Cibercriminosos exploram engenharia social para invadir o sistema operacional humano. Saiba como se defender.
A Intel Security divulgou um relatório intitulado “Hacking the Human OS” (Invadindo o Sistema Operacional Humano) que revela as mais recentes técnicas de persuasão utilizadas por cibercriminosos para manipular os funcionários das empresas a fazerem coisas que eles normalmente não fariam, resultando na perda de dinheiro ou de dados valiosos.
Estima-se que o custo global com cibercrimes chega a uma estimativa de US$ 445 bilhões, fortuna que desperta o interesse e a criatividade dos hackers. A análise revela a extensão e a gravidade da engenharia social e a importância do treinamento em segurança corporativa.
“O predomínio da engenharia social em muitos ataques demonstra uma fraqueza inerente na capacidade das vítimas de distinguir as comunicações mal-intencionadas, o que os criminosos estão utilizando métodos mais complexos para evitar o “firewall humano”, indica o relatório.
Segundo dados da pesquisa, dois terços de todos os e-mails do mundo atualmente são spam, mensagens com o objetivo de extorquir informações e/ou roubar dinheiro, e 80% dos colaboradores são incapazes de detectar as fraudes de phishing por e-mail mais comuns e usadas com frequência.
O estudo também registrou um aumento dramático no uso de URLs maliciosas (com mais de 30 milhões identificadas até o final de 2014). O aumento é atribuído à utilização de novos domínios curtos, que frequentemente escondem sites maliciosos ou servem como phishing.
Um estudo recente da Enterprise Management Associates constatou que apenas 56% de todos os funcionários das empresas passam por algum tipo de treinamento sobre segurança ou sensibilização quanto à política da empresa. Com isso, os cibercriminosos não precisam, necessariamente, de conhecimento técnico considerável para alcançar seus objetivos.
A Intel revela algumas das técnicas de persuasão utilizadas atualmente pelos cibercriminosos para contornar a conscientização dos seus alvos e manipular as vítimas através do uso de técnicas subconscientes de influência. A companhia listou ainda seis táticas para serem observadas no mundo digital:
1. Reciprocidade: Quando as pessoas ganham algo, eles tendem a se sentir obrigadas a retribuir o favor em seguida.
2. Escassez: As pessoas tendem a agir em conformidade quando acreditam que algo está no fim. Por exemplo, um e-mail cujo conteúdo dá a impressão de ser de um banco, o qual está pedindo ao usuário para agir em conformidade com uma solicitação, caso contrário, a conta será desativada dentro de 24 horas.
3. Consistência: Uma vez que os alvos ‘prometem’ fazer algo, eles geralmente cumprem suas promessas, pois as pessoas não querem dar a impressão de serem desonestas ou de não serem dignas de confiança. Por exemplo, um hacker se passa por alguém da equipe de TI de uma empresa pode fazer com que um colaborador concorde em cumprir todos os processos de segurança e, em seguida, pede para que ele execute uma tarefa suspeita supostamente em conformidade com as exigências de segurança.
4. Probabilidade: Os alvos são mais propensos a agir em conformidade quando o engenheiro social é alguém de quem eles gostam. Um hacker pode usar seu charme por telefone ou online para ‘conquistar’ uma vítima inocente.
5. Autoridade: As pessoas tendem a agir em conformidade quando uma solicitação é feita por alguém que transmite autoridade. Por exemplo, um e-mail encaminhado para o departamento financeiro que pareça ter vindo do CEO ou do presidente.
6. Validação social: As pessoas têm tendência a agir em conformidade quando os outros estão fazendo a mesma coisa. Por exemplo, um e-mail de phishing pode parecer ter sido enviado a um grupo de colaboradores, o que faz com que um colaborador acredite que está tudo bem, uma vez que outros colegas também receberam a solicitação.
COMPUTERWORLD