O que é Engenharia Social e como ameça sua segurança?

Todos os dias há notícias de novas fraudes, de novos golpes, os quais já acumulam incontáveis vítimas e graves perdas a todas elas. A variedade é imensa, mas independente das características de como são aplicados, o que boa parte tem em comum, é o uso de engenharia social.

Ao buscar entender como cada um desses crimes é praticado, normalmente em algum ponto da notícia consta: “os criminosos usam técnicas de engenharia social para enganar”.

Você sabe o que é engenharia social? Por que muitos crimes fazem uso dela?

Responder a esse tipo de questão, bem como reconhecer as situações nas quais ela e empregada e, portanto, manter-se seguro, é o que veremos hoje.

O que é engenharia social?

Genericamente pode-se dizer que engenharia social é o uso de um conjunto de técnicas de persuasão, com o objetivo de manipular as pessoas de modo que elas façam algo que se tenha interesse, como por exemplo, o fornecimento de informações que em condições normais, tais pessoas não dariam.

Em termos mais amplos, uma vez que engenharia social não se restringe apenas ao cenário principal do nosso bate-papo, é também um conceito de ciência política, por meio do qual se adotam ações visando influenciar atitudes e um comportamento social em um determinado grupo de pessoas.

No contexto que nos interessa aqui, o termo foi popularizado pelo cracker (o “hacker do mal”) Kevin David Mitnick, o qual ficou célebre por uma série de crimes, foi condenado e preso, escreveu livros a respeito, como “A arte de enganar” e finalmente atuou como gerente em uma empresa de segurança.

No livro em questão, Mitnick trata justamente do fator humano quando o assunto é a segurança em TI, baseando-se em condições humanas e os respectivos comportamentos, normalmente presentes nas diversas relações sociais, razão pela qual recebe esse nome.

Inclusive, costuma-se dizer em segurança, que geralmente o aspecto mais sensível e que costuma fragilizar a maioria dos sistemas, são as pessoas envolvidas.

Outro ponto a se destacar, é que o uso de engenharia social embora seja frequentemente associado aos crimes cibernéticos, não se resume a eles. Não é só no meio digital que ela serve de “ferramenta”.

Há vários casos célebres anteriores ao avanço comercial da Internet, tanto do próprio Mitnick, como de outros criminosos e até Hollywood se encarregou de trazer às telas a história de um deles, com o filme “Prenda-me se for capaz”.

Na trama, além do uso de vários talentos, a personagem de Leonardo DiCaprio em vários momentos manipula suas vítimas, para ter êxito em seus golpes, por meio técnicas de engenharia social.

Por que a engenharia social é usada?

Em termos gerais o arsenal de tecnologias e métodos voltados à segurança, é amplo e com elevado grau de eficiência.

Significa dizer que mesmo em vários dos casos que se tornaram públicos, a causa não foi um sistema sem várias camadas de segurança ou políticas de segurança falhas ou mesmo ausentes, mas porque o ataque visou o elo mais fraco, o usuário.

A pessoa é a parte mais vulnerável, quando a engenharia social atua na esfera psicológica do indivíduo.

Aliás, não é raro em golpes que fazem muitas vítimas e, portanto, com elevada eficiência, que o criminoso não necessariamente é um bom conhecedor de sistemas, da tecnologia envolvida, como também não é um cracker ou tem a capacidade de burlar as defesas existentes.

Quando o usuário desavisado fornece seus dados de acesso ao sistema do seu banco, porque não foi capaz de identificar a farsa armada, não importa o quão sólido é o sistema. O acesso ocorrerá, afinal perante o sistema, quem tem os dados deve ser permitido ter o acesso.

Um sistema com criptografia de 128 bits, significa que o bandido que hipoteticamente invadiu um sistema, tem que descobrir a chave de acesso em 1 entre 2128 possíveis combinações. Pode ser necessário anos até testar todas as possibilidades, mesmo usando um supercomputador. Logo, é muito mais fácil ludibriar o usuário.

