Engenharia social: a arte de enganar para atacar

“Espero que este e-mail o encontre bem. Estamos a implementar algumas melhorias na segurança dos nossos sistemas e precisamos da sua colaboração para garantir uma transição suave. Como parte deste processo, estamos a atualizar os nossos protocolos de login para garantir a proteção adequada das suas informações pessoais e dos dados da empresa. Por favor, siga o link abaixo para atualizar as suas credenciais de login”.

O parágrafo acima podia ser o início de um qualquer email de phishing; os leitores já viram centenas, se não milhares, de mensagens semelhantes direcionadas aos seus colaboradores com o intuito de roubar a informação ou credenciais de acesso de um funcionário de uma organização.

Ainda que o phishing seja o tipo de engenharia social mais premente, não é o único, e o tema nem sequer se esgota no mundo digital; um indivíduo fazer-se passar por um funcionário ou um prestador de serviços para ganhar acesso a edifícios ou áreas restritas é exemplo disso.

A evolução dos ataques de engenharia social

Os atacantes precisam de uma porta de entrada para lançar os seus ataques contra uma organização e, por vezes, a forma mais fácil não é a descoberta de uma vulnerabilidade zero-day; é atacar o que está entre o teclado e a cadeira: o colaborador.

Ricardo Silva, Business Developer de Cybersecurity da Claranet Portugal, relembra que a engenharia social é “uma das táticas mais utilizadas pelos cibercriminosos” que tem o objetivo “de explorar a confiança e o comportamento humanos para obter informações confidenciais”. Na era digital, esta tática “continua a evoluir à medida que os atores maliciosos se adaptam às mudanças tecnológicas e às práticas de segurança e cibersegurança adotadas pelas organizações”.

	A engenharia social é “uma das táticas mais utilizadas pelos cibercriminosos” que tem o objetivo “de explorar a confiança e o comportamento humanos para obter informações confidenciais” Ricardo Silva, Business Developer de Cybersecurity da Claranet Portugal

Estes ataques utilizam “métodos mais sofisticados” e “diferentes canais de comunicação”, onde os atores maliciosos se concentram “em alvos específicos através de spear phishing, whaling, ou mesmo através do surgimento de deepfakes”, acrescenta Ricardo Silva.

Olga Carvalho, Cybersecurity Engineer da Noesis, recorda que a engenharia social “é uma técnica antiga que explora e manipula a psicologia humana” e lembra o Cavalo de Troia, “talvez o ataque de engenharia social mais antigo e popular da História”. Desde então, e ainda que o objetivo seja o mesmo – enganar –, os ataques de engenharia social “evoluíram significativamente em termos de técnicas, sofisticação e alcance”.

A Inteligência Artificial (IA), por exemplo, veio, diz Olga Carvalho, “aumentar a capacidade das ferramentas, como personificar a voz de pessoas conhecidas das vítimas; do conteúdo; e das técnicas que os cibercriminosos utilizam para estes ataques”.

Para Bruno Castro, Fundador e CEO da VisionWare, estes ataques estão a evoluir de forma “cada vez mais sofisticada, personalizada e direcionada”. Os cibercriminosos estão a utilizar técnicas mais elaboradas, “principalmente com recurso à inteligência artificial generativa, através da falsificação da imagem e voz de CEO, colegas e clientes”.

Ao mesmo tempo, afirma Bruno Castro, também as campanhas de phishing e spear phishing têm “evoluído, tornando-se cada vez mais difíceis de distinguir”, sendo “mais personalizadas e contendo menos formas de deteção visual”. Para além das “tecnologias avançadas e da manipulação psicológica”, os criminosos “têm ao seu dispor cada vez mais meios para obter acesso não autorizado a informações confidenciais”.

Os desafios ao lidar com os ataques

Olga Carvalho relembra que a engenharia social coloca “um grande desafio às empresas”, uma vez que “ataques deste tipo visam as vulnerabilidades humanas e não tecnológicas” que são “significativamente mais difíceis de detetar”. Assim, “uma boa cultura de cibersegurança com uma forte componente de educação dos colaboradores é a primeira linha de defesa contra estes ataques”.

