15 exemplos de ataques de engenharia social

A engenharia social explora o elo mais fraco de qualquer sistema: o erro humano. Envolve a manipulação da psicologia e do comportamento humanos para enganar as pessoas, levando-as a divulgar informações confidenciais ou a conceder acesso não autorizado a redes, sistemas e locais físicos.

A engenharia social depende da exploração de emoções poderosas e quase universais, como a ganância ou o medo, em vez de depender de hackers técnicos. Tornou-se até a tática preferida entre os hackers e o seu impacto na segurança cibernética não pode ser exagerado.

Este artigo lista os 15 ataques cibernéticos mais famosos onde a engenharia social foi o fator predominante. Ao compreender as táticas dos hackers, você será capaz de identificar e impedir ataques de engenharia social contra você e sua organização.

Exemplos de engenharia social

Vejamos alguns dos ataques cibernéticos de engenharia social mais infames da história.

1. Início da carreira de Kevin Mitnick

Em 1994, Kevin Mitnick se passou por funcionário e convenceu a equipe de suporte técnico da Motorola, Novell, Nokia e Sun Microsystems de que precisava urgentemente de acesso a determinadas informações para solução de problemas. Através de uma combinação de charme, jargão técnico e urgência, ele convenceu a equipe de suporte a lhe fornecer as informações de que precisava.

Munido de detalhes técnicos confidenciais, Mitnick obteve acesso não autorizado a sistemas internos e explorou as vulnerabilidades que conheceu. Ele foi preso, mas após sua libertação da prisão em 2000, Mitnick disse que considerava suas ações “simples crimes de invasão”. Ele explicou ainda que sua motivação era apenas aprender como funcionavam as redes telefônicas.

Mais tarde, Kevin Mitnick, que faleceu em julho de 2023, usou seus talentos para hacking ético, tornando-se um respeitado consultor e autor de segurança.

2. Ataque de Spear Phishing ao Comitê Nacional Democrata

Durante a campanha presidencial dos EUA de 2016, um ataque cibernético teve como alvo altos funcionários e funcionários do Comité Nacional Democrata (DNC), o órgão dirigente do Partido Democrata nos Estados Unidos.

Os invasores criaram e-mails de phishing personalizados e convincentes, uma técnica chamada spear phishing. Depois que um alvo clicava em links maliciosos ou baixava anexos infectados por malware, ele inadvertidamente fornecia suas credenciais de login ou permitia o acesso de malware ao seu sistema. Os invasores obtiveram acesso não autorizado a informações confidenciais dentro do DNC.

Esta violação acabou por levar à divulgação de e-mails confidenciais durante a campanha eleitoral presidencial dos EUA em 2016, que teve repercussões políticas significativas e suscitou preocupações sobre a interferência estrangeira. Investigações conduzidas por várias empresas de segurança cibernética culparam dois notórios grupos de hackers russos “Fancy Bear” e “Cozy Bear” pela violação.

O DNC contatou a empresa de segurança cibernética CrowdStrike para serviços coordenados de remediação e recuperação de desastres. Preocupantemente, o relatório deles disse que os dois grupos de hackers patrocinados pelo Estado russo haviam se infiltrado na rede do DNC já em 2015.

3. Assalto a banco em Bangladesh

Ao contrário da crença de que os assaltos a bancos só acontecem em filmes de faroeste, o Assalto a Banco de Bangladesh foi um dos mais audaciosos e bem-sucedidos da história.

Em fevereiro de 2016, hackers atacaram o banco central de Bangladesh. Com a ajuda de pessoas internas, eles enviaram e-mails de spear phishing contendo anexos infectados por malware. Quando seus alvos finalmente abriram esses anexos, eles concederam aos hackers acesso à rede e aos sistemas do banco.

Uma vez lá dentro, os invasores usaram processos e controles internos para manipular o sistema SWIFT (Society for Worldwide Interbank Financial Telecommunication) do banco, uma rede de mensagens usada por instituições financeiras para enviar e receber pagamentos com segurança.

