O que é a engenharia social? Os 10 exemplos mais terríveis

O que é engenharia social?

Imagine que o senhor está andando por uma rua movimentada e um turista aparentemente perdido pede informações. O senhor ajuda e ele lhe agradece roubando sua carteira. Parece absurdo, não é? Mas é exatamente isso que acontece no mundo da engenharia social.

Vamos nos aprofundar em alguns dos exemplos mais assustadores dessas fraudes digitais.

Significado de engenharia social: Engenharia social é a arte de enganar as pessoas para que forneçam informações confidenciais. É como um furto digital, em que o ladrão usa a manipulação e a persuasão, e não a força física, para roubar seus dados valiosos.

Não se torne uma vítima do crime cibernético. Proteja seu PC com o melhor antivírus e sua privacidade com a melhor VPN.

Exemplos de engenharia social

Esses são os exemplos mais terríveis de engenharia social de todos os tempos.

1. Kevin Mitnick e o “Well of Passwords” (1995): Um dos hackers mais infames, Kevin Mitnick, usou táticas de engenharia social para enganar um funcionário e fazê-lo revelar a senha de um sistema, o que levou a um dos eventos de hacking mais significativos da história.
2. Vírus ILOVEYOU (2000): Um ataque de engenharia social que enganava os usuários para que abrissem um anexo de e-mail aparentemente inocente, que depois era encaminhado para todos na lista de contatos do usuário, causando bilhões em danos.
3. Violação de dados da Target (2013): Os hackers roubaram as credenciais de um fornecedor terceirizado de HVAC e as usaram para acessar o sistema de pagamento da Target, resultando no roubo de 40 milhões de números de cartões de crédito e débito.
4. Hack da Sony Pictures (2014): Um e-mail de phishing enganou os funcionários para que revelassem suas credenciais de login, permitindo que os hackers roubassem filmes inéditos e outras informações confidenciais.
5. Anthem Inc. Breach (2015): Um esquema de phishing permitiu que os hackers roubassem os dados pessoais de quase 80 milhões de pessoas de uma das maiores seguradoras de saúde dos EUA.
6. Vazamento de e-mails do Comitê Nacional Democrata (2016): Os hackers enganaram os funcionários para que revelassem suas senhas de e-mail por meio de um alerta de segurança falso do Google, levando a um vazamento significativo de e-mails confidenciais.
7. Bad Rabbit Ransomware (2017): Os usuários foram induzidos a instalar uma atualização falsa do Flash, que criptografou seus dados e exigiu um resgate em Bitcoin.
8. Golpe de phishing do Google e do Facebook (2013-2015, revelado em 2017): Um hacker se fez passar por um fabricante de hardware de computador e enganou as duas empresas, fazendo com que elas transferissem mais de US$ 100 milhões.
9. Golpe do Bitcoin no Twitter (2020): contas de alto nível no Twitter foram sequestradas depois que hackers enganaram funcionários do Twitter para que revelassem suas credenciais, levando a um golpe do Bitcoin que prometia aos seguidores “dobrar seu dinheiro”.
10. Ataque à cadeia de suprimentos da SolarWinds (2020): Provavelmente um dos ataques mais sofisticados da história recente, envolveu o comprometimento do mecanismo de atualização de software de um software de monitoramento e gerenciamento de TI amplamente utilizado. Os invasores não foram detectados por meses, o que lhes deu acesso a várias redes governamentais e corporativas.

Continue lendo para obter mais detalhes sobre cada exemplo de engenharia social.

1. Kevin Mitnick (1995)

Uma história de senhas e persuasão

Em meados dos anos 90, no início da era da Internet, um homem chamado Kevin Mitnick abalou o mundo digital. Conhecido hoje como um dos hackers mais notórios, Mitnick não se baseou em conhecimento técnico avançado para realizar seu roubo mais famoso em 1995. Em vez disso, ele usou o poder da persuasão – uma tática hoje conhecida como engenharia social.

Mitnick atacou um funcionário da área de tecnologia, apresentando-se como um colega de trabalho que precisava de ajuda. Com uma mistura de charme e astúcia, ele convenceu esse indivíduo desavisado a revelar a senha de um sistema. Essa manipulação bem-sucedida levou ao que hoje é reconhecido como um dos eventos de hacking mais importantes da história, demonstrando como a confiança pode ser explorada para fins nefastos.

