A engenharia social é em termos amplos, “qualquer ato que influencia uma pessoa a realizar uma ação que pode ou não ser do seu interesse”. (Christopher Hadnagy). Já no contexto da segurança cibernética, referem-se às técnicas de manipulação psicológica usadas por indivíduos mal-intencionados para enganar pessoas e obter acesso não autorizado a informações confidenciais, sistemas ou realizar ações prejudiciais.
O uso da engenharia social é uma estratégia presente em diversos ataques cibernéticos e segue como uma preocupação significativa para a segurança. Diante dos prejuízos causados e aprimoramento dos golpes com as novas tecnologias, é importante entendermos algumas das técnicas avançadas e as medidas de prevenção.
A utilização das técnicas de engenharia social em ciberataques ocorre para o invasor conseguir criar um relacionamento com a vítima, conquistando a confiança e fazendo-a baixar a guarda, tomando as ações que ele deseja, sem ter ideia de que está sendo manipulada.
O pretexting é uma tática fundamental para execução de um ataque personalizado. Por isso, os atacantes realizam pesquisas detalhadas sobre a vítima para criar uma história convincente e personalizada, para aumentar a probabilidade de a vítima cair no golpe. Isso pode envolver informações específicas sobre seu trabalho, hobbies, conexões sociais, entre outros.
Uma das estratégias mais avançadas e muito utilizadas em golpes engenharia social é o spear phishing, uma categoria de ataque que a qualidade e a personalização em suas táticas. Os e-mails podem parecer originar-se de contatos legítimos, com informações confidenciais precisas, que aumentam sua credibilidade.
Outra estratégia é a criação perfis falsos em mídias sociais e fóruns online, desenvolvidos por golpistas para estabelecer conexões com as vítimas, ganhando sua confiança ao longo do tempo. Essa técnica é particularmente eficaz em cenários de engenharia social a longo prazo.
Também conhecido como “carona”, o tailgating é uma técnica de engenharia social pouco conhecida, utilizada para acessos em ambientes físicos restritos. Ele ocorre quando um indivíduo não autorizado segue de perto um funcionário legítimo em uma área protegida, aproveitando-se do fato de que a pessoa autorizada geralmente mantém a porta aberta por cortesia ou não percebe a presença do intruso. O sucesso dessa estratégia em locais com alto fluxo de pessoas como escritórios ou ambientes corporativos.
No dia 23 de dezembro de 2015 o centro de controle Prykarpattyaoblenergo, que distribui energia para os moradores da região de Ivano-Frankivsk, na Ucrânia Ocidental sofreram interrupções de energia não programadas.
Os invasores utilizaram estratégias avançadas para execução de um ataque ao longo de muitos meses, primeiro fazendo reconhecimento para estudar as redes e as credenciais do operador de sifão e, em seguida, lançando um ataque sincronizado e bem executado.
Eles enviaram e-mails de phishing personalizados, um spear phishing, para funcionários da empresa, que continham malware. Esse malware permitiu que os invasores ganhassem acesso às redes de controle da empresa e, posteriormente, desligassem o fornecimento de energia para milhares de pessoas.
Um exemplo histórico que mostra a eficiência da engenharia social em ciberataques. Diante disso, é necessário medidas de proteção e prevenção.
O primeiro passo é identificar os sinais das estratégias de engenharia social. Alguns indicadores a serem observados:
Uma vez que os sinais foram identificados, algumas medidas de proteção podem ser adotadas, como:
Além disso, é essencial contar com soluções que permitem expandir o monitoramento de riscos digitais como as soluções para Deep & Dark Web da Axur. Com a ferramenta Explorar, é possível acompanhar milhares de mensagens em grupos, canais e fóruns criminosos em tempo real, em um ambiente 100% seguro. Acompanhar indicadores como o Threat Actor Score, uma pontuação automática que classifica atacantes por meio de machine learning, permite estar à frente de fraudes, prevenir ataques e solicitar investigações com um clique na plataforma Axur.
Social Engineering 2023: What has Changed?
Inside the Cunning, Unprecedented Hack of Ukraine's Power Grid