Usando transações SWIFT fraudulentas, os hackers tentaram transferir quase US$1 bilhão do Banco de Bangladesh para suas contas nas Filipinas. Embora algumas das transações tenham sido bloqueadas ou revertidas, os hackers conseguiram transferir aproximadamente US$81 milhões.

As agências de aplicação da lei ainda estão trabalhando para capturar todos os autores do assalto ao Banco de Bangladesh.

4. Hack de imagens da Sony

Em 2014, um grupo conhecido como “Guardiões da Paz” (GOP) atacou a Sony Pictures Entertainment com e-mails de spear phishing disfarçados de comunicações oficiais de fontes confiáveis. O GOP enganou os funcionários da Sony para que divulgassem suas credenciais de login ou clicassem em links maliciosos que concediam acesso aos sistemas da empresa.

Uma vez lá dentro, os hackers permaneceram sem serem detectados por pelo menos dois meses, durante os quais instalaram um implante de escuta, backdoor, proxy, ferramenta destrutiva de disco rígido e uma ferramenta de limpeza para remover vestígios do ataque. Posteriormente, eles exfiltraram grandes quantidades de dados confidenciais, incluindo filmes não lançados, documentos comerciais confidenciais, registros de funcionários e conversas privadas por e-mail.

Um dos aspectos mais significativos da violação de dados foi o roubo de vários filmes, incluindo Annie, Fury e A Entrevista. Os filmes vazaram online antes de suas datas oficiais de lançamento, causando imensos danos financeiros ao estúdio cinematográfico à medida que as cópias eram espalhadas pela Internet.

Os e-mails vazados também foram particularmente prejudiciais, pois expuseram conversas não filtradas entre executivos e outras figuras do setor. Alguns dos e-mails continham opiniões sinceras sobre celebridades, atores e parceiros de negócios.

Embora a identidade dos indivíduos por trás do Partido Republicano permaneça incerta, o governo dos Estados Unidos apontou a Coreia do Norte como o provável culpado. O ataque foi alegadamente motivado pelo lançamento do filme A Entrevista, uma comédia centrada num plano fictício para assassinar o líder norte-coreano Kim Jong-un.

5. Golpe de Bitcoin no Twitter

Em julho de 2020, os hackers atacaram várias contas importantes do Twitter, incluindo as de Elon Musk, Barack Obama, Joe Biden, Kanye West, Bill Gates e muitos outros.

Os invasores começaram vasculhando o LinkedIn para identificar funcionários do Twitter com privilégios de administrador. Usando ferramentas pagas disponíveis para recrutadores, eles acessaram as informações de contato privadas desses funcionários, incluindo números de telefone celular.

Após selecionarem seus alvos, eles iniciaram o contato se passando por funcionários do Twitter. O vetor de ataque estava conectado à política de trabalho remoto da empresa durante a pandemia de COVID-19. Os hackers conseguiram acessar o canal de comunicação Slack dos funcionários do Twitter, onde estavam fixadas informações cruciais e procedimentos de autorização de acesso aos servidores da empresa.

Depois de violarem a rede, os invasores postaram tweets fraudulentos que enganaram os seguidores, fazendo-os acreditar que, se enviassem uma quantidade específica de Bitcoin para um endereço designado, receberiam o dobro em troca.

Os tweets foram cuidadosamente elaborados para parecerem autênticos, capitalizando a confiança e a autoridade dos indivíduos-alvo. Muitos foram vítimas do golpe e enviaram seus Bitcoins para os endereços especificados, perdendo cumulativamente centenas de milhares de dólares.

6. Não Petya

Ransomware é um programa projetado para extorquir dinheiro e varia de telas de bloqueio básicas a códigos complexos com recursos de criptografia e exfiltração de dados.

Surgido em 2016, Petya é uma variedade de ransomware que divergiu da tradição ao atingir o Master Boot Record (MBR) ou a tabela de partição do disco rígido, tornando todo o sistema inoperante. Inicialmente, Petya distribuiu sua carga disfarçada como um arquivo PDF, espalhando-se por meio de anexos de e-mail usando vários vetores de infecção, como e-mails de spear phishing e sites comprometidos.

