Introdução
Em seu livro, “The Art of Deception”, o popular hacker Kevin Mitnick explicou o poder das técnicas de engenharia social . Hoje, estamos cientes de que a engenharia social pode ser combinada com hackers para impulsionar ataques insidiosos.
Vamos considerar, por exemplo, mídias sociais e plataformas móveis; são vetores de ataque poderosos para várias categorias de agentes de ameaças porque eles permitem atingir grandes públicos instantaneamente.
A maioria dos ataques que exploram ambos os paradigmas são eficazes porque aproveitam o conceito de “confiança” no qual as redes sociais são construídas.
Vamos dar uma olhada nos ataques de engenharia social mais comuns usados para visar usuários.
Phishing
Os ataques de phishing são o tipo mais comum de ataque que utiliza técnicas de engenharia social. Os invasores usam e-mails, mídia social, mensagens instantâneas e SMS para induzir as vítimas a fornecer informações confidenciais ou visitar URLs maliciosos na tentativa de comprometer seus sistemas.
Os ataques de phishing apresentam as seguintes características comuns:
- As mensagens são compostas para atrair a atenção do usuário, em muitos casos para estimular sua curiosidade ao fornecer algumas informações sobre um tema específico e sugerir que as vítimas visitem um determinado site para saber mais.
- As mensagens de phishing destinadas a coletar informações do usuário transmitem um senso de urgência. Esta é uma tentativa de induzir a vítima a divulgar dados confidenciais a fim de resolver uma situação que pode piorar sem a interação da vítima.
- Os invasores usam URL encurtado ou links incorporados para redirecionar as vítimas para um domínio malicioso que pode hospedar códigos de exploração ou que pode ser um clone de sites legítimos com URLs que parecem legítimos. Em muitos casos, o link real e o link visual no e-mail são diferentes; por exemplo, o hiperlink no e-mail não aponta para o mesmo local que o hiperlink aparente exibido aos usuários.
- As mensagens de e-mail de phishing têm uma linha de assunto enganosa para atrair o destinatário acreditar que o e-mail veio de uma fonte confiável. Os invasores usam um endereço de remetente forjado ou a identidade falsa da organização. Eles geralmente copiam conteúdos como textos, logotipos, imagens e estilos usados no site legítimo para torná-lo genuíno.
Watering hole
Um ataque de watering hole consiste em injetar código malicioso nas páginas da web públicas de um site que os alvos costumavam visitar. O método de injeção não é novo e é comumente usado por cibercriminosos e hackers. Os atacantes comprometem sites dentro de um setor específico que são normalmente visitados por indivíduos específicos de interesse para os ataques.
Depois que a vítima visita a página no site comprometido, um cavalo de Troia backdoor é instalado em seu computador. Um método de ataque watering hole é muito comum para uma operação de espionagem cibernética ou ataques patrocinados pelo estado.
É uma convicção comum que esse tipo de ataque está relacionado a ofensivas patrocinadas pelo estado. A escolha do site a comprometer, o estudo dos hábitos da vítima e a adoção de um código de exploração eficiente são etapas que requerem um esforço significativo na fase de preparação do ataque.
A eficiência dos ataques watering hole aumenta com o uso de exploits de dia zero que afetam o software da vítima. Nesse caso, as vítimas não têm como proteger seus sistemas da difusão de malware.
Ataque de baleia
A caça de baleias é outra evolução dos ataques de phishing que usa técnicas sofisticadas de engenharia social para roubar informações confidenciais , dados pessoais, credenciais de acesso a serviços / recursos restritos e, especificamente, informações com valor relevante de uma perspectiva econômica e comercial.
O que distingue esta categoria de phishing de outras é a escolha dos alvos: executivos relevantes da empresas privadas e agências governamentais. A palavra caça às baleias é usada, indicando que o alvo é um grande alvo a ser capturado.
A caça às baleias adota os mesmos métodos de ataques de caça submarina. O e-mail fraudulento foi projetado para se mascarar como um e-mail comercial crítico enviado de uma autoridade legítima, geralmente de executivos relevantes de organizações importantes. Normalmente, o conteúdo da mensagem enviada é projetado para a alta administração e relata algum tipo de preocupação falsa de toda a empresa ou informações altamente confidenciais.
Pretexting
O termo pretexting indica a prática de apresentar-se como outra pessoa para obter informações privadas. Normalmente, os invasores criam uma identidade falsa e a usam para manipular o recebimento de informações.
Os invasores que usam essa técnica de engenharia social específica adotam várias identidades que criaram.Esse mau hábito pode expor suas operações às investigações conduzidas por especialistas em segurança e agentes da lei.
O sucesso do ataque com pretextos finge que o invasor tem a capacidade de construir confiança.
Mais avançado formas de ataques com pretextos tentam manipular as vítimas para que executem uma ação que permita a um invasor descobrir e explorar um ponto de falha dentro de uma organização.
Um invasor pode se passar por um operador de serviços de TI externo para solicitar à equipe interna informações que poderiam permitir o acesso a sistemas dentro da organização.
Ataques de isca e quid pro quo
Outra técnica de engenharia social é a isca que explora a curiosidade humana. A isca às vezes é confundida com outros ataques de engenharia social. Sua principal característica é a promessa de bens que os hackers usam para enganar as vítimas.
Um exemplo clássico é um cenário de ataque em que os atacantes usam um arquivo malicioso disfarçado de atualização de software ou software genérico. Um invasor também pode gerar um ataque de isca no mundo físico, por exemplo, disseminar tokens USB infectados no estacionamento de uma organização alvo e esperar que o pessoal interno os insira em PCs corporativos.
O malware instalado em os tokens USB comprometerão os PCs, ganhando o controle total necessário para os ataques.
Um ataque quid pro quo (também conhecido como ataque de “algo por algo”) é uma variante da isca. Em vez de atrair um alvo com a promessa de um bom ataque quid pro quo promete um serviço ou benefício baseado na execução de uma ação específica.
Em um cenário de ataque quid pro quo, o hacker oferece um serviço ou benefício em troca para obter informações ou acesso.
O ataque quid pro quo mais comum ocorre quando um hacker se faz passar por um funcionário de TI de uma grande organização. Esse hacker tenta entrar em contato por telefone com os funcionários da organização-alvo e então lhes oferece algum tipo de atualização ou instalação de software.
Eles podem reque st vítimas para facilitar a operação, desativando o software AV temporariamente para instalar o aplicativo malicioso.
Tailgating
O ataque de tailgating, também conhecido como “piggybacking”, envolve um invasor que busca entrada uma área restrita que não possui a autenticação adequada.
O invasor pode simplesmente entrar atrás de uma pessoa autorizada a acessar a área. Em um cenário típico de ataque, uma pessoa se faz passar por um motorista de entrega carregado de pacotes e espera até que um funcionário abra a porta. O invasor pede que o funcionário segure a porta, contornando as medidas de segurança em vigor (por exemplo, controle de acesso eletrônico).
Leia mais sobre ataques de engenharia social
10 ataques de phishing mais comuns
5 ameaças de engenharia social à privacidade do funcionário
spear-phishing e caça à baleia
Fontes
5 engenharia social Attacks to Watch Out For, The State of Security
Qingxiong Ma, “O processo e as características dos ataques de phishing: Um estudo de caso de uma pequena empresa de comércio internacional,” Journal of Technology Research
The Estrutura de engenharia social, segurança pela educação
Engenharia social: ataques Quid Pro Quo, LinkedIn
Engenharia social: o que é uso não autorizado ?, Mailfence