Introdução

De acordo com a CertiK, uma plataforma de verificação de blockchain e contratos inteligentes, os ataques de phishing aumentaram em 170 por cento no segundo trimestre de 2022, conforme destacado em seu relatório trimestralAlém disso, a Cisco Talos, uma organização de inteligência e pesquisa de ameaças dentro da Cisco Systems, prevê que os ataques de engenharia social, particularmente phishing, surgirão como ameaças dominantesem Web3e o metaverso nos próximos anos.

Enquanto a bolha das empresas ponto com gradualmente ganhava domínio, tornando-se um dos eventos mais amplamente pesquisados ​​na história, a engenharia social no espaço cripto está gradualmente ganhando fama com preocupações diárias crescentes de vítimas de golpes e esquemas de phishing, o que deixou muitos em um estado de confusão e confusão. Com a crescente adoção de cripto, NFTs e tecnologias Web3, a ocorrência de golpes nesses domínios também está em ascensão.

Por mais engraçado que pareça, a inovação gradualmente foi além das paredes de refinar alguns processos; também pode ser vista em como novos esquemas são constantemente revisados e elaborados para enganar muitas pessoas. Fascinantemente, um punhado de usuários da Web3 ainda caem em armadilhas porque é sempre difícil detectar ou perceber quando os golpes surgem. As estatísticas mostraram que muitas pessoas eram ignorantes em relação a alguns atos fraudulentos até estarem profundamente envolvidas.

Inovação e Tendências Imprevisíveis em Engenharia Social

Os atores maliciosos continuamente elaboram novos métodos para enganar os usuários a entregarem suas participações em criptomoedas, NFTs ou credenciais de login confidenciais, sendo o phishing uma forma prevalente de ataque de engenharia social.

A engenharia social é um elemento pervasivo em quase todos os ataques cibernéticos, tecendo-se através de várias formas, como clássicos e-mails e golpes de vírus infundidos com tons sociais. Seu impacto se estende além dos dispositivos de mesa para os reinos digitais, representando ameaças através de ataques móveis. Notavelmente, o alcance da engenharia social não se limita à esfera digital, pois pode se manifestar pessoalmente, apresentando um cenário de ameaça versátil.

A extensão dos danos da engenharia social não pode ser totalmente coberta e contabilizada devido à sua ampla abrangência. Pesquisadores no campo da cibersegurança descobriram uma miríade de 57 maneiras distintas em que os ciberataques podem afetar adversamente indivíduos, empresas e até mesmo nações inteiras. Esses impactos abrangem um amplo espectro, englobando ameaças à vida, induzindo desafios de saúde mental como depressão, incorrendo em multas regulatórias e interrompendo atividades diárias de rotina.

Principalmente, é uma estratégia manipuladora que se aproveita dos erros humanos para adquirir informações privadas, acesso não autorizado ou ativos valiosos. Vale ressaltar o fato de que esses golpes são elaboradamente projetados em torno da compreensão dos processos e comportamentos do pensamento humano, tornando-os particularmente eficazes na manipulação dos usuários. Ao compreender as motivações que guiam as ações de um usuário, os atacantes podem enganá-los e influenciá-los habilmente.

Tipos de Ataques de Engenharia Social

Fonte: Escritório 1.com

Ataques de Phishing

Um dos movimentos favoritos dos criminosos de engenharia social sempre foi Ataques de Phishing. Esses atacantes fingem ser do seu banco ou da sua exchange de cripto ou até mesmo de um amigo enquanto tentam fazer com que você revele suas senhas ou detalhes privados.

• Phishing de spam: Isso é como uma rede de pesca lançada amplamente, tentando pegar qualquer pessoa. Não é pessoal; apenas espera que alguém morda a isca.
• Spear Phishing e Whaling: Estes são mais direcionados. Eles usam detalhes específicos sobre você, como seu nome, para enganá-lo. Whaling é como mirar em peixes grandes, como pessoas famosas ou autoridades de alto escalão.

Agora, como eles entregam esses truques?