Em 27 de junho de 2017, um grande ataque cibernético global utilizou uma nova variante do Petya. A Kaspersky relatou ataques a mais de 80 empresas, com 80% de todas as infecções ocorrendo na Ucrânia, enquanto a Alemanha foi o segundo país mais atingido, com cerca de 9%. O governo dos EUA estima que o dano total causado por este ataque excede US$10 bilhões.

Os especialistas acreditam que este foi um ataque com motivação política e patrocinado pelo Estado contra a Ucrânia, uma vez que teve como alvo principal o Banco Nacional da Ucrânia e coincidiu com a véspera do feriado do Dia da Constituição Ucraniana.

7. Violação de dados alvo

A violação de dados da Target foi uma das mais significativas da história, levando a mais de 40 milhões de números de cartões de crédito, endereços e números de telefone comprometidos. Na sequência, a Target foi forçada a pagar um acordo de US$18,5 milhões às vítimas da violação.

Os invasores violaram a rede da Target comprometendo um fornecedor terceirizado, uma empresa de refrigeração chamada Fazio Mechanical. Esse tipo de ataque é chamado de ataque à cadeia de suprimentos e se concentra na exploração do elo mais fraco de uma cadeia de suprimentos.

Os hackers da Target usaram e-mails de phishing para instalar o Citadel, uma variante do trojan Zeus, nos computadores de Fazio. Usando o fornecedor violado como ponto de partida, os hackers exploraram uma vulnerabilidade não descoberta para obter um ponto de presença, aumentar privilégios e atacar os sistemas internos da Target.

No momento da violação, todas as versões principais do antimalware de nível empresarial eram capazes de detectar o Citadel com sucesso. No entanto, Fazio provavelmente dependia de uma solução antimalware gratuita que não possuía proteção em tempo real.

8. Violação de dados do hino

A violação de dados da Anthem em 2015 foi um dos ataques de phishing mais caros e impactantes da história.

Tendo como alvo uma das maiores seguradoras de saúde dos Estados Unidos, a violação da Anthem é a violação de dados de saúde mais extensa já registrada, dando aos invasores acesso às informações pessoais e médicas de quase 79 milhões de pessoas. Os dados roubados incluíam nomes, datas de nascimento, números de seguro social, identificações médicas e outras informações confidenciais, que provavelmente foram vendidas na dark web.

O ataque também foi extremamente caro para a Anthem, custando US$230 milhões em esforços de remediação. As consequências do ataque exigiram que a Anthem alocasse US$115 milhões para resolver ações judiciais, US$39,5 milhões para resolver a investigação geral do procurador do estado e US$16 milhões adicionais para resolver a auditoria HIPAA e a subsequente multa por violação da HIPAA.

Uma investigação subsequente liderada por funcionários do governo e pela empresa de segurança cibernética Mandiant afirmou que o ataque foi patrocinado pelo Estado, mas não identificou nenhum autor.

9. Fraude eletrônica de Evaldas Rimasauskas

De 2013 a 2015, um lituano chamado Evaldas Rimasauskas roubou US$99 milhões do Facebook e US$23 milhões do Google criando faturas falsas. Com e-mails meticulosamente elaborados, ele enganou os funcionários das empresas, fazendo-os pagar por produtos que não encomendaram nem receberam.

Usando uma técnica semelhante à “erro de digitação” ou “sequestro de URL”, Evaldas criou uma empresa na Letônia com um nome muito parecido com o da Quanta Computer Inc., um respeitável fabricante de eletrônicos de Taiwan. Sob este pretexto, realizou transações fraudulentas multimilionárias com a Google e o Facebook, encaminhando os fundos para as suas contas bancárias na Letónia e em Chipre.

Para encobrir seus rastros, ele fabricou faturas, contratos e cartas com assinaturas falsas de executivos e agentes do Google e do Facebook. Surpreendentemente, nenhuma das empresas examinou a legitimidade destes documentos.

As suas atividades fraudulentas terminaram quando as autoridades lituanas o detiveram em 2017 e ele foi posteriormente extraditado para os Estados Unidos. Rimasauskas se declarou culpado de uma acusação de fraude eletrônica e foi condenado a 60 meses de prisão.

