Imagine, por um momento, que você é um criminoso planejando invadir um alvo altamente seguro. Pode ser um banco cheio de dinheiro, uma boutique repleta de itens de luxo ou talvez você seja um hacker de olho nos cofres digitais de uma empresa de seguros de saúde ou um gigante do comércio eletrônico. Ao orquestrar sua intrusão, dois caminhos principais se apresentam para exploração. O primeiro são as defesas tecnológicas, como os sistemas de segurança, ou o elemento humano. O outro são os funcionários e usuários que interagem diariamente com essas entidades. Para indivíduos sem habilidades técnicas altamente especializadas, os humanos são o caminho comprovado de menor resistência.

Por que os Usuários são o Elo Mais Fraco

É muito mais fácil fazer com que alguém de dentro deixe você entrar do que derrubar as defesas. Este é o propósito dos ataques de engenharia social. A engenharia social é usada por atacantes externos para manipular os insiders a conceder-lhes acesso sem saber. A engenharia social funciona porque aproveita os vieses emocionais e cognitivos que influenciam o comportamento humano. Os atacantes exploram nossa inclinação natural para confiar, se passando por um executivo de alto escalão, profissional de suporte de TI ou fornecedor de confiança. Eles aproveitam a urgência de uma situação para promover uma ação imediata, como clicar em um link para evitar algum tipo de consequência negativa.

Embora a imprevisibilidade dos humanos possa ser vantajosa em algumas situações, a abordagem consistente e minuciosa das máquinas muitas vezes as torna menos propensas a lapsos de segurança. As máquinas seguem uma disciplina definida, aderindo estritamente às instruções programadas. Por exemplo, elas aplicam atualizações de segurança e patches de acordo com políticas predefinidas, enquanto um funcionário pode “ter coisas melhores para fazer” e adiar a operação. Os humanos, por outro lado, se tornam descuidados com sua higiene de segurança ou percebem os protocolos de segurança como barreiras inconvenientes. Assim como os prisioneiros aprendem a manipular os guardas mais vulneráveis ao planejar uma fuga, atores de ameaça experientes sabem quais cordas puxar para convencer usuários suscetíveis a fazer o que eles querem.

As Estatísticas Contam a História

A eficácia da engenharia social é evidente, pois seu sucesso leva apenas a mais tentativas. Os números ilustram claramente por que a engenharia social continua sendo uma ameaça prevalente:

O Relatório de Investigações de Violação de Dados da Verizon de 2022 revela que 82% das violações envolvem o elemento humano, incluindo 36% resultantes de ataques de phishing.

– A Associação de Auditoria e Controle de Sistemas de Informação identificou a engenharia social como o principal vetor de ataque em 2022.

– A organização média é alvo de mais de 700 ataques de engenharia social por ano.

– No setor de educação superior, 41% dos incidentes e violações de segurança cibernética são iniciados por técnicas de engenharia social.

– De acordo com o Relatório de Custo de uma Violação de Dados da IBM de 2022, o impacto financeiro médio de um ataque de engenharia social é de $4,55 milhões.

Essas estatísticas ressaltam a necessidade crítica de vigilância contínua e educação abrangente em segurança cibernética para combater as táticas sofisticadas empregadas pelos atacantes. Fortalecer as defesas humanas é tão crucial quanto fortificar as barreiras técnicas para mitigar o risco imposto pela engenharia social.

Os Ataques BEC são um Crime de Bilhões de Dólares (Business Email Compromising)

Talvez não haja alvo maior nas costas do que o CEO. Os CEOs fazem as coisas acontecerem por causa de sua liderança e autoridade. Consequentemente, alguém se passando por um CEO pode influenciar outros na organização a fazer as coisas também, como transferir grandes quantias de dinheiro para um fornecedor fictício ou parceiro comercial. Esses pedidos fraudulentos são geralmente transmitidos por e-mails meticulosamente elaborados para imitar o estilo de comunicação do CEO e compelir o destinatário a ignorar os protocolos habituais devido à suposta urgência ou confidencialidade da questão. Um único ataque BEC pode levar a perdas financeiras substanciais para uma empresa, tornando-se o segundo tipo mais custoso de crime cibernético em 2022, com 21.489 reclamações, ataques BEC resultando em perdas totais de $2,9 bilhões.

Engenharia Social e Ataques Laterais

Embora atacar executivos seniores seja claramente vantajoso para os atacantes devido ao seu acesso e autoridade, a razão por trás de atacar funcionários de nível inferior pode não ser imediatamente aparente. No entanto, obter as credenciais de até mesmo um funcionário pode servir como um ponto de apoio crítico, permitindo que os atacantes se movam lateralmente pela rede de uma organização. A partir daí, os atacantes podem conduzir reconhecimento para identificar ativos e alvos valiosos e planejar comprometer contas com privilégios mais altos, com o objetivo final de expandir seu acesso pela rede de forma mais ampla. Esta progressão metódica ressalta o valor estratégico de inicialmente atacar indivíduos em qualquer nível dentro da organização.

Soluções para Combater Ataques de Engenharia Social

Vamos encarar. Ninguém quer ter aquela sensação de “e agora?” ao perceber que clicou em algo que não deveria. Felizmente, existem algumas estratégias eficazes disponíveis hoje que as empresas podem usar para se proteger contra ataques de engenharia social. A Autenticação Multifator (MFA) emergiu como um método altamente eficaz para aumentar a segurança das credenciais dos usuários contra ataques de força bruta simples. Muitas organizações estão adotando modelos de confiança zero que eliminam a confiança implícita e exigem verificação contínua para cada tentativa de acesso, minimizando assim a chance de acesso não autorizado através de credenciais comprometidas.

O monitoramento contínuo da atividade da rede garante que qualquer comportamento incomum ou suspeito seja detectado em tempo real. Isso permite que as equipes de segurança identifiquem e mitiguem rapidamente potenciais ameaças antes que causem danos substanciais. No entanto, a chave é gerenciar isso sem sobrecarregar as equipes de segurança com alertas excessivos que possam prejudicar suas capacidades de resposta. Esse equilíbrio é parcialmente alcançado por meio da análise comportamental, que aproveita a compreensão do comportamento típico do usuário para identificar anomalias que sugerem um risco de segurança. Avanços em IA facilitaram o desenvolvimento de sistemas capazes de análises tão detalhadas. É importante notar, no entanto, que os hackers também estão aproveitando a IA para sofisticar suas estratégias, apresentando um desafio contínuo no cenário da segurança cibernética.

Conclusão

Perceber como os usuários podem ser vulneráveis à exploração se não estiverem preparados é, sem dúvida, perturbador. Infelizmente, a IA está apenas aumentando a eficácia dos ataques de phishing e outras táticas de engenharia social. Sim, você não pode ter uma rede sem um sistema de firewall para proteção básica, mas garantir a continuidade dos negócios exige um robusto firewall humano também.