É crescente a quantidade de ataques que usam técnicas envolvendo engenharia social para manipular os usuários, no intuito de obter informações sigilosas ou criar brechas nos sistemas da segurança cibernética. De acordo com a Febraban, 70% das tentativas de fraude usam técnicas desse tipo para induzir pessoas a fornecer senhas de contas bancárias e outros dados sensíveis.
O avanço da tecnologia, combinado com as possibilidades de ataques cibernéticos em tempo real automatizados, fazem as ameaças serem ainda mais imprevisíveis. Um estudo de 2020 mostrou que a inteligência artificial é capaz não apenas de aprender a identificar vulnerabilidades em comportamentos humanos, mas também a usá-los para persuadir pessoas.
Entender como os golpes de engenharia social e ao motivo deles serem tão bem-sucedidos nos dá o poder de identificá-los. Buscar entender a estratégia dos golpistas e como eles exploram as vulnerabilidades psicológicas do fator humano é algo que impacta diretamente na eficiência de sua estratégia de segurança da informação, garantindo a proteção de informações confidenciais.
De maneira resumida, o engenheiro social utiliza vieses comportamentais do ser humano para obter informações manipulando as suas vítimas. Confira abaixo alguns exemplos de gatilhos emocionais que podem ser explorados.
Empatia: agindo como se estivesse passando por alguma dificuldade ou contando uma história sobre terceiros, o atacante se aproveita da capacidade de conexão humana para tirar proveito da boa vontade da vítima;
Preguiça: o cérebro humano é programado para conservar energia. Por preguiça, ao escolhermos uma senha pouco elaborada, fraca ou repetida, facilitamos a vida dos atacantes;
Confiança: o excesso de confiança nos faz achar que estamos tomando a decisão mais esperta, acertada ou segura. Porém, estamos só agindo sem avaliar nosso próprio comportamento e quais os riscos envolvidos;
Desonestidade: aqui, o fraudador cria uma situação na qual poderá haver vantagem financeira se ele fornecer informações confidenciais. O usuário, pensando ser verdade, colabora, mas não recebe ganho algum.
Luxúria: geralmente, como isca, o golpista usa a imagem de alguém atraente. Com a promessa de encontro, envio de conteúdo pornográfico ou favores sexuais, é pedido que a vítima acesse links, faça downloads ou simplesmente forneça informações;
Vaidade: postamos muita coisa nas redes sociais, mas quase não pensamos sobre os impactos disso. Fotos, por exemplo, pode constar informações pessoais, dados confidenciais, cartões e até senhas. Buscamos validação social, mas o compartilhamento descuidado pode revelar mais do que o apropriado;
Medo: esse tipo de apelo procura convencer de forma ameaçadora. Através de mensagens do tipo "clique aqui para não ter sua conta bloqueada", o temor faz com que usuários ajam de maneira impensada, sigam a solicitação e caiam em golpes.
Quando nos perguntamos o que é engenharia social, é importante ressaltar que a ela, por si só, não é um tipo de ataque cibernético, mas sim uma técnica que facilita as táticas do ator malicioso de cumprir a sua missão maliciosa. Isso varia de uma simples conversa para obter acesso a um local restrito até manobras sofisticadas.
Podem acontecer situações variadas na qual o usuário precise se proteger contra esse risco. A engenharia social também pode ser embutida em uma grande diversidade de ataques de phishing, como spear phishing, vishing e smishing.
Distração: de alguma forma, o criminoso tentará deslocar a atenção do usuário para longe do que ele pretende, assim como fazem os ilusionistas. Não há limites para a criatividade quando o assunto envolve criar situações novas e com agilidade.
Urgência: o fraudador, ciente de que não refletimos bem quando agimos rapidamente, elabora uma abordagem baseada no “antes que seja tarde demais” para diminuir a chance de haver suspeitas sobre seu pedido.
Autoridade: se fazendo passar por alguém no topo do nível hierárquico de uma empresa ou até fingindo ser alguma autoridade policial ou política, a intenção do fraudador é fazer com que o usuário desconsidere uma falsa infração.
Recompensa: uma das maneiras mais fáceis de alguém ser enganado é oferecer para a vítima uma situação na qual ela receba algum tipo de recompensa sem precisar de muito esforço.
