O que é um ataque de engenharia social?

Em ataques de engenharia social, as vítimas são manipuladas para entregar informações confidenciais que podem ser utilizadas para fins maliciosos.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Definir engenharia social
  • Descrever vários tipos de ataques de engenharia social
  • Compreender as melhores práticas para evitar ser vítima de um ataque de engenharia social

Conteúdo relacionado


Quer saber mais?

Assine o theNET, uma recapitulação mensal feita pela Cloudflare dos insights mais populares da internet.

Consulte a política de privacidade da Cloudflare para saber como coletamos e processamos seus dados pessoais.

Copiar o link do artigo

O que é engenharia social?

Em termos gerais, a engenharia social é a prática de manipular as pessoas para que forneçam informações confidenciais. Ataques de engenharia social podem acontecer pessoalmente, como um ladrão que se disfarça de entregador para ser levado para dentro de um prédio. Em vez disso, este artigo se concentrará em ataques cibernéticos de engenharia social. Na maioria dos casos, esses ataques têm como objetivo fazer com que a vítima divulgue credenciais de login ou informações financeiras sensíveis.

  • Um invasor envia um e-mail para a vítima que parece vir de alguém da lista de contatos da vítima. Este e-mail pode conter um link suspeito que executará um ataque malicioso de cross-site scripting ou direcionará a vítima para um site malicioso.
  • Um invasor atrai os usuários on-line com links que afirmam ser downloads de filmes ou softwares populares, mas esses downloads contêm, na verdade, uma carga maliciosa.
  • Um invasor entra em contato uma vítima alegando ser um estrangeiro rico que precisa de informações da conta bancária dos Estados Unidos para transferir sua fortuna, oferecendo uma recompensa generosa à vítima em troca das informações de sua conta bancária. Na realidade, o invasor quer drenar as contas da vítima.
Exemplo de Engenharia Social

Além desses tipos de golpes de engenharia social pequenos e pessoais, também existem ataques de engenharia social mais sofisticados que são alavancados contra organizações inteiras, por exemplo, pen drives caídos. Esses ataques podem ter como alvo as redes de empresas bem protegidas, mesmo aquelas que não estão conectadas à internet. Os invasores fazem isso espalhando várias unidades USB pelo estacionamento da empresa-alvo. Eles colocam um rótulo atraente como "confidencial" nessas unidades na esperança de que algum funcionário curioso encontre um e insira em seu computador. Essas unidades podem conter vírus ou worms muito destrutivos que serão difíceis de detectar, pois estão entrando na rede a partir de um computador local.

Quais são alguns exemplos de ataques de engenharia social famosos?

A violação de dados da RSA em 2011 criou uma grande agitação, principalmente porque a RSA é uma empresa de segurança confiável. Essa violação interrompeu o popular serviço de autenticação de dois fatores da RSA, o SecurID. Embora todos os detalhes do ataque não tenham sido divulgados publicamente, sabe-se que ele começou com um ataque de engenharia social. O ataque foi iniciado com um ataque básico de phishing, em que os invasores enviaram e-mails para funcionários da RSA de baixo nível que pareciam ser e-mails da empresa sobre recrutamento. Um desses funcionários abriu um anexo neste e-mail que desencadeou o ataque.

A Associated Press foi vítima de um ataque de engenharia social em 2013 que levou a uma queda de US$ 136 bilhões no mercado de ações. Mais uma vez, isso foi realizado por um ataque de phishing enviado aos funcionários. Simplesmente abrindo um link no e-mail, um dos funcionários desencadeou o ataque que resultou no comprometimento da conta do Twitter da AP e os invasores tuitaram uma notícia falsa sobre uma explosão na Casa Branca. Esta notícia falsa circulou rapidamente e levou a uma queda livre de 150 pontos do Dow. Um grupo de hackers sírio conhecido como Exército Eletrônico Sírio assumiu a responsabilidade pelo ataque, mas nunca forneceu qualquer prova.

O ataque de violação de dados alavancado contra o Target em 2013 tornou-se um dos ataques cibernéticos mais infames da história, graças ao seu nível de sofisticação. Como os outros mencionados aqui, este ataque começou com engenharia social, mas os invasores não utilizaram quem trabalhava para o Target. Em vez disso, enviaram e-mails para funcionários de um fornecedor de calefação e ar-condicionado que tinha aparelhos de ar-condicionado de alta tecnologia instalados nas lojas do Target. Esses condicionadores de ar foram ligados aos sistemas de computador da loja do Target e, uma vez que os invasores conseguiram comprometer o fornecedor terceirizado, eles foram capazes de invadir as redes do Target e coletar informações de cartão de crédito de scanners de cartão de crédito em milhares de lojas, expondo os dados financeiros de cerca de 40 milhões de clientes do Target.

Como se proteger contra os ataques da engenharia social

Embora recursos de segurança automatizados, como rastreamento de e-mail, possam ajudar a impedir que invasores entrem em contato com as vítimas, a melhor defesa contra ataques de engenharia social é o bom senso combinado com um conhecimento atualizado dos ataques populares de engenharia social. A United States Computer Emergency Readiness Team (US-CERT) aconselha os cidadãos a serem cautelosos com qualquer comunicação suspeita e apenas enviar informações confidenciais pela web em páginas seguras (HTTPS e TLS São boas indicações de segurança do site). Eles também recomendam evitar clicar em links enviados em e-mails e, em vez disso, digitar os urls de empresas confiáveis diretamente no navegador. Os proprietários de sites podem fazer sua parte usando um serviço como a CDN da Cloudflare, que os alertará quando os invasores estiverem usando seu domínio em ataques de phishing.