Para além da caixa de entrada: a evolução da engenharia social

Estatísticas e tendências atuais

A engenharia social, nas suas várias formas, continua a ser de longe o vetor de ataque inicial mais comum para violações de dados (Relatório IBM CODB 2023). Diversas fontes colocam a engenharia social como um fator em 60% a 90% de todos os ciberataques.

Após uma pandemia que deixou o mundo mais exposto digitalmente, os cibercriminosos estão mais preparados do que nunca. A era de emails de phishing cheios de erros e mal elaborados é coisa do passado. Com a ajuda da IA, os criminosos podem criar emails altamente convincentes e personalizados, mesmo em línguas estrangeiras.

Em 2024, continuaremos a ver os clássicos, como phishing, smishing, o golpe do CEO, roubo de credenciais ou distribuição de malware. Mas também veremos novos ataques complexos nunca antes vistos. Deepfakes permitem a personificação de pessoas em áudio e vídeo. A IA potencia o spear phishing. A linha entre o real e o falso está agora mais turva do que nunca.

Não são apenas textos

Para estes ataques não são apenas utilizados emails, SMS, ou chamadas telefónicas. Abordagens fisicamente mais próximas também são utilizadas. Na Cipher, utilizamos técnicas presenciais em exercícios da red team, como a personificação (incluindo disfarces), para obter acesso físico, instalar dispositivos maliciosos ou recolher informações, e sabemos que estas técnicas também são utilizadas por agentes maliciosos.

Pósteres ou sinais falsos podem ser colocados nas paredes de uma organização ou nos seus arredores, contendo códigos QR maliciosos que direcionam as pessoas para um site controlado pelo atacante. Códigos QR maliciosos têm sido detetados nas ruas, aparecendo em menus falsos de restaurantes, anúncios e até multas de trânsito, com a intenção de enganar os utilizadores para obter dinheiro.

IA e deepfakes

A tecnologia deepfake permite que os atacantes enganem as pessoas de maneira nunca antes vista. Eles precisam apenas de algumas amostras da voz de alguém para a imitar, ao vivo, numa chamada telefónica.

Um dos casos mais marcantes que vimos relatados é um atacante a juntar-se a uma reunião do Microsoft Teams usando tecnologia deepfake ao vivo. O cibercriminoso poderia personificar um colaborador, estando presente na videoconferência. Pedir uma transferência bancária ou informações específicas pode ser muito fácil se as vítimas acreditarem plenamente que o pedido é feito pelo gestor.

O impacto nas famílias

Os ataques de engenharia social não afetam apenas as empresas. Testemunhámos famílias carenciadas a perder os seus últimos euros devido a várias técnicas de burla. Fazer-se passar por um banco para roubar credenciais ou fingir ser um filho em situação de emergência e pedir dinheiro para uma viagem de regresso a casa – os cibercriminosos vão até onde for preciso. Sensibilizar é fundamental para evitar estas fraudes, especialmente entre os idosos e aqueles com menos conhecimentos de tecnologia.

Reduzir o risco

Na Cipher, recomendamos cobrir os 3 tipos de controlos de segurança para uma redução máxima do risco.

Em primeiro lugar, controlos técnicos. A autenticação multi-fator é essencial para proteger contra o roubo de credenciais. Soluções de antivírus e filtragem de emails podem ajudar ao rejeitar uma grande parte dos ataques. E, claro, métodos tradicionais de prevenção, deteção e resposta são fundamentais.

Em segundo lugar, controlos administrativos. Formação e sensibilização obrigatórias e políticas de segurança robustas e atualizadas ajudarão a organização a lidar com informações sensíveis de forma mais cautelosa. Exigir verificações duplas de diferentes colaboradores para operações sensíveis mostrou reduzir significativamente os erros humanos.

Por fim, controlos físicos. Exigir que todas as pessoas que entram em áreas restritas sejam identificadas e autorizadas, e supervisionar as suas atividades. Também é importante proteger todas as ligações de rede e equipamentos para evitar que os atacantes instalem dispositivos maliciosos.

Conteúdo co-produzido pela MediaNext e pela Cipher