Trace Id is missing

Feeding da economia da confiança: fraude de engenharia social

Composta por código, a silhueta de uma pessoa segura uma máscara e sai de um telefone. São seguidos por bolhas vermelhas que representam atores de ameaças.

Em um mundo cada vez mais online, em que a confiança é tanto uma moeda quanto uma vulnerabilidade, os atores de ameaças procuram manipular o comportamento humano para tirar proveito da tendência das pessoas quererem ser úteis. Neste infográfico, exploraremos a engenharia social, incluindo o motivo pelo qual os atores de ameaças valorizam as identidades profissionais acima de todas as outras, ao mesmo tempo em que comentamos algumas das maneiras pelas quais eles manipulam a natureza humana para atingir seus objetivos.

Engenharia social e o fascínio criminoso do phishing

Aproximadamente 90%1 dos ataques de phishing envolvem táticas de engenharia social desenvolvidas para manipular as vítimas, normalmente por email, para que revelem informações confidenciais, cliquem em links mal-intencionados ou abram arquivos maliciosos. Os ataques de phishing são econômicos para os invasores, adaptáveis para ajudar a evitar medidas de prevenção e apresentam altas taxas de sucesso.

Manobras do comportamento humano

As técnicas de engenharia social tendem a se basear no uso da confiança e da persuasão por parte do invasor para convencer seus alvos a realizar ações que, de outra forma, não seriam comuns. Três manobras eficazes são a urgência, a emoção e o hábito.2 Urgência  Ninguém quer perder uma oportunidade com restrição de tempo ou deixar de cumprir um prazo importante. Frequentemente o senso de urgência pode induzir alvos racionais a fornecerem informações pessoais.
Exemplo: Falsa urgência
Notificação de assinatura eletrônica: documento para revisar e assinar do DocuSign. Mensagem importante.
“A marca registrada de um email de phishing é o anexo com algum tipo de período de tempo. Eles querem pressionar a pessoa para tomar uma decisão em um curto espaço de tempo.”
Jack Mott – Informações sobre ameaças da Microsoft

Emoção

A manipulação emocional pode fornecer aos invasores cibernéticos uma vantagem, já que os seres humanos têm maior probabilidade de tomar ações arriscadas em um estado emocional alterado, especialmente se houver medo, culpa ou raiva envolvidos.

 

Exemplo: Manipulação emocional

“A isca mais eficaz que já vi foi um email muito curto que dizia: “Seu cônjuge nos contratou para preparar seus documentos de divórcio. Clique no link para baixar a sua cópia.”
Sherrod DeGrippo – Informações sobre ameaças da Microsoft

Hábito

Os criminosos são perspicazes observadores de comportamento e prestam atenção especial aos tipos de hábitos e rotinas que as pessoas realizam no piloto automático, sem pensar muito.

 

Exemplo: Hábito comum

Na técnica conhecida como “quishing3”, os golpistas se passam por uma empresa confiável e pedem para você digitalizar um código QR do email deles. Por exemplo, eles podem dizer que você precisa ler o código porque o pagamento de uma fatura não foi concluído ou que você precisa redefinir sua senha.

“Os atores de ameaças se adaptam aos ritmos dos negócios. Eles são ótimos em lançar iscas que fazem sentido no contexto em que normalmente as recebemos.”
Jack Mott – Informações sobre ameaças da Microsoft

Às vezes, os limites entre a vida pessoal e a profissional de um funcionário podem convergir. Um funcionário pode usar seu email de trabalho para contas pessoais que ele usa para trabalhar. Às vezes, os atores de ameaças tentam se aproveitar disso em mensagens em que aparentam ser um desses programas para obter acesso às informações corporativas de um funcionário.

