Skip to content
Comportamento

Engenharia Social: Como as vulnerabilidades humanas são exploradas

Os cibercriminosos utilizam técnicas de engenharia social para explorar a vulnerabilidades humanas e poder infectar computadores e redes de empresas. Fique atento a essas vulnerabilidades e prepare seus usuários contra esses ataques.

Priscila Meyer

Priscila Meyer

Ano a ano, é crescente a quantidade de ataques que se utilizam de técnicas envolvendo engenharia social para a manipulação de usuários a fim de serem obtidas informações sigilosas ou criadas brechas nos sistemas da cibersegurança. De acordo com a Febraban, 70% das tentativas de fraude aplicam técnicas desse caráter para induzirem pessoas a fornecer senhas e outros dados sensíveis.

O avanço tecnológico combinado às possibilidades de ataques em tempo real e com melhor automação, tal como o deep fake, fazem as ameaças serem ainda mais imprevisíveis. Um estudo de 2020 mostrou que a Inteligência Artificial é capaz não apenas de aprender a identificar vulnerabilidades em hábitos e comportamentos humanos, mas a usá-los para persuadir pessoas fazendo com que tomem determinadas decisões.

Se atentar às técnicas de engenharia social e ao motivo de estas serem tão bem sucedidas nos dá ferramentas para identificar mecanismos por trás dessa lógica. Buscar compreender a estratégia dos golpistas e a forma com que eles exploram as vulnerabilidades psicológicas do fator humano está ligada diretamente à eficiência da cibersegurança e de sua cadeia de funcionamento.

Vulnerabilidades humanas

  • Empatia: Agindo como se estivesse passando por alguma dificuldade ou contando uma história sobre dificuldades de terceiros, o fraudador pretende, assim, se utilizar da capacidade de conexão humana para tirar proveito da boa vontade de quem recebe sua solicitação.

  • Preguiça: O cérebro humano é programado para conservar energia, a evolução nos aprimorou para isso. Por preguiça, ao escolhermos uma senha pouco elaborada, fraca e/ou repetida, facilita-se a vida de quem pretende obter essa chave de acesso.

  • Confiança: Ou melhor, o excesso dela nos faz achar que estamos tomando a decisão mais esperta, mais acertada ou mais segura. No entanto, estamos apenas agindo sem avaliar nosso comportamento e quais os riscos envolvidos.

  • Desonestidade: Aqui, há uma predisposição à infração. O fraudador revela uma situação em que poderá haver vantagem financeira se fornecida uma informação específica, o usuário, pensando ser verdade, colabora, mas não há ganho algum. O usuário, então, se dá conta do golpe e de que agora é cúmplice. Por temer as consequências, dificilmente revelará o ocorrido.

  • Luxúria: Geralmente, para servir como isca, o golpista utiliza a imagem de alguém atraente e se faz passar por ela. Então, com a promessa de encontro, envio de conteúdo pornográfico e/ou favores sexuais, é pedido que a vítima acesse links, faça downloads ou simplesmente forneça informações.

  • Vaidade: É intensa a postagem nas redes sociais, mas pouco frequente a reflexão sobre o que está sendo revelado. Especialmente em imagens, pode constar informações pessoais, dados confidenciais, cartões, senhas. Nossa saúde emocional depende do relacionamento e da interação com outras pessoas, nossa vaidade exige validação, mas o compartilhamento descuidado poderá revelar dados sensíveis.

  • Medo: Para o resultado desejado, esse tipo de apelo procura persuadir de forma ameaçadora. Por meio de mensagens do tipo "clique aqui para não ter sua conta bloqueada", o temor presente na natureza humana faz com que usuários ajam de maneira impensada, sigam esse tipo de solicitação e caiam em golpes.

Explorando as vulnerabilidades humanas

  • Distração: De uma forma ou de outra, o criminoso agirá de forma a deslocar a atenção do usuário para longe do que ele pretende, exatamente como fazem os ilusionistas. Então, não há limites para a criatividade quando o assunto envolve criar situações novas e, não raro, com muita agilidade.

  • Urgência: O fraudador, consciente de que não refletimos muito bem quando exigidos agir rapidamente, elabora uma abordagem baseada no “antes que seja tarde demais” para, impedindo o pensamento lógico, diminuir a chance de haver suspeitas sobre seu pedido.

  • Autoridade: Se fazendo passar por alguém no topo do nível hierárquico de uma empresa ou até fingindo ser alguma autoridade policial ou política, a intenção do fraudador será fazer com que o usuário desconsidere a infração porque há essa “autoridade” legitimando o comportamento.

  • Recompensa: Uma das maneiras mais fáceis de alguém ser enganado é oferecer para a vítima uma situação na qual ela receba algum tipo de recompensa sem precisar de muito esforço. 