O ataque não foi localizado em uma área geográfica específica – ele teve implicações internacionais. Como resultado, as explorações de Mitnick deixaram uma marca profunda nas medidas de segurança adotadas pelas empresas em todo o mundo. Embora seja difícil quantificar o dano financeiro exato, o impacto do evento na forma como as empresas percebiam e lidavam com a segurança cibernética foi imenso.

O ataque durou até a captura de Mitnick, em 1995, o que significa que sua onda se estendeu por vários meses. Os dados comprometidos variavam, mas alguns eram bastante confidenciais, incluindo informações comerciais proprietárias. As contramedidas resultaram em um reforço significativo dos protocolos de segurança em todos os setores.

A história de Mitnick terminou com sua detenção e subsequente sentença de cinco anos de prisão. Sua história serve como um forte lembrete do poder destrutivo da engenharia social e se tornou uma pedra angular no ensino de indivíduos e empresas sobre a importância de proteger informações confidenciais.

2. Vírus ILOVEYOU (2000)

Uma pandemia digital

Com a chegada do novo milênio, um dos mais devastadores ataques de engenharia social também chegou. O vírus ILOVEYOU, que surgiu em maio de 2000, não se espalhou pelo ar, mas por e-mail, provando que as cartas de amor podem, de fato, partir corações e sistemas de computador.

Dois jovens programadores filipinos criaram um e-mail de aparência inocente com um anexo intitulado “LOVE-LETTER-FOR-YOU.TXT.vbs”. Uma vez aberto, o vírus se replicaria e seria encaminhado a todos na lista de contatos do usuário. Essa obra-prima da engenharia social se aproveitou da curiosidade e da confiança naturais das pessoas, levando a resultados catastróficos.

O vírus ILOVEYOU causou estragos em escala global, paralisando sistemas de e-mail individuais e corporativos. Ele afetou milhões de usuários e empresas, inclusive grandes corporações como a Ford e o Pentágono. O vírus causou prejuízos estimados em US$ 10 bilhões, demonstrando o possível impacto financeiro de tais ataques.

O ataque durou vários dias, e as contramedidas foram rapidamente desenvolvidas e distribuídas pelas empresas de antivírus. As consequências levaram a uma evolução significativa nos sistemas de segurança de e-mail e à conscientização dos usuários sobre os riscos de abrir anexos de e-mail não solicitados.

Quanto aos criminosos, apesar de sua identificação, eles escaparam das consequências legais devido à ausência de leis sobre crimes cibernéticos nas Filipinas na época. Isso levou a uma mudança na legislação, e as Filipinas logo promulgaram suas primeiras leis contra o crime cibernético. O vírus ILOVEYOU serve como uma lição atemporal sobre o potencial de manipulação humana no âmbito digital.

3. Violação de dados da Target (2013)

Um conto de férias distorcido

Imagine só: a temporada de festas de fim de ano de 2013, uma época de alegria e júbilo. Mas, para a gigante do varejo Target, foi uma temporada de caos e controle de danos, pois eles foram vítimas de um dos ataques de engenharia social mais devastadores da história do varejo.

Os perpetradores não eram criminosos armados que invadiam as lojas, mas hackers furtivos que exploravam a confiança e os elos fracos. Eles começaram com um fornecedor de HVAC que prestava serviços à Target. Fazendo-se passar por representantes legítimos da empresa, eles enganaram um funcionário para que ele fornecesse as credenciais do sistema.

Armados com esse acesso, os hackers se infiltraram no sistema de pagamento da Target. O ataque não se limitou a um único local – ele se espalhou pelas lojas da empresa em todo o país, bem no auge da temporada de compras de fim de ano. No decorrer de aproximadamente três semanas, os hackers roubaram dados de cartões de crédito e débito de um número impressionante de 40 milhões de clientes.

O prejuízo financeiro foi colossal – a Target relatou custos de mais de US$ 200 milhões. A violação também manchou gravemente a reputação da empresa, causando uma queda nas vendas por algum tempo após o incidente. Em resposta, a Target e outros varejistas reforçaram significativamente suas medidas de segurança cibernética.

Como consequência, a Target fez um acordo de US$ 18,5 milhões com vários estados. E, embora o grupo de hackers por trás do ataque nunca tenha sido oficialmente identificado, o evento serviu como um forte lembrete da importância de medidas de segurança robustas, mesmo para fornecedores terceirizados.