Diagrama que mostra: programas de fidelidade, mídia social, entrega, carona compartilhada, banco/investimento, streaming. Este diagrama mostra exemplos de como os atores de ameaças tentam obter acesso às informações corporativas de um funcionário
“Em golpes de phishing por email, os criminosos cibernéticos verificam se há endereços de email corporativos em suas 'iscas'. Eles consideram que não vale a pena gastar tempo com endereços de email pessoal. Endereços de trabalho são mais valiosos, então eles investem mais recursos e se concentram para personalizar ataques para essas contas.”
Jack Mott – Informações sobre ameaças da Microsoft

O “golpe longo”

Geralmente os ataques de engenharia social não são rápidos. Os engenheiros sociais costumam obter a confiança de suas vítimas ao longo do tempo, usando técnicas de trabalho intensivo que começam com a pesquisa. O ciclo para este tipo de manipulação pode ser assim:
  • Investigação: Os engenheiros identificam um alvo e coletam informações básicas, como possíveis pontos de entrada ou protocolos de segurança.
  • Infiltração: Os engenheiros se concentram em estabelecer confiança com o alvo. Eles contam uma história, conseguem chamar a atenção do alvo e assumem o controle da interação para orientá-la de forma a beneficiar o engenheiro.
  • Exploração: Os engenheiros sociais obtêm as informações do alvo ao longo do tempo. Normalmente o alvo entrega essas informações de boa vontade, e os engenheiros podem usá-las a seu favor para obter acesso a informações ainda mais confidenciais.
  • Desligamento: O engenheiro social levará a interação a um fim natural. Um engenheiro qualificado fará isso sem deixar o alvo desconfiado de forma alguma

Os ataques de BEC se destacam no setor de crimes cibernéticos por sua ênfase na engenharia social e em atividades enganosas. Os ataques de BEC de sucesso custam anualmente centenas de milhões de dólares às organizações. Em 2022, o Centro de Reclamações para Crime da Internet do Federal Bureau of Investigation (FBI) registrou perdas ajustadas de mais de USD$ 2,7 bilhões para 21.832 reclamações de BEC arquivadas.4

Os principais alvos de BEC são os principais executivos e líderes, gerentes financeiros, a equipe de recursos humanos com acesso a registros de funcionários, como números de Seguro Social, declarações de impostos ou outras informações pessoais identificáveis. Também são alvo os novos funcionários que talvez tenham menor probabilidade de verificar solicitações de emails desconhecidos.

Praticamente todas as formas de ataques de BEC estão aumentando. Os ataques comuns de BEC incluem:5

  • DEC (Comprometimento por email direto): Contas de email comprometidas são usadas para executar engenharia social interna ou funções contábeis de terceiros a fim de transferir fundos para a conta bancária do invasor ou alterar informações de pagamento de uma conta existente.
  • VEC (Comprometimento de email de fornecedor): Executa a engenharia social em um relacionamento existente com um fornecedor, sequestrando um email relacionado a pagamentos e fazendo-se passar por funcionários da empresa para convencer um fornecedor a redirecionar o pagamento pendente para uma conta bancária ilícita.
  • Esquema de fatura falsa: Um golpe de engenharia social em massa que explora marcas comerciais conhecidas para convencer as empresas a pagar faturas falsas.
  • Usurpação de identidade de advogado: A exploração de relacionamentos de confiança com grandes escritórios de advocacia bem conhecidos para aumentar a credibilidade junto aos executivos de pequenas empresas e start-ups para concluir o pagamento de faturas pendentes, especialmente antes de eventos significativos, como abertura de ações na bolsa de valores. O redirecionamento de pagamento para uma conta bancária ilícita ocorre quando é feito um acordo sobre as condições de pagamento.
Octo Tempest
Octo Tempest é um coletivo com motivos financeiros de atores de ameaças nativos de língua inglesa, conhecidos por lançar campanhas abrangentes que apresentam com destaque as técnicas adversary-in-the-middle (AiTM), engenharia social e recursos de troca de SIM.
Cenário de phishing: Os usuários digitam a senha, MFA, são redirecionados; o proxy malicioso é envolvido
Diamond Sleet
Em agosto de 2023, o Diamond Sleet conduziu um comprometimento da cadeia de fornecedores do provedor de software alemão JetBrains, comprometendo servidores dos processos de criação, teste e implantação de softwares. Como o Diamond Sleet se infiltrou com sucesso em ambientes de criação, a Microsoft avaliou que essa atividade apresenta um risco particularmente alto para as organizações afetadas.
Sangria Tempest6
O Sangria Tempest, também conhecido como FIN, é conhecido por visar o setor de restaurantes, roubando dados de cartões de pagamento. Uma de suas iscas mais eficazes envolve uma acusação de intoxicação alimentar, cujos detalhes podem ser visualizados na abertura de um anexo malicioso.

