A engenharia social é a principal tática utilizada em alguns dos mais famosos ataques de hackers. É um método baseado em pesquisa e persuasão que geralmente está na raiz de golpes de spam, phishing, que são disseminados por e-mail.
O objetivo dos ataques de engenharia social é, basicamente, ganhar a confiança da vítima para roubar dados, informações e dinheiro. Os incidentes de engenharia social muito vezes também envolvem o uso de malware, como ransomware e trojan.
Os casos de engenharia social listados abaixo nos dão uma ideia de como esses ataques funcionam e do quanto podem custar para pessoas, empresas e governos.
Se você ainda duvida que um simples e falso e-mail de suporte da Apple, por exemplo, poderia causar algum dano real, esta lista é para você.
Neste artigo, vamos falar sobre os seguintes exemplos de engenharia social:
1. Shark Tank, 2020
A juíza do programa de televisão Shark Tank Barbara Corcoran perdeu quase USD 400.000 em um golpe de phishing e engenharia social, em 2020.
Um cibercriminoso se passou por uma assistente dela e enviou um e-mail para o contador solicitando o pagamento de uma renovação relacionada a investimentos em imóveis.
Ele usou um e-mail similiar ao endereço legítimo. A fraude só foi descoberta depois que o contador enviou um e-mail para o endereço correto da assistente, perguntando sobre a transação.
2. Toyota, 2019
A Toyota Boshoku Corporation, fornecedora de autopeças, foi vítima de um ataque de engenharia social em 2019. A quantia perdida chega a USD 37 milhões.
Usando persuasão, os invasores convenceram um executivo do departamento financeiro a alterar as informações da conta bancária em uma transferência eletrônica de fundos.
3. Condado de Cabarrus, 2018
Devido a um golpe de engenharia social e BEC, o Condado de Cabarrus, nos Estados Unidos, sofreu prejuízo de USD 1,7 milhão, em 2018. Utilizando e-mails maliciosos, os hackers se passaram por fornecedores do condado e solicitaram que os pagamentos fossem feitos em uma nova conta bancária.
Segundo a investigação, depois que o dinheiro foi transferido, ele foi desviado para várias contas. Nos e-mails, os golpistas apresentaram documentação aparentemente legítima.
4. Ethereum Classic, 2017
Várias pessoas perderam milhares de dólares em criptomoedas depois que o site da Ethereum Classic foi hackeado, em 2017.
Usando engenharia social, os hackers se passaram pelo proprietário da Classic Ether Wallet, obtiveram acesso ao registro de domínio e redirecionaram o domínio para um servidor próprio.
Os criminosos roubaram as criptomoedas Ethereum das vítimas após adicionarem um código ao site que permitia a visualização de chaves privadas que são usadas para transações.
5. Partido Democrata, 2016
Um dos casos mais emblemáticos de engenharia social é a eleição presidencial dos Estados Unidos em 2016.
Ataques de spear phishing levaram ao vazamento de e-mails e informações do Partido Democrata que podem ter influenciado o resultado da eleição, com a vitória de Donald Trump sobre Hillary Clinton.
Os hackers criaram um e-mail falso no Gmail, convidando os usuários, por meio de um link, a alterar as suas senhas devido a atividades incomuns. Os fraudadores então tiveram acesso a centenas de e-mails contendo informações confidenciais sobre a campanha de Clinton.
6. Ubiquiti Networks, 2015
A Ubiquiti Networks, fabricante de tecnologia para redes, perdeu quase USD 40 milhões em 2015 após um ataque de phishing. Acredita-se que a conta de e-mail de um funcionário importante de Hong Kong foi comprometida.
Em seguida, os hackers usaram a técnica de personificação (se passaram pelo funcionário) e solicitaram pagamentos fraudulentos, que foram feitos pelo departamento de contabilidade da empresa.
7. Sony Pictures, 2014
Após uma investigação, o FBI divulgou que o ciberataque à Sony Pictures, em 2014, foi de responsabilidade do governo da Coréia do Norte.
Milhares de arquivos, incluindo acordos comerciais, documentos financeiros e informações de funcionários, foram roubados. A Sony Pictures foi alvo de ataques de spear phishing. Os funcionários foram atraídos por e-mails falsos da Apple.
8. Target, 2013
Como resultado do ataque à Target, em 2013, hackers obtiveram acesso a 40 milhões de informações de pagamentos de clientes. Por meio de um e-mail de phishing, os criminosos instalaram um malware em uma empresa parceira da Target, o que permitiu a eles, em um segundo momento, a acessarem a rede do segundo maior varejista de lojas de departamento dos Estados Unidos.
Em seguida, os hackers instalaram outro malware no sistema da Target para copiar informações de cartões de crédito e débito dos clientes. O que podemos aprender com esse ataque? Seja muito cauteloso com as empresas e os parceiros que têm acesso à sua rede.
9. Departamento de Receita da Carolina do Sul, 2012
Hackers roubaram milhões de documentos e milhares de informações de cartões de crédito e débito do Departamento de Receita da Carolina do Sul, nos Estados Unidos, em 2012.
Os funcionários caíram em golpes de phishing, compartilhando os seus nomes de usuários e senhas com criminosos. Depois disso, com as credenciais em mãos, os hackers conseguiram acesso à rede da agência estatal.
10. RSA, 2011
Estima-se que a RSA, uma empresa de segurança, gastou cerca de USD 66 milhões por causa de uma violação de dados, em 2011. O ataque começou com um documento do Excel, enviado para um pequeno grupo de funcionários por e-mail.
O assunto do e-mail dizia algo como “Plano de Recrutamento”. O anexo continha um arquivo malicioso que abriu uma backdoor para os hackers.
Como se prevenir de engenharia social
Como visto nos exemplos, a engenharia social se baseia no fato do invasor conquistar a confiança da vítima. Por isso, é importante prestar atenção nos e-mails, verificar anexos e links, e desconfiar de pedidos urgentes e que, principalmente, envolvam dinheiro.
Um alerta importante sobre e-mails similares ao original e que em algumas das vezes o atacante pode não usar um email similiar e sim usar um email identico ao original para dar mais credibilidade e induzir o alvo a clicar em algum link malicioso; Deste modo é sempre bom conferir com a outra pessoa (conferir por ligação ou pessoalmente) se realmente foi solicitado alguma transferência ou requerimento de informações.