Em ataques de engenharia social, as vítimas são manipuladas para entregar informações confidenciais que podem ser utilizadas para fins maliciosos.
Após ler este artigo, você será capaz de:
Conteúdo relacionado
O que é uma violação de dados?
Segurança de aplicativos web?
Ataque de força bruta
Ataque on-path
Ataque de estouro de buffer
Assine o theNET, uma recapitulação mensal feita pela Cloudflare dos insights mais populares da internet.
Copiar o link do artigo
Em termos gerais, a engenharia social é a prática de manipular as pessoas para que forneçam informações confidenciais. Ataques de engenharia social podem acontecer pessoalmente, como um ladrão que se disfarça de entregador para ser levado para dentro de um prédio. Em vez disso, este artigo se concentrará em ataques cibernéticos de engenharia social. Na maioria dos casos, esses ataques têm como objetivo fazer com que a vítima divulgue credenciais de login ou informações financeiras sensíveis.
Além desses tipos de golpes de engenharia social pequenos e pessoais, também existem ataques de engenharia social mais sofisticados que são alavancados contra organizações inteiras, por exemplo, pen drives caídos. Esses ataques podem ter como alvo as redes de empresas bem protegidas, mesmo aquelas que não estão conectadas à internet. Os invasores fazem isso espalhando várias unidades USB pelo estacionamento da empresa-alvo. Eles colocam um rótulo atraente como "confidencial" nessas unidades na esperança de que algum funcionário curioso encontre um e insira em seu computador. Essas unidades podem conter vírus ou worms muito destrutivos que serão difíceis de detectar, pois estão entrando na rede a partir de um computador local.
A violação de dados da RSA em 2011 criou uma grande agitação, principalmente porque a RSA é uma empresa de segurança confiável. Essa violação interrompeu o popular serviço de autenticação de dois fatores da RSA, o SecurID. Embora todos os detalhes do ataque não tenham sido divulgados publicamente, sabe-se que ele começou com um ataque de engenharia social. O ataque foi iniciado com um ataque básico de phishing, em que os invasores enviaram e-mails para funcionários da RSA de baixo nível que pareciam ser e-mails da empresa sobre recrutamento. Um desses funcionários abriu um anexo neste e-mail que desencadeou o ataque.
A Associated Press foi vítima de um ataque de engenharia social em 2013 que levou a uma queda de US$ 136 bilhões no mercado de ações. Mais uma vez, isso foi realizado por um ataque de phishing enviado aos funcionários. Simplesmente abrindo um link no e-mail, um dos funcionários desencadeou o ataque que resultou no comprometimento da conta do Twitter da AP e os invasores tuitaram uma notícia falsa sobre uma explosão na Casa Branca. Esta notícia falsa circulou rapidamente e levou a uma queda livre de 150 pontos do Dow. Um grupo de hackers sírio conhecido como Exército Eletrônico Sírio assumiu a responsabilidade pelo ataque, mas nunca forneceu qualquer prova.
O ataque de violação de dados alavancado contra o Target em 2013 tornou-se um dos ataques cibernéticos mais infames da história, graças ao seu nível de sofisticação. Como os outros mencionados aqui, este ataque começou com engenharia social, mas os invasores não utilizaram quem trabalhava para o Target. Em vez disso, enviaram e-mails para funcionários de um fornecedor de calefação e ar-condicionado que tinha aparelhos de ar-condicionado de alta tecnologia instalados nas lojas do Target. Esses condicionadores de ar foram ligados aos sistemas de computador da loja do Target e, uma vez que os invasores conseguiram comprometer o fornecedor terceirizado, eles foram capazes de invadir as redes do Target e coletar informações de cartão de crédito de scanners de cartão de crédito em milhares de lojas, expondo os dados financeiros de cerca de 40 milhões de clientes do Target.
Embora recursos de segurança automatizados, como rastreamento de e-mail, possam ajudar a impedir que invasores entrem em contato com as vítimas, a melhor defesa contra ataques de engenharia social é o bom senso combinado com um conhecimento atualizado dos ataques populares de engenharia social. A United States Computer Emergency Readiness Team (US-CERT) aconselha os cidadãos a serem cautelosos com qualquer comunicação suspeita e apenas enviar informações confidenciais pela web em páginas seguras (HTTPS e TLS São boas indicações de segurança do site). Eles também recomendam evitar clicar em links enviados em e-mails e, em vez disso, digitar os urls de empresas confiáveis diretamente no navegador. Os proprietários de sites podem fazer sua parte usando um serviço como a CDN da Cloudflare, que os alertará quando os invasores estiverem usando seu domínio em ataques de phishing.