Ataques de engenharia social superam total de 2019 durante pandemia

A tática de ataque conhecida como engenharia social, a qual se refere à persuasão de pessoas para a obtenção de informações pessoais, aumentou durante o primeiro semestre de 2020, de acordo com a NordVPN Teams. Relatório divulgado recentemente pelo provedor de VPN identificou três tipos diferentes de ataques de engenharia social, que corresponde a mais de dois terços de todos os ataques cibernéticos, segundo pesquisa.

De acordo com publicação do site TechRepublic, o FBI relatou que, em 28 de maio deste ano, havia recebido quase o mesmo número de denúncias sobre esse tipo de ataque do que o ano inteiro de 2019. A engenharia social agora responde por mais de dois terços de todos os ataques cibernéticos, com 96% deles conduzidos por meio de phishing, segundo relatório de investigações de violação de dados da Verizon de 2020.

Vetores de ataque

O relatório da NordVPN Teams aponta três vetores de ataque diferentes envolvendo engenharia social.

As campanhas de phishing atraem as vítimas para clicar em um link malicioso através do envio de e-mails, mensagens de texto e sites. Ao se passar por alguma referência familiar ou fonte confiável, esses ataques funcionam enganando alguém para que revele informações pessoais confidenciais ou entregue dinheiro.

“Os criminosos podem enganar um indivíduo fingindo ser uma empresa legítima ou agência governamental”, disse Juta Gurinaviciute, CTO da NordVPN Teams, no relatório. “Por exemplo, você pode receber um e-mail pedindo doações que supostamente são de uma organização sem fins lucrativos, ou um telefonema de seu banco solicitando seu número de seguro social”.

Nos ataques de pretexting, os cibercriminosos criam e usam uma identidade falsa para convencer as pessoas a fornecer informações privadas, fingindo ser um provedor de serviços de TI, por exemplo.

“A realidade é que os cibercriminosos estão constantemente tentando manipular seu caminho para locais digitais seguros”, disse Gurinaviciute. “Muitas vezes começa com um amigável ‘Olá’ e termina com as empresas perdendo milhares – às vezes, milhões – de dólares”.

Em ataques de baiting, os cibercriminosos atraem as vítimas com promessas de informações ou downloads, neste caso contendo um arquivo malicioso. Segundo o relatório, este tipo de ataque usou da Covid para atrair suas vítimas prometendo conselhos ou orientações sobre o vírus.

“A engenharia social e o software sem patch continuarão sendo as duas principais causas de exploits bem-sucedidos, como têm sido por mais de 30 anos”, disse Gurinaviciute. “Os cibercriminosos lucram com a instabilidade, que é um dos motivos pelos quais os ataques de engenharia social estão aumentando durante a Covid-19”.

Um ataque quid pro quo é semelhante, mas, em vez de oferecer algo de valor, o invasor promete realizar uma determinada ação em troca de uma ação da vítima, diz a publicação. “O ataque quid pro quo mais comum ocorre quando um hacker se faz passar por um membro da equipe de TI em uma grande organização e então oferece a eles algum tipo de atualização ou instalação de software”, disse Gurinaviciute. “Eles fingem estar ajudando, mas instruem as vítimas a realizar ações que irão comprometer sua máquina”.

O NordVPN Teams oferece alguns conselhos para evitar os ataques de engenharia social:

• Conscientização da segurança. Uma maneira de reduzir a ameaça de ataques de engenharia social é colocar a conscientização sobre a segurança no topo de sua agenda. Dados confidenciais, propriedade intelectual e sistemas digitais são tão seguros quanto os usuários mais fracos em sua organização. Sem um programa de conscientização de segurança, suas estratégias de gerenciamento de risco não serão tão eficazes.
• Autenticação multifator (MFA). Mesmo com medidas de segurança como software antivírus, firewalls, tecnologia de criptografia e testes de vulnerabilidade regulares, um invasor ainda pode comprometer contas e dados se você não tiver nenhum tipo de MFA em vigor.
• Zero standing privileges (ZSP). O Gartner recomenda adotar o ZSP como parte de sua postura de segurança. Com este método, um usuário recebe direitos de acesso a um determinado sistema, arquivo ou outro ativo apenas para uma tarefa específica e apenas pelo tempo necessário para concluir essa tarefa. Posteriormente, esses direitos são rescindidos. Mesmo que um cibercriminoso comprometa as credenciais do usuário, ele não obterá acesso a nenhum ativo confidencial.