“A Engenharia Social pode ser definida como qualquer ação que influencia uma pessoa a agir de uma forma que pode ou não ser de seu interesse” define John Trinckes Jr. no livro The Definitive Guide to Complying with the HIPAA/HITECH Privacy and Security Rules.
O objetivo dessa matéria é entender algumas das práticas mais comuns de ataques através da Engenharia Social. As estatísticas apresentadas aqui provém do infográfico “Social Engineering”
Phishing
É a prática de enviar e-mails que simulam proceder de fontes confiáveis com o objetivo de influenciar ou roubar informações pessoais. Esse método de ataque é responsável por 77% de todos os ataques “sociais” reportados: 37,3 milhões de usuários reportaram ataques de phishing durante o ano passado.
No ano passado, 88% dessas campanhas precisavam que a vítima clicasse em links nos e-mails. Quase sempre os atacantes simulavam ser instituições bancárias
Nas últimas semanas reportamos vários casos de phishing, os que mais se destacaram foram as fraudes que se aproveitam da popularidade da Copa do Mundo FIFA no Brasil para afetar os usuários.
Alguns números importantes para serem considerados sobre o phishing durante o ano passado:
- E-mails enviados: 107 trilhões
- E-mails enviados por dia: 294 bilhões
- 90% eram spam e/ou malware!
Vishing
Prática bem semelhante ao phishing. O objetivo é obter informação ou provocar uma ação através de um telefone celular ou VoIP, e pode ser realizado através de práticas como o “spoofing” (suplantação de identidade).
Em 2012, 2,4 milhões de usuários de telefonia celular foram vítimas de fraude telefônica. O mesmo valor foi alcançado ainda no primeiro semestre de 2013. Na média, o prejuízo de cada empresa afetada foi de US$ 42.546.
Smishing
Os smishers são atacantes que fazem phishing através de mensagens de texto. Os mesmos procuram, através da Engenharia Social, que as vítimas façam uma das três coisas abaixo:
- Cliquem em um link (60% dos ataques)
- Façam uma ligação telefônica a um número específico (26% dos ataques)
- Respondam uma mensagen de texto (14% dos ataques)
60% dos adultos nos Estados Unidos receberam spam nos seus dispositivos móveis em 2012.
Impersonificação
É a prática de assumir a identidade de outra pessoa para obter informação ou acesso a uma pessoa, empresa ou sistema. A média de idade das vítimas de impersonificação gira em torno de 41 anos e o ambiente mais utilizado para essa fraude é o local de trabalho.
O prejuízo financeiro ficou acima de 4 mil dólares por pessoa em 2013, ano em que houveram 1,8 milhões de vítimas de impersonificação.
Outro fato importante: 80% dos roubos de identidade foram realizados desabilitando ou enganando os controles de acesso existentes; e 88% dos bens roubados foram dados pessoais.
Ainda existem pessoas e empresas que acham que somente por contar com um software de segurança, não há porque se preocupar com os problemas mencionados até aqui. Mas seria o mesmo que dizer: “comprei um carro novo, com o melhor alarme que existe, mas o deixo com as portas abertas e as chaves no contato”.
O segredo para evitar estes tipos de ataque são: estabelecer uma cultura focada em segurança digital, entender as fraquezas no nosso ambiente através de um teste de penetração e educar todos os empregados sobre o papel de cada um no momento de manter toda a informação sensível segura.