Por que as empresas não conseguem parar os ataques de engenharia social? | Opinião

Fonte: CryptoNewsNet Título Original: Why can’t companies stop social engineering attacks? | Opinion Link Original: Ao longo do último ano, a maioria dos maiores exploits em crypto tiveram a mesma causa raiz: as pessoas. Nos últimos meses, apenas, a Ledger pediu aos utilizadores que pausassem a atividade na cadeia após os mantenedores do npm serem enganados e pacotes maliciosos propagados; a Workday divulgou uma campanha de engenharia social que acedeu a dados de um CRM de terceiros; e operadores ligados ao estado continuaram a atrair falsos empregos contra equipas de crypto para distribuir malware.

Resumo

• Crypto não está a ser hackeada — está a ser convencida a entregá-la. A maioria das violações agora provém de phishing, atualizações falsas e impersonação, não de código quebrado, tornando as “pessoas” a principal superfície de ataque.
• O dinheiro programável transforma pequenos erros em perdas catastróficas. Uma única chave vazada ou pedido aprovado pode esvaziar fundos instantaneamente e de forma irreversível, tornando a engenharia social um risco sistémico, não um erro do utilizador.
• Até que a segurança operacional seja tratada como infraestrutura central, os exploits continuarão a escalar. Auditorias e revisões de código não conseguem impedir a enganação humana — apenas padrões obrigatórios de dispositivos, acesso e formação podem.

Apesar de bilhões gastos em cibersegurança, as empresas continuam a ser derrotadas por simples engenharia social. As equipas investem dinheiro em salvaguardas técnicas, auditorias e revisões de código, enquanto negligenciam a segurança operacional, higiene dos dispositivos e fatores humanos básicos. À medida que mais atividade financeira passa para a cadeia, esse ponto cego torna-se um risco sistémico para a infraestrutura digital.

A única forma de desacelerar a vaga de ataques de engenharia social é um investimento amplo e sustentado em segurança operacional que reduza o retorno dessas táticas.

Engenharia social é o calcanhar de Aquiles da cibersegurança

O Relatório de Investigações de Violação de Dados de 2025 da Verizon associa o “elemento humano” da cibersegurança (phishing, credenciais roubadas e erros do dia a dia) a aproximadamente 60% das violações de dados.

A engenharia social funciona porque mira as pessoas, não o código, explorando confiança, urgência, familiaridade e rotina. Esses tipos de exploits não podem ser eliminados através de uma auditoria de código e são difíceis de defender com ferramentas automatizadas de cibersegurança. Revisões de código e outras práticas comuns de cibersegurança não conseguem impedir um funcionário de aprovar um pedido fraudulento que parece vir de um gestor, ou descarregar uma atualização de software falsa que parece legítima.

Até equipas altamente técnicas são apanhadas; a fraqueza humana é universal e teimosa. E, como resultado, a engenharia social continua a impulsionar incidentes no mundo real.

Crypto aumenta as apostas

O dinheiro programável concentra risco. No web3, comprometer uma frase-semente ou um token API pode ser equivalente a violar um cofre bancário. A natureza irreversível das transações em crypto amplifica os erros: uma vez que os fundos se movem, muitas vezes não há como reverter a transação. Uma única falha na segurança do dispositivo ou no manuseio da chave pode eliminar ativos. O design descentralizado do web3 significa que muitas vezes não há um balcão de ajuda ao qual recorrer, deixando os utilizadores por sua conta.

Hackers, incluindo operativos apoiados pelo estado, notaram a eficácia dos ataques de engenharia social e adaptaram-se em conformidade. As operações dependem fortemente de engenharia social: ofertas de emprego falsas, PDFs envenenados, pacotes maliciosos e phishing personalizado que exploram vulnerabilidades humanas.

Estes exploits são surpreendentemente eficazes e simples de executar, e as empresas de tecnologia parecem incapazes de se defenderem contra eles. Ao contrário dos exploits de dia zero, que são rapidamente corrigidos (forçando os hackers a encontrarem novas estratégias de exploit), os hackers conseguem aproveitar as mesmas táticas de engenharia social repetidamente, de forma autónoma, dedicando mais tempo a hackear e menos a investigação e desenvolvimento.

