7 novas táticas de engenharia social que os agentes de ameaça estão usando

Táticas antigas em novos pacotes lideram a lista de ataques de engenharia social atuais. Os especialistas fornecem exemplos do mundo real

Author Photo
8:35 am - 15 de abril de 2021

É uma época de boom para a engenharia social. O pânico pandêmico, o desespero à medida que aumentavam as preocupações com a renda e a preocupação com a saúde e o bem-estar tornaram mais fácil para os criminosos explorar o medo.

A engenharia social, é claro, significa atacar o usuário e não o próprio sistema de computação, tentando extrair informações ou incitar uma ação que levará ao compromisso. É tão antigo quanto mentir, com um novo nome para a era da computação – e essa é uma metáfora perfeita de como as táticas de engenharia social evoluem.

“Geralmente são os mesmos truques embrulhados em uma nova embalagem – e é exatamente isso o que estamos vendo”, disse Perry Carpenter, evangelista Chefe e Diretor de Estratégia da KnowBe4, uma empresa de treinamento de conscientização de segurança.

Como os profissionais de segurança sabem, a embalagem é importante e um ataque familiar pode escapar das defesas de uma forma desconhecida.

Aqui estão algumas táticas que os especialistas em engenharia social dizem que estão em alta em 2021.

QR Codes maliciosos

A fraude de phishing relacionada ao QR codes apareceu na tela do radar no ano passado.

Os QR codes – aqueles códigos de matriz em preto e branco legíveis por máquina dispostos em um quadrado – tornaram-se uma forma cada vez mais popular para as empresas se envolverem com os consumidores e fornecerem serviços no meio da Covid-19. Por exemplo, muitos restaurantes abandonaram os cardápios de papel e, em vez disso, permitem que os clientes digitalizem um QR code com seus smartphones.

Mas muitos dos sites para os quais os QR codes enviam as pessoas são operados por fornecedores terceirizados. Quando escaneado, um QR code malicioso pode conectar telefones a um destino malicioso – como clicar em um link inválido. Mesmo conceito; novo invólucro.

“As pessoas podem ficar condicionadas a simplesmente presumir que o código e o site são legítimos”, disse Carpenter.

Os métodos de “entrega” para essa tática de engenharia social variam. Oz Alashe, CEO da CybSafe, empresa de analytics e segurança sediada no Reino Unido, disse ter ouvido falar de folhetos em alguns bairros com códigos fraudulentos que anunciavam algo como: “Leia este QR code para ter a chance de ganhar um Xbox”.

“Frequentemente, o código leva a um site duvidoso que baixa malware em seu telefone”, disse Alashe.

Invasão de notificação de navegador

Há vários anos, os sites pedem aos visitantes que aprovem “notificações” do site. O que antes era uma forma útil de envolver os leitores e mantê-los atualizados agora é, claro, também uma ferramenta de engenharia social.

“Elas são chamadas de notificações push e podem ser transformadas em armas”, disse Carpenter. “O problema é que muitos usuários clicam cegamente em ‘sim’ para permitir essas notificações”. Embora muitos usuários tenham aprendido algum nível de cautela com navegadores da web, as notificações parecem mais mensagens do sistema do próprio dispositivo, em vez do navegador.

Mesmo para usuários que não dizem sim cegamente, os golpistas encontram maneiras de instalar seus scripts de notificação. As táticas incluem disfarçar o consentimento da assinatura como outra ação, como um CAPTCHA, ou alternar os botões “aceitar” e “recusar” nos alertas de assinatura no meio da ação.

Assim que o criminoso tem o consentimento (obtido de maneira indevida) de um usuário, ele começa a inundá-lo com mensagens – e as mensagens geralmente são esquemas de phishing ou notificações de golpes que contêm malware.

Golpes de colaboração

Com essa tática de engenharia social, os criminosos cibernéticos visam profissionais em campos colaborativos, disse Alashe, incluindo designers, desenvolvedores e até pesquisadores de segurança. A isca é um convite que os convida a colaborar no trabalho.

Os recentes bloqueios de pandemia e a expansão do trabalho em casa aumentaram o conforto das pessoas com a colaboração remota, então essa tática se ajusta bem aos tempos.

“Os atores da ameaça enviam um projeto do Visual Studio contendo código malicioso. O usuário executa o programa por conta própria e o dispositivo é infectado rapidamente. Este ataque essencialmente explora o desejo ou necessidade de assistir ou ajudar outras pessoas com projetos apaixonantes”, disse Alashe.

Tzury Bar Yochay, Cofundador e CTO da empresa de segurança Reblaze, disse que os exemplos desse ataque costumam ser bem elaborados, mostrando grande atenção aos detalhes.

“Os invasores se faziam passar por pesquisadores ativos e construíam provas sociais” – com aparentes terceiros validando suas pesquisas – “usando um blog que inclui artigos de fontes da indústria como ‘posts convidados’, contas do Twitter, vídeos do YouTube, LinkedIn, Discord e muito mais”, disse. Um alvo suspeito pode ficar à vontade com essa pegada social aparentemente ampla.

Roubo de identidade de parceiro da cadeia de suprimentos

George Gerchow, CSO da Sumo Logic, disse que os ataques que exploram partes da cadeia de suprimentos de uma organização são agora um grande problema.