A IA, por exemplo, veio “aumentar a capacidade das ferramentas, como personificar a voz de pessoas conhecidas das vítimas; do conteúdo; e das técnicas que os cibercriminosos utilizam para estes ataques” Olga Carvalho, Cybersecurity Engineer da Noesis

Ao mesmo tempo, acrescenta a representante da Noesis, outro desafio importante é a exposição digital das empresas “que permite aos atacantes retirar informação valiosa sobre a hierarquia organizacional das empresas”. Com essa informação, é possível “direcionar o ataque aos membros mais suscetíveis e com mais privilégios a informações ou sistemas internos” e é necessário rever e avaliar regularmente a informação pública das empresas para “minimizar os riscos de ataques de engenharia social”.

Na mesma linha, Bruno Castro diz que o fator humano “ainda é” o principal desafio das organizações. “Existe cada vez mais uma maior dificuldade em identificar e distinguir ataques sofisticados de interações legítimas e, por acréscimo, surge também uma maior necessidade de proteger uma gama cada vez maior de dispositivos e canais de comunicação”, afirma.

Ricardo Silva explica que muitos colaboradores “ainda desconhecem os riscos da engenharia social e como podem identificar tentativas de ataque”, o que torna os colaboradores em alvos mais fáceis. Também a expansão do trabalho remoto “exige que as empresas adaptem a tecnologia, as políticas e formações de segurança para proteger trabalhadores à distância”, até porque os atacantes exploram “diversos canais, como emails, redes sociais e chamadas telefónicas” que dificultam “a prevenção e deteção dos ataques”. Por mim, algumas organizações carecem de políticas e práticas eficazes para prevenir e responder aos ataques.

Testar e formar (e repetir quantas vezes for necessário)

Realizar formações ou cursos sobre o tema e treinos reguladores de consciencialização – como simulações de phishing – são algumas das práticas que as organizações podem e devem implementar junto dos seus colaboradores, partilha Bruno Castro. Ao mesmo tempo, é “essencial” disponibilizar “formação adicional para quem não tiver sucesso nas avaliações”. Outras práticas, diz o fundador e CEO da VisionWare, incluem “o incentivo à adoção de medidas de segurança, como a verificação de fontes de comunicação antes de clicar em links ou fornecer informações confidenciais; no fundo, promover uma crescente adoção de cultura de segurança e higiene digital que tem necessariamente de passar por todos os colaboradores, até ao top management, sem exceção”.

Ricardo Silva também defende que “testar e formar os colaboradores sobre os riscos de engenharia social é essencial para proteger as organizações”. Para atingir uma “maturidade alta”, é necessário fazer formações e cursos de forma regular, realizar exercícios práticos ou simulações de ataque e comunicar interna e continuamente sobre o tema. Mas este tema não pode ficar apenas pelos colaboradores: “a liderança da organização deve demonstrar compromisso para com a cibersegurança e promover uma cultura que valorize a proteção de dados e informações” e esta cultura deve “incentivar a colaboração e a responsabilidade partilhada de todos os colaboradores na manutenção de um ambiente seguro”.

Por seu turno, Olga Carvalho resume que “colaboradores capacitados para reconhecer ataques de engenharia social são a primeira linha de defesa de qualquer empresa”. Deste modo, uma “estratégia completa de sensibilização em cibersegurança deve abranger várias práticas que dão a conhecer aos colaboradores os vários métodos de engenharia social e como é que podem ser identificados”.

Criar uma cultura de segurança

Com as ameaças a crescerem, é importante que os colaboradores percebam o risco que não só eles próprios, mas a própria empresa enfrenta. A resposta passa por criar uma cultura de segurança onde exista uma consciencialização dos colaboradores para o risco.

Para Ricardo Silva, a cultura de cibersegurança tem de ser “sólida e eficaz” e contar com o “apoio da liderança”, assim como formação regular dos colaboradores, implementação de políticas claras e colaboração entre departamentos. “Ao investir em soluções tecnológicas avançadas e promover um ambiente de comunicação aberta e responsabilidade partilhada, as organizações estão mais bem preparadas para enfrentar e minimizar os riscos associados à engenharia social e outras ameaças de cibersegurança”, declara.

Olga Carvalho partilha que é necessária uma abordagem de tolerância zero de ciber-higiene “promove uma cultura saudável e segura, tanto para os sistemas, como para as pessoas”. Ao mesmo tempo, “capacitar os seus colaboradores a detetar e prevenir ataques de engenharia social, as empresas devem implementar políticas que reforcem guidelines claras que potenciem esta cultura”.