As empresas precisam de investir em segurança operacional

Demasiadas organizações ainda tratam a segurança como um exercício de conformidade — uma atitude reforçada por padrões regulatórios permissivos. As empresas passam rotineiramente em auditorias e publicam relatórios impecáveis, mesmo abrigando riscos operacionais evidentes: chaves de administrador armazenadas em laptops pessoais, credenciais partilhadas por chat e email, privilégios de acesso obsoletos que nunca são revistos, e laptops de viagem reutilizados como máquinas de desenvolvimento.

Corrigir esta falha de disciplina requer uma segurança operacional explícita e obrigatória. As equipas devem usar dispositivos geridos, proteção forte de endpoints e encriptação total do disco; os logins da empresa devem usar gestores de palavras-passe e MFA resistente a phishing; e os gestores de sistema devem gerir cuidadosamente privilégios e acessos. Estes controlos não são uma solução universal, mas dificultam os ataques de engenharia social e ajudam a mitigar o impacto de potenciais exploits.

Mais importante, as equipas precisam de investir em formação de segurança operacional; os funcionários (não as equipas de cibersegurança) são a primeira linha de defesa contra ataques de engenharia social. As empresas devem dedicar tempo a treinar as suas equipas para identificar ataques de phishing, praticar uma higiene de dados segura e compreender as práticas de segurança operacional.

Crucialmente, não podemos esperar que as organizações adotem posturas de cibersegurança reforçadas de forma voluntária; os reguladores devem intervir e estabelecer linhas de base operacionais obrigatórias que tornem a verdadeira segurança algo obrigatório. Os quadros de conformidade devem ir além da documentação e exigir provas demonstráveis de práticas seguras: gestão de chaves verificada, revisões periódicas de acesso, reforço de endpoints e preparação para phishing simulado. Sem dentes regulatórios, o incentivo favorecerá sempre a aparência em detrimento dos resultados.

A engenharia social só vai piorar

É fundamental investir em segurança operacional agora, porque a taxa de ataques está a crescer exponencialmente.

A IA generativa mudou a economia do engano. Os atacantes podem agora personalizar, localizar e automatizar o phishing em escala industrial. Campanhas que antes focavam num único utilizador ou empresa podem agora ser usadas para atingir milhares de negócios com pouco custo adicional. Os ataques de phishing podem ser personalizados com apenas alguns cliques, incorporando detalhes íntimos para fazer um email falsificado parecer legítimo.

A IA também acelera o reconhecimento. Pegadas públicas, credenciais vazadas e inteligência de código aberto podem ser exploradas e reunidas em “briefings” sobre cada vítima, ajudando os hackers a desenvolver ataques profundamente convincentes.

A desaceleração do ritmo dos ataques

A engenharia social prospera onde a confiança implícita e a conveniência prevalecem sobre a verificação e a prudência. As organizações precisam de adotar uma postura mais defensiva e (corretamente) assumir que estão sob ameaça constante de um ataque de engenharia social.

As equipas devem adotar princípios de zero-trust nas operações diárias e incorporar princípios de segurança operacional em toda a empresa. Devem treinar os funcionários em segurança operacional para impedir ataques precocemente e manter a sua equipa atualizada sobre as últimas táticas de engenharia social.

Mais importante, as empresas precisam de identificar onde a confiança ainda existe nas suas operações (onde quer que um atacante possa impersonar um funcionário, um software ou um cliente) e implementar salvaguardas adicionais.

A engenharia social não desaparecerá, mas podemos torná-la muito menos eficaz e muito menos catastrófica quando os ataques ocorrerem. À medida que a indústria se fortalece contra esses ataques, a engenharia social tornará menos lucrativa para os hackers, e a taxa de ataques diminuirá, trazendo finalmente um fim real a este ciclo exaustivo de exploits.