Trace Id is missing

Aproveitar a economia de confiança: fraude de engenharia social

Silhueta de uma pessoa feita de código com uma máscara na mão e a sair de um telemóvel. Bolas vermelhas, a representar atores de ameaças, seguem-na.

Num mundo cada vez mais online, onde a confiança é uma mais-valia e uma vulnerabilidade, os atores de ameaças procuram manipular o comportamento humano e tirar proveito da tendência das pessoas de querer ajudar. Nesta infografia, exploraremos a engenharia social, incluindo o motivo pelo qual os atores de ameaças valorizam mais as identidades profissionais do que todas as outras, e explicaremos algumas das formas de como manipulam a natureza humana para alcançar os seus objetivos.

Engenharia social e o encanto criminoso do phishing

Cerca de 901 por cento dos ataques de phishing envolvem táticas de engenharia social concebidas para manipular as vítimas, normalmente por e-mail, para que revelem informações confidenciais, cliquem em ligações maliciosas ou abram ficheiros maliciosos. Os ataques de phishing são económicos para os atacantes, adaptáveis para ajudar a contornar medidas de prevenção e exibem taxas de êxito elevadas.

As alavancas do comportamento humano

As técnicas de engenharia social tendem a assentar na utilização do atacante de confiança e persuasão para convencer os seus alvos a tomar medidas que normalmente seriam inusitadas. Três alavancas eficazes são urgência, emoção e hábito.2 Urgência  Ninguém quer perder uma oportunidade urgente ou falhar um prazo importante. O sentimento de urgência engana muitas vezes alvos normalmente racionais para os levar a entregar informações pessoais.
Exemplo: Falsa urgência
Notificação de Assinatura Eletrónica: Documento para consulta e assinatura do DocuSign. Mensagem importante.
“A imagem de marca de um e-mail de phishing é a adição de qualquer tipo de prazo. Querem fazer pressão para que seja tomada uma decisão em pouco tempo.”
Jack Mott – Informações sobre Ameaças da Microsoft

Emoção

Manipulação emocional pode dar aos ciberatacantes uma vantagem, uma vez que os seres humanos têm maior probabilidade de fazer ações arriscadas num estado emocional intenso, especialmente se estiverem envolvidos medo, culpa ou ira.

 

Exemplo: Manipulação Emocional

“O engodo mais eficaz que já vi foi um e-mail muito curto que dizia fomos contratados pelo seu cônjuge para preparar os seus documentos de divórcio. Clique na ligação para transferir a sua cópia.”
Sherrod DeGrippo – Informações sobre Ameaças da Microsoft

Hábito

Os criminosos são observadores ávidos de comportamento e prestam especial atenção aos tipos de hábitos e rotinas que as pessoas realizam “em piloto automático”, sem pensar muito.

 

Exemplo: Hábito comum

Numa técnica conhecida como “quishing3”, os criminosos fazem-se passar por uma empresa credível e pede que digitalize um código QR no e-mail. Por exemplo, podem dizer que precisa de digitalizar o código porque o seu pagamento de uma fatura não foi processado, ou que precisa de repor a sua palavra-passe.

“Os atores de ameaças adaptam-se aos ritmos empresariais. São excelentes e instalar engodos que fazem sentido no contexto em que normalmente os recebemos.”
Jack Mott – Informações sobre Ameaças da Microsoft

A fronteira entre a vida pessoal e profissional de um colaborador pode, por vezes, convergir. Um colaborador pode utilizar o seu e-mail de trabalho para contas pessoais que utilizam para o trabalho. Os atores de ameaças tentam, às vezes, aproveitar-se disso ao contactar com a aparência de serem um destes programas para obter acesso às informações empresariais do colaborador.

