Introdução

De acordo com a CertiK, uma plataforma de verificação de blockchain e contratos inteligentes, os ataques de phishing aumentaram 170 por cento no segundo trimestre de 2022, como destacado no seu relatório trimestralAlém disso, a Cisco Talos, uma organização de inteligência e pesquisa de ameaças dentro da Cisco Systems, prevê que os ataques de engenharia social, particularmente phishing, surgirão como ameaças dominantesem Web3e o metaverso nos próximos anos.

Enquanto a bolha das empresas ponto com gradualmente ganhava dominância, tornando-se um dos eventos mais pesquisados na história, a engenharia social no espaço cripto está gradualmente ganhando fama com preocupações diárias crescentes de vítimas de golpes e esquemas de phishing, o que deixou muitos em um estado arrasado e confuso. Com a crescente adoção de cripto, NFTs e tecnologias Web3, a ocorrência de golpes nessas áreas também está em ascensão.

Por mais engraçado que pareça, a inovação gradualmente foi além das paredes de refinar alguns processos; também pode ser vista na forma como novos esquemas são constantemente revistos e concebidos para enganar muitas pessoas. Fascinantemente, ainda há um punhado de usuários da Web3 que caem em armadilhas, porque é sempre difícil detectar ou sentir quando os golpes aparecem. As estatísticas mostram que muitas pessoas ignoravam alguns atos de fraude até estarem profundamente envolvidas.

Inovação e Tendências Imprevisíveis em Engenharia Social

Os atores maliciosos continuam a desenvolver novos métodos para enganar os utilizadores e fazê-los entregar as suas criptomoedas, NFTs ou credenciais de login confidenciais, sendo o phishing uma forma prevalente de ataque de engenharia social.

A engenharia social é um elemento pervasivo em quase todos os ataques de cibersegurança, tecendo-se através de várias formas, como clássicos e-mails e fraudes de vírus infundidos com matizes sociais. O seu impacto estende-se para além dos dispositivos de secretária para os reinos digitais, colocando ameaças através de ataques móveis. Notavelmente, o alcance da engenharia social não se confina à esfera digital, uma vez que pode manifestar-se pessoalmente, apresentando um panorama de ameaças versátil.

A extensão dos danos da engenharia social não pode ser totalmente coberta e contabilizada devido ao seu amplo alcance. Pesquisadores no campo da cibersegurança descobriram uma miríade de 57 maneiras distintas nas quais os ciberataques podem afetar adversamente indivíduos, empresas e até nações inteiras. Esses impactos abrangem um amplo espectro, incluindo ameaças à vida, indução de desafios de saúde mental, como depressão, incorrer em multas regulatórias e interromper atividades diárias de rotina.

Principalmente, é uma estratégia manipulativa que capitaliza os erros humanos para adquirir informações privadas, acessos não autorizados ou ativos valiosos. Vale ressaltar o fato de que esses golpes são elaboradamente concebidos em torno da compreensão dos processos e comportamentos do pensamento humano, tornando-os particularmente eficazes na manipulação dos utilizadores. Ao compreender as motivações que orientam as ações de um utilizador, os atacantes podem enganá-los e influenciá-los habilmente.

Tipos de Ataques de Engenharia Social

Origem:Escritório 1.com

Ataques de phishing

Um dos golpes favoritos dos criminosos de engenharia social sempre foi Ataques de Phishing. Esses atacantes fingem ser do seu banco ou troca de cripto ou mesmo um amigo enquanto tentam fazer com que você revele suas senhas ou detalhes privados.

• Spam Phishing: Isto é como uma rede de pesca lançada ao largo, tentando apanhar qualquer um. Não é pessoal; apenas espera que alguém morda a isca.
• Spear Phishing e Whaling: Estes são mais direcionados. Eles usam detalhes específicos sobre si, como o seu nome, para o enganar. Whaling é como mirar em peixes grandes, como pessoas famosas ou altos funcionários.

Agora, como é que eles entregam esses truques?