10. Golpe de AI Deepfake atinge empresa de energia do Reino Unido

Em 2019, os criminosos usaram software de emulação de voz de IA para roubar 220 mil euros de uma empresa de energia do Reino Unido, num exemplo clássico de um ataque baleeiro - um ataque de spear phishing contra um executivo de alto nível.

Os golpistas se passaram com sucesso pelo CEO alemão da empresa-mãe da empresa de energia do Reino Unido. Os golpistas persuadiram o CEO do Reino Unido a enviar dinheiro com urgência para um fornecedor húngaro, que era, na verdade, a conta deles.

Pouco depois de o CEO do Reino Unido ter enviado os 220.000 euros, os hackers telefonaram novamente, alegando que tinham enviado dinheiro para o reembolsar pela transação urgente. Mais tarde naquele dia, eles fizeram uma terceira ligação, mais uma vez se passando pelo CEO e solicitando um segundo pagamento.

O CEO do Reino Unido ficou desconfiado porque o reembolso não tinha chegado e a terceira chamada veio de um número de telefone austríaco. Consequentemente, decidiu não proceder ao segundo pagamento.

Após a transferência para a conta bancária húngara, os fundos foram transferidos para o México e distribuídos para outros locais.

Durante a investigação, concluiu-se que os perpetradores utilizaram software comercial para personificar a voz do executivo alemão. Esta é uma das primeiras ocorrências conhecidas de mimetismo de voz de IA sendo usado para fraudes.

Até o momento, os investigadores não identificaram nenhum suspeito e tiveram que encerrar a investigação.

11. Golpe do Google Drive

Em 2020, um esquema de phishing transformou notificações push em armas para levar suas vítimas a sites cheios de malware. Explorando uma falha no Google Drive, os golpistas enviaram notificações push e e-mails aparentemente genuínos do Google, solicitando que os usuários do Gmail clicassem no botão “Abrir no Documentos” no e-mail. Ao fazer isso, os usuários foram direcionados para uma página autêntica hospedada pelo Google, onde foram solicitados a conceder permissão a um serviço aparentemente legítimo chamado “Google Docs” para acessar os dados de suas contas de e-mail.

Infelizmente, fornecer permissão concedeu aos golpistas acesso à conta de e-mail, contatos e documentos online da vítima. O malware então enviou e-mails automaticamente para todos na lista de contatos da vítima para se propagar ainda mais.

Embora o phishing não seja uma tática nova, o aspecto alarmante desse golpe é que os e-mails e notificações originaram-se diretamente do Google. Como as mensagens pareciam legítimas, os usuários foram pegos de surpresa.

Ao receber relatos de vítimas, o Google removeu imediatamente os documentos utilizados no golpe e corrigiu a falha de segurança.

12. Revéton

Em 2012, a variedade de ransomware Reveton ganhou notoriedade como a primeira operação de Ransomware como serviço (RaaS). Forneceu às gangues conhecimento técnico limitado, ferramentas de ransomware e infraestrutura com os meios para conduzir ataques sem a necessidade de desenvolver o malware por conta própria. Hoje, quase qualquer pessoa pode criar campanhas de malware altamente eficazes, graças ao RaaS.

Outro aspecto notável do Reveton é a sua abordagem agressiva e intimidadora. Apelidado de “Trojan da Polícia”, ele bloqueava a tela da vítima, exibindo uma mensagem falsa de agências de aplicação da lei, acusando-as falsamente de atividades ilegais, como violação de direitos autorais ou de ter uma conexão com pornografia infantil.

Para desbloquear o computador, os hackers exigiram o pagamento de uma “multa”, explorando logotipos e linguagem oficiais para incutir urgência e medo na vítima. Nesse aspecto, Reveton serve como um excelente exemplo de hackers que usam habilmente a engenharia social para estabelecer credibilidade.

Além disso, o ransomware utilizou o endereço IP do computador do usuário e imagens da webcam para criar a ilusão de monitoramento e gravação constantes, manipulando a vítima para que sucumbisse ao pedido de resgate.