4. Hack da Sony Pictures (2014)

O roteiro do filme que ninguém queria

Em 2014, um enredo digno de um thriller de Hollywood se desenrolou na Sony Pictures Entertainment. No entanto, não se tratava de um filme, mas de um pesadelo de segurança cibernética na vida real. O vilão? Um e-mail de phishing malicioso.

O ataque começou quando um e-mail aparentemente inocente chegou às caixas de entrada dos funcionários da Sony. Disfarçado como uma mensagem da Apple sobre verificação de senha, ele enganou vários funcionários, fazendo-os revelar suas credenciais de login.

Uma vez dentro do sistema, os hackers, suspeitos de serem um grupo apoiado pela Coreia do Norte, provocaram o caos. O ataque não se limitou a uma área geográfica específica, mas atingiu os escritórios da Sony Pictures em todo o mundo. Durante várias semanas, eles roubaram e, posteriormente, vazaram filmes inéditos, roteiros e até mesmo e-mails internos embaraçosos.

O impacto financeiro da violação foi enorme, com a Sony estimando inicialmente perdas de US$ 15 milhões, embora os custos de longo prazo – considerando fatores como danos à reputação e perda de receita – sejam considerados muito maiores.

O ataque marcou um ponto de virada na forma como Hollywood e outros setores viam a segurança cibernética. Em resposta, a Sony Pictures tomou medidas significativas para reforçar sua postura de segurança cibernética, e o evento levou a uma reavaliação generalizada das práticas de segurança de dados em todo o setor de entretenimento.

Embora nenhuma acusação formal tenha sido feita contra os hackers, o governo dos EUA impôs sanções à Coreia do Norte, marcando uma das primeiras vezes em que um estado-nação foi publicamente acusado e punido por um ataque cibernético. A invasão da Sony Pictures serve como um lembrete assustador de como um único e-mail enganoso pode levar a uma catástrofe de nível blockbuster.

5. Anthem Inc. Breach (2015)

Uma história de horror no setor de saúde

Em 2015, uma das maiores seguradoras de saúde dos Estados Unidos, a Anthem Inc., sofreu uma violação catastrófica, tornando-se um ano sombrio na história da segurança das informações de saúde. Os culpados foram engenheiros sociais especializados que se aproveitaram do erro humano e da confiança, em vez de explorar as vulnerabilidades do sistema.

Os criminosos lançaram uma sofisticada campanha de spear-phishing, visando um punhado de funcionários com e-mails aparentemente legítimos que, na realidade, não eram nada disso. Quando um funcionário era induzido a abrir um e-mail, os hackers obtinham acesso ao banco de dados da empresa.

Não se tratava de um ataque local ou nacional, mas sim de um ataque em escala internacional. A violação durou várias semanas, durante as quais os invasores roubaram dados altamente confidenciais, incluindo nomes, datas de nascimento, identificações médicas, números de previdência social, endereços, endereços de e-mail e informações de emprego de quase 80 milhões de pessoas.

Os danos financeiros foram surpreendentes. A Anthem Inc. concordou com um acordo de US$ 115 milhões, o maior valor já pago por uma violação de dados. O número de pessoas afetadas e a natureza dos dados comprometidos levantaram sérias preocupações sobre a segurança das informações pessoais no setor de saúde.

Na sequência, a Anthem Inc. atualizou significativamente sua infraestrutura de segurança, e o evento catalisou um impulso mais amplo em todo o setor para melhorar a segurança cibernética no setor de saúde. Embora os criminosos nunca tenham sido oficialmente identificados, a violação da Anthem Inc. continua a ser um lembrete claro do potencial devastador dos ataques de engenharia social no setor de saúde.

6. Vazamento de e-mails do Comitê Nacional Democrata (2016)

Política e phishing

2016, um ano de eleições presidenciais nos EUA, foi marcado por um ataque de engenharia social sem precedentes que acrescentou uma nova reviravolta ao drama político. A vítima foi o Comitê Nacional Democrata (DNC), e o culpado foi um e-mail de phishing enganoso.

O ataque ocorreu quando os funcionários receberam um e-mail disfarçado de alerta do Google, avisando-os sobre uma possível ameaça à segurança. Instados a alterar suas senhas imediatamente, vários funcionários obedeceram, revelando, sem saber, suas credenciais aos hackers.

Esse não foi um crime localizado. Os efeitos se espalharam por todo o país, moldando a narrativa da eleição presidencial. Durante várias semanas, milhares de e-mails confidenciais foram vazados, causando danos à reputação e levando a várias demissões de alto nível no DNC.

