"7 novas táticas de engenharia social que os agentes de ameaça estão usando"
Táticas antigas em novos pacotes lideram a lista de ataques de engenharia social atuais. Os especialistas fornecem exemplos reais;
Época de boom para a engenharia social. O pânico pandêmico, o desespero à medida que aumentavam as preocupações com a renda e a preocupação com a saúde e o bem-estar tornaram mais fácil para os criminosos explorar o medo.
A engenharia social, é claro, significa atacar o usuário e não o próprio sistema de computação, tentando extrair informações ou incitar uma ação que levará ao compromisso. É tão antigo quanto mentir, com um novo nome para a era da computação - e essa é uma metáfora perfeita de como as táticas de engenharia social evoluem. Geralmente são os mesmos truques embrulhados em uma nova embalagem.
Como os profissionais de segurança sabem, a embalagem é importante e um ataque familiar pode escapar das defesas de uma forma desconhecida.
Aqui estão algumas táticas que os especialistas em engenharia social dizem que estão em alta em 2021.
QR Codes maliciosos
A fraude de phishing relacionada ao QR codes apareceu na tela do radar no ano passado. Os QR codes - aqueles códigos de matriz em preto e branco legíveis por máquina dispostos em um quadrado - tornaram-se uma forma cada vez mais popular para as empresas se envolverem com os consumidores e fornecerem serviços no meio da Covid-19. Por exemplo, muitos restaurantes abandonaram os cardápios de papel e, em vez disso, permitem que os clientes digitalizem um QR code com seus smartphones.
Mas muitos dos sites para os quais os QR codes enviam as pessoas são operados por fornecedores terceirizados. Quando escaneado, um QR code malicioso pode conectar telefones a um destino malicioso - como clicar em um link inválido. Mesmo conceito; novo invólucro. As pessoas podem ficar condicionadas a simplesmente presumir que o código e o site são legítimos.
Os métodos de "entrega" para essa tática de engenharia social variam, como exemplo de folhetos exibindo códigos fraudulentos que anunciavam algo como: "Leia este QR code para ter a chance de ganhar um Xbox". Frequentemente, o código leva a um site duvidoso que baixa malware em seu smartphone.
Invasão de notificação de navegador
Há vários anos, os sites pedem aos visitantes que aprovem “notificações” do site. O que antes era uma forma útil de envolver os leitores e mantê-los atualizados agora é, claro, também uma ferramenta de engenharia social. Elas são chamadas de notificações push e podem ser transformadas em armas. O problema é que muitos usuários clicam cegamente em 'sim' para permitir essas notificações. Embora muitos usuários tenham aprendido algum nível de cautela com navegadores da web, as notificações parecem mais mensagens do sistema do próprio dispositivo, em vez do navegador.
Mesmo para usuários que não dizem sim cegamente, os golpistas encontram maneiras de instalar seus scripts de notificação. As táticas incluem disfarçar o consentimento da assinatura como outra ação, como um CAPTCHA, ou alternar os botões “aceitar” e “recusar” nos alertas de assinatura no meio da ação.
Assim que o criminoso tem o consentimento (obtido de maneira indevida) de um usuário, ele começa a inundá-lo com mensagens - e as mensagens geralmente são esquemas de phishing ou notificações de golpes que contêm malware.
Golpes de colaboração
Com essa tática de engenharia social, os criminosos cibernéticos visam profissionais em campos colaborativos, incluindo designers, desenvolvedores e até pesquisadores de segurança. A isca é um convite que os convida a colaborar no trabalho.
Os recentes bloqueios e a expansão do trabalho em casa aumentaram o conforto das pessoas com a colaboração remota, então essa tática se ajusta bem aos tempos.
Os atores da ameaça enviam um projeto do Visual Studio contendo código malicioso. O usuário executa o programa por conta própria e o dispositivo é infectado rapidamente. Este ataque essencialmente explora o desejo ou necessidade de assistir ou ajudar outras pessoas com projetos apaixonantes, esse tipo de ataque costuma ser bem elaborado e mostrado em grande atenção aos detalhes.
Os invasores se fazem passar por pesquisadores ativos e constroem provas sociais - com aparentes terceiros validando suas pesquisas - usando um blog que inclui artigos de fontes da indústria como 'posts convidados', contas do Twitter, vídeos do YouTube, LinkedIn, Discord e muito mais. Um alvo suspeito pode ficar à vontade com essa pegada social aparentemente ampla.