“Não é fácil defender o que você não pode ver, e você é tão forte quanto o elo mais fraco”, disse Gerchow. “Por exemplo, tem havido uma infinidade de e-mails direcionados que parecem ser de seus parceiros de confiança, mas na verdade são malfeitores se passando por funcionários que você talvez conheça em sua rede”.

Gerchow disse que primeiro observou ofertas fraudulentas de cartões-presente apresentados aos funcionários da Sumo Logic, mascarados como incentivos ou agradecimentos dos verdadeiros parceiros de negócios da empresa.

Mas os ataques se tornaram ainda mais detalhados com o tempo.

“Agora vemos essas tentativas longas e sofisticadas de construir confiança ou relacionamentos com algumas de nossas equipes externas cujo trabalho é ajudar. Os malfeitores até se passaram por fornecedores usando nosso produto com contas gratuitas e passaram por casos de uso e cenários para envolver a experiência dentro de nossa empresa”.

Ao estabelecer essas relações de confiança, o objetivo final dos invasores é tornar as táticas de engenharia social padrão mais eficazes, obtendo ajuda para contornar os controles de segurança ou enviando malware que comprometerá os sistemas da empresa-alvo.

O ataque à SolarWinds é um exemplo de ataque à cadeia de suprimentos – nesse caso, uma versão específica chamada ataque de comprometimento de e-mail do fornecedor (VEC). Como observaram os funcionários da SolarWinds, uma “conta de e-mail foi comprometida e usada para acessar programaticamente contas de funcionários da SolarWinds em funções comerciais e técnicas”.

Gravações falsas

Os engenheiros sociais agora estão usando deepfakes – gravações surpreendentemente realistas que usam inteligência artificial para simular a aparência ou voz de uma pessoa específica – para induzir as vítimas a divulgar informações ou realizar uma ação que beneficie o invasor.

Bar Yochay, da Reblaze, disse que os ataques falsos de áudio – nos quais o invasor usa uma voz “clonada” que é quase indistinguível da voz de uma pessoa real para criar uma gravação de áudio fraudulenta – são uma preocupação crescente. Um dos primeiros exemplos de sucesso veio em 2019, quando uma gravação falsa da voz de um CEO foi usada para instruir um funcionário a transferir dinheiro imediatamente para uma conta internacional.

“A gravação foi deixada como mensagem de voz para o subordinado, que obedeceu às instruções fraudulentas e enviou US$ 243.000 para os agressores”, disse Bar Yochav.

Gerchow também disse que viu criminosos usarem gravações deepfake para manipular funcionários a enviar dinheiro ou oferecer informações privadas – apenas gravações de áudio até agora, mas Gerchow acredita que deepfakes de vídeo são apenas uma questão de tempo.

“Treinamento, conscientização, autorrelato e transparência serão a única maneira de dimensionar a segurança em torno desses ataques”, disse Gerchow. “A segurança precisa ser acessível e, claro, registrar tudo”.

Fraude de mensagens de texto

Embora as plataformas de mensagem tenham sido um canal para golpes de engenharia social por um tempo, Rebecca Herold, uma especialista em privacidade e segurança, diz que as táticas de mensagem de texto estão em destaque.

“Estamos nos tornando uma sociedade onde grande parte da população prefere se comunicar por mensagens de texto ao invés de telefone. As pessoas agora estão extremamente acostumadas a comunicar tipos de informações muito confidenciais por texto”, diz Herold.

Como a entrega de alimentos e mercearias cresceu no ano passado, as mensagens por texto fraudulentas relacionadas ao delivery aumentaram. Outras iscas comuns incluem mensagens de texto que prometem informações sobre o auxílio financeiro à população do governo dos EUA em relação à Covid, que vinculam as vítimas a um site que se parece com o site da Receita Federal do país e pede informações pessoais confidenciais, como data de nascimento e número do seguro social (documento equivalente ao CPF).

Herold disse que também viu golpes de mensagens de texto nos quais os fraudadores se faziam passar pelo Departamento de Saúde e Serviços Humanos dos Estados Unidos e diziam às vítimas que elas deveriam fazer um “teste Covid on-line obrigatório” usando um link fornecido.

“Então, como outros golpes, suas informações pessoais são roubadas e o malware geralmente é carregado em seu dispositivo de computação”, disse Herold.

Tal como acontece com os QR codes, as vítimas simplesmente não desenvolveram o nível de consciência e cautela necessário.

Typosquatting ou domínios semelhantes

Carpenter disse que typosquatting – ou sequestro de URL – costumam ser servidos em um ataque de comprometimento de e-mail comercial (BEC). Os fraudadores se fazem passar por domínios legítimos para fazer as vítimas pensarem que estão em um local seguro.

Eles fazem isso com muitos truques, incluindo erros de ortografia no domínio (imagine Gooogle em vez de Google) ou adicionando um domínio de nível superior diferente (.uk em vez de .co.uk). Ao contrário das versões geralmente desleixadas dos primeiros dias, hoje esses sites podem apresentar designs sofisticados, mimetismo cuidadosamente detalhado de sites legítimos e funcionalidades sofisticadas.

“Vítimas de engenharia social geralmente são induzidas a sentir segurança psicológica por sua escolha ou a buscar segurança psicológica de uma forma que caia nas mãos de um atacante”, disse Carpenter.

Os criminosos configuram esses sites não apenas para entregar malware, mas também para capturar informações de cartão de crédito ou outros dados confidenciais por meio de campos de login falsos ou outros formulários falsos.

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.