Abaixo, alguns exemplos de ataques envolvendo engenharias sociais, os mecanismos utilizados e as vulnerabilidades humanas exploradas:

Cenários de Engenharia Social Mecanismos Vulnerabilidades Humanas
1 Pretexting: Fingindo ser um técnico que está instalando uma grande quantidade de cabos para um importante órgão ou empresa, o fraudador entra em contato e solicita informações sigilosas. Para quem está tendo um dia ruim e quer se sentir útil por ajudar alguém, a situação se encaixa. Responsabilidade social e dever moral, emoções e sentimentos influenciando a tomada de decisão, fatores afetando a confiança. Tristeza, simpatia, desejo de ser útil, gentileza, caridade, afabilidade.
2 Vishing: o fraudador contata o setor de suporte técnico se fazendo passar por um novo empregado, solicita reset de uma senha e ainda pede um VPN para acesso externo; outra forma é dizer que o CEO da empresa deu autorização para acesso VPN urgente porque há apresentação em outra cidade e, ainda, que isso já foi permitido antes e haverá consequências se for recusado. Urgência, diversos tipos de persuasão, dissonância cognitiva, emoções e sentimentos influência na tomada de decisão, fonte de credibilidade e obediência à autoridade, desindividuação em grupo. Culpa, temor e pavor, simpatia, desejo de ser útil, amparo, credulidade.
3 Manipulação de conversas: Agindo em grupo, os fraudadores combinam sua ação, é levantado o tópico sobre segurança, um, ou mais deles, "revela" sua própria senha para discutir se é suficientemente forte intencionando que os alvos façam o mesmo. Influência e conformidade em grupo, validação social e reciprocidade, espelhamento comportamental, dissonância cognitiva Conformidade, credulidade, afabilidade, cortesia e humildade, desconfiança.
4 Phishing: Fraudador envia e-mail com conteúdo diverso, algo que esteja faltando, tentando atrair o alvo a clicar em links maliciosos e/ou divulgar informações sensíveis. Também pode ocorrer quando o golpista percebe haver conflito entre empregados, ele envia e-mail a um deles e diz que há um vírus que poderá ser encaminhado anonimamente a quem ele não gosta. Rota periférica de persuasão, distração para manipular e persuadir, emoções e sentimentos influenciando a tomada de decisão, desindividuação, efeito espectador, escassez. Ambição, gula, felicidade, surpresa, impulso, medo, julgamento intuitivo, inveja, empolgação, extroversão, raiva, desgosto, arrogância.
5 Trojan, honey trap: Fraudador envia uma URL dizendo haver conteúdo pornográfico gratuito ou para ser feito o download de um software (malware) que o permita acessar tal conteúdo. Aberto o link ou feito o download, o computador ou celular será comprometido. Emoções e sentimentos influenciando a tomada de decisão, rota periférica de persuasão, distração para manipular e persuadir, pensamento indireto e expressão negativa na linguagem. Curiosidade, impulso, excitação, empolgação, luxúria e ganância.
6 Water-holing: Descobre-se que o acesso a determinado website é frequente, o fraudador infecta o endereço com codificação maliciosa e aguarda até o conteúdo ser clicado, baixado e/ou acessado. Fatores afetando a confiança e decepção, teoria da confiança social e organizacional. Padrões de ações fixas, hábitos comportamentais de visitação a websites, estereotipagem e padrão de pensamento, confiança em sites conhecidos.

Fonte: Wang, Zuoguang & Zhu, Hongsong & Sun, Limin. (2021). Social Engineering in Cybersecurity: Effect Mechanisms, Human Vulnerabilities and Attack Methods. IEEE Access. 9. 11895-11910. 10.1109/ACCESS.2021.3051633.

 

 


Para a prevenção dos usuários contra ataques de engenharia social, é crucial serem mudadas atitudes. A atitude é vista como precursora do comportamento e o processo de mudança deve se concentrar na abordagem de comportamentos nocivos e na integração e conscientização do fator humano à cadeia de segurança. Para isso, precisamos inspirar aspectos positivos ao passo que disseminemos às pessoas o ensinamento de que um comportamento seguro pode ser eficaz na redução de ameaças e de sua taxa de sucesso.

A importância de os usuários serem conscientizados tanto a respeito de suas vulnerabilidades quanto do impacto e responsabilidade de suas ações implica diretamente na eficiência da cibersegurança. Essas ações têm o potencial de diminuírem as brechas na segurança dos sistemas por meio de uma estratégia que se ocupe mais em antecipar do que reagir.

Mediante a qualificação dos usuários e da adoção de medidas focadas neles, bem como a certificação de que sejam seguidos os procedimentos, as normas e as políticas de segurança da empresa, haverá não apenas a chance de impossibilitar o sucesso do cibercriminoso, mas de melhores condições de a gestão antecipar e prevenir riscos.

Obrigado pela Leitura!

Últimos artigos

IATF 16949 e a necessidade de investir em programas de conscientização

IATF 16949 e a necessidade de investir em programas de conscientização

Considerada a norma de qualidade mais importante para a cadeia de suprimentos do setor automotivo, a certificação exige uma série de requis...

ISO 27001: a importância da gestão do risco humano

ISO 27001: a importância da gestão do risco humano

Cada vez mais adotada pelas empresas brasileiras, a tradicional família de normas de qualidade em gestão de segurança da informação também ...

Dia Mundial da Senha: nada de 12345, por favor!

Dia Mundial da Senha: nada de 12345, por favor!

Criada em 2013, a data comemorativa tem justamente o objetivo de conscientizar os internautas sobre a importância de desenvolver credenciai...