Para conseguir isso, o criminoso se vale dos comportamentos e reações normalmente presentes nos indivíduos diante de determinadas situações, como por exemplo:

  • Socialização / relacionamento – o ser humano essencialmente está aberto a socialização com os outros e as redes sociais são a maior prova desse afirmação. A simples interação social para obtenção de informação utilizável, pode ser o ponto de partida;

  • Afinidade – as pessoas costumam se aproximarem e baixar a guarda diante daqueles com os quais têm pontos em comum, afinidades. Mesmas ideias, opiniões, gostos e desejos, produzem aproximação;

  • Empatia / compaixão – o atacante pode simular uma situação na qual se coloque em condição de vítima, gerando compaixão / empatia na pessoa que mais tarde será a verdadeira vítima;

  • Colaboração – o senso de colaboração, de ajuda e até de se mostrar solidário ao outro, também pode ser explorado para desarmar a vítima. Costumamos ceder com quem se propõe a nos ajudar em algo;

  • Conhecimento – usar o conhecimento adquirido e que frequentemente envolve dados / informações disponíveis na própria Internet, como nas redes sociais, nos muitos sites / serviços, é um dos meios de driblar a possível desconfiança da pessoa que é atacada. Conhecimento é usada para dar credibilidade a quem o utiliza;

  • Confiança – a conquista da confiança que muitas vezes envolve algum ou vários dos fatores acima, é crucial para que o criminoso obtenha o que pretende;

  • Segurança – entre as necessidades básicas / primárias, está a busca por se sentir seguro nas diferentes situações quotidianas. Oferecer segurança ou mais do que se tem, é um dos meios de conseguir simpatia;

  • Curiosidade – estimular ou se basear em aspectos que despertam a curiosidade por um assunto, é um dos mecanismos frequentemente usados;

  • Ganância / ambição – é raro não encontrar quem não se sinta pelo menos seduzido pela possibilidade de ganhos fáceis, elevados e rápidos e, portanto, é outra técnica que se apoia nesse comportamento;

  • Vaidade / ego – alimentar a vaidade e o ego, são aspectos sociais que favorecem o atacante coletar informações como a condição econômica e até de hábitos do seu alvo;

  • Necessidades / carências – vem crescendo a quantidade e variedade de golpes envolvendo supostas vagas de emprego e que exploram a fragilidade e até o desespero das vítimas, quando essas têm suprimidas necessidades básicas de subsistência por estarem desempregadas;

  • Contexto – muitas pessoas mudam seu comportamento de acordo com o contexto. Estão alertas no trabalho, mas relaxam fora do ambiente empresarial, acessando o Wi-Fi público no aeroporto com o notebook corporativo, por exemplo. Isso é sabido e devidamente explorado.

Por que é importante conhecer engenharia social?

É muito importante conhecer tanto quanto possível as principais técnicas usadas em engenharia social, bem como sua estrutura típica, porque quando bem concebido um ataque, é difícil não ser vitimado.

Muitos dos principais crimes cibernéticos – mas não só eles, como vimos – atualmente têm nas técnicas de engenharia social, o seu principal componente.

Assim, uma estrutura genérica normalmente presente, é composta das seguintes etapas:

  • Cenário – é o enredo da trama e que costuma envolver a coleta de informações que serão usadas para dar credibilidade ao golpe, como por exemplo, por meio das redes sociais da vítima;

  • Pretexto – é o argumento usado para criar a situação. A razão do contato e da solicitação da informação;

  • Manipulação – é a fase de obtenção dos dados que se pretende, sem solicitar diretamente ou fazê-lo de modo que pareça natural. Há a extração sutil de informações. Geralmente corresponde à etapa na qual há a confirmação de que o alvo do golpe confirma o potencial previamente suspeito;

  • Obtenção – é a influência social propriamente dita, durante a qual ocorre a mudança do comportamento ou a percepção da vítima. É aqui que o criminoso consegue que a vítima faça o que ele deseja.

Considerando o diálogo a seguir, fica mais fácil identificar cada uma das etapas:

Atacante: “Olá Sr. Fulano de Tal! Aqui é Beltrano Jr. da XPTO678 e o motivo do meu contato é que o sistema Guard Safe da XPTO678 identificou acessos suspeitos na sua conta e para garantir a sua segurança precisamos realizar alguns procedimentos”. (CENÁRIO) – informações como nome da vítima e que é usuário do serviço, foram obtidas anteriormente na rede social do contato).

Vítima: “Sério?! Quer dizer que minha conta foi invadida? E agora, o que eu faço?”.

Atacante: “Como mencionei ao senhor, o sistema Guard Safe identificou acessos suspeitos, possivelmente usando seus dados de acesso e meu papel é justamente resolvermos caso não tenha sido o senhor quem realizou o acesso”. (PRETEXTO) – foi enfatizada a razão do contato.

Vítima: “Nossa, que complicado! O que eu preciso fazer?”.

