Engenharia social é quando os criminosos cibernéticos exploram a psicologia humana para obter um resultado favorável para si mesmos, como enganar as pessoas para que forneçam suas senhas. É mais fácil para os criminosos explorar a tendência instintiva de confiança das pessoas do que encontrar maneiras de invadir dispositivos ou redes.
O que é engenharia social?
O termo engenharia social, usado pela primeira vez pelo industrial francês JC Van Marken em 1894, é um fenômeno que consiste em influenciar as pessoas a tomar qualquer atitude que possa ser contrária aos seus interesses. É a arte e a ciência de controlar as massas para que cumpram seus desejos.
Quais são os exemplos de engenharia social?
Um agente mal-intencionado pode usar engenharia social para induzir um funcionário a baixar um arquivo malicioso, convencendo-o de que se trata de um documento importante e inofensivo. Durante a pandemia da COVID-19, os cibercriminosos levavam as pessoas a abrir arquivos maliciosos apresentando-os como políticas da empresa relacionadas à COVID-19.
A engenharia social também pode ser usada para induzir um funcionário a fornecer sua senha quando os criminosos cibernéticos falsificam mensagens de marcas conhecidas, como a Microsoft, que instruem a vítima de que sua senha precisa ser alterada porque as mensagens de grandes marcas podem ser consideradas confiáveis.
A engenharia social é usada em ataques de comprometimento de e-mail comercial e sequestro de conversas, convencendo a vítima a ser alguém com quem ela já tem um relacionamento comercial. Isso pode ser usado para persuadir a vítima a transferir dinheiro para pagar uma fatura ou fornecer dados confidenciais aos criminosos.
O que são ataques de engenharia social?
Os ataques de engenharia social são qualquer ataque cibernético que se baseia em truques psicológicos. Os aspectos psicológicos, mais do que os aspectos técnicos do ataque, são a porta de entrada para danos significativos, como abrir e-mails duvidosos, fornecer senhas e clicar em um link suspeito, entre outros. A engenharia social é o catalisador de 93% das violações de dados bem-sucedidas.
Tipos de ataques de engenharia social
Os ataques de engenharia social são realizados de várias maneiras. Aqui estão algumas das táticas mais populares:
Phishing
O phishing é a forma mais comum de ataque de engenharia social. Uma mensagem de phishing tem como objetivo persuadir o destinatário a realizar uma ação específica que atenda aos objetivos do cibercriminoso, como baixar um documento que contenha ransomware. Os cibercriminosos preferem o phishing porque é barato, fácil, versátil e eficaz – 97% dos usuários não conseguem identificar uma mensagem de phishing sofisticada.
Spear Phishing
No spear phishing, o criminoso elabora sua mensagem de forma a torná-la extremamente atraente para um grupo específico de vítimas. As mensagens são personalizadas com base em fatores como formação acadêmica, cargos ocupados e dados de contato. Um cenário típico pode envolver um criminoso tentando se passar por um consultor de TI que trabalha na empresa da vítima, solicitando uma mudança de senha e, assim, levando o funcionário a acreditar que se trata de uma mensagem autêntica.
Caça às baleias
Assim como o phishing e o spear phishing, o whaling é uma fraude habilitada digitalmente que usa técnicas de engenharia social para criar mensagens de phishing projetadas para atingir funcionários de alto escalão ou altamente privilegiados em uma organização. Geralmente, ela incentiva a vítima a realizar ações secundárias, como uma transferência eletrônica de fundos.
Scareware
O scareware possui as mesmas características do malware e utiliza táticas de engenharia social para criar confusão, choque e ansiedade, com o objetivo de manipular os usuários a comprar ou instalar software malicioso. Um cenário típico de um ataque de scareware envolveria induzir o usuário a acreditar que seu computador está infectado por um vírus e, em seguida, sugerir que ele compre ou pague por um software antivírus para removê-lo.
Sinais de alerta de engenharia social
Os ataques de engenharia social estão aumentando, e as equipes de segurança devem estar atentas a possíveis ataques, tendo os usuários como última linha de defesa. No entanto, os usuários finais devem assumir a responsabilidade de monitorar suas próprias ações. Aqui estão alguns sinais de alerta a serem observados.
- Solicitação de senha– E-mails não solicitados que peçam informações pessoais, como senhas, devem ser rejeitados e comunicados imediatamente à equipe de segurança.
- Assistência imediata– Os hackers podem se passar por representantes do suporte técnico de uma organização. Se você não solicitou qualquer tipo de assistência, considere todas as ofertas ou solicitações como tentativas de fraude.
- E-mails de spam -O envio de e-mails em massa não solicitados pode aumentar o risco de inundar a caixa de entrada do funcionário com links maliciosos, o que pode levar a um grande ataque de phishing.
- Mensagens de texto— Não caia em golpes que pedem aos usuários que respondam com senhas temporárias recebidas em seus dispositivos.
Prevenção de engenharia social
- Defina o filtro de spam como alto - Clique no recurso de filtro de spam em seu cliente de e-mail como alto, o que ajudará a impedir mensagens mais suspeitas, mas poderá causar um atraso nas comunicações.
- Em caso de dúvida, altere sua senha - Se um funcionário tiver fornecido sua senha a um agente mal-intencionado, uma alteração instantânea da senha pode ajudar a minimizar os danos.
- Incorporar a autenticação de dois fatores ou de vários fatores - A autenticação de dois fatores (2FA) ou a autenticação de vários fatores (MFA) evita 99,9% dos ataques cibernéticos.
- Fique atento a mensagens inesperadas. Em caso de dúvida, informe uma mensagem suspeita ao seu administrador ou supervisor.
- Utilize uma solução de segurança de e-mail de alta qualidade.A escolha de ferramentas avançadas que utilizam aprendizado de máquina e inteligência artificial para detectar atividades suspeitas mantém as mensagens perigosas longe das caixas de entrada dos funcionários.
Previna ataques de engenharia social com Graphus
Manter-se atualizado em relação ao panorama da engenharia social no ambiente digital pode ser um desafio para as empresas. Novas formas sofisticadas de ataque podem facilmente burlar os filtros tradicionais contra phishing. As ferramentas de segurança tradicionais comparam as mensagens recebidas a uma lista de possíveis sinais de alerta.
Com tecnologia de IA inteligente, Graphus detectar e colocar em quarentena possíveis tentativas de phishing, aprendendo o padrão de comunicação exclusivo do usuário sem interromper o fluxo de tráfego, ao mesmo tempo em que detecta 40% mais mensagens de phishing do que um SEG ou uma solução de segurança de e-mail tradicional/integrada.
Os ataques de engenharia social podem levar uma empresa à falência — 60% das empresas nunca se recuperam após um ataque cibernético. Nossos especialistas podem explicar por que Graphus a solução ideal para proteger as empresas contra a engenharia social e outros ataques cibernéticos sofisticados.