Diagrama a mostrar: programas de fidelidade, redes sociais, entrega ao domicílio, serviços de taxi, banca/investimento, transmitir em fluxo. Este diagrama mostra exemplos de como os atores de ameaças tentam obter acesso às informações empresariais de colaboradores
“Em esquemas de phishing por e-mail, os cibercriminosos verificam se os seus “engodos” apanharam endereços de e-mail empresariais. Endereços pessoais não valem a pena. Endereços profissionais são mais valiosos, pelo que põem mais recursos e concentração com mãos no teclado para personalizar ataques para essas contas.”
Jack Mott – Informações sobre Ameaças da Microsoft

A “burla lenta”

Os ataques de engenharia social, normalmente, são lentos. Os engenheiros sociais tendem a desenvolver confiança com as suas vítimas ao longo do tempo através de técnicas trabalhosas que começam com investigação. O ciclo para este tipo de manipulação pode ser como o seguinte:
  • Investigação: Os engenheiros identificam um alvo e obtêm informações de contexto, como potenciais pontos de entrada ou protocolos de segurança.
  • Infiltrar: Os engenheiros concentram-se em estabelecer confiança com o alvo.. Inventam uma história, captam a atenção do alvo e controlam a interação para direcioná-la de uma forma que beneficie o engenheiro.
  • Explorar: Os engenheiros sociais obtêm as informações do alvo ao longo do tempo. Tipicamente, o alvo entrega estas informações de boa vontade, e os engenheiros podem tirar partido disso para obter acesso a informações ainda mais confidenciais.
  • Retirar: Um engenheiro social levará a interação até um final natural. Um engenheiro hábil fará isto sem que o alvo comece a desconfiar de algo

Os ataques de BEC destacam-se na indústria do cibercrime pelo seu ênfase em engenharia social e na arte do engano. Os ataques de BEC com êxito custam às organizações centenas de milhões de dólares anualmente. Em 2022, o Centro de Reclamações de Crimes pela Internet do Federal Bureau of Investigation (FBI) registou perdas ajustadas de mais de 2,7 mil milhões USD de 21 832 reclamações de BEC arquivadas.4

Os principais alvos para o BEC são executivos e outros líderes superiores, gestores de finanças, pessoal de recursos humanos com acesso a registos de colaboradores como números de Segurança Social, declarações de impostos ou outras informações pessoais. Novos colaboradores, talvez com menor probabilidade de verificar pedidos de e-mail estranhos, também são visados.

Quase todas as formas de ataques de BEC estão a aumentar. Tipos de ataques de BEC incluem:5

  • Comprometimento de E-mail Direto (DEC): Contas de e-mail comprometidas são utilizadas para engenharia social de funções de contabilidade internas ou de terceiros para transferir fundos para a conta bancária do atacante ou alterar as informações de pagamento de uma conta existente.
  • Comprometimento de E-mail de Fornecedores (VEC): Engenharia social de uma relação de fornecedor existente ao intercetar um e-mail relacionado com um pagamento e fazer-se passar por colaboradores da empresa para convencer um fornecedor a redirecionar o pagamento em dívida para uma conta bancária ilícita.
  • Esquema de Fatura Falsa: Um esquema de engenharia social massivo que explora marcas bem conhecidas para convencer empresas a pagar faturas falsas.
  • Imitação de advogado: A exploração de relações fidedignas com grandes firmas de direito bem conhecidas para aumentar a credibilidade com executivos de pequenas empresas e start-ups para concluir o pagamento de faturas em dívida, particularmente antes de eventos significativos, como ofertas públicas de venda. O redirecionamento de pagamentos para uma conta bancária ilícita ocorre assim que for alcançado um acordo sobre os termos de pagamento.
Octo Tempest
Octo Tempest é um coletivo com motivações financeiras de atores de ameaças que falam inglês conhecidos por lançar campanhas amplas que incluem notavelmente técnicas de ”adversary-in-the-middle” (AiTM), engenharia social e capacidades de troca de SIM..
Cenário de phishing: Utilizador introduz palavra-passe, MFA, redirecionado; proxy malicioso envolvido
Diamond Sleet
Em agosto de 2023, o Diamond Sleet realizou um comprometimento da cadeia de abastecimento de software da fornecedora de software alemã JetBrains que comprometeu servidores para processos de desenvolvimento, teste e implementação de software. Uma vez que o Diamond Sleet infiltrou com êxito ambientes de compilação no passado, a Microsoft avalia que esta atividade representa um risco particularmente elevado para as organizações afetadas.
Sangria Tempest6
O Sangria Tempest, também conhecido como FIN, é conhecido por visar a indústria de restauração, roubando dados de cartões de pagamento. Um dos seus engodos mais eficazes envolve uma denúncia de intoxicação alimentar, cujos detalhes podem ser vistos ao abrir um anexo malicioso.

