Ano a ano, é crescente a quantidade de ataques que se utilizam de técnicas envolvendo engenharia social para a manipulação de usuários a fim de serem obtidas informações sigilosas ou criadas brechas nos sistemas da cibersegurança. De acordo com a Febraban, 70% das tentativas de fraude aplicam técnicas desse caráter para induzirem pessoas a fornecer senhas e outros dados sensíveis.
O avanço tecnológico combinado às possibilidades de ataques em tempo real e com melhor automação, tal como o deep fake, fazem as ameaças serem ainda mais imprevisíveis. Um estudo de 2020 mostrou que a Inteligência Artificial é capaz não apenas de aprender a identificar vulnerabilidades em hábitos e comportamentos humanos, mas a usá-los para persuadir pessoas fazendo com que tomem determinadas decisões.
Se atentar às técnicas de engenharia social e ao motivo de estas serem tão bem sucedidas nos dá ferramentas para identificar mecanismos por trás dessa lógica. Buscar compreender a estratégia dos golpistas e a forma com que eles exploram as vulnerabilidades psicológicas do fator humano está ligada diretamente à eficiência da cibersegurança e de sua cadeia de funcionamento.
Vulnerabilidades humanas
-
Empatia: Agindo como se estivesse passando por alguma dificuldade ou contando uma história sobre dificuldades de terceiros, o fraudador pretende, assim, se utilizar da capacidade de conexão humana para tirar proveito da boa vontade de quem recebe sua solicitação.
-
Preguiça: O cérebro humano é programado para conservar energia, a evolução nos aprimorou para isso. Por preguiça, ao escolhermos uma senha pouco elaborada, fraca e/ou repetida, facilita-se a vida de quem pretende obter essa chave de acesso.
-
Confiança: Ou melhor, o excesso dela nos faz achar que estamos tomando a decisão mais esperta, mais acertada ou mais segura. No entanto, estamos apenas agindo sem avaliar nosso comportamento e quais os riscos envolvidos.
-
Desonestidade: Aqui, há uma predisposição à infração. O fraudador revela uma situação em que poderá haver vantagem financeira se fornecida uma informação específica, o usuário, pensando ser verdade, colabora, mas não há ganho algum. O usuário, então, se dá conta do golpe e de que agora é cúmplice. Por temer as consequências, dificilmente revelará o ocorrido.
-
Luxúria: Geralmente, para servir como isca, o golpista utiliza a imagem de alguém atraente e se faz passar por ela. Então, com a promessa de encontro, envio de conteúdo pornográfico e/ou favores sexuais, é pedido que a vítima acesse links, faça downloads ou simplesmente forneça informações.
-
Vaidade: É intensa a postagem nas redes sociais, mas pouco frequente a reflexão sobre o que está sendo revelado. Especialmente em imagens, pode constar informações pessoais, dados confidenciais, cartões, senhas. Nossa saúde emocional depende do relacionamento e da interação com outras pessoas, nossa vaidade exige validação, mas o compartilhamento descuidado poderá revelar dados sensíveis.
-
Medo: Para o resultado desejado, esse tipo de apelo procura persuadir de forma ameaçadora. Por meio de mensagens do tipo "clique aqui para não ter sua conta bloqueada", o temor presente na natureza humana faz com que usuários ajam de maneira impensada, sigam esse tipo de solicitação e caiam em golpes.
Explorando as vulnerabilidades humanas
-
Distração: De uma forma ou de outra, o criminoso agirá de forma a deslocar a atenção do usuário para longe do que ele pretende, exatamente como fazem os ilusionistas. Então, não há limites para a criatividade quando o assunto envolve criar situações novas e, não raro, com muita agilidade.
-
Urgência: O fraudador, consciente de que não refletimos muito bem quando exigidos agir rapidamente, elabora uma abordagem baseada no “antes que seja tarde demais” para, impedindo o pensamento lógico, diminuir a chance de haver suspeitas sobre seu pedido.
-
Autoridade: Se fazendo passar por alguém no topo do nível hierárquico de uma empresa ou até fingindo ser alguma autoridade policial ou política, a intenção do fraudador será fazer com que o usuário desconsidere a infração porque há essa “autoridade” legitimando o comportamento.
-
Recompensa: Uma das maneiras mais fáceis de alguém ser enganado é oferecer para a vítima uma situação na qual ela receba algum tipo de recompensa sem precisar de muito esforço.