• Phishing por voz (Vishing): Eles podem ligar para você, seja com uma mensagem gravada ou uma pessoa real, fazendo com que você confie neles e aja rapidamente
• Phishing por SMS (Smishing): Você recebe um texto com um link ou uma mensagem pedindo para responder urgentemente. Isso pode levá-lo a um site falso ou a um e-mail de fraude ou número de telefone
• Email Phishing: Este é o clássico. Você recebe um e-mail que o engana a clicar em um link ou abrir algo ruim
• Phishing de pescador: Nas redes sociais, eles podem fingir ser o serviço de atendimento ao cliente, sequestrando sua conversa para mensagens privadas
• Phishing do mecanismo de busca: Eles manipulam os resultados da pesquisa, então você acaba em um site falso em vez do real
• Links de Phishing de URL: Estes links enganosos aparecem em e-mails, mensagens de texto ou redes sociais, tentando atrair você para sites falsos
• Phishing em Sessão: Isso acontece enquanto você está navegando na internet, com pop-ups falsos pedindo seus detalhes de login

Outros tipos de engenharia social incluem:

Ataques de isca

Truques de isca enganam você usando sua curiosidade natural para atrai-lo a se expor a um atacante. Eles frequentemente prometem algo gratuito ou exclusivo para explorá-lo, geralmente envolvendo a infecção do seu dispositivo com malware. Métodos comuns incluem deixar unidades USB em espaços públicos ou enviar anexos de e-mail com ofertas de brindes ou software falso.

Ataques de violação física

Isso envolve invasores aparecendo pessoalmente, fingindo ser alguém legítimo para obter acesso a áreas ou informações restritas. É mais comum em grandes organizações. Os invasores podem fingir ser um fornecedor confiável ou até mesmo um ex-funcionário. É arriscado, mas se bem-sucedido, a recompensa é alta.

Ataques de pretexto

O pretexto usa uma identidade falsa para estabelecer confiança, como se passar por um fornecedor ou um funcionário. O atacante interage ativamente com você e pode explorar sua carteira uma vez que o convença de que são legítimos.

Ataques de Seguimento de Acesso

Tailgating, ou piggybacking, é quando alguém segue uma pessoa autorizada em uma área restrita. Eles podem depender da sua cortesia para segurar a porta ou convencê-lo de que estão autorizados. O pretexto também pode desempenhar um papel aqui.

Ataques de Quid Pro Quo

Isso envolve trocar suas informações por uma recompensa ou compensação. Eles podem oferecer brindes ou estudos de pesquisa para obter seus dados, prometendo algo valioso. Infelizmente, eles apenas pegam seus dados sem lhe dar nada.

Ataques de scareware

Em ataques de scareware, malware te assusta para tomar uma ação mostrando avisos falsos de infecções por malware ou contas comprometidas. Ele te pressiona a comprar um software de cibersegurança falso que poderia revelar seus detalhes privados.

Exemplos de Ataques de Engenharia Social

Destacar esses exemplos também poderia servir como destaque deste artigo para permitir que os leitores tomem mais medidas de precaução quando confrontados com situações como esta.

Os seguintes são exemplos de ataques de engenharia social:

Ataques de Worm

Cibercriminosos chamam a atenção ao incentivar os usuários a clicar em links ou arquivos infectados. Exemplos incluem o worm LoveLetter em 2000, o worm de email Mydoom em 2004 e o worm Swen se passando por uma mensagem da Microsoft oferecendo um patch de segurança falso.

Canales de Distribuição de Links Maliciosos

Relacionados a malwares, os links infectados podem ser enviados por e-mail, mensagens instantâneas ou salas de bate-papo na internet. Vírus móveis podem ser entregues via mensagens SMS. Observe que essas mensagens geralmente usam palavras intrigantes para atrair os usuários a clicar, burlando os filtros antivírus de e-mail.

Ataques à Rede Peer-to-Peer (P2P)

Em redes P2P, eles são explorados para distribuir malware com nomes atrativos. Arquivos como "AIM & AOL Password Hacker.exe" ou "Playstation emulator crack.exe" atraem usuários para baixá-los e executá-los.

Vergonha de usuários infectados

Criadores de malware manipulam as vítimas oferecendo utilitários falsos ou guias prometendo benefícios ilegais, como acesso gratuito à internet ou um gerador de números de cartão de crédito. As vítimas, não querendo revelar suas ações ilegais, frequentemente evitam relatar a infecção.

Como Funciona a Engenharia Social?

Origem:Imperva, Inc.