Para além da formação contínua, Bruno Castro defende que é igualmente importante “promover e incentivar a comunicação aberta sobre possíveis ameaças e a devida alarmística para qualquer situação fora do comum, ou seja, qualquer comportamento que saia fora da baseline comportamental da organização ou do colaborador”. Ao mesmo tempo, é preciso ter em consideração os controlos de segurança, por exemplo, ao aplicar princípios do menor privilégio que “estabelece que os colaboradores tenham apenas os níveis mínimos de acesso ou permissões para desempenhar as suas funções profissionais e nada mais do que isso”.

Apoio da tecnologia

É certo que os colaboradores devem ser a primeira linha de defesa de qualquer organização, mas é preciso tecnologia para quando esta primeira linha falhar. Assim, e como indica Olga Carvalho, a primeira linha de defesa são os colaboradores sensibilizados; a segunda sustenta-se na tecnologia.

A representante da Noesis refere que, em termos de perímetro, as “soluções de segurança de email são decisivas para detetar e combater ataques de engenharia social, roubo de contas e fuga de informação”. Ao mesmo tempo, é preciso ter soluções “que ofereçam autenticação multifator, classificação de documentos internos e medidas para bloquear o contacto com plataformas sociais onde os colaboradores se encontram mais vulneráveis”.

Por fim, as soluções suportadas por inteligência artificial ou machine learning permitem “não só a identificação de comportamentos diferentes dos habituais, como a resposta automática a ataques de phishing”. Assim, “a sinergia entre pessoas e tecnologia oferece às empresas a melhor chance para enfrentar este tipo de ataques”.

	As organizações “devem contar com soluções de segurança avançadas que permitam identificar e reagir a ações maliciosas de ataques baseados em engenharia social”, nomeadamente através da utilização de tecnologia de IA para analisar, detetar e responder a formas avançadas deste tipo de ataques Bruno Castro, Fundador e CEO da VisionWare

Para Bruno Castro, as organizações “devem contar com soluções de segurança avançadas que permitam identificar e reagir a ações maliciosas de ataques baseados em engenharia social”, nomeadamente através da utilização de tecnologia de IA para analisar, detetar e responder a formas avançadas deste tipo de ataques. Os SOC, por exemplo, podem “ajudar bastante neste aspeto, na medida em que irá combinar as tecnologias essenciais para a monitorização, proteção e mitigação de ameaças com a componente de inteligência quer pela própria correlação de dados massivos angariados na base comportamental”.

O representante da Claranet Portugal defende que as organizações devem “adotar múltiplas soluções e serviços tecnológicos”, como soluções anti-spam, para mitigar os riscos de ciberataques de engenharia social. “É crucial, também, implementar firewalls eficazes para proteger a rede contra tráfego mal-intencionado e tentativas de intrusão. Manter os programas antivírus atualizados pode ajudar a proteger dispositivos contra malware, que pode ser propagado através de ataques de engenharia social”, acrescenta.

Sinais de alerta

Bruno Castro defende que os sinais de alerta são “todo o tipo de comunicação direta com os colaboradores, usando o fator humano para acesso a informações pessoais ou corporativas”, ou “solicitações de informações confidenciais ou dados pessoais para transações financeiras por email ou telefone”. Ao mesmo tempo, “o sentido de urgência e os URL e anexos suspeitos são também sinais indicadores para alarme. Também a gramática, texto com erros ortográficos que dê a impressão de ter sido uma comunicação robotizada são um sinal imediato de alerta”.

Ricardo Silva indica que “emails, mensagens de texto ou chamadas telefónicas não solicitadas, e que instam à divulgação de informações confidenciais, ou exigem ação imediata, podem ser indicativos de uma tentativa de engenharia social”. Assim, as empresas “devem verificar cuidadosamente o endereço de email do remetente ou o URL do website mencionado – e ter atenção a emails e mensagens que contenham anexos ou links inesperados. Ao reconhecer e levar em consideração estes sinais de alerta, as organizações poderão proteger melhor os seus ativos e informações valiosas contra ataques de engenharia social”.

Olga Carvalho afirma que “identificar ataques de engenharia social envolve um esforço substancial, visto existirem diferentes vias que os cibercriminosos podem contactar as vítimas”. Deste modo, cabe às organizações “terem atenção e investigar potenciais sinais de que uma campanha de engenharia social está em curso”.