Engenharia Social | casos reais e a importância de conscientizar a sua equipe
- Julio Cesar Segantini
- 1 de jul. de 2021
- 4 min de leitura
No Brasil houve um crescimento de mais de 200% no número de detecções de ataques de engenharia social em 2020, em relação a 2019, segundo pesquisa da Eset, desenvolvedora de soluções de cibersegurança.
No artigo, O que é Engenharia Social e como se proteger?, tratamos o assunto engenharia social, uma das táticas mais utilizadas em ataques de hackers. Neste post, queremos reforçar a importância de manter sua equipe conscientizada sobre esse tema trazendo exemplos de casos reais.
Engenharia social é uma técnica utilizada por criminosos que se aproveitam da ingenuidade ou falta de conhecimento das pessoas. Assim, por meio da manipulação psicológica, o atacante consegue a cooperação da vítima para realizar golpes, seja para obter ganhos financeiros ou para acessar informações sigilosas.
Os casos de engenharia social listados abaixo nos trazem uma ideia de como esses ataques funcionam e do quanto podem custar para pessoas, empresas e governos.
Caso Toyota (Japão)
Em 2019, a Toyota Boshoku Corporation fabricante japonês de componentes automotivos, foi vítima de um ataque. Usando suas habilidades persuasivas, os atacantes convenceram um executivo do departamento financeiro a alterar as informações da conta bancária em uma transferência eletrônica de fundos. A quantia perdida chegou a USD 37 milhões.
Caso Condado de Cabarrus (Carolina do Norte, EUA)
Por meio de e-mails, apresentando uma documentação, aparentemente, legítima, os hackers se passaram por fornecedores do Condado de Cabarrus e solicitaram que os pagamentos já programados fossem realizados em uma nova conta bancária. O caso ocorreu em 2018 e o prejuízo foi de USD 1,7 milhão.
Caso Ethereum Classic
Cibercriminosos, por meio de engenharia social, conseguiram se passar pelo proprietário da Classic Ether Wallet obtendo acesso ao registro de domínio e redirecionando-o a um servidor próprio.
Desta forma, os atacantes adicionarem um código ao site que permitia a visualização das chaves privadas, as quais são usadas para as transações das criptomoedas, conseguindo roubar as criptomoedas Ethereum dos clientes da empresa. Várias pessoas perderam milhares de dólares em criptomoedas depois que o site da Ethereum Classic foi hackeado, em 2017.
Caso Target (EUA)
Em 2013, a Target, segunda maior rede de lojas de departamento dos EUA, sofreu um ataque deixando 40 milhões de informações de pagamentos de seus clientes vulneráveis aos hackers.
Primeiramente, os atacantes enviaram um e-mail de phishing – que tem o objetivo enganar usuários para obter informações confidenciais como nome de usuário e senha – aos funcionários de uma empresa parceira da Target. Assim, os criminosos conseguiram instalar um malware – um programa de computador destinado a infiltrar-se em um sistema de computador com o intuito de causar danos, alterações ou roubo de informações – para que conseguissem acessar a rede da Target.
O acesso a rede, permitiu que os criminosos instalassem outro malware no sistema da Target com o objetivo de copiar informações de cartões de crédito e débito dos clientes.
Caso Barbara Corcoran (EUA)
Barbara Ann Corcoran é uma empresária norte-americana muito conhecida nos EUA, principalmente, por sua participação no programa de televisão Shark Thank. Em 2020, um atacante, se passando por assistente da vítima, enviou um e-mail ao contador de Barbara solicitando o pagamento de USD 400.000 referentes a um investimento em imóveis. O e-mail utilizado pelo criminoso era muito similar ao endereço de e-mail verdadeiro da assistente.
Esta fraude acabou sendo descoberta porque o contador enviou um e-mail ao endereço correto da assistente, pedindo mais informações sobre a transação. Assim, a assistente real, que desconhecia o pedido de pagamento, pode constatar a tentativa de fraude.
Em todos esses casos de ataques utilizando a engenharia social, percebemos que o modo de agir do atacante é se passar por uma pessoa ou entidade e ele é bem-sucedido, quando a vítima não percebe a fraude. Os criminosos sabem usar a psicologia e tecnologia a seu favor na hora de convencer as vítimas, por isso, estar atento a esta possibilidade de ataque é nossa maior defesa.
Para as empresas, a melhor forma de se proteger é conscientizar seus colaboradores com campanhas de comunicação e treinamentos que abordem o tema. Desta forma, eles serão agentes treinados para identificar este tipo de ameaça, evitando prejuízos a sua organização.
E o que você pode fazer para se proteger?
Nunca abra links ou documentos anexos de mensagens duvidosas, principalmente, daquelas que parecem muito tentadoras e imperdíveis;
Verifique a autenticidade de mensagens recebidas quando o conteúdo parecer estranho. Mesmo se um amigo muito próximo solicitar algo incomum, como senhas ou dinheiro, cheque a informação por outro meio;
Nunca passe informações pessoais por e-mail, principalmente, se não foi você que iniciou o contato;
Verifique se o e-mail ou domínio do site é de fato o correto. Fraudadores criam a ilusão de que os domínios são legítimos para fazer as vítimas pensarem que estão em um local seguro. Um jeito de fazer isto é incluir letras a mais no domínio, por exemplo, Gooogle em vez de Google;
Lembre-se, senhas são pessoais e NUNCA devem ser compartilhadas.
Caso, tenha interesse de saber mais sobre este assunto, você pode entrar em contato conosco. Um dos treinamentos corporativos desenvolvidos pela Total Privacy, introdução à Segurança da Informação, aborda o tema engenharia social e facilita o entendimento sobre Segurança da Informação para profissionais que não possuem conhecimento sobre o assunto. Envie um e-mail para contato@totalprivacy.com.br.
Julio Cesar Segantini
Consultor de Privacidade e Proteção de Dados Pessoais