Os ataques de engenharia social predominantemente se baseiam em comunicação genuína entre os perpetradores e os alvos. Em vez de depender de métodos forçados para violar dados, os atacantes geralmente visam manipular os usuários para comprometer sua própria segurança.

O ciclo de ataque de engenharia social segue um processo sistemático empregado por esses criminosos para enganar indivíduos de forma eficaz. As etapas-chave neste ciclo são as seguintes:

• Os ataques de engenharia social geralmente se desenrolam em uma série de etapas. O ator malicioso inicia o processo adentrando no histórico da potencial vítima, com o objetivo de reunir informações cruciais como práticas de segurança frágeis ou pontos de entrada vulneráveis.
• Uma vez munido de detalhes suficientes, o agressor estabelece confiança com a vítima, empregando várias táticas. A engenharia social engloba métodos como criar falsa urgência, posar como uma figura de autoridade ou pendurar recompensas atraentes.
• Posteriormente, eles se desvinculam, o que significa que eles se retiram depois que o usuário tomou a ação desejada.

Essa manipulação frequentemente se baseia na arte da persuasão, onde os atacantes utilizam táticas psicológicas para explorar o comportamento humano. Ao compreender essas táticas, as pessoas podem reconhecer e resistir melhor às possíveis tentativas de engenharia social, contribuindo para um ambiente digital mais seguro. Portanto, mantenha-se informado, vigilante e priorize a segurança online!

Engenharia Social em Web 3.0

Origem: Systango

O espaço da Web 3.0 tem sido um acampamento significativo para muitas atividades maliciosas de engenharia social ultimamente. No mundo das criptomoedas, os hackers frequentemente empregam táticas de engenharia social para obter acesso não autorizado a carteiras de criptomoedas ou contas. Os ativos digitais dos usuários de criptomoedas, armazenados em carteiras com chaves privadas confidenciais, tornam-se alvos principais para golpes de engenharia social devido à sua natureza sensível.

Em vez de depender da força bruta para violar a segurança e roubar ativos de cripto, os perpetradores utilizam diversas técnicas para explorar as vulnerabilidades humanas. Por exemplo, os atacantes podem implementar esquemas para enganar os usuários e fazê-los divulgar chaves privadas por meio de métodos aparentemente inocentes, como e-mails de phishing. Imagine receber um e-mail que parece ser do seu serviço de carteira ou equipe de suporte, mas na realidade, é uma tentativa de phishing com o objetivo de enganá-lo e fazer você revelar informações cruciais.

Por exemplo, uma imagem de um processo de engenharia social tentado em X (anteriormente Twitter) está abaixo. Para dizer o mínimo, X pode ser referenciado como um produto global com firewalls e proteções fortes, mas infelizmente, a engenharia social não conhece limites, pois esses criminosos continuam elaborando modelos inovadores e mais avançados para quebrar qualquer parede ou pessoa/organização com a qual desejam acessar.

Fonte: Suporte X

Outro tweet foi avistado em X em 15 de julho de 2020, de um usuário com o handle ‘@loppO trabalho artístico dos caras da engenharia social parece ser familiar para ele, já que seus tweets mostram algum nível de experiência.

Fonte: Jameson Loop em X

Para proteger seus ativos de cripto, é crucial permanecer vigilante contra táticas enganosas. Seja cauteloso com e-mails ou mensagens inesperadas, verifique a autenticidade da comunicação e nunca compartilhe chaves privadas com fontes desconhecidas. Outro tweet em 13 de fevereiro de 2022 mostra mais uma diferença gritante em relação a atividades similares.

Fonte: Thomasg.eth em X

Além disso, em setembro de 2023, o protocolo descentralizado Balancer, que opera na blockchain Ethereum, relatou um incidente de segurança envolvendo um ataque de engenharia social. A plataforma recuperou o controle de seu domínio, mas alertou os usuários sobre uma ameaça potencial de um site não autorizado. O Balancer instou os usuários a permanecerem vigilantes e cientes dos riscos associados ao incidente.

Origem: Balancer em X

Características de Ataques de Engenharia Social

Os ataques de engenharia social giram em torno do uso habilidoso de persuasão e confiança pelo perpetrador, induzindo indivíduos a tomar ações que normalmente não considerariam.