• Phishing por Voz (Vishing): Eles podem ligar para você, seja com uma mensagem gravada ou uma pessoa real, fazendo você confiar neles e agir rapidamente
• Phishing por SMS (Smishing): Recebe uma mensagem com um link ou uma mensagem a pedir-lhe uma resposta urgente. Pode levá-lo a um site falso ou a um email ou número de telefone fraudulento
• Phishing por e-mail: Este é o clássico. Recebe um email que o engana a clicar num link ou a abrir algo de malicioso
• Phishing de Pescador: Nas redes sociais, podem fingir ser serviço de apoio ao cliente, desviando a sua conversa para mensagens privadas
• Phishing de motores de busca: Eles manipulam os resultados da pesquisa, para que acabe num site falso em vez do real
• Links de Phishing de URL: Estes links enganosos aparecem em emails, mensagens de texto ou redes sociais, tentando atrair você para sites falsos
• Phishing em Sessão: Isto acontece enquanto está a navegar na internet, com pop-ups falsos a pedir os seus dados de login

Outros tipos de engenharia social incluem:

Ataques de Isca

As iscas enganam você usando sua curiosidade natural para atraí-lo a se expor a um atacante. Eles frequentemente prometem algo grátis ou exclusivo para explorá-lo, geralmente envolvendo a infecção do seu dispositivo com malware. Métodos comuns incluem deixar drives USB em espaços públicos ou enviar anexos de e-mail com ofertas de brindes ou software falso.

Ataques de Violação Física

Estes envolvem atacantes que aparecem pessoalmente, fingindo ser alguém legítimo para obter acesso a áreas ou informações restritas. É mais comum em grandes organizações. Os atacantes podem fingir ser um fornecedor confiável ou até mesmo um ex-funcionário. É arriscado, mas se bem-sucedido, a recompensa é alta.

Ataques de Pretexto

Pretexting usa uma identidade falsa para estabelecer confiança, como se passar por um fornecedor ou um funcionário. O atacante interage ativamente com você e pode explorar sua carteira uma vez que o convença de que é legítimo.

Acessos de Ataque de Cauda

Tailgating, ou piggybacking, é quando alguém segue uma pessoa autorizada para uma área restrita. Eles podem depender da sua cortesia para segurar a porta ou convencê-lo de que estão autorizados. O pretexto também pode desempenhar um papel aqui.

Ataques de Quid Pro Quo

Isso envolve trocar suas informações por uma recompensa ou compensação. Eles podem oferecer brindes ou estudos de pesquisa para obter seus dados, prometendo algo valioso. Infelizmente, eles apenas pegam seus dados sem lhe dar nada.

Ataques de scareware

Em ataques de scareware, malware assusta você a tomar medidas mostrando avisos falsos de infecções por malware ou contas comprometidas. Ele o empurra para comprar software de cibersegurança falso que poderia revelar seus detalhes privados.

Exemplos de Ataques de Engenharia Social

Destacar estes exemplos também poderia servir como destaque deste artigo para permitir aos leitores tomar mais medidas de precaução quando confrontados com situações como esta.

Os seguintes são exemplos de ataques de engenharia social:

Ataques de Worms

Os cibercriminosos chamam a atenção ao atrair os utilizadores para clicarem em links ou ficheiros infetados. Exemplos incluem o worm LoveLetter em 2000, o worm de email Mydoom em 2004 e o worm Swen a fazer-se passar por uma mensagem da Microsoft oferecendo uma correção de segurança falsa.

Canais de Entrega de Links Maliciosos

Relacionado ao malware, os links infectados podem ser enviados por e-mail, mensagens instantâneas ou salas de chat na internet. Vírus móveis podem ser enviados por mensagens SMS. Note que essas mensagens geralmente usam palavras intrigantes para atrair os usuários a clicar, burlando os filtros antivírus de e-mail.

Ataques de Rede Peer-to-Peer (P2P)

Nas redes P2P, são explorados para distribuir malware com nomes atrativos. Ficheiros como “AIM & AOL Password Hacker.exe” ou “Playstation emulator crack.exe” atraem os utilizadores a descarregá-los e executá-los.

Envergonhando usuários infetados

Os criadores de malware manipulam as vítimas ao oferecerem utilitários falsos ou guias prometendo benefícios ilegais, como acesso gratuito à internet ou um gerador de números de cartão de crédito. As vítimas, não querendo revelar suas ações ilegais, muitas vezes evitam relatar a infeção.

Como Funciona a Engenharia Social?

Origem: Imperva, Inc.

