7 novas táticas de engenharia social ameaça que os atores estão usando agora

Views: 125
0 0
Read Time:8 Minute, 36 Second

Tem sido um tempo de crescimento para a engenharia social. Pânico pandemia, desespero à medida que as preocupações com a renda cresciam, e a preocupação com a saúde e o bem-estar tornaram mais fácil para os criminosos explorarem o medo.

A engenharia social, é claro, significa atacar o usuário em vez do próprio sistema de computação, tentando extrair informações ou incitar uma ação que levará a um compromisso. É tão antigo quanto mentir, com um novo nome para a idade da computação — e essa é uma metáfora perfeita para como as táticas de engenharia social evoluem.

“Geralmente são os mesmos truques embrulhados em novas embalagens — e é exatamente isso que estamos vendo”, disse Perry Carpenter, evangelista-chefe e diretor de estratégia da KnowBe4, uma empresa de treinamento de conscientização de segurança.

Como os profissionais de segurança sabem, a embalagem importa, e um ataque familiar pode escapar através de defesas em um disfarce desconhecido.Construindo uma rede social de brinquedos com Python, Parte 1: O banco de dadoshttps://imasdk.googleapis.com/js/core/bridge3.451.0_en.html#goog_1929048130Volume 0% 

Aqui estão algumas táticas que especialistas em engenharia social dizem que estão em ascensão em 2021.

1. Códigos QR maliciosos

A fraude de phishing relacionada a código QR apareceu na tela do radar no último ano.

Os códigos de matriz QR — aqueles códigos de matriz em preto e branco legívels por máquina dispostos em um quadrado — tornaram-se uma maneira cada vez mais popular para as empresas se envolverem com os consumidores e fornecerem serviços em meio ao COVID-19. Por exemplo, muitos restaurantes abandonaram menus de papel e, em vez disso, permitem que os clientes digitalizem um código QR com seu smartphone. Da mesma forma, muitas escoteiras postaram códigos QR para pedidos sem contato e entrega de cookies nesta primavera.

Mas muitos dos sites para os sites para os sites para os anúncios de QR são operados por fornecedores de terceiros. Quando digitalizado, um código QR malicioso pode conectar telefones a um destino malicioso — assim como clicar em um link ruim. Mesmo conceito; novo invólucro.

“As pessoas podem se tornar condicionadas a assumir que o código e o site são legítimos”, disse Carpenter.

Os métodos de “entrega” para essa tática de engenharia social variam. Oz Alashe, CEO da empresa de segurança e análise cybSafe, com sede no Reino Unido, disse que ouviu falar de lançamentos de folhetos em alguns bairros com códigos fraudulentos que prometem “Digitalize este código QR para ter uma chance de ganhar um Xbox”.

“Muitas vezes, o código levará a um site desonesto que baixa malware para seu telefone”, disse Alashe.

2. Sequestro de notificação do navegador

Sites há vários anos pedem aos visitantes que aprovassem “notificações” do site. O que antes era uma maneira útil de se envolver com os leitores e mantê-los atualizados agora é, naturalmente, também uma ferramenta de engenharia social.

“Essas são chamadas de notificações push, e podem ser armadas”, disse Carpenter. “O problema é que muitos usuários clicam cegamente em ‘sim’ para permitir essas notificações.” Embora muitos usuários tenham aprendido algum nível de cautela com os navegadores da Web, as notificações parecem mais como mensagens do sistema do próprio dispositivo, em vez do navegador.

Mesmo para usuários que não dizem sim às cegas, os golpistas encontram maneiras de instalar seus scripts de notificação. As táticas incluem disfarçar o consentimento da assinatura como outra ação, como um CAPTCHA, ou trocar os botões “aceitar” e “recusar” em alertas de assinatura no meio da ação.

Uma vez que o bandido tem o consentimento (mal obtido) de um usuário, eles começam a inusibá-los com mensagens — e as mensagens geralmente são esquemas de phishing ou notificações de golpes que contêm malware.

3. Golpes de colaboração

Com essa tática de engenharia social, os criminosos cibernéticos têm como alvo profissionais em áreas colaborativas, disse Alashe, incluindo designers, desenvolvedores e até pesquisadores de segurança. A isca é um convite que pede que eles colaborem no trabalho.

Os recentes bloqueios pandêmicos e a expansão do trabalho de casa aumentaram o conforto das pessoas com colaboração remota, então essa tática se encaixa bem nos tempos.

“Os atores de ameaça enviam um Projeto Visual Studio contendo código malicioso. O usuário auto-executa o programa, e seu dispositivo é infectado muito rapidamente. Esse ataque essencialmente explora o desejo ou a necessidade de ajudar ou ajudar outras pessoas com projetos passionais”, disse Alashe.

Tzury Bar Yochay, co-fundador e CTO da empresa de segurança Reblaze, disse que exemplos desse ataque são muitas vezes bem elaborados, mostrando grande atenção aos detalhes.

“Os atacantes se passavam por pesquisadores ativos e construíam provas sociais” — com terceiros aparentes validando suas pesquisas — “usando um blog que inclui artigos de fontes do setor como ‘posts de convidados’, contas no Twitter, vídeos do YouTube, LinkedIn, Discord e muito mais”, disse ele. Um alvo suspeito pode ser colocado à vontade por esta pegada social aparentemente ampla.

4. Personificação de parceiros da cadeia de suprimentos

George Gerchow, CSO da Sumo Logic, disse que os ataques que exploram partes da cadeia de suprimentos de uma organização são agora um grande problema.