Abaixo, alguns exemplos de ataques envolvendo engenharias sociais, os mecanismos utilizados e as vulnerabilidades humanas exploradas:
| Nº | Cenários de Engenharia Social | Mecanismos | Vulnerabilidades Humanas |
|---|---|---|---|
| 1 | Pretexting: Fingindo ser um técnico que está instalando uma grande quantidade de cabos para um importante órgão ou empresa, o fraudador entra em contato e solicita informações sigilosas. Para quem está tendo um dia ruim e quer se sentir útil por ajudar alguém, a situação se encaixa. | Responsabilidade social e dever moral, emoções e sentimentos influenciando a tomada de decisão, fatores afetando a confiança. | Tristeza, simpatia, desejo de ser útil, gentileza, caridade, afabilidade. |
| 2 | Vishing: o fraudador contata o setor de suporte técnico se fazendo passar por um novo empregado, solicita reset de uma senha e ainda pede um VPN para acesso externo; outra forma é dizer que o CEO da empresa deu autorização para acesso VPN urgente porque há apresentação em outra cidade e, ainda, que isso já foi permitido antes e haverá consequências se for recusado. | Urgência, diversos tipos de persuasão, dissonância cognitiva, emoções e sentimentos influência na tomada de decisão, fonte de credibilidade e obediência à autoridade, desindividuação em grupo. | Culpa, temor e pavor, simpatia, desejo de ser útil, amparo, credulidade. |
| 3 | Manipulação de conversas: Agindo em grupo, os fraudadores combinam sua ação, é levantado o tópico sobre segurança, um, ou mais deles, "revela" sua própria senha para discutir se é suficientemente forte intencionando que os alvos façam o mesmo. | Influência e conformidade em grupo, validação social e reciprocidade, espelhamento comportamental, dissonância cognitiva | Conformidade, credulidade, afabilidade, cortesia e humildade, desconfiança. |
| 4 | Phishing: Fraudador envia e-mail com conteúdo diverso, algo que esteja faltando, tentando atrair o alvo a clicar em links maliciosos e/ou divulgar informações sensíveis. Também pode ocorrer quando o golpista percebe haver conflito entre empregados, ele envia e-mail a um deles e diz que há um vírus que poderá ser encaminhado anonimamente a quem ele não gosta. | Rota periférica de persuasão, distração para manipular e persuadir, emoções e sentimentos influenciando a tomada de decisão, desindividuação, efeito espectador, escassez. | Ambição, gula, felicidade, surpresa, impulso, medo, julgamento intuitivo, inveja, empolgação, extroversão, raiva, desgosto, arrogância. |
| 5 | Trojan, honey trap: Fraudador envia uma URL dizendo haver conteúdo pornográfico gratuito ou para ser feito o download de um software (malware) que o permita acessar tal conteúdo. Aberto o link ou feito o download, o computador ou celular será comprometido. | Emoções e sentimentos influenciando a tomada de decisão, rota periférica de persuasão, distração para manipular e persuadir, pensamento indireto e expressão negativa na linguagem. | Curiosidade, impulso, excitação, empolgação, luxúria e ganância. |
| 6 | Water-holing: Descobre-se que o acesso a determinado website é frequente, o fraudador infecta o endereço com codificação maliciosa e aguarda até o conteúdo ser clicado, baixado e/ou acessado. | Fatores afetando a confiança e decepção, teoria da confiança social e organizacional. | Padrões de ações fixas, hábitos comportamentais de visitação a websites, estereotipagem e padrão de pensamento, confiança em sites conhecidos. |
Fonte: Wang, Zuoguang & Zhu, Hongsong & Sun, Limin. (2021). Social Engineering in Cybersecurity: Effect Mechanisms, Human Vulnerabilities and Attack Methods. IEEE Access. 9. 11895-11910. 10.1109/ACCESS.2021.3051633.
Para a prevenção dos usuários contra ataques de engenharia social, é crucial serem mudadas atitudes. A atitude é vista como precursora do comportamento e o processo de mudança deve se concentrar na abordagem de comportamentos nocivos e na integração e conscientização do fator humano à cadeia de segurança. Para isso, precisamos inspirar aspectos positivos ao passo que disseminemos às pessoas o ensinamento de que um comportamento seguro pode ser eficaz na redução de ameaças e de sua taxa de sucesso.
A importância de os usuários serem conscientizados tanto a respeito de suas vulnerabilidades quanto do impacto e responsabilidade de suas ações implica diretamente na eficiência da cibersegurança. Essas ações têm o potencial de diminuírem as brechas na segurança dos sistemas por meio de uma estratégia que se ocupe mais em antecipar do que reagir.
Mediante a qualificação dos usuários e da adoção de medidas focadas neles, bem como a certificação de que sejam seguidos os procedimentos, as normas e as políticas de segurança da empresa, haverá não apenas a chance de impossibilitar o sucesso do cibercriminoso, mas de melhores condições de a gestão antecipar e prevenir riscos.
Obrigado pela Leitura!