Atacante: “Para sua segurança e para termos a certeza que estamos falando com o titular da conta, preciso que o senhor me confirme alguns dados”. (MANIPULAÇÃO) – Aqui o atacante tenta produzir uma sensação de segurança e preocupação com a vítima, que passará a fazer o que o atacante quiser.

Atacante: “Solicitei a alteração da sua senha, mas para que o procedimento seja completo e para nos certificarmos que é o senhor mesmo, preciso que o senhor me informe o SMS que foi enviado para o número telefônico que consta do seu cadastro”. (OBTENÇÃO) – Na última etapa, o atacante tem acesso ao código que o sistema gera e envia por SMS para completar a redefinição de senha previamente solicitada pelo atacante, mas que só o titular do serviço recebe.

Vale destacar que apesar de se tratar de uma situação fictícia, ela se baseia em ações reais e costumeiras em muitos golpes baseados em engenharia social, mas que se observados com atenção, podem ser identificados.

No entanto, para a maioria, a situação de stress produzida, torna compreensível que a vítima não consiga raciocinar com frieza e perceba que está sendo manipulada, o que tem feito com que muitas empresas repensem constantemente seus procedimentos de segurança, fazendo surgir novos métodos, como o Google Passkey e chaves de segurança física.

Dicas para não ser manipulado por engenharia social

É compreensível que em muitos casos seja difícil perceber que estamos sendo vítimas de engenharia social e só nos damos conta quando já é tarde.

Algumas pessoas e dependendo da situação, sentem-se envergonhadas por terem sido enganadas e nem mesmo relatam o crime às autoridades, o qual só se torna público depois de afetar muita gente.

Por isso, independente das dicas que listamos a seguir, é importante buscar as autoridades competentes, como por exemplo, as delegacias de cibercrimes que já existem em algumas cidades brasileiras, bem como a empresa cujo serviço estiver associado, para buscar orientações de como proceder e se for o caso, remediá-lo.

1. Conscientização e treinamento

A identificação de crimes envolvendo engenharia social no ambiente corporativo, o qual é alvo frequente dos criminosos, passa necessariamente por um processo de conscientização e treinamento.

Deve ser um processo permanente, já que tanto os métodos se sofisticam continuamente, como também avançam por novas áreas.

Dada a variedade de técnicas e peculiaridades, os colaboradores que têm acesso a sistemas e dados sensíveis das empresas, precisam conhecer tanto quanto possível as práticas adotadas e serem criteriosos no cumprimento das políticas de segurança da empresa.

2. Políticas das empresas

Os usuários finais das empresas, precisam conhecer as políticas de segurança das empresas cujos serviços utilizam.

Atualmente quase nenhuma grande empresa adota procedimentos de contato, como no nosso diálogo fictício. Quando algo semelhante ocorrer, em vez de fornecer qualquer informação, encerre o contato imediatamente e busque um canal de contato oficial da empresa e relate o ocorrido.

Lembre-se que inclusive as maiores têm reduzido drasticamente o suporte por atendimento humano (telemarketing ativo) e tem usado assistentes virtuais inteligentes, o que significa que um contato do tipo, é improvável.

Empresas de tecnologia, como o Google, na situação hipotética descrita, uma mensagem é enviada para sua conta Gmail, relatando o acesso e só é possível clicar em uma opção em que reconhece o acesso ou não e que neste caso, bloqueia automaticamente qualquer tentativa de acesso não autorizado.

3. Não forneça informações

NUNCA e sob nenhum pretexto, forneça ou confirme qualquer informação, como dados pessoais, usuário e senha ou eventuais métodos de autenticação alternativa.

Não é prática e não costuma constar das políticas de atendimento de nenhuma empresa, que o usuário deva fornecer usuário e senha ou dados de autenticação multifator (MFA) para atendentes humanos.

Esse tipo de dado é exclusivamente destinado ao ingresso no sistema.

4. Segurança 24/7

Comportamento seguro é aquele que se mantém o mesmo 24 horas por dia, 7 dias por semana.

Não acesse o Wi-Fi público com dispositivos que são usados para sistemas sensíveis (sistemas da empresa, banco, contas de e-mail que dão acesso a outros serviços, etc).

Em todos os contextos e em todos os círculos sociais de que participamos, podemos ser expostos a situações de uso de engenharia social.

5. Não instale nada

Malwares dos mais variados tipos, geralmente são parte integrante dos golpes usando a engenharia social, mas com objetivo de que a vítima o instale em seu dispositivo e a partir dele, roubar credenciais de acesso, fraudar métodos de pagamentos e até infecção por ransomware.