Abaixo, alguns exemplos de ataques envolvendo engenharias sociais, os mecanismos utilizados e as vulnerabilidades humanas exploradas:
| Nº | Cenários de Engenharia Social | Mecanismos | Vulnerabilidades Humanas |
|---|---|---|---|
| 1 | Pretexting: Fingindo ser um técnico que está instalando uma grande quantidade de cabos para um importante órgão ou empresa, o fraudador entra em contato e solicita informações sigilosas. Para quem está tendo um dia ruim e quer se sentir útil por ajudar alguém, a situação se encaixa. | Responsabilidade social e dever moral, emoções e sentimentos influenciando a tomada de decisão, fatores afetando a confiança. | Tristeza, simpatia, desejo de ser útil, gentileza, caridade, afabilidade. |
| 2 | Vishing: o fraudador contata o setor de suporte técnico se fazendo passar por um novo empregado, solicita reset de uma senha e ainda pede um VPN para acesso externo; outra forma é dizer que o CEO da empresa deu autorização para acesso VPN urgente porque há apresentação em outra cidade e, ainda, que isso já foi permitido antes e haverá consequências se for recusado. | Urgência, diversos tipos de persuasão, dissonância cognitiva, emoções e sentimentos influência na tomada de decisão, fonte de credibilidade e obediência à autoridade, desindividuação em grupo. | Culpa, temor e pavor, simpatia, desejo de ser útil, amparo, credulidade. |
| 3 | Manipulação de conversas: Agindo em grupo, os fraudadores combinam sua ação, é levantado o tópico sobre segurança, um, ou mais deles, "revela" sua própria senha para discutir se é suficientemente forte intencionando que os alvos façam o mesmo. | Influência e conformidade em grupo, validação social e reciprocidade, espelhamento comportamental, dissonância cognitiva | Conformidade, credulidade, afabilidade, cortesia e humildade, desconfiança. |
| 4 | Phishing: Fraudador envia e-mail com conteúdo diverso, algo que esteja faltando, tentando atrair o alvo a clicar em links maliciosos e/ou divulgar informações sensíveis. Também pode ocorrer quando o golpista percebe haver conflito entre empregados, ele envia e-mail a um deles e diz que há um vírus que poderá ser encaminhado anonimamente a quem ele não gosta. | Rota periférica de persuasão, distração para manipular e persuadir, emoções e sentimentos influenciando a tomada de decisão, desindividuação, efeito espectador, escassez. | Ambição, gula, felicidade, surpresa, impulso, medo, julgamento intuitivo, inveja, empolgação, extroversão, raiva, desgosto, arrogância. |
| 5 | Trojan, honey trap: Fraudador envia uma URL dizendo haver conteúdo pornográfico gratuito ou para ser feito o download de um software (malware) que o permita acessar tal conteúdo. Aberto o link ou feito o download, o computador ou celular será comprometido. | Emoções e sentimentos influenciando a tomada de decisão, rota periférica de persuasão, distração para manipular e persuadir, pensamento indireto e expressão negativa na linguagem. | Curiosidade, impulso, excitação, empolgação, luxúria e ganância. |
| 6 | Water-holing: Descobre-se que o acesso a determinado website é frequente, o fraudador infecta o endereço com codificação maliciosa e aguarda até o conteúdo ser clicado, baixado e/ou acessado. | Fatores afetando a confiança e decepção, teoria da confiança social e organizacional. | Padrões de ações fixas, hábitos comportamentais de visitação a websites, estereotipagem e padrão de pensamento, confiança em sites conhecidos. |
Fonte: Wang, Zuoguang & Zhu, Hongsong & Sun, Limin. (2021). Social Engineering in Cybersecurity: Effect Mechanisms, Human Vulnerabilities and Attack Methods. IEEE Access. 9. 11895-11910. 10.1109/ACCESS.2021.3051633.
Para prevenir que os usuários caiam em ataques de engenharia social, é crucial que suas atitudes mudem. A atitude é a precursora do comportamento e o processo de mudança deve se concentrar na abordagem de comportamentos perigosos e na conscientização do fator humano.
Para isso, precisamos inspirar aspectos positivos ao mesmo tempo em que disseminemos para as pessoas o ensinamento de que um comportamento seguro pode reduzir drasticamente a eficiência das ameaças.
A importância dos usuários serem conscientizados tanto a respeito de suas vulnerabilidades quanto do impacto e responsabilidade de suas ações impacta diretamente na eficiência da cibersegurança. Essas ações podem reduzir as brechas na segurança dos sistemas por meio de uma estratégia mais focada em antecipar do que reagir.
Perante a qualificação dos usuários e a adoção de medidas focadas neles, assim como a garantia de que estejam seguindo os procedimentos, as normas e as políticas de segurança da empresa, haverá não só a chance de impossibilitar o sucesso do cibercriminoso, mas também de melhorar as condições da gestão antecipar e prevenir riscos.