Divulgação: As opiniões e pontos de vista aqui expressos pertencem exclusivamente ao autor e não representam os pontos de vista e opiniões do editorial do crypto.news.
Durante o ano passado, a maioria das maiores explorações em criptografia tiveram a mesma causa: pessoas. Somente nos últimos meses, Ledger pediu aos usuários que pausassem as atividades na cadeia depois que os mantenedores do npm foram enganados e pacotes maliciosos propagados; A Workday divulgou uma campanha de engenharia social que acessou dados em um CRM de terceiros; e as operadoras ligadas à Coreia do Norte continuaram a atrair empregos falsos contra equipes de criptografia para distribuir malware.
Resumo
- A criptografia não está sendo hackeada – ela está sendo convencida a se entregar. A maioria das violações agora vem de phishing, atualizações falsas e falsificação de identidade, e não de código quebrado, tornando as “pessoas” a principal superfície de ataque.
- O dinheiro programável transforma pequenos erros em perdas catastróficas. Uma única chave vazada ou solicitação aprovada pode drenar fundos de forma instantânea e irreversível, tornando a engenharia social um risco sistêmico, e não um erro do usuário.
- Até que a segurança operacional seja tratada como uma infraestrutura central, as explorações continuarão a aumentar. Auditorias e revisões de código não podem impedir o engano humano – apenas padrões aplicados de dispositivos, acesso e treinamento podem.
Apesar dos milhares de milhões gastos em segurança cibernética, as empresas continuam a ser derrotadas pela simples engenharia social. As equipes investem dinheiro em salvaguardas técnicas, auditorias e revisões de código, enquanto negligenciam a segurança operacional, a higiene dos dispositivos e os fatores humanos básicos. À medida que mais atividades financeiras se movem na cadeia, esse ponto cego torna-se um risco sistémico para a infraestrutura digital.
A única forma de abrandar o aumento dos ataques de engenharia social é um investimento amplo e sustentado em segurança operacional que reduza o retorno destas tácticas.
A engenharia social é o calcanhar de Aquiles da cibersegurança
O Relatório de Investigações de Violação de Dados de 2025 da Verizon vincula o “elemento humano” da segurança cibernética (phishing, credenciais roubadas e erros cotidianos) a cerca de 60% das violações de dados.
A engenharia social funciona porque tem como alvo as pessoas, não o código, explorando a confiança, a urgência, a familiaridade e a rotina. Esses tipos de explorações não podem ser eliminados por meio de uma auditoria de codificação e são difíceis de defender com ferramentas automatizadas de segurança cibernética. A revisão de código e outras práticas comuns de segurança cibernética não podem impedir um funcionário de aprovar uma solicitação fraudulenta que parece ter vindo de um gerente ou de baixar uma atualização falsa do Zoom que parece legítima.
Até equipes altamente técnicas são apanhadas; a fraqueza humana é universal e teimosa. E, como resultado, a engenharia social continua a gerar incidentes no mundo real.
Crypto aumenta as apostas
O dinheiro programável concentra o risco. Na web3, comprometer uma frase-semente ou um token de API pode ser equivalente a violar um cofre de banco. A natureza irreversível das transações criptográficas amplifica os erros: uma vez que os fundos são movimentados, muitas vezes não há como reverter a transação. Um único lapso na segurança do dispositivo ou no manuseio de chaves pode destruir ativos. O design descentralizado do Web3 significa que muitas vezes não há suporte técnico para entrar em contato, deixando os usuários sozinhos.
Os hackers, incluindo mercenários apoiados pelo Estado, notaram a eficácia dos ataques de engenharia social e adaptaram-se em conformidade. As operações atribuídas ao Grupo Lazarus da Coreia do Norte baseiam-se fortemente na engenharia social: ofertas de emprego falsas, PDFs envenenados, pacotes maliciosos e phishing personalizado que se aproveita das vulnerabilidades humanas.
