própria e o dispositivo é infectado rapidamente. Este ataque essencialmente explora o desejo ou necessidade de assistir ou ajudar outras pessoas com projetos com apelo emocional ”, disse Alashe.

Tzury Bar Yochay, cofundador e CTO da empresa de segurança Reblaze, disse que os exemplos desse ataque costumam ser bem elaborados, mostrando grande atenção aos detalhes.

“Os invasores se faziam passar por pesquisadores ativos e construíam provas sociais” – com aparentes terceiros validando suas pesquisas – “usando um blog que inclui artigos de fontes da indústria como ‘posts convidados’, contas do Twitter, vídeos do YouTube, LinkedIn, Discord e muito mais”, ele disse. Um alvo suspeito pode ficar à vontade com essa pegada social aparentemente ampla.

4. Falsa personificação de parceiro da cadeia de suprimentos

George Gerchow, CSO da Sumo Logic, disse que os ataques que exploram partes da cadeia de suprimentos de uma organização são agora um grande problema.

“Não é fácil defender o que você não pode ver e você é tão forte quanto o elo mais fraco”, disse Gerchow. “Por exemplo, tem havido uma infinidade de e-mails direcionados que parecem ser de seus parceiros de confiança, mas na verdade são malfeitores se passando por funcionários que você talvez conheça em sua rede.”

Gerchow disse que primeiro observou ofertas fraudulentas de cartões-presente apresentados aos funcionários da Sumo Logic, mascarados como incentivos ou agradecimentos dos verdadeiros parceiros de negócios da empresa.

Mas os ataques se tornaram ainda mais detalhados com o tempo.

“Agora vemos essas tentativas longas e sofisticadas de construir confiança ou relacionamentos com algumas de nossas equipes externas cujo trabalho é ajudar. Os malfeitores até se passaram por fornecedores usando nosso produto com contas gratuitas e passaram por casos de uso e cenários para envolver a experiência dentro de nossa empresa. ”

Ao estabelecer essas relações de confiança, o objetivo final dos invasores é tornar as táticas de engenharia social padrão mais eficazes, obtendo ajuda para contornar os controles de segurança ou enviando malware que comprometerá os sistemas da empresa-alvo.

O ataque de manchete ao SolarWinds é um exemplo de ataque à cadeia de suprimentos – nesse caso, uma versão específica chamada ataque de comprometimento de email do fornecedor (VEC). Como observaram os funcionários da SolarWinds, uma “conta de e-mail foi comprometida e usada para acessar, de maneira programada, contas de funcionários da SolarWinds em funções comerciais e técnicas”.

5. Gravações Deepfake

Os engenheiros sociais agora estão usando deepfakes – gravações surpreendentemente realistas que usam inteligência artificial para simular a aparência ou voz de uma pessoa específica – para induzir as vítimas a divulgar informações ou realizar uma ação que beneficie o invasor.

Bar Yochay, da Reblaze, disse que ataques falsos de áudio – nos quais o invasor usa uma voz “clonada” que é quase indistinguível da voz de uma pessoa real para criar uma gravação de áudio fraudulenta – são uma preocupação crescente. Um dos primeiros exemplos de sucesso veio em 2019, quando uma gravação falsa da voz de um CEO foi usada para instruir um funcionário a transferir dinheiro imediatamente para uma conta internacional.

“A gravação foi deixada como uma mensagem de voz para o subordinado, que obedeceu às instruções fraudulentas e enviou USD 243.000 para os atacantes”, disse Bar Yochay.

Gerchow também disse que viu criminosos usar gravações deepfake para manipular funcionários para enviar dinheiro ou oferecer informações privadas – apenas gravações de áudio até agora, mas Gerchow acredita que deepfakes de vídeo são apenas uma questão de tempo.

“Treinamento, conscientização, autorrelato (self-report) e transparência serão a única maneira de dimensionar a segurança em torno desses ataques”, disse Gerchow. “A segurança precisa ser acessível e, claro, registrar tudo.”

6. Fraudes de mensagem de texto

Embora mensagem de texto tenha sido um canal para golpes de engenharia social por um tempo, Rebecca Herold, uma especialista em privacidade e segurança do IEEE, diz que as táticas de mensagens de texto estão novamente em destaque.

“Estamos nos tornando uma sociedade onde grande parte da população prefere se comunicar por mensagens de texto ao invés de telefone. As pessoas agora estão extremamente acostumadas a comunicar tipos de informações muito confidenciais por meio de texto ”, diz Herold.

Como a entrega de mantimentos e alimentos cresceu no ano passado, os textos fraudulentos relacionados à entrega aumentaram. Outras iscas comuns incluem textos que prometem informações sobre os cheques de estímulo COVID que vinculam as vítimas a um site que se parece com o site da Receita Federal (IRS) e pede informações pessoais confidenciais, como data de nascimento e número do seguro social.

Herold disse que também viu golpes de texto nos quais fraudadores se faziam passar pelo Departamento de Saúde e Serviços Humanos dos Estados Unidos e diziam às vítimas que elas deveriam fazer um “teste COVID online obrigatório” usando um link fornecido.

“Então, como outros golpes, suas informações pessoais são roubadas e o malware geralmente é carregado em seu dispositivo de computação”, disse Herold.

Tal como acontece com os códigos QR, as vítimas simplesmente não desenvolveram o nível de consciência e cautela necessários.

7. Domínios Typosquatting ou semelhantes

Carpenter disse que typosquatting – ou domínios semelhantes – costumam ser empregados em um ataque de comprometimento de e-mail comercial (BEC). Os fraudadores se fazem passar por domínios legítimos para fazer as vítimas pensarem que estão em um local seguro.

Eles fazem isso com muitos truques, incluindo erros de ortografia no domínio (pense no Gooogle em vez de no Google) ou adicionando um domínio de nível superior diferente (.uk em vez de .co.uk). Ao contrário das versões geralmente desleixadas dos primeiros dias, hoje esses sites podem apresentar designs sofisticados, mimetismo cuidadosamente detalhado de sites legítimos e funcionalidades sofisticadas.

“Vítimas de engenharia social geralmente são induzidas a se sentir psicologicamente seguras por sua escolha ou a buscar esta segurança de uma forma que acabe caindo nas mãos de um atacante”, disse Carpenter.

Os criminosos configuram esses sites não apenas para entregar malware, mas também para capturar informações de cartão de crédito ou outros dados confidenciais por meio de campos de login falsos ou outros formulários falsos.

Posts relacionados: Ataques de phishing: defendendo a sua organização / Hora de adotar uma nova abordagem no combate ao phishing e Vulnerabilidade injetada em sistemas da SolarWinds viabiliza ataques de grandes proporções nos EUA.

Informações obtidas/adaptadas de 7 new social engineering tactics threat actors are using now