engenharia social

Os truques de engenharia social

Engenharia social em destaque: dos truques clássicos às novas tendências.

Alanna Titterington
10 jul 2023

No post de hoje, discutimos alguns truques de engenharia social comumente empregados por cibercriminosos para atacar empresas. Separamos diversas variações de golpes envolvendo ligações e e-mails de suporte técnico falso; ataques de comprometimento de e-mail comercial; pedidos de dados de falsas agências de aplicação da lei… confira a seguir.

Olá, aqui é do suporte técnico

Um esquema clássico de engenharia social é uma chamada para um funcionário da empresa vinda do “suporte técnico”. Por exemplo, os hackers podem ligar em um fim de semana e dizer algo como: “Olá, este é o serviço de suporte técnico da empresa. Detectamos atividade estranha em seu computador de trabalho. Você precisa vir ao escritório imediatamente para que possamos descobrir o que é”. É claro que poucas pessoas querem ir ao escritório em um fim de semana, então o sujeito do suporte técnico “relutantemente” concorda, “apenas uma única vez”, em quebrar o protocolo da empresa e resolver o problema remotamente. Mas, para fazer isso, eles precisarão das credenciais de login do funcionário. Você pode imaginar o que vai acontecer na sequência.

Há uma variação desse esquema que se espalhou durante a migração em massa para o trabalho remoto durante a pandemia. O falso suporte técnico “percebe” atividades suspeitas no laptop da vítima usado para trabalhar em casa e sugere resolver o problema usando uma conexão remota, por meio de um RAT. Mais uma vez, o resultado é bastante previsível.

Confirme, confirme, confirme…

Vamos continuar com o tópico do falso suporte técnico. Uma técnica interessante foi detectada durante um ataque a Uber em 2022, quando um hacker de 18 anos conseguiu comprometer vários sistemas da empresa. O ataque começou com o criminoso obtendo os detalhes de login pessoal de um contratado da Uber na dark web. No entanto, para obter acesso aos sistemas internos da empresa, ainda havia o pequeno problema de passar pela autenticação multifator…

E é aí que entra a engenharia social. Por meio de inúmeras tentativas de login, o hacker enviou spam ao infeliz contratante com solicitações de autenticação e, em seguida, enviou uma mensagem ao contratante no WhatsApp sob o disfarce de suporte técnico com uma proposta de solução para o problema: interromper o fluxo de spam, basta confirmar um. Assim, a última barreira na rede do Uber foi removida.

Aqui é o chefe. Eu preciso de uma transferência de dinheiro agora!

Vamos voltar a um clássico novamente. O próximo golpe da fila é um tipo de ofensiva conhecida como ataque de comprometimento de e-mail comercial (BEC). A ideia por trás dele é, de alguma forma, iniciar uma correspondência com os funcionários da empresa, geralmente se passando por um gerente ou um importante parceiro de negócios. Normalmente, o objetivo da mensagem é fazer com que a vítima transfira dinheiro para uma conta especificada pelos golpistas. Enquanto isso, os cenários de ataque podem variar: se os criminosos estiverem mais interessados em se infiltrar na rede interna da empresa, eles podem enviar à vítima um anexo malicioso para servir de vetor de ataque.

De uma forma ou de outra, todos os ataques BEC giram em torno do comprometimento de e-mail; mas esse é apenas o aspecto técnico. Um papel muito maior é desempenhado pelo elemento de engenharia social. Enquanto a maioria dos e-mails fraudulentos direcionados a usuários comuns não provocam nada além de risos, as operações BEC envolvem pessoas com experiência em grandes empresas que são capazes de escrever e-mails comerciais plausíveis e persuadir os destinatários a fazer o que os criminosos desejam.

Onde paramos?