Roubo de identidade de parceiro da cadeia de suprimentos
Os ataques que exploram partes da cadeia de suprimentos de uma organização se tornou agora um grande problema. Não é fácil defender o que você não pode ver, e você é tão forte quanto o elo mais fraco, por exemplo: tem havido uma infinidade de e-mails direcionados que parecem ser de seus parceiros de confiança, mas na verdade são malfeitores se passando por funcionários que você talvez conheça em sua rede, mascarados como incentivos ou agradecimentos dos verdadeiros parceiros de negócios. Mas os ataques se tornaram ainda mais detalhados com o tempo. Vemos essas tentativas longas e sofisticadas de construir confiança ou relacionamentos com equipes externas cujo trabalho é ajudar. Os malfeitores até se passam por fornecedores usando o produto como contas gratuitas e casos de uso em cenários para envolver sua experiência.
Ao estabelecer essas relações de confiança, o objetivo final dos invasores é tornar as táticas de engenharia social padrão mais eficazes, obtendo ajuda para contornar os controles de segurança ou enviando malware que comprometerá os sistemas.
Gravações falsas
Os engenheiros sociais agora estão usando deepfakes - gravações surpreendentemente realistas que usam inteligência artificial para simular a aparência ou voz de uma pessoa específica - para induzir as vítimas a divulgar informações ou realizar uma ação que o beneficie.
Esses ataques falsos de áudio - nos quais o invasor usa uma voz "clonada" que é quase indistinguível da voz de uma pessoa real para criar uma gravação de áudio fraudulenta - são uma preocupação crescente. Um dos primeiros exemplos de sucesso veio em 2019, quando uma gravação falsa da voz de um CEO foi usada para instruir um funcionário a transferir dinheiro imediatamente para uma conta internacional. A gravação foi deixada como mensagem de voz para o subordinado, que obedeceu às instruções fraudulentas e enviou US$ 243.000 para os agressores. Essas gravações deepfake que manipulam funcionários a enviar dinheiro ou oferecer informações privadas - apenas gravações de áudio estão ficando ultrapassadas, o negócio agora é deepfakes de vídeo.
Treinamento, conscientização, autorrelato e transparência serão a única maneira de dimensionar a segurança em torno desses ataques, a segurança precisa ser acessível e, claro, registrar tudo.
Fraude de mensagens de texto
Embora as plataformas de mensagem tenham sido um canal para golpes de engenharia social por um tempo, as táticas de mensagem de texto estão em destaque.
Estamos nos tornando uma sociedade onde grande parte da população prefere se comunicar por mensagens de texto ao invés por meio de voz, ou seja, do modo convencional como antigamente. As pessoas agora estão extremamente acostumadas a comunicar tipos de informações muito confidenciais por texto.
Como a entrega de alimentos e mercearias cresceu no ano passado, as mensagens por texto fraudulentas relacionadas ao delivery aumentaram. Outras iscas comuns incluem mensagens de texto que prometem informações sobre o auxílio financeiro à população do governo do EUA em relação à Covid, que vinculam as vítimas a um site que se parece com o site da Receita Federal e pede informações pessoais confidenciais, como data de nascimento e número do seguro social (documento equivalente ao CPF).
Outro exemplo de fraude de mensagem de texto são de que os fraudadores se faziam passar pelo Departamento de Saúde e Serviços Humanos dos Estados Unidos e diziam às vítimas que elas deveriam fazer um "teste Covid on-line obrigatório" usando um link fornecido.
Tal como acontece com os QR codes, as vítimas simplesmente não desenvolveram o nível de consciência e cautela necessário.
Typosquatting ou domínios semelhantes
Typosquatting - ou sequestro de URL - costumam ser servidos em um ataque de comprometimento de e-mail comercial (BEC). Os fraudadores se fazem passar por domínios legítimos para fazer as vítimas pensarem que estão em um local seguro.
Eles fazem isso com muitos truques, incluindo erros de ortografia no domínio (imagine Gooogle em vez de Google) ou adicionando um domínio de nível superior diferente (.uk em vez de .co.uk). Ao contrário das versões geralmente desleixadas dos primeiros dias, hoje esses sites podem apresentar designs sofisticados, mimetismo cuidadosamente detalhado de sites legítimos e funcionalidades sofisticadas.
Vítimas de engenharia social geralmente são induzidas a sentir segurança psicológica por sua escolha ou a buscar segurança psicológica de uma forma que caia nas mãos de um atacante.
Os criminosos configuram esses sites não apenas para entregar malware, mas também para capturar informações de cartão de crédito ou outros dados confidenciais por meio de campos de login falsos ou outros formulários falsos.