Diante dessas táticas, os indivíduos frequentemente se veem sucumbindo aos seguintes comportamentos enganosos:

• Emoções Intensificadas: A manipulação emocional é uma ferramenta poderosa, explorando indivíduos em um estado emocional elevado. As pessoas estão mais propensas a tomar decisões irracionais ou arriscadas ao experimentar emoções intensificadas. As táticas incluem instigar medo, excitação, curiosidade, raiva, culpa ou tristeza.
• Urgência: Apelos ou solicitações urgentes representam uma estratégia confiável para os atacantes. Criando um senso de urgência, os atacantes podem apresentar um problema supostamente urgente que exige atenção imediata ou oferecer um prêmio ou recompensa por tempo limitado. Essas táticas são projetadas para anular as habilidades de pensamento crítico.
• Confiança: Estabelecer credibilidade é fundamental em ataques de engenharia social. A confiança é um elemento-chave, pois os atacantes fabricam uma narrativa apoiada por pesquisas suficientes sobre o alvo para torná-la facilmente crível e improvável de levantar suspeitas.

Como Identificar Ataques de Engenharia Social

Fonte: Xiph Cyber

Defender-se contra a engenharia social começa com a autoconsciência. Reserve um momento para pensar antes de responder ou agir, pois os atacantes contam com reações rápidas. Aqui estão algumas perguntas a considerar se você suspeitar de um ataque de engenharia social:

• Verifique suas emoções: Suas emoções estão mais intensificadas? Você pode estar mais suscetível se sentir-se incomumente curioso, com medo ou animado. Emoções elevadas podem turvar o julgamento, tornando crucial reconhecer esses sinais de alerta.
• Verificar Remetentes de Mensagem: A mensagem veio de um remetente legítimo? Analise os endereços de e-mail e perfis de mídia social em busca de diferenças sutis, como nomes com erros de digitação. Se possível, verifique com o suposto remetente por outros meios, pois perfis falsos são comuns.
• Confirmar Identidade do Remetente: Seu amigo realmente enviou a mensagem? Confirme com a pessoa se eles enviaram a mensagem, especialmente se envolver informações sensíveis. Eles podem não estar cientes de um hackeamento ou de uma falsificação.
• Verifique os detalhes do site: O site possui detalhes estranhos? Preste atenção a irregularidades no URL, qualidade da imagem, logotipos desatualizados ou erros de digitação na página da web. Se algo parecer estranho, saia imediatamente do site.
• Avalie a autenticidade da oferta: A oferta parece boa demais para ser verdade? Tenha cuidado com ofertas tentadoras, pois muitas vezes motivam ataques de engenharia social. Questione por que alguém está oferecendo itens valiosos por ganho mínimo de sua parte e mantenha-se vigilante contra a coleta de dados.
• Examine Anexos e Links: Os anexos ou links parecem suspeitos? Se um link ou nome de arquivo parecer obscuro ou fora de contexto, reconsidere a legitimidade de toda a comunicação. Sinais de alerta podem incluir um momento estranho, um contexto incomum ou outros elementos suspeitos.
• Verificação de identidade da demanda: A pessoa pode provar sua identidade? Se alguém solicitar acesso, especialmente pessoalmente, insista na verificação de identidade. Garanta que eles possam comprovar sua afiliação com a organização alegada, seja online ou pessoalmente, para evitar se tornar vítima de violações físicas.

Conclusão

A paisagem em constante evolução dos ataques de engenharia social exige vigilância constante dos usuários da Web3. Enquanto a inovação revolucionou nossas vidas, também se tornou uma espada de dois gumes, capacitando tanto o progresso quanto os atores maliciosos. À medida que a responsabilidade de proteger nossos ativos digitais recai sobre nossos ombros, tomar medidas proativas é crucial.

Este artigo equipou você com conhecimentos valiosos para identificar e combater tentativas de engenharia social. Lembre-se, desacelerar e pensar criticamente antes de tomar qualquer ação é sua chave de defesa. Implemente as medidas preventivas listadas, como a análise de canais de comunicação, a implementação de autenticação multifatorial, o fortalecimento de senhas e se manter informado sobre as técnicas de phishing em evolução.

Podemos construir coletivamente um ambiente Web3 mais seguro e responsável sendo atenciosos e proativos. Lembre-se, a responsabilidade recai sobre cada indivíduo para se proteger e proteger seus ativos digitais. Portanto, mantenha-se vigilante, informado e seguro!