© Oblock | Desenvolvido por Manalui
Engenharia social é um dos métodos mais eficazes — e perigosos — usados por cibercriminosos. Ao invés de depender apenas de falhas técnicas, os golpistas exploram o comportamento humano para obter acesso a sistemas, informações confidenciais e até dinheiro. Empresas de todos os tamanhos já foram vítimas, e os exemplos não param de surgir.
Neste artigo, listamos alguns casos reais de engenharia social, do Twitter a golpes com deepfake, para mostrar como esses ataques acontecem na prática e por que vale a pena investir em prevenção.
Engenharia social é o conjunto de técnicas usadas por golpistas para manipular pessoas e induzi-las a tomar ações prejudiciais, como clicar em links maliciosos, revelar senhas ou transferir dinheiro.
Em vez de tentar atacar sistemas, o criminoso explora a confiança da vítima. Muitas vezes, ele finge ser alguém da equipe, um executivo da mesma empresa ou até um parceiro de negócios.
Esses golpes podem acontecer por e-mail, telefone, redes sociais, mensagens de texto ou até durante reuniões online. Em comum, todos exploram a pressa, a confiança ou a falta de conhecimento da vítima.
Um funcionário de uma empresa em Hong Kong participou de uma videoconferência com o que acreditava serem seus superiores. O que ele não sabia: todos os participantes eram deepfakes — avatares gerados por IA. No golpe, os supostos diretores e colegas de trabalho convenceram o funcionário a transferir US$ 25 milhões para uma transação da empresa. O dinheiro, no fim das contas, caiu nas mãos dos criminosos.
Esse é um dos primeiros casos conhecidos em que deepfakes em vídeo foram usados para executar uma fraude em larga escala.
Hackers norte-coreanos se passaram por desenvolvedores freelancers e foram contratados remotamente por empresas de tecnologia nos EUA e em outros países. Eles usaram identidades falsas, deepfakes em entrevistas e perfis forjados no LinkedIn.
Uma vez dentro das empresas, além de receber os salários, esses agentes tinham acesso a sistemas e códigos internos, representando riscos sérios de espionagem e vazamento de dados.
O grupo hacker Scattered Spider, conhecido por ataques contra grandes corporações, enganou equipes de TI de empresas como MGM Resorts, conglomerado de cassinos e hoteis no mundo todo, e o grupo varejista britânico Marks & Spencer e Co-op. No caso do MGM, as perdas chegaram a cerca de U$100 milhões.
Eles ligaram para o suporte se passando por funcionários legítimos e abriram pedidos para redefinir suas senhas e atualizar sistemas de autenticação multifator. Assim, conseguiram acesso interno a sistemas, roubando dados, provocando interrupções em sites, sistemas de entrega e operações.
Este tipo de ataque tem sido bastante comum nos EUA, e motivou inclusive um alerta do governo americano para as instituições de saúde, um dos alvos preferidos dos atacantes.
Um dos ataques mais divulgados dos últimos anos envolveu o sequestro de contas no Twitter, incluindo as de Elon Musk, Apple, Barack Obama e outras personalidades.
O ataque usou engenharia social para enganar funcionários da própria rede social e obter acesso às ferramentas administrativas. Com isso, os golpistas conseguiram sequestrar contas reais e postar mensagens pedindo transferências em Bitocoin, com a promessa de que o dinheiro enviado seria devolvido em dobro como um gesto de caridade.
Em poucas horas, antes que as mensagens fossem removidas do Twitter, os criminosos arrecadaram mais de US$ 100 mil.
Em outro caso que gerou prejuízos milionários, criminosos se passaram por executivos do banco Crelan, na Bélgica, e convenceram funcionários a realizar transferências bancárias para contas externas.
Esse tipo de golpe é conhecido como “fraude do CEO” ou BEC (Business Email Compromise) e é um exemplo clássico de ataque baseado em engenharia social.
Neste caso específico, o ataque resultou em um prejuízo de mais de €70 milhões. Mesmo com medidas de segurança tradicionais, a confiança no remetente do e-mail foi o suficiente para gerar o erro.
Apesar de diferentes nas táticas, todos esses ataques usaram engenharia social para explorar pessoas — não sistemas.
Eles mostram como técnicas de persuasão, disfarce e manipulação continuam sendo extremamente eficazes.
Nenhuma empresa está imune a ataques de engenharia social, mas algumas medidas reduzem muito os riscos:
A Oblock distribui soluções como o MindAware, plataforma de conscientização de usuários com simulação de phishing e alertas sobre vazamento de senhas, e o MailInspector, que identifica e bloqueia e-mails maliciosos antes que cheguem aos usuários.
Também trabalhamos com soluções líderes em proteção de endpoints, como a CrowdStrike, para garantir uma proteção completa.
Quer entender como isso se aplica ao seu ambiente? Fale com a equipe da Oblock.
Receba Notícias
Artigos Mais Recentes
© Oblock | Desenvolvido por Manalui