Geralmente usa-se como justificativa, a necessidade de instalar uma atualização que supostamente corrige um problema de segurança, mas pode estar sob outro tipo de disfarce.

Saiba que todos os principais sistemas da atualidade distribuem automaticamente esse tipo de atualização, sendo desnecessário qualquer procedimento manual. É assim nos principais sistemas operacionais, como Windows ou Android.

No caso de apps, como das redes sociais ou do seu banco, as atualização também são automáticas e ocorrem por meio da loja de aplicativos do sistema operacional.

6. Cuide das suas redes sociais

As redes sociais constituem um importante e rico arsenal de informações (cenário) para engenharia social. Por essa razão, restringir o acesso aos seus conteúdos aos amigos dos amigos, é essencial, afinal não dá para exigir que seus amigos sejam seletivos quanto àqueles que incluem em suas próprias redes de contatos / seguidores.

Ainda assim, não basta. Evite ao máximo publicar qualquer coisa (texto, vídeos, imagens, etc) que contenham informações diretas ou deduzíveis sobre você, como datas de aniversários, graus de parentesco, nomes de pets, hobbys e tudo que costuma ser usado como pergunta secreta ou mesmo é parte da criação de algumas senhas que usamos.

Lembre-se que amigos verdadeiros, sabem suficientemente a seu respeito e, portanto, determinadas informações não precisam ser compartilhadas / publicadas.

7. Contatos

Em qualquer dispositivo (notebook, tablet, smartphone, etc) que existir programa ou aplicativo, como agenda ou cliente de e-mail local, por exemplo, a lista de contatos deve conter apenas dados essenciais.

Não atribua o nível de relacionamento (pai, mãe, filhos, irmãos, tios, cliente, diretor, etc) nem atrelado ao nome, nem em nenhum campo do cadastro. Espera-se que você saiba o tipo de relacionamento com cada pessoa, mas um eventual bandido que teve acesso ao dispositivo que foi roubado ou invadido por intermédio de um malware, não deve saber.

Esse tipo de conhecimento do vínculo de relacionamento, é base (cenário) de alguns golpes comuns.

Não tenha preguiça ao escrever. Se há 3, 4 ou 5 de nomes iguais na sua lista de contatos, prefira diferenciá-los por seus sobrenomes.

8. Informação

Mantenha-se informado em relação aos principais tipos de fraudes virtuais, como phishing por exemplo, cujo conteúdo recomendamos fortemente a leitura.

O phishing basicamente consiste de usar uma isca atrativa e esperar que alguém a morda, tal como em uma pescaria, daí o seu nome.

Geralmente o phishing que chega por e-mail, tem conteúdos que se apoiam nos comportamentos curiosidade, segurança, ganância e necessidade para provocar a ação esperada.

9. Privacidade

Zele por sua privacidade. Não há como falar em segurança, se sua privacidade na Internet não existe.

Além de proceder de acordo com as 10 dicas de como proteger sua privacidade online, também considere o que mencionamos sobre as redes sociais e mais:

10. Desconfie sempre

Não existe almoço grátis, nem tampouco conteúdo grátis na Internet!

E muito menos investimentos com ganhos incríveis e muito acima do mercado, trabalhos que remuneram muito e exigem quase nada, gente muito boazinha que te promete muitas vantagens e oportunidades imperdíveis.

Tudo que parecer bom demais para ser verdade, em 99,99% dos casos, não é verdade!

Empregos para ganhar um salário-mínimo e trabalhar duro 44 horas por semana, são difíceis de encontrar. Logo, não dá para levar a sério um que promete lhe pagar bem mais para fazer quase nada e só nas horas livres, não é?

Golpes do tipo tem crescido em números assombrosos e se amparam em algumas das reações que vimos.

Para obter ganhos das vítimas, primeiro remuneram pequenas quantias por cumprimento de tarefas simples.

Em um estágio posterior, quando as pessoas já não desconfiam, alegam que para ampliarem ainda mais suas possibilidades de ganho, precisam fazerem depósitos que costumam ser bem superiores ao que já receberam.

É nessa etapa quando o golpe é consumado e a perda é irrecuperável.

Conclusão

A engenharia social é pano de fundo para boa parte das fraudes no mundo físico e no virtual, razão pela qual é importante conhecer o máximo a seu respeito.

 

 

 

 

Comentários ({{totalComentarios}})