O Sangria Tempest, que é principalmente do Leste Europeu, usou fóruns clandestinos para recrutar falantes nativos de inglês, que são treinados em como ligar para as lojas para enviar a isca por email. O grupo já roubou dezenas de milhares de dados de cartões de pagamento com esse processo.

Midnight Blizzard
Midnight Blizzard um ator de ameaças baseado na Rússia, conhecido por atingir principalmente governos, entidades diplomáticas, ONGs (organizações não governamentais) e provedores de serviços de TI, especialmente nos EUA e na Europa.

O Midnight Blizzard aproveita mensagens do Teams para enviar iscas que tentam roubar credenciais da organização-alvo, envolvendo um usuário e obtendo aprovação de prompts de MFA (autenticação multifator).

Você sabia?
A estratégia da Microsoft de nomenclatura de atores de ameaças mudou para uma nova taxonomia, inspirando-se em temas relacionados ao clima.
Lista de ameaças naturais e cibernéticas

Embora os ataques de engenharia social possam ser sofisticados, há coisas que você pode fazer para ajudar a evitá-los.7 Se você for esperto em relação à sua privacidade e segurança, poderá vencer os invasores em seu próprio jogo.

Primeiro, instrua os usuários a manter detalhes pessoais em suas contas particulares e a não misturá-los com emails da empresa ou tarefas relacionadas ao trabalho.

Também reforce o uso de MFA. Os engenheiros sociais normalmente buscam informações como credenciais de login. Ao habilitar a MFA,mesmo que um invasor obtenha seu nome de usuário e senha, ele ainda não conseguirá acessar suas contas e informações pessoais.8

Não abra emails ou anexos de fontes suspeitas. Se um amigo enviar um link no qual você precisa clicar com urgência, confirme com ele se a mensagem é realmente dele. Faça uma pausa e verifique se o remetente é quem diz ser antes de clicar em qualquer coisa.

Faça uma pausa e verifique

Desconfie de ofertas boas demais para serem verdade. Você não pode ganhar um sorteio do qual não participou, e nenhuma realeza estrangeira vai deixar para você uma grande quantia de dinheiro. Se parecer muito tentador, faça uma pesquisa rápida para determinar se a oferta é legítima ou uma armadilha.

Não compartilhe demais seus detalhes pessoais online. Os engenheiros sociais precisam que seus alvos confiem neles para que seus golpes funcionem. Se eles conseguirem encontrar seus dados pessoais em seus perfis de mídia social, poderão usá-los para ajudar a fazer com que seus golpes pareçam mais legítimos.

Proteja seus computadores e dispositivos. Use software antivírus, firewalls e filtros de email. Caso uma ameaça alcance o seu dispositivo, você terá proteção instalada para ajudar a manter suas informações seguras.

“Se você receber um telefonema ou email questionável, o segredo é desacelerar e verificar. As pessoas cometem erros quando agem muito rapidamente, por isso é importante lembrar aos funcionários que eles não precisam reagir imediatamente a esse tipo de situação.”
Jack Mott – Informações sobre ameaças da Microsoft

Saiba mais sobre como ajudar a proteger a sua organização assistindo a O risco da confiança: as ameaças da engenharia social e a defesa cibernética.

Artigos relacionados

Conselhos de especialista sobre os três desafios constantes em segurança cibernética

Justin Turner, gerente principal de grupo da Pesquisa da Segurança da Microsoft, compartilha sua visão sobre os três desafios constantes que ele observou ao longo de sua carreira em segurança cibernética: gerenciamento de configuração, aplicação de patches e visibilidade de dispositivos

O crime cibernético como serviço (CaaS) gera um aumento de 38% na fraude de email empresarial

O fenômeno do comprometimento de email empresarial (BEC) está crescendo, particularmente agora que os criminosos cibernéticos conseguem disfarçar a origem de seus ataques, tornando-os ainda mais perigosos. Saiba mais sobre o crime cibernético como serviço (CaaS) e como você pode proteger a sua organização.

A Microsoft, a Amazon e as autoridades policiais internacionais se unem para combater a fraude no suporte técnico

Veja como a Microsoft e a Amazon uniram forças pela primeira vez para acabar com as centrais de suporte técnico ilegais na Índia.