10 casos reais e famosos de ataques de engenharia social

Atualizado em: 16 Mar, 2020
Por Gatefy

Pessoa mexendo no computador para ilustrar caso de engenharia social.

A engenharia social é a principal tática utilizada em alguns dos mais famosos ataques de hackers. É um método baseado em pesquisa e persuasão que geralmente está na raiz de golpes de spam, phishing e spear phishing, que são disseminados por e-mail.

O objetivo dos ataques de engenharia social é, basicamente, ganhar a confiança da vítima para roubar dados, informações e dinheiro. Os incidentes de engenharia social muito vezes também envolvem o uso de malware, como ransomware e trojan.

Os casos de engenharia social listados abaixo nos dão uma ideia de como esses ataques funcionam e do quanto podem custar para pessoas, empresas e governos. Se você ainda duvida que um simples e falso e-mail de suporte da Apple, por exemplo, poderia causar algum dano real, esta lista é para você.

Neste artigo, vamos falar sobre os seguintes exemplos de engenharia social:

  • Shark Tank.
  • Toyota.
  • Condado de Cabarrus.
  • Ethereum Classic.
  • Partido Democrata.
  • Ubiquiti Networks.
  • Sony Pictures.
  • Target.
  • Departamento de Receita da Carolina do Sul.
  • RSA.

Confira 10 incidentes de engenharia social

1. Shark Tank, 2020

A juíza do programa de televisão Shark Tank Barbara Corcoran perdeu quase USD 400.000 em um golpe de phishing e engenharia social, em 2020. Um cibercriminoso se passou por uma assistente dela e enviou um e-mail para o contador solicitando o pagamento de uma renovação relacionada a investimentos em imóveis.

Ele usou um e-mail similiar ao endereço legítimo. A fraude só foi descoberta depois que o contador enviou um e-mail para o endereço correto da assistente, perguntando sobre a transação.

2. Toyota, 2019

A Toyota Boshoku Corporation, fornecedora de autopeças, foi vítima de um ataque de engenharia social e BEC (Business Email Compromise), em 2019. A quantia perdida chega a USD 37 milhões. Usando persuasão, os invasores convenceram um executivo do departamento financeiro a alterar as informações da conta bancária em uma transferência eletrônica de fundos.

3. Condado de Cabarrus, 2018

Devido a um golpe de engenharia social e BEC, o Condado de Cabarrus, nos Estados Unidos, sofreu prejuízo de USD 1,7 milhão, em 2018. Utilizando e-mails maliciosos, os hackers se passaram por fornecedores do condado e solicitaram que os pagamentos fossem feitos em uma nova conta bancária.

Segundo a investigação, depois que o dinheiro foi transferido, ele foi desviado para várias contas. Nos e-mails, os golpistas apresentaram documentação aparentemente legítima.

4. Ethereum Classic, 2017

Várias pessoas perderam milhares de dólares em criptomoedas depois que o site da Ethereum Classic foi hackeado, em 2017. Usando engenharia social, os hackers se passaram pelo proprietário da Classic Ether Wallet, obtiveram acesso ao registro de domínio e redirecionaram o domínio para um servidor próprio.

Os criminosos roubaram as criptomoedas Ethereum das vítimas após adicionarem um código ao site que permitia a visualização de chaves privadas que são usadas para transações.

5. Partido Democrata, 2016

Um dos casos mais emblemáticos de engenharia social é a eleição presidencial dos Estados Unidos em 2016. Ataques de spear phishing levaram ao vazamento de e-mails e informações do Partido Democrata que podem ter influenciado o resultado da eleição, com a vitória de Donald Trump sobre Hillary Clinton.

Os hackers criaram um e-mail falso no Gmail, convidando os usuários, por meio de um link, a alterar as suas senhas devido a atividades incomuns. Os fraudadores então tiveram acesso a centenas de e-mails contendo informações confidenciais sobre a campanha de Clinton.

6. Ubiquiti Networks, 2015

A Ubiquiti Networks, fabricante de tecnologia para redes, perdeu quase USD 40 milhões em 2015 após um ataque de phishing. Acredita-se que a conta de e-mail de um funcionário importante de Hong Kong foi comprometida.

Em seguida, os hackers usaram a técnica de personificação (se passaram pelo funcionário) e solicitaram pagamentos fraudulentos, que foram feitos pelo departamento de contabilidade da empresa.

7. Sony Pictures, 2014

Após uma investigação, o FBI divulgou que o ciberataque à Sony Pictures, em 2014, foi de responsabilidade do governo da Coréia do Norte. Milhares de arquivos, incluindo acordos comerciais, documentos financeiros e informações de funcionários, foram roubados. A Sony Pictures foi alvo de ataques de spear phishing. Os funcionários foram atraídos por e-mails falsos da Apple.

8. Target, 2013

Como resultado do ataque à Target, em 2013, hackers obtiveram acesso a 40 milhões de informações de pagamentos de clientes. Por meio de um e-mail de phishing, os criminosos instalaram um malware em uma empresa parceira da Target, o que permitiu a eles, em um segundo momento, a acessarem a rede do segundo maior varejista de lojas de departamento dos Estados Unidos.

Em seguida, os hackers instalaram outro malware no sistema da Target para copiar informações de cartões de crédito e débito dos clientes. O que podemos aprender com esse ataque? Seja muito cauteloso com as empresas e os parceiros que têm acesso à sua rede.

9. Departamento de Receita da Carolina do Sul, 2012

Hackers roubaram milhões de documentos e milhares de informações de cartões de crédito e débito do Departamento de Receita da Carolina do Sul, nos Estados Unidos, em 2012. Os funcionários caíram em golpes de phishing, compartilhando os seus nomes de usuários e senhas com criminosos. Depois disso, com as credenciais em mãos, os hackers conseguiram acesso à rede da agência estatal.

10. RSA, 2011

Estima-se que a RSA, uma empresa de segurança, gastou cerca de USD 66 milhões por causa de uma violação de dados, em 2011. O ataque começou com um documento do Excel, enviado para um pequeno grupo de funcionários por e-mail. O assunto do e-mail dizia algo como "Plano de Recrutamento". O anexo continha um arquivo malicioso que abriu uma backdoor para os hackers.

Como se prevenir de engenharia social

Como visto nos exemplos, a engenharia social se baseia no fato do invasor conquistar a confiança da vítima. Por isso, é importante prestar atenção nos e-mails, verificar anexos e links, e desconfiar de pedidos urgentes e que, principalmente, envolvam dinheiro.

A tecnologia também está a seu favor. A Gatefy fornece diferentes soluções de proteção de e-mail para empresas. Por exemplo, nós temos uma solução de e-mail gateway e uma solução anti-fraude (baseada em DMARC) que vão ajudar a sua empresa a combater ataques de engenharia social, phishing e outras ameaças.

Entre em contato ou solicite uma demo.