Os ataques de engenharia social assentam predominantemente na comunicação genuína entre os perpetradores e os alvos. Em vez de depender de métodos coercivos para violar dados, os atacantes normalmente procuram manipular os utilizadores para comprometer a sua própria segurança.

O ciclo de ataque de engenharia social segue um processo sistemático empregado por esses criminosos para enganar eficazmente os indivíduos. Os passos-chave neste ciclo são os seguintes:

• Os ataques de engenharia social geralmente se desenrolam em uma série de etapas. O ator malicioso inicia o processo aprofundando-se no histórico da potencial vítima, com o objetivo de reunir informações cruciais, como práticas de segurança frágeis ou pontos de entrada vulneráveis.
• Uma vez munido de detalhes suficientes, o agressor estabelece confiança com a vítima, empregando várias táticas. A engenharia social engloba métodos como criar uma falsa urgência, fingir-se como uma figura de autoridade ou pendurar recompensas atraentes.
• Posteriormente, eles se desvinculam, o que significa que se retiram depois que o usuário realizou a ação desejada.

Esta manipulação muitas vezes depende da arte da persuasão, onde os atacantes usam táticas psicológicas para explorar o comportamento humano. Ao compreender essas táticas, os indivíduos podem reconhecer e resistir melhor às possíveis tentativas de engenharia social, contribuindo para um ambiente digital mais seguro. Portanto, mantenha-se informado, mantenha-se vigilante e priorize a segurança online!

Engenharia Social em Web 3.0

Origem: Systango

O espaço da Web 3.0 tem sido um campo significativo para muitas atividades maliciosas de engenharia social ultimamente. No mundo das criptomoedas, os hackers frequentemente utilizam táticas de engenharia social para obter acesso não autorizado a carteiras de criptomoedas ou contas. Os ativos digitais dos utilizadores de criptomoedas, armazenados em carteiras com chaves privadas confidenciais, tornam-se alvos principais para esquemas de engenharia social devido à sua natureza sensível.

Em vez de depender da força bruta para violar a segurança e roubar ativos cripto, os perpetradores utilizam várias técnicas para explorar vulnerabilidades humanas. Por exemplo, os atacantes podem implementar esquemas para enganar os utilizadores e divulgar chaves privadas através de métodos aparentemente inocentes, como emails de phishing. Imagine receber um email que aparenta ser do seu serviço de carteira ou equipa de suporte, mas na realidade, é uma tentativa de phishing com o objetivo de o enganar a revelar informações cruciais.

Por exemplo, uma imagem de um processo de engenharia social tentado em X (anteriormente Twitter) está abaixo. Para dizer o mínimo, X pode ser referenciado como um produto global com firewalls e proteções fortes, mas infelizmente, a engenharia social não conhece limites, pois esses criminosos continuam a inventar modelos inovadores e mais avançados para penetrar em qualquer parede ou pessoa/organização que desejem acessar.

Origem: Suporte X

Outro tweet foi avistado em X em 15 de julho de 2020, de um utilizador com o nome ‘@loppO trabalho artístico dos rapazes da engenharia social parece-lhe familiar, já que os seus tweets mostram algum nível de experiência.

Origem: Jameson Loop em X

Para proteger os seus ativos de cripto, é crucial manter-se vigilante contra táticas enganosas. Seja cauteloso com emails ou mensagens inesperadas, verifique a autenticidade da comunicação e nunca partilhe chaves privadas com fontes desconhecidas. Outro tweet em 13 de fevereiro de 2022 mostra outra grande diferença de atividades semelhantes.

Origem: Thomasg.eth em X

Além disso, em setembro de 2023, o protocolo descentralizado Balancer, que opera na blockchain Ethereum, relatou um incidente de segurança envolvendo um ataque de engenharia social. A plataforma recuperou o controle de seu domínio, mas alertou os usuários sobre uma ameaça potencial de um site não autorizado. A Balancer instou os usuários a permanecerem vigilantes e cientes dos riscos associados ao incidente.

Origem: Balancer na X

Características de Ataques de Engenharia Social

Os ataques de engenharia social giram em torno do uso habilidoso de persuasão e confiança pelo perpetrador, levando os indivíduos a tomar ações que normalmente não considerariam.