“Não é fácil defender o que você não pode ver, e você é tão forte quanto o elo mais fraco”, disse Gerchow. “Por exemplo, houve uma infinidade de e-mails direcionados chegando que parecem ser de seus parceiros confiáveis, mas são, na verdade, maus atores se passando por funcionários que você pode conhecer dentro de sua rede.”

Gerchow disse que observou pela primeira vez ofertas de cartões de presente de golpe apresentadas aos funcionários da Sumo Logic, mascaradas como incentivos ou agradecimentos dos verdadeiros parceiros de negócios da empresa.

Mas os ataques se tornaram ainda mais detalhados com o tempo.

“Agora vemos essas longas e sofisticadas tentativas de construir confiança ou relacionamentos com algumas de nossas equipes de saída cujo trabalho é ajudar. Os maus atores até se passaram por fornecedores usando nosso produto com contas gratuitas e passaram por casos de uso e cenários para engajar a expertise dentro de nossa empresa.”

Ao estabelecer essas relações confiáveis, o objetivo final dos atacantes é tornar as táticas de engenharia social padrão mais eficazes, obter ajuda para contornar controles de segurança ou enviar malwares que comprometerão os sistemas da empresa alvo.

O ataque de criação de manchetes ao SolarWinds é um exemplo de um ataque da cadeia de suprimentos— nesse caso, uma versão específica chamada de ataque de compromisso de e-mail do fornecedor (VEC). Como os funcionários da SolarWinds observaram, uma “conta de e-mail foi comprometida e usada para acessar programáticamente contas de funcionários da SolarWinds direcionados em funções comerciais e técnicas”.

5. Gravações deepfake

Os engenheiros sociais agora estão usando deepfakes— gravações surpreendentemente realistas que usam inteligência artificial para simular a aparência ou a voz de uma pessoa específica — para enganar as vítimas para divulgar informações ou realizar uma ação que beneficie o agressor.

Bar Yochay, do Reblaze, disse que ataques de deepfake de áudio — nos quais o invasor usa uma voz “clonada” que é quase indistinguível da voz de uma pessoa real para criar uma gravação de áudio fraudulenta — são uma preocupação crescente. Um dos primeiros exemplos bem-sucedidos veio em 2019, quando uma gravação falsa da voz de um CEO foi usada para instruir um funcionário a transferir dinheiro imediatamente para uma conta internacional.

“A gravação foi deixada como uma mensagem de voz para o subordinado, que obedeceu às instruções fraudulentas e enviou US$ 243.000 aos agressores”, disse Bar Yochay.

Gerchow também disse que viu criminosos usarem gravações deepfake para manipular funcionários para enviar dinheiro ou oferecer informações privadas — apenas gravações de áudio até agora, mas Gerchow acredita que deepfakes de vídeo são apenas uma questão de tempo.

“Treinamento, conscientização, auto-relato e transparência serão a única maneira de aumentar a segurança em torno desses ataques”, disse Gerchow. “A segurança precisa ser acessível e, claro, registrar tudo.”

6. Fraude de texto

Embora o texto tenha sido um canal para golpes de engenharia social por um tempo, Rebecca Herold, especialista em privacidade e segurança, diz que as táticas de mensagens de texto estão em destaque.

“Estamos nos tornando uma sociedade onde grande parte da população prefere se comunicar via mensagens de texto em oposição ao telefone. As pessoas agora estão extremamente acostumadas a comunicar tipos muito confidenciais de informação via texto”, diz Herold.

Como a entrega de alimentos e supermercados cresceu no último ano, os textos de golpe relacionados à entrega aumentaram. Outras iscas comuns incluem textos que prometem informações sobre verificações de estímulo covid que vinculam as vítimas de volta a um site que se parece com o site da Receita Federal e pede informações pessoais confidenciais, como uma data de nascimento e número de segurança social.

Herold disse que também viu golpes de texto nos quais os fraudadores se passam pelo Departamento de Saúde e Serviços Humanos dos EUA e dizem às vítimas que devem fazer um “teste COVID on-line obrigatório” usando um link fornecido.

“Então, como outros golpes, suas informações pessoais são tomadas e o malware é frequentemente carregado em seu dispositivo de computação”, disse Herold.

Assim como os códigos QR, as vítimas simplesmente não desenvolveram o nível de consciência e cautela necessários.

7. Domínios de typosquatting ou sósias

Carpenter disse que erros de digitação— ou domínios parecidos — são frequentemente servidos em um ataque de compromisso de e-mail de negócios (BEC). Os fraudadores se passam por domínios legítimos para enganar as vítimas a pensar que estão em um local seguro.

Eles fazem isso com muitos truques, incluindo erro de ortografia do domínio (pense gooogle em vez do Google) ou adicionar um domínio de alto nível diferente (.uk em vez de .co.uk). Ao contrário das versões muitas vezes desleixadas dos dias anteriores, hoje esses sites podem apresentar designs sofisticados, imitação cuidadosamente detalhada de sites legítimos e funcionalidade sofisticada.

“As vítimas de engenharia social geralmente são enganadas para sentir segurança psicológica por sua escolha ou em buscar segurança psicológica de uma maneira que jogará nas mãos de um agressor”, disse Carpenter.

Os criminosos definem esses sites não apenas para fornecer malware, mas também para capturar informações de cartão de crédito ou outros dados confidenciais através de campos de login falsos ou outros formulários falsos.

FONTE: CSO ONLINE

Previous post Como o envenenamento por dados ataca modelos de aprendizado de máquina corruptos
Next post Site da Biblioteca Nacional é retirado do ar após ataque hacker

Deixe um comentário