O Sangria Tempest, que é principalmente da Europa de Leste, utilizou fóruns clandestinos para recrutar falantes nativos de inglês, que são treinados em como ligar para lojas na entrega do engodo por e-mail. O grupo roubou dezenas de milhões de dados de cartões de pagamento através desse processo.

Midnight Blizzard
Midnight Blizzard é um ator de ameaças baseado na Rússia que visa principalmente governos, entidades diplomáticas, organizações não governamentais (ONG) e fornecedores de serviços de TI, principalmente nos EUA e na Europa.

O Midnight Blizzard tira partido de mensagens do Teams para enviar engodos que tentam roubar credenciais de uma organização visada ao interagir com um utilizador e provocar a aprovação de pedidos de autenticação multifator (MFA).

Sabia?
A estratégia de nomeação de atores de ameaças da Microsoft mudou para uma nova taxonomia de designações para atores de ameaças inspirada em temas relacionados com meteorologia.
Lista de Ameaças Naturais e Cibernéticas

Embora os ataques de engenharia social possam ser sofisticados, há coisas que pode fazer para ajudar a preveni-los.7 Se for inteligente com a sua privacidade e segurança, pode derrotar os atacantes no seu próprio jogo.

Primeiro, dê instruções aos utilizadores para manter as suas contas pessoais pessoais e não misturá-las com o e-mail profissional ou tarefas relacionadas com trabalho.

Além disso, certifique-se de que impõe a MFA. Os engenheiros sociais, normalmente, procura informações como credenciais de início de sessão. Ao ativar a MFA, mesmo que um atacante obtenha o seu nome de utilizador e palavra-passe, continuarão sem poder aceder às suas contas e informações pessoais.8

Não abra e-mails ou anexos de origens suspeitas. Se um amigo lhe enviar uma ligação em que precisa de clicar urgentemente, confirme com o seu amigo se a mensagem foi mesmo dele. Pare e pergunte-se se o remetente é quem diz ser antes de clicar em qualquer coisa.

Pare e verifique

Desconfie de ofertas que sejam demasiado boas para ser verdade. Não pode ganhar uma lotaria em que não participou, e nenhum membro da realeza estrangeiro lhe vai dar uma grande quantidade de dinheiro. Se parecer demasiado tentador, faça uma pesquisa rápida para determinar se a oferta é legítima ou uma armadilha.

Não partilhe demasiado online. Os engenheiros sociais precisam que os alvos confiem neles para que os esquemas funcionem. Se conseguirem encontrar os seus dados pessoais nos seus perfis de redes sociais, podem utilizá-los para ajudar a tornar os seus esquemas parecer mais legítimos.

Proteja os seus computadores e dispositivos. Utilize software antivírus, firewalls e filtros de e-mail. Caso uma ameaça chegue ao seu dispositivo, terá proteção implementada para ajudar a manter as suas informações seguras.

“Quando receber um telefonema ou um e-mail duvidoso, a solução é simplesmente abrandar e verificar. As pessoas cometem erros quando agem demasiado depressa, pelo que é importante lembrar aos colaboradores que não precisam de reagir imediatamente a estes tipos de situações.”
Jack Mott – Informações sobre Ameaças da Microsoft

Saiba mais sobre como ajudar a proteger a sua organização ao ver O risco da confiança: ameaças de engenharia social e ciberdefesa.

Artigos relacionados

Conselhos de especialista sobre os três desafios mais persistentes da cibersegurança

O Gestor de Grupo Principal Justin Turner, Pesquisa do Microsoft Security, descreve os três desafios persistentes que viu durante a sua carreira em cibersegurança: gestão de configuração, aplicação de patches e visibilidade de dispositivos

O cibercrime como serviço (CaaS) leva a um aumento de 38% da fraude de e-mail empresarial

O comprometimento de e-mail empresarial (BEC) está a crescer agora que os cibercriminosos podem ocultar a origem dos seus ataques para serem ainda mais malvados. Saiba mais sobre o CaaS e como ajudar a proteger a sua organização.

A Microsoft, a Amazon e as autoridades policiais internacionais unem-se para combater a fraude no suporte técnico

Veja como a Microsoft e a Amazon uniram forças pela primeira vez para desmantelar centros de atendimento telefónico de suporte técnico ilegais em toda a Índia.