Perante estas táticas, os indivíduos frequentemente acabam por sucumbir aos seguintes comportamentos enganosos:

• Emoções Intensificadas: A manipulação emocional é uma ferramenta poderosa, explorando indivíduos num estado emocional elevado. As pessoas são mais propensas a tomar decisões irracionais ou arriscadas quando estão a sentir emoções intensificadas. As táticas incluem instigar medo, excitação, curiosidade, raiva, culpa ou tristeza.
• Urgência: Apelos ou solicitações sensíveis ao tempo representam uma estratégia confiável para os atacantes. Criando um senso de urgência, os atacantes podem apresentar um problema supostamente urgente que exige atenção imediata ou oferecer um prêmio ou recompensa por tempo limitado. Essas táticas são projetadas para anular as habilidades de pensamento crítico.
• Confiança: Estabelecer credibilidade é primordial em ataques de engenharia social. A confiança é um elemento-chave, pois os atacantes fabricam uma narrativa apoiada por pesquisas suficientes sobre o alvo para torná-lo facilmente crível e improvável de levantar suspeitas.

Como Identificar Ataques de Engenharia Social

Origem: Xiph Cyber

Defender-se contra a engenharia social começa com autoconsciência. Tire um momento para pensar antes de responder ou agir, pois os atacantes dependem de reações rápidas. Aqui estão algumas perguntas a considerar se suspeitar de um ataque de engenharia social:

• Verifique Suas Emoções: Suas emoções estão mais intensas? Você pode estar mais suscetível se sentir curiosidade, medo ou empolgação de forma incomum. Emoções elevadas podem nublar o julgamento, tornando crucial reconhecer esses sinais de alerta.
• Verificar Remetentes de Mensagens: A mensagem veio de um remetente legítimo? Analise os endereços de email e perfis de redes sociais em busca de diferenças subtis, como nomes mal escritos. Se possível, verifique com o suposto remetente por outros meios, pois perfis falsos são comuns.
• Confirmar Identidade do Remetente: O seu amigo realmente enviou a mensagem? Confirme com a pessoa se foi ela que enviou a mensagem, especialmente se envolver informações sensíveis. Eles podem não estar cientes de um hackeamento ou de uma falsificação.
• Verifique os detalhes do site: O site tem detalhes estranhos? Preste atenção a irregularidades no URL, qualidade da imagem, logotipos desatualizados ou erros de digitação na página da web. Se algo parecer estranho, saia imediatamente do site.
• Avalie a Autenticidade da Oferta: A oferta parece boa demais para ser verdade? Seja cauteloso com ofertas tentadoras, pois muitas vezes motivam ataques de engenharia social. Questione por que alguém está oferecendo itens valiosos por mínimo ganho de sua parte e mantenha-se vigilante contra a colheita de dados.
• Analisar Anexos e Links: Existem anexos ou links que parecem suspeitos? Se um link ou nome de arquivo parecer pouco claro ou fora de contexto, reconsiderar a legitimidade de toda a comunicação. Sinais de alerta podem incluir timing estranho, um contexto incomum ou outros elementos suspeitos.
• Verificação de Identidade da Procura: A pessoa pode comprovar a sua identidade? Se alguém solicitar acesso, especialmente pessoalmente, insista na verificação da identidade. Garanta que possam provar a sua afiliação com a organização alegada, quer seja online ou cara a cara, para evitar cair vítima de violações físicas.

Conclusão

A paisagem em constante evolução dos ataques de engenharia social exige vigilância constante por parte dos utilizadores da Web3. Enquanto a inovação revolucionou as nossas vidas, também se tornou uma espada de dois gumes, capacitando tanto o progresso como atores maliciosos. À medida que a responsabilidade de proteger os nossos ativos digitais recai sobre os nossos ombros, tomar medidas proativas é crucial.

Este artigo dotou-o de conhecimentos valiosos para identificar e combater tentativas de engenharia social. Lembre-se, abrandar e pensar criticamente antes de tomar qualquer ação é a sua principal defesa. Implemente as medidas preventivas listadas, como examinar os canais de comunicação, implementar autenticação de múltiplos fatores, fortalecer as senhas e manter-se informado sobre técnicas de phishing em evolução.

Podemos coletivamente construir um ambiente Web3 mais seguro e responsável, sendo atentos e proativos. Lembre-se, a responsabilidade recai sobre cada indivíduo para se proteger a si próprio e aos seus ativos digitais. Portanto, mantenha-se vigilante, informado e seguro!