Relatório da Intel Security mostra as técnicas mais usadas por cibercriminosos

Por Redação | 26 de Fevereiro de 2015 às 07h39
photo_camera Divulgação

A Intel Security apresentou um relatório chamado "Hacking the Human OS", ou "Invadindo o Sistema Operacional Humano", que revela as técnicas de persuasão mais utilizadas pelos cibercriminosos nos últimos tempos na hora de manipular funcionários das empresas a agirem de forma incorreta, o que resulta na perda de dinheiro ou de dados importantes.

O estudo revela a extensão e a gravidade da chamada engenharia social, além da importância do treinamento em segurança corporativa. Segundo Raj Samani, CTO da Intel Security e conselheiro do EC3, "o tema mais comum presente nas investigações de violações de dados hoje em dia é o uso de engenharia social para coagir o usuário a realizar uma ação que facilita a infecção por um malware", diz.

De acordo com dados do McAfee Labs, dois terços de todos os e-mails enviados no mundo são spam e 80% dos colaboradores de empresas são incapazes de detectar fraudes de phishing.

O laboratório de segurança ainda registrou mais de 30 milhões de URLs maliciosas até o fim de 2014. Esse aumento acontece devido à utilização de programas de encurtamento de URLs, que acabam escondendo o seu conteúdo, além do aumento de URLs de phishing.

Com isso, o relatório da Intel revelou algumas das técnicas utilizadas pelos cibercriminosos para manipular as vítimas virtuais. Conheça as principais:

Reciprocidade

Quando as pessoas ganham algo, se sentem na obrigação de retribuir o favor.

Escassez

Acontecem nos casos em que os e-mails parecem ter conteúdos de bancos, com solicitações que dizem que o cliente deve agir com o que é descrito para que a conta não seja desativada.

Consistência

Um hacker se passa por um membro da equipe de TI de alguma empresa e faz com que um outro colaborador cumpra todos os processos de segurança ditos por ele e, em seguida, executa uma tarefa suspeita.

Probabilidade

Os alvos agem a favor do hacker porque foram tratados com simpatia, ou seja, foram conquistados pelo criminoso.

Autoridade

Acontece quando as pessoas atendem a solicitações feitas por uma pessoa que se passa por uma autoridade, por exemplo, num e-mail recebido do departamento financeiro, do CEO ou do presidente.

Validação Social

Quando um e-mail de phishing é enviado para vários colaboradores, eles acabam acreditando que se trata de uma mensagem autêntica por todos a terem recebido.

De acordo com um estudo recente feito pela Enterprise Management Associates, apenas 56% de todos os funcionários das empresas passam por um treinamento de segurança ou de conhecimento das políticas da empresa.

O chefe de operações da EC3, Paul Gillen, diz que "os cibercriminosos de hoje não precisam, necessariamente, de um conhecimento técnico considerável para alcançar seus objetivos".

Ele ainda afirma que algumas das ferramentas maliciosas mais conhecidas são enviadas através de e-mails de spear-phishing e dependem de uma manipulação psicológica para infectar os computadores das vítimas, que "são persuadidas a abrir anexos de e-mails supostamente legítimos e sedutores ou a clicar em um link no corpo do e-mail, o qual parecia vir de fontes confiáveis", comenta.

Instagram do Canaltech

Acompanhe nossos bastidores e fique por dentro das novidades que estão por vir no CT.