Pergunte a qualquer especialista de segurança e ele irá te contar qual é o ponto mais frágil de um sistema de proteção. Não são programas obsoletos, não são sistemas operacionais vulneráveis. Não são senhas fracas ou falta de criptografia. Embora todos esses elementos sejam problemáticos e precisem ser monitorados e corrigidos, o elo mais fraco da corrente é o elemento humano. É o usuário que clica em um link malicioso, é o gerente de setor que abre um anexo estranho que chegou por email, é o administrador que cai em uma conversa telefônica e abre acesso aos sistemas da empresa.
Um relatório publicado pela Verizon em 2022 constatou que 82% dos ataques cibernéticos registrados aconteceram a partir de algum tipo de falha humana explorada por agentes hostis. A estratégia utilizada pelos criminosos para enganar suas vitimas para obter vantagens em sistemas eletrônicos é chamada de engenharia social. Porém, também podemos nomeá-la como algo muito mais antigo: golpe, logro, engodo, manipulação.
Vamos analisar aqui as principais táticas de engenharia social perpetradas atualmente, assim como as melhores técnicas para se blindar contra esse tipo de abordagem. Como tudo em segurança da informação, a chave da vitória é o conhecimento.
Por que somos tão suscetíveis a engenharia social?
O que torna tão difícil resistir a esse tipo de ataque é que eles estão baseados em princípios psicológicos, como reciprocidade, escassez, autoridade e consenso, que são inerentes à natureza humana.
A reciprocidade é um princípio que faz com que as pessoas sintam a necessidade de retribuir favores ou presentes recebidos. Isso pode ser explorado por criminosos que oferecem algo gratuitamente para criar um senso de obrigação nas vítimas e, em seguida, pedem algo em troca, como informações confidenciais. As pessoas tendem a sentir que está em dívida, mesmo que isso possa ser prejudicial. Entretanto, esse mesmo princípio costuma ser explorado em sistemas honestos, como as amostras grátis de produtos oferecidas em supermercado ou quando o feirante insiste que a freguesa experimente uma fatia de determinada fruta. O instinto da reciprocidade pode ser ativado, levando o consumidor a comprar por aquilo que experimentou gratuitamente.
O princípio da escassez é outro fator que pode tornar as pessoas vulneráveis aos ataques de engenharia social. Quando algo é apresentado como raro ou limitado, as pessoas tendem a sentir a necessidade de agir rapidamente para aproveitar a oportunidade. Isso pode ser usado por criminosos para criar um senso de urgência nas vítimas, fazendo com que tomem decisões impulsivas sem considerar as consequências. Essa mesma característica psicológica também é explorada de formas mais legítimas em anúncios publicitários que alertam que “a promoção é por tempo limitado” ou que existem “poucas vagas”.
A autoridade é um princípio que faz com que as pessoas tendam a seguir a liderança de figuras de autoridade. Os criminosos podem se passar por autoridades ou especialistas em determinado assunto para ganhar a confiança das vítimas. As pessoas tendem a acreditar mais facilmente em informações fornecidas por autoridades e podem fornecer informações confidenciais a esses indivíduos sem questionar.
Como explica Roger Grimes, da empresa de segurança KnowBe4: “é alguém fingindo ser uma marca, empresa ou pessoa em quem você confiaria mais do que se soubesse que a mensagem estava sendo enviada por um completo estranho tentando induzi-lo a fazer algo que afetará você ou os interesses de sua organização”.
O consenso é outro fator que pode tornar as pessoas vulneráveis a ataques de engenharia social. Quando as pessoas têm dúvidas ou estão incertas sobre uma situação, elas tendem a buscar orientação e aprovação de outras pessoas. Os criminosos podem usar isso para manipular as vítimas, fazendo com que acreditem que muitas outras pessoas já forneceram informações ou realizaram determinada ação. Isso pode fazer com que as vítimas se sintam mais confortáveis em seguir o que parece ser uma escolha popular. Isso também se manifesta de forma mais ou menos legítima nos chamados “testemunhos”, quando pessoas (reais ou não) atestam que esse ou aquele produto tem qualidades.
Existem outros gatilhos psicológicos que podem ser utilizados pelos criminosos para manipular suas vítimas a fornecer informações confidenciais ou realizar ações prejudiciais. Uma vez que a engenharia social nada mais é que a modernização de estratégias que vem sendo utilizadas muitas vezes por séculos, essas são estratégias que já foram testadas múltiplas vezes em múltiplos cenários (alguns, inclusive, legítimos).
Principais tipos de ataque de engenharia social
Os criminosos eletrônicos podem empregar múltiplas táticas para atingir seus objetivos. Os ataques mais comuns são tão conhecidos que já possuem classificação e nomes próprios designados pelos especialistas de segurança:
- Phishing: um dos ataques mais tradicionais consiste no envio de um grande volumes de e-mails, sem um alvo específico em mente, na expectativa de que um link ou anexo malicioso seja clicado, conduzindo para a instalação de malware. Em alguns cenários, pode ser um ataque personalizado, a partir de informações já apuradas sobre sua vítima; nesse caso, passamos a ter o ataque abaixo.
- Spear phishing: um phishing com endereço certo, geralmente disfarçado como um remetente conhecido ou confiável.
- Whale phishing: é o spear phishing ainda mais segmentado, de olho em um alvo de alto valor, como um executivo sênior ou uma importante autoridade governamental. Exige mais sofisticação por parte do criminoso eletrônico, porém entrega recompensas maiores. Comumente vem associado com operações anteriores de coleta de informações e pesquisa. Esse tipo de ataque também é frequente em ataques orquestrados por nações hostis.
- Vishing ou smishing: Esta é uma abordagem de phishing feita por meio de uma chamada de voz ou texto SMS, mas os demais princípios se mantém.
- Pharming: o código malicioso é colocado em um dispositivo para desviar ou induzir o usuário a visitar um site prejudicial.
- Tailgating ou piggybacking: um agente do crime obtém acesso físico às instalações seguras de uma empresa, ao seguir de perto uma pessoa autorizada, fingindo fazer parte do mesmo grupo.
- Baiting: O criminoso oferece uma isca, uma promessa falsa de vantagem para ludibriar a vítima.
- Comprometimento de e-mail comercial (BEC): o cibercriminoso assume o controle de uma conta de e-mail comercial por qualquer outro meio e dispara mensagens se fazendo passar pelo proprietário real, para obter informações privadas, dinheiro ou vantagens.
- Mergulho no lixo: Técnica mais comumente utilizada em operações de espionagem industrial ou como fonte de dados para ataques cirúrgicos. A técnica é autoexplicativa: consiste em literalmente vasculhar o lixo físico de uma empresa em busca de informações impressas que foram descartadas de forma descuidada.
Sete dicas para evitar ser vítima de engenharia social
Reprimir a ação dos criminosos eletrônicos exige um esforço coletivo, que depende tanto da conscientização individual quanto da postura das empresas para blindar a informação, um de seus patrimônios mais visados. Como o próprio nome diz, engenharia social é uma questão que depende da sociedade e que precisa ser enfrentada em mais de um ângulo.
- Individualmente, devemos estar atentos a nossos dados pessoais: não compartilhe informações sensíveis com pessoas que você não conhece ou que não têm razão para solicitá-las. Isso