13. Grupo de hackers Lapsus$

No final de 2022, a polícia do Reino Unido prendeu dois adolescentes, Arion Kurtaj (18) e um jovem não identificado de 17 anos, pelo seu envolvimento na pirataria informática de várias organizações. A longa lista de empresas inclui Nvidia, Rockstar Games, Revolut, BT Group, Uber e até mesmo os servidores de armazenamento em nuvem da Polícia de Londres.

O promotor designado para o caso enfatizou que os hackers não estavam apenas se entregando a "pegadinhas juvenis", mas também a crimes sofisticados com o objetivo de lucrar.

O currículo do jovem hacker inclui o seguinte:

• Roubar códigos confidenciais e vídeos do último jogo Grand Theft Auto da Rockstar e vazar informações enquanto exige resgate. Kurtaj supostamente usou engenharia social para se passar por empreiteiro dentro da empresa e violar o firewall.
• A dupla acessou blocos de construção de software para produtos da Nvidia, divulgando publicamente alguns dos dados roubados e ameaçando liberar o restante se não recebessem resgate.
• Os adolescentes também supostamente hackearam a BT e se envolveram em fraudes de troca de SIM, drenando criptomoedas e contas bancárias de vários clientes.

Embora fossem surpreendentemente competentes para alguém tão jovem, a dupla tinha uma tendência para se gabar, o que acabou levando à sua morte. Depois de se gabar de suas explorações on-line, a polícia rapidamente identificou e prendeu os hackers, que ainda aguardam a sentença final.

14. Incidente de phishing de Barbara Corcoran

Em 2020, Barbara Corcoran, apresentadora do reality show Shark Tank, quase foi roubada em US$400 mil.

O golpe foi um ataque de phishing no qual o golpista enganou com sucesso o contador de Corcoran com um e-mail que parecia ser de seu assistente. O e-mail pedia ao contador que transferisse dinheiro para um empreiteiro fictício que trabalhava num projeto de renovação europeu.

Como a própria Corcoran observou: “A história era totalmente plausível porque eu invisto em muitos imóveis e faço muitas reformas para ganhar a vida”.

Por sorte, o banco alemão usado pelo contador para transferir o dinheiro congelou a transação antes que ela chegasse à conta do golpista na China. Corcoran explicou que o seu banco em Nova Iorque solicitou ao banco alemão que suspendesse a transferência, permitindo-lhe fornecer provas de fraude.

15. Hack do condado de Cabarrus

Em 2018, hackers persuadiram com sucesso funcionários do condado de Cabarrus, NC, a lhes dar mais de US$2,5 milhões.

Fazendo-se passar por representantes de um empreiteiro de construção, os golpistas contataram autoridades, fingindo estar envolvidos na construção de uma escola secundária local, que estava genuinamente sendo construída. Eles habilmente convenceram os funcionários a alterar a conta bancária na qual faziam os pagamentos para a construção da escola. Para reforçar o seu engano, forneceram o que pareciam ser documentação e aprovações legítimas.

Assim que os criminosos receberam o depósito, os fundos foram redirecionados para várias outras contas. Várias semanas depois, o esquema veio à tona quando o verdadeiro fornecedor contatou os funcionários, perguntando sobre um pagamento perdido.

As autoridades acabaram por recuperar uma parte dos fundos, reduzindo os danos para 1,7 milhões.

Conclusão

A primeira linha de defesa contra o crime cibernético é ter uma senha forte e seguir as práticas recomendadas de segurança de e-mail. Apenas seguir esses procedimentos de bom senso já teria feito a diferença entre ser hackeado ou não em muitos dos exemplos listados acima.

À medida que a sofisticação dos invasores cresceu, também cresceu a tecnologia usada para frustrá-los. Sistemas de detecção de intrusões e firewalls assistidos por IA estão na vanguarda da defesa contra ameaças modernas à segurança cibernética. Eles podem analisar grandes quantidades de dados, detectando anomalias, padrões e violações em tempo real.

No entanto, por mais formidáveis que sejam estas tecnologias, elas não podem, por si só, proteger-nos de criminosos determinados. Ao priorizar o treinamento em segurança cibernética para os funcionários, as organizações constroem um firewall humano robusto que fortalece suas defesas e cria uma frente unida que funciona como um baluarte contra possíveis ameaças cibernéticas.