No post de hoje, discutimos alguns truques de engenharia social comumente empregados por cibercriminosos para atacar empresas. Separamos diversas variações de golpes envolvendo ligações e e-mails de suporte técnico falso; ataques de comprometimento de e-mail comercial; pedidos de dados de falsas agências de aplicação da lei… confira a seguir.
Olá, aqui é do suporte técnico
Um esquema clássico de engenharia social é uma chamada para um funcionário da empresa vinda do “suporte técnico”. Por exemplo, os hackers podem ligar em um fim de semana e dizer algo como: “Olá, este é o serviço de suporte técnico da empresa. Detectamos atividade estranha em seu computador de trabalho. Você precisa vir ao escritório imediatamente para que possamos descobrir o que é”. É claro que poucas pessoas querem ir ao escritório em um fim de semana, então o sujeito do suporte técnico “relutantemente” concorda, “apenas uma única vez”, em quebrar o protocolo da empresa e resolver o problema remotamente. Mas, para fazer isso, eles precisarão das credenciais de login do funcionário. Você pode imaginar o que vai acontecer na sequência.
Há uma variação desse esquema que se espalhou durante a migração em massa para o trabalho remoto durante a pandemia. O falso suporte técnico “percebe” atividades suspeitas no laptop da vítima usado para trabalhar em casa e sugere resolver o problema usando uma conexão remota, por meio de um RAT. Mais uma vez, o resultado é bastante previsível.
Confirme, confirme, confirme…
Vamos continuar com o tópico do falso suporte técnico. Uma técnica interessante foi detectada durante um ataque a Uber em 2022, quando um hacker de 18 anos conseguiu comprometer vários sistemas da empresa. O ataque começou com o criminoso obtendo os detalhes de login pessoal de um contratado da Uber na dark web. No entanto, para obter acesso aos sistemas internos da empresa, ainda havia o pequeno problema de passar pela autenticação multifator…
E é aí que entra a engenharia social. Por meio de inúmeras tentativas de login, o hacker enviou spam ao infeliz contratante com solicitações de autenticação e, em seguida, enviou uma mensagem ao contratante no WhatsApp sob o disfarce de suporte técnico com uma proposta de solução para o problema: interromper o fluxo de spam, basta confirmar um. Assim, a última barreira na rede do Uber foi removida.
Aqui é o chefe. Eu preciso de uma transferência de dinheiro agora!
Vamos voltar a um clássico novamente. O próximo golpe da fila é um tipo de ofensiva conhecida como ataque de comprometimento de e-mail comercial (BEC). A ideia por trás dele é, de alguma forma, iniciar uma correspondência com os funcionários da empresa, geralmente se passando por um gerente ou um importante parceiro de negócios. Normalmente, o objetivo da mensagem é fazer com que a vítima transfira dinheiro para uma conta especificada pelos golpistas. Enquanto isso, os cenários de ataque podem variar: se os criminosos estiverem mais interessados em se infiltrar na rede interna da empresa, eles podem enviar à vítima um anexo malicioso para servir de vetor de ataque.
De uma forma ou de outra, todos os ataques BEC giram em torno do comprometimento de e-mail; mas esse é apenas o aspecto técnico. Um papel muito maior é desempenhado pelo elemento de engenharia social. Enquanto a maioria dos e-mails fraudulentos direcionados a usuários comuns não provocam nada além de risos, as operações BEC envolvem pessoas com experiência em grandes empresas que são capazes de escrever e-mails comerciais plausíveis e persuadir os destinatários a fazer o que os criminosos desejam.
Onde paramos?
Vale a pena observar separadamente uma técnica específica de ataque BEC que se tornou muito popular entre os cibercriminosos nos últimos anos. Conhecido como sequestro de conversas, o esquema permite que os invasores se insiram na correspondência comercial existente, fazendo-se passar por um dos participantes. Geralmente, nem invasão de contas nem truques técnicos são usados para disfarçar o remetente – tudo o que os criminosos precisam é obter um e-mail real e criar um domínio semelhante. Dessa forma, eles ganham automaticamente a confiança de todos os outros participantes, permitindo que eles conduzam a conversa gentilmente na direção que desejam. Para realizar esse tipo de ataque, os cibercriminosos geralmente compram bancos de dados de correspondência de e-mail roubada ou vazada na dark web.
Os cenários de ataque podem variar. O uso de phishing ou malware não está descartado. Mas, seguindo o esquema clássico, os hackers geralmente tentam sequestrar conversas que dizem respeito diretamente a dinheiro, de preferência grandes quantias, deixando os dados bancários no momento oportuno e, em seguida, decolando com o saque para uma ilha tropical.
Um excelente exemplo de sequestro de conversa é o que aconteceu durante a transferência do jogador de futebol Leandro Paredes. Os cibercriminosos entraram na troca de e-mails disfarçados de um representante do primeiro clube de Paredes, o Boca Juniors, que tinha direito a uma pequena porcentagem da taxa de transferência – no valor de € 520.000, que os golpistas conseguiram se apoderar.
Entregue seus dados, aqui é a polícia
Uma tendência recente, que parece ter surgido em 2022, é que os hackers façam solicitações “oficiais” de dados ao coletar informações em preparação para ataques a usuários de serviços online. Essas solicitações foram recebidas por provedores de internet, redes sociais e empresas de tecnologia dos EUA de contas de e-mail hackeadas pertencentes a agências de aplicação da lei.
Um pouco de contexto é importante nessa história. Em circunstâncias normais, para obter dados de provedores de serviços nos Estados Unidos, é necessário um mandado assinado por um juiz. No entanto, em situações em que a vida ou a saúde humana estejam em perigo, pode ser emitida uma Solicitação de Dados de Emergência (EDR).
Mas, enquanto no caso de solicitações normais de dados existem procedimentos de verificação simples e compreensíveis, para EDRs atualmente não há nada do tipo. Portanto, é provável que tal pedido seja concedido se parecer plausível e aparentemente vier de uma agência de aplicação da lei. Dessa forma, os hackers podem obter informações sobre as vítimas de uma fonte confiável e usá-las para novos ataques.
Como se proteger contra ataques de engenharia social
O alvo em todos os métodos de ataque acima não é um pedaço de hardware sem alma, mas um ser humano. Portanto, para fortalecer as defesas corporativas contra os ataques de engenharia social, o foco deve estar nas pessoas. Isso significa ensinar aos funcionários os fundamentos da cibersegurança para aumentar sua conscientização sobre o assunto e explicar como neutralizar vários tipos de ataques. Uma ótima maneira de fazer isso é por meio de nossa solução de treinamento interativo Kaspersky Automated Security Awareness Platform.