Vale a pena observar separadamente uma técnica específica de ataque BEC que se tornou muito popular entre os cibercriminosos nos últimos anos. Conhecido como sequestro de conversas, o esquema permite que os invasores se insiram na correspondência comercial existente, fazendo-se passar por um dos participantes. Geralmente, nem invasão de contas nem truques técnicos são usados para disfarçar o remetente – tudo o que os criminosos precisam é obter um e-mail real e criar um domínio semelhante. Dessa forma, eles ganham automaticamente a confiança de todos os outros participantes, permitindo que eles conduzam a conversa gentilmente na direção que desejam. Para realizar esse tipo de ataque, os cibercriminosos geralmente compram bancos de dados de correspondência de e-mail roubada ou vazada na dark web.

Os cenários de ataque podem variar. O uso de phishing ou malware não está descartado. Mas, seguindo o esquema clássico, os hackers geralmente tentam sequestrar conversas que dizem respeito diretamente a dinheiro, de preferência grandes quantias, deixando os dados bancários no momento oportuno e, em seguida, decolando com o saque para uma ilha tropical.

Um excelente exemplo de sequestro de conversa é o que aconteceu durante a transferência do jogador de futebol Leandro Paredes. Os cibercriminosos entraram na troca de e-mails disfarçados de um representante do primeiro clube de Paredes, o Boca Juniors, que tinha direito a uma pequena porcentagem da taxa de transferência – no valor de € 520.000, que os golpistas conseguiram se apoderar.

Entregue seus dados, aqui é a polícia

Uma tendência recente, que parece ter surgido em 2022, é que os hackers façam solicitações “oficiais” de dados ao coletar informações em preparação para ataques a usuários de serviços online. Essas solicitações foram recebidas por provedores de internet, redes sociais e empresas de tecnologia dos EUA de contas de e-mail hackeadas pertencentes a agências de aplicação da lei.

Um pouco de contexto é importante nessa história. Em circunstâncias normais, para obter dados de provedores de serviços nos Estados Unidos, é necessário um mandado assinado por um juiz. No entanto, em situações em que a vida ou a saúde humana estejam em perigo, pode ser emitida uma Solicitação de Dados de Emergência (EDR).

Mas, enquanto no caso de solicitações normais de dados existem procedimentos de verificação simples e compreensíveis, para EDRs atualmente não há nada do tipo. Portanto, é provável que tal pedido seja concedido se parecer plausível e aparentemente vier de uma agência de aplicação da lei. Dessa forma, os hackers podem obter informações sobre as vítimas de uma fonte confiável e usá-las para novos ataques.

Como se proteger contra ataques de engenharia social

O alvo em todos os métodos de ataque acima não é um pedaço de hardware sem alma, mas um ser humano. Portanto, para fortalecer as defesas corporativas contra os ataques de engenharia social, o foco deve estar nas pessoas. Isso significa ensinar aos funcionários os fundamentos da cibersegurança para aumentar sua conscientização sobre o assunto e explicar como neutralizar vários tipos de ataques. Uma ótima maneira de fazer isso é por meio de nossa solução de treinamento interativo Kaspersky Automated Security Awareness Platform.

Web skimmers: por que eles são particularmente sorrateiros e perigosos?

O que são os web skimmers, por que você deve ficar de olho neles ao fazer compras on-line e como se proteger.

FERRAMENTAS GRATUITAS

Soluções de segurança direcionadas

Soluções Corporativas

Os truques de engenharia social

Olá, aqui é do suporte técnico

Confirme, confirme, confirme…

Aqui é o chefe. Eu preciso de uma transferência de dinheiro agora!

Onde paramos?

Entregue seus dados, aqui é a polícia

Como se proteger contra ataques de engenharia social

Dia da Mulher e as falsas promoções

Ciberataques sem malwares

Web skimmers: por que eles são particularmente sorrateiros e perigosos?

Dicas

Anunciantes compartilhando seus dados com… agências de inteligência

Olha o passarinho (verificado) ou as novas maneiras de reconhecer falsificações

Como mudar para a Kaspersky: um guia de migração passo a passo

Chefe ou fraudador? Golpe disfarçado de ordens do seu chefe

Inscreva-se para receber nossos destaques em seu e-mail

Soluções domésticas

Produtos para pequenas empresas

Produtos para empresas médias

Soluções corporativas

Securelist

Eugene Personal Blog