A engenharia social pode ser definida como qualquer ato que influencie uma pessoa a tomar uma ação que pode ou não ser de seu interesse. Ela é uma das formas mais comuns e efetivas que hackers utilizam para conseguir acesso a sistemas internos de empresas.
Vamos falar mais sobre engenharia social no contexto da segurança de informação e ainda conferir recomendações para não cair em um golpe? Confira o artigo!
Fator humano na engenharia social
Na engenharia social, os alvos são as pessoas e não necessariamente a tecnologia envolvida, o que torna esse tipo de ataque muito mais difícil de detectar e de criar proteções. Geralmente, as grandes empresas têm processos de segurança bem definidos e investem muito em controles técnicos, mas esquecem do fator humano.
Phishing
De acordo com o relatório Data Breach Investigations Report 2022, da Verizon, 82% de todas as violações de dados envolveram de alguma forma engenharia social, sendo que 60% destas são feitas através de phishing.
Ainda no mesmo relatório, 2,9% das pessoas clicaram em links dos e-mails de phishing, o que parece um número pequeno, mas é mais do que suficiente para uma campanha maliciosa ser bem sucedida.
Grupos especializados em ransomware como LAPSUS$, Conti, LockBit, REvil, etc., já perceberam que roubar credenciais válidas por meio de ataques de phishing e usá-las para acessar uma rede é mais fácil, menos arriscado e mais eficiente do que explorar vulnerabilidades existentes nos sistemas.
Uma prova de que nenhuma empresa está totalmente protegida contra a engenharia social é o ataque que uma das maiores empresas de treinamentos e certificações de cibersegurança do mundo, a SANS, sofreu em 2020. Tudo começou com um phishing que uma única pessoa clicou e instalou um complemento malicioso do Office 365. Isso resultou em 513 e-mails contendo dados sigilosos da empresa sendo encaminhados para um e-mail externo que atacantes controlavam.
Já vimos ataques no mundo real onde pessoas criminosas fazem um ataque de Subdomain Takeover em algum subdomínio da empresa, hospedam nele uma página de login idêntica a que é utilizada para acessar serviços internos e mandam esse link para alguém por e-mail, LinkedIn ou alguma outra rede social usando alguma técnica de engenharia social para convencer a vítima a clicar. Quando ela vê que o link realmente pertence à empresa, isso lhe passa uma confiança para inserir suas credenciais.
Outros golpes
Apesar de ser mais comum, o phishing é apenas uma das formas de engenharia social. Outros ataques mais sofisticados estão sendo utilizados por pessoas cibercriminosas que criam perfis falsos no GitHub e começam a contribuir de verdade com códigos em softwares open-source.
Depois de algum tempo contribuindo com a comunidade, elas já têm a confiança das pessoas mantenedoras e seus pull requests são aprovados com mais facilidade. Quando isso acontece, elas inserem um código malicioso no meio de um pull request que é aprovado e isso dá a elas uma backdoor em todos os computadores que estiverem rodando a versão maliciosa do programa.
Pode parecer mentira, mas esse tipo de ataque é bem comum! De acordo com uma pesquisa realizada pelo GitHub, cerca de 17% das vulnerabilidades de software em bases de código open-source foram inseridas com propósito malicioso.
Recomendações de segurança
Para reduzir o impacto e a probabilidade de sucesso de ataques de engenharia social, as empresas devem:
Educação
Educar as pessoas sobre o risco de phishing e as características desses ataques é essencial para que elas saibam identificar fraudes. Um ótimo exemplo aqui na Zup é o programa Security Champions, que dissemina informações por meio de treinamentos.
Proteger e-mails
Implementar o software de proteção de e-mail para “sandbox” e validar e-mails de entrada, bem como limpar os links nos quais pessoas podem clicar.
Checar ferramentas
Ter cuidado ao implantar ferramentas da Web de terceiros. Investigue seus protocolos de segurança para determinar se eles são abrangentes o suficiente para minimizar os riscos.
O ideal é oferecer uma lista de programas e ferramentas já checados pelo time de segurança para as pessoas.
Autenticação
Implementar a autenticação multifator (MFA), que requer vários métodos de identificação: algo que você conhece, algo que você tem e algo que você é.
Portanto, é uma das melhores maneiras de impedir que pessoas não autorizadas acessem dados confidenciais e se movam lateralmente dentro da rede. Isso deve ser uma prática padrão para todas as organizações.
Controles de acesso
Aplicar controles de acesso baseados em risco para definir e contar com políticas de acesso com base no comportamento da pessoa usuária.
Por meio de uma combinação de análise, aprendizado de máquina, perfis de users e aplicação de políticas, as decisões de acesso podem ser tomadas em tempo real, para facilitar o acesso de baixo risco, intensificar a autenticação quando o risco é maior ou bloquear totalmente o acesso. Os controles de acesso baseados em risco são frequentemente usados em combinação com a MFA.
Red Team
Aproveitando, essa é uma boa oportunidade de você ouvir o episódio “O que o Red Team quer que você saiba” do nosso podcast. Chega de senha anotada em papel ou em outros locais sem segurança! Ouça agora mesmo e anote mais dicas de segurança:
Segurança na Zup
Aqui na Zup, nós lançamos periodicamente campanhas de phishing além de treinamentos de segurança para todas as pessoas colaboradoras.
Em pouco tempo, já percebemos a redução no número de pessoas que clicam nos links a cada nova campanha. Um esforço contínuo para manter em alerta toda a empresa e criar novos hábitos de segurança da informação.
Esse assunto rende, não é mesmo? Conte nos comentários a sua opinião ou experiência na área!