Embora seja difícil quantificar a perda financeira exata, a violação teve implicações políticas e sociais significativas. As consequências incluíram medidas de segurança cibernética mais rígidas no DNC e um reconhecimento mais amplo do possível impacto dos ataques cibernéticos na segurança nacional e nos processos democráticos.

Em uma ação sem precedentes, a comunidade de inteligência dos EUA acusou publicamente a Rússia de orquestrar o ataque. Isso marcou um momento importante na história cibernética, pois ressaltou o potencial dos ataques cibernéticos patrocinados pelo Estado para influenciar os processos democráticos. O vazamento de e-mails do DNC serve como um potente lembrete da interseção entre a segurança cibernética e a política na era digital.

7. Bad Rabbit Ransomware (2017)

Uma crise de reféns digitais

Em 2017, uma ameaça cibernética insidiosa entrou em cena: o ransomware Bad Rabbit. Não se tratava de um ataque típico de vírus, mas de um esquema de engenharia social habilmente orquestrado que mantinha os dados das vítimas como reféns.

Os criminosos criaram uma atualização falsa do Adobe Flash que os usuários desavisados foram levados a baixar. Uma vez instalada, o Bad Rabbit bloqueava os arquivos do usuário e exigia um resgate em Bitcoin para liberá-los.

Esse ataque atravessou fronteiras, afetando milhares de usuários e várias organizações, principalmente na Rússia e na Ucrânia, mas também na Alemanha, Turquia, Polônia e Coreia do Sul. O prejuízo financeiro, embora difícil de quantificar, foi significativo, pois muitas vítimas optaram por pagar o resgate em vez de perder seus valiosos dados.

O ataque se desenrolou por vários dias até que as empresas de antivírus desenvolveram e divulgaram contramedidas. Após o ataque, organizações de todo o mundo reforçaram suas defesas contra o ransomware e aumentaram a conscientização dos usuários sobre os riscos de baixar atualizações de software não solicitadas.

Apesar da escala global e do impacto do ataque, a identidade dos criminosos permanece desconhecida. O ataque do ransomware Bad Rabbit serve como um lembrete assustador de como um simples engano pode levar a uma crise generalizada de reféns digitais.

8. Golpe de phishing do Google e do Facebook (2013-2015)

Um roubo de alta tecnologia

Entre 2013 e 2015, dois dos gigantes mundiais da tecnologia, Google e Facebook, foram vítimas de um dos golpes de phishing mais caros da história. O mentor por trás desse roubo de alta tecnologia foi um lituano chamado Evaldas Rimasauskas.

Rimasauskas se fez passar por um fabricante popular de hardware de computador, a Quanta Computer. Ele criou e-mails convincentes com faturas e contratos falsos, enganando as duas empresas para que transferissem mais de US$ 100 milhões para contas bancárias que ele controlava.

Esse não foi um ataque geograficamente confinado – foi um golpe global que explorou a confiança entre corporações multinacionais. E, embora o ataque estivesse em andamento há cerca de dois anos, foi somente em 2017 que ele foi descoberto e Rimasauskas foi preso.

As consequências desse incidente forçaram os gigantes da tecnologia e outras empresas a rever seus processos de pagamento e medidas de segurança para se protegerem contra esses golpes. Em 2019, Rimasauskas se declarou culpado de seus crimes e foi condenado a uma pena de cinco anos de prisão e ao confisco de US$ 49,7 milhões.

O esquema de phishing do Google e do Facebook ressalta que mesmo os maiores participantes do mundo da tecnologia não estão imunes à engenharia social. Ele serve como um alerta sobre a importância fundamental da vigilância e da verificação em todas as transações financeiras.

9. Golpe do Bitcoin no Twitter (2020)

Uma extravagância de imitação de celebridades

Em julho de 2020, o Twitter enfrentou uma violação de segurança sem precedentes que comprometeu contas de alto nível em um ousado golpe de Bitcoin. Esse não foi o trabalho de um grupo avançado de hackers, mas o resultado de uma engenharia social bem-sucedida.

O ataque começou quando os hackers, incluindo um jovem de 17 anos da Flórida, enganaram os funcionários do Twitter por meio de um ataque de spear-phishing por telefone, obtendo acesso aos sistemas internos. Eles assumiram o controle de várias contas de alto perfil, incluindo as de Elon Musk, Barack Obama e Jeff Bezos, prometendo aos seguidores que qualquer Bitcoin enviado para um endereço específico seria duplicado e devolvido.

O golpe foi global, considerando o alcance do Twitter e a natureza internacional das contas comprometidas. Os hackers conseguiram coletar mais de US$ 118.000 antes que o golpe fosse encerrado, uma quantia pequena considerando o número de pessoas afetadas, mas uma quantia significativa considerando a simplicidade e a audácia do ataque.

O evento levou a mudanças significativas nos protocolos de segurança do Twitter e levantou sérias questões sobre o possível uso indevido de contas influentes de mídia social. Na sequência, o principal criminoso, um adolescente da Flórida, foi preso e condenado a três anos de prisão. O golpe do Bitcoin no Twitter serve como um lembrete de que até mesmo as técnicas mais simples de engenharia social podem ter um impacto abrangente quando aplicadas em grande escala.

10. Ataque à cadeia de suprimentos da SolarWinds (2020)

Navegando em uma crise digital

Em 2020, a Garmin, uma empresa líder em navegação GPS e tecnologia vestível, foi vítima de um grave ataque de ransomware. Não foi um hack convencional, mas o resultado de um esquema de engenharia social bem executado que paralisou os serviços da empresa.

Conhecido como WastedLocker, o ransomware foi entregue por meio de e-mails de phishing, que induziram os funcionários a fazer o download do software malicioso. Uma vez instalado, o ransomware criptografou os arquivos da Garmin, interrompendo os serviços em todo o mundo, desde o rastreamento de condicionamento físico até a aviação.

O ataque durou vários dias, durante os quais as operações da Garmin foram significativamente afetadas. Embora a empresa não tenha divulgado oficialmente o impacto financeiro, os relatórios sugerem que a Garmin pagou um resgate de vários milhões de dólares para recuperar o acesso aos seus arquivos.

Em resposta, a Garmin tomou medidas significativas para fortalecer sua infraestrutura de segurança e restaurar seus serviços. O ataque destacou a necessidade de treinamento contínuo dos funcionários para reconhecer e evitar e-mails de phishing.

Depois disso, a empresa passou por uma crise digital que serviu como um poderoso lembrete para outras corporações sobre o possível impacto dos ataques de ransomware. O ataque da Garmin ressalta a importância de medidas robustas de segurança cibernética e o custo potencial de lapsos na vigilância digital.

Mantendo-se seguro no cenário digital

À medida que percorremos o cenário digital, fica claro que o malware é uma ameaça persistente, capaz de evoluir e se adaptar às nossas defesas. Mas, embora as histórias desses ataques infames possam parecer intimidadoras, lembre-se de que não estamos indefesos.

Atualizar seus dispositivos é uma das medidas mais simples que o senhor pode tomar. As atualizações de software geralmente incluem correções para vulnerabilidades de segurança, portanto, manter seu software atualizado pode ajudá-lo a se proteger de muitas ameaças.

Investir em um dos melhores softwares antivírus para Windows 11, como Norton, Bitdefender, McAfee, Panda ou Kaspersky, também é uma medida inteligente. Essas sentinelas digitais trabalham incansavelmente para detectar e neutralizar as ameaças antes que elas possam causar danos. Elas são atualizadas continuamente para responder às ameaças mais recentes, proporcionando uma linha de defesa em constante evolução.

Além dessas etapas, estar ciente das ameaças e entender como elas operam pode proporcionar uma proteção valiosa. Seja cauteloso com e-mails não solicitados, especialmente aqueles com anexos ou links. Desconfie de ofertas e solicitações de informações confidenciais que sejam boas demais para serem verdadeiras.

O mundo da segurança cibernética pode parecer um lugar assustador, mas há muitos recursos disponíveis para ajudá-lo a navegar nele com segurança. Aqui estão algumas fontes (em inglês) confiáveis onde o senhor pode saber mais:

• O guia da Comissão Federal de Comércio dos EUA para proteger seu computador
  
• Orientação do National Cyber Security Centre sobre o uso de software antivírus
  
• Dicas da European Union Agency for Cybersecurity para uma vida melhor na Internet
  
• Relatório de crimes na Internet de 2020 do Internet Crime Complaint Center (IC3) do FBI
  
• Relatórios e recursos da Cybersecurity & Infrastructure Security Agency (CISA)
  
• Relatórios de crimes na Internet do Federal Bureau of Investigation (FBI)
  
• Relatório de ameaças à segurança na Internet da Symantec

Mantenha-se seguro, atualizado e lembre-se: a melhor defesa é estar informado e preparado.