Quem é íntimo do mercado de segurança da informação sabe que a engenharia social é uma das armas mais poderosas — e perigosas — utilizadas pelos atores maliciosos. Em muitos casos, diferente do que produções cinematográficas ou o imaginário popular nos faz imaginar, um criminoso cibernético não precisa escrever centenas de linhas de código em uma sala escura usando um capuz para efetuar um ataque devastador contra seu alvo. Basta ele ter a capacidade de persuadi-lo a adotar um comportamento inseguro.
Afinal, por mais que sistemas computadorizados possam sim ter falhas, eles respeitam à risca aquilo à que foram programados. Já os seus usuários — ou seja, os seres humanos — são imprevisíveis. Com o mínimo de esforço, você pode mudar a opinião e/ou percepção de alguém, incentivar a pessoa a fazer algo que ela geralmente não faria e convencê-la a “sair do script” mais adequado, quebrando uma regra de sua Política de Segurança da Informação, por exemplo.
Mesmo que esta persuasão dure apenas um segundo ou um clique, tal ação já pode ser o suficiente para comprometer dados sigilosos, infectar dispositivos e assim por diante. E, como sabemos que o crime cibernético evolui diariamente, é natural que a engenharia social ganhe novas facetas em um ritmo praticamente diário. Desta vez, selecionamos quatro golpes relativamente novos e que estão ganhando notoriedade ao redor do mundo, também se aproveitando da psique humana para obter vantagem.
MFA Fatigue: vencendo pelo cansaço
Não há como traduzir de uma forma bonita: o truque ficou conhecido em português como “Fadiga de MFA” ou “Cansaço de MFA” mesmo. E, embora o nome possa parecer bem estranho, ele resume com perfeição o modus operandi do atacante: ele se aproveita da forma como as tecnologias de autenticação multifatorial funcionam para, literalmente, vencer o usuário pelo cansaço.
Funciona assim: já de posse das credenciais da vítima (que podem ter sido obtidas através de roubo ou vazamentos de dados), o criminoso realiza tentativas de login de forma insistente para que o alvo receba dezenas ou até centenas de notificações em seu celular requisitando a autorização para o login. O internauta despreparado, mais cedo ou mais tarde, vai se irritar com a quantidade de solicitações e clicar em “Permitir” para se ver livre de tantos alertas. Pronto: o acesso foi concedido ao ator malicioso.
O melhor remédio contra o MFA Fatigue — além da adoção de controles mais rígidos em sua solução de gerenciamento de identidade e acesso, como a limitação de solicitações do segundo fator de autenticação — é a conscientização do usuário de que tal fenômeno trata-se de um golpe. Geralmente, a desistência pelo cansaço se dá ao fato de que o colaborador acredita que o volume massivo de notificações é apenas uma falha do sistema, uma conclusão equivocada que pode trazer sérias consequências.
Falsos vazamentos de dados
Até mesmo os cidadãos que possuem pouca familiaridade com segurança da informação sabem que, infelizmente, vazamentos de dados são cada vez mais comuns no Brasil e no mundo. Logo, tornou-se natural ser alertado a respeito de uma exposição indevida, sendo coerente checar se as suas informações estão dentre as comprometidas para adotar as medidas adequadas de remediação. Porém, e se você for informado a respeito de um vazamento que jamais aconteceu?
Muitos criminosos estão criando esse tipo de campanha e, ironicamente, capturando um grande volume de dados ao anunciar uma exposição falsa. Eles criam sites que justamente pedem que você insira informações como credenciais ou documentos para “checar” se eles estão ou não seguros — mas a verdade é que tal página é uma armadilha projetada para simplesmente capturar tais registros.
Callback phishing
Também chamado de “phishing híbrido”, não se trata exatamente de uma nova modalidade, mas sim de uma combinação inteligente do phishing tradicional com o vishing — com a praticidade, por parte dos cibercriminosos, de não precisarem agir de forma ativa. Funciona assim: primeiro, os meliantes criam uma campanha de phishing (geralmente se passando por equipes de suporte técnico ou de atendimento) e pedem para que o internauta entre em contato através de um número telefônico para resolver uma pendência qualquer.
Justamente por não conter links suspeitos ou anexos maliciosos, esses emails passam com facilidade pela maioria dos filtros e soluções de proteção disponíveis no mercado. O internauta desatento que efetuar a ligação não vai conversar com um atendente, mas sim com um criminoso, que lhe convencerá a adotar alguma postura inadequada — como ceder dados pessoais ou até mesmo instalar um software-espião em seu dispositivo, sempre utilizando um tom altamente profissional para maior confiabilidade.
Deepfake phishing
Novamente, o deepfake phishing não pode ser considerado, ao pé da letra, um golpe inédito. Trata-se de outro aprimoramento nas campanhas de phishing, que utiliza deepfakes para tornar os emails maliciosos mais convincentes, adicionando áudios ou até vídeos que replicam com perfeição, por exemplo, uma requisição de seu superior lhe pedindo para transferir imediatamente uma alta quantia em dinheiro para uma conta desconhecida.
Ainda dá tempo de aproveitar nossa oferta de Black Friday!
Vale lembrar que, em clima de Black Friday, a Eskive está oferecendo por tempo limitado uma condição promocional para o nosso e-learning de onboarding. Trata-se de um material perfeito para iniciar sua campanha de conscientização e gestão de risco humano. Tudo isso por um investimento irrisório se levarmos em consideração os benefícios de ter uma equipe bem preparada para lidar com o crime digital.
Disponível em português, inglês e espanhol, o curso abrange conceitos básicos de segurança da informação, ameaças mais comuns, dicas de como identificá-las e mitigá-las e muito mais — tudo com uma linguagem leve para os colaboradores e um investimento acessível para a sua empresa, independentemente do segmento ou porte!
Vale lembrar que, graças à nossa metodologia proprietária orientada a dados, a Eskive foi agraciada com o quarto lugar no ranking Top 10 da 100 Open Startups 2023, dentro da categoria estreante “Cibersegurança e Identidade”.