Estas explorações são surpreendentemente eficazes e simples de executar, e as empresas de tecnologia parecem incapazes de se defender contra elas. Ao contrário das explorações de dia zero, que são rapidamente corrigidas (forçando os hackers a encontrar novas estratégias de exploração), os hackers são capazes de aproveitar as mesmas táticas de engenharia social repetidamente, de forma autônoma, gastando mais tempo hackeando e menos tempo em P&D.
Empresas precisam investir em segurança nas operações
Muitas organizações ainda tratam a segurança como um exercício de conformidade — uma atitude reforçada por padrões regulatórios permissivos. As empresas passam rotineiramente em auditorias e publicam relatórios impecáveis, mesmo abrigando riscos operacionais evidentes: chaves de administrador armazenadas em laptops pessoais, credenciais compartilhadas por chat e e-mail, privilégios de acesso obsoletos que nunca são alternados e laptops de viagem reaproveitados como máquinas de desenvolvimento.
Corrigir esta falha de disciplina requer segurança operacional explícita e reforçada. As equipes devem usar dispositivos gerenciados, forte proteção de endpoint e criptografia completa de disco; os logins das empresas devem aproveitar gerenciadores de senhas e MFA resistente a phishing; e os gerentes de sistema devem gerenciar cuidadosamente os privilégios e o acesso. Esses controles não são abrangentes, mas contribuem para dificultar os ataques de engenharia social e ajudam a mitigar o impacto de possíveis explorações.
Mais importante ainda, as equipas precisam de investir na formação em segurança operacional; os funcionários (não as equipes de segurança cibernética) são a primeira linha de defesa contra ataques de engenharia social. As empresas devem dedicar tempo ao treinamento de suas equipes para detectar prováveis ataques de phishing, praticar a higiene segura dos dados e compreender as práticas de segurança operacional.
Criticamente, não podemos esperar que as organizações adotem voluntariamente posturas rígidas de segurança cibernética; os reguladores devem intervir e estabelecer linhas de base operacionais aplicáveis que tornem a segurança real não opcional. As estruturas de conformidade devem ir além da documentação e exigir provas demonstráveis de práticas seguras: gerenciamento verificado de chaves, revisões periódicas de acesso, proteção de endpoints e simulação de prontidão para phishing. Sem força regulatória, o incentivo sempre favorecerá a óptica em detrimento dos resultados.
A engenharia social só está piorando
É fundamental investir agora em segurança operacional porque a taxa de ataques está a crescer exponencialmente.
A IA generativa mudou a economia do engano. Os invasores agora podem personalizar, localizar e automatizar o phishing em escala industrial. Campanhas que antes se concentravam em um único usuário ou empresa agora podem ser usadas para atingir milhares de empresas com poucos custos extras. Os ataques de phishing podem ser personalizados com apenas alguns cliques, incorporando detalhes íntimos para fazer com que um e-mail falsificado pareça legítimo.
A IA também acelera o reconhecimento. Pegadas públicas, credenciais vazadas e inteligência de código aberto podem ser exploradas e reunidas em “resumos” sobre cada vítima, ajudando os hackers a desenvolver ataques profundamente convincentes.
Diminuindo a taxa de ataques
A engenharia social prospera onde a confiança e a conveniência implícitas substituem a verificação e a prudência. As organizações precisam de adaptar uma postura mais defensiva e assumir (corretamente) que estão sob a ameaça constante de um ataque de engenharia social.
As equipes devem adotar princípios de confiança zero nas operações diárias e incorporar princípios de segurança operacional em toda a empresa. Eles devem treinar os funcionários em segurança operacional para impedir ataques antecipadamente e manter sua equipe atualizada sobre as mais recentes táticas de engenharia social.
Mais importante ainda, as empresas precisam descobrir onde ainda existe confiança em suas operações (onde um invasor pode se passar por um funcionário, um software ou um cliente) e adicionar proteções extras.
A engenharia social não desaparecerá, mas podemos torná-la muito menos eficaz e menos catastrófica quando ocorrerem ataques. À medida que a indústria se endurece contra estes ataques, a engenharia social tornar-se-á menos lucrativa para os hackers e a taxa de ataques diminuirá, trazendo finalmente um fim real a este ciclo extenuante de explorações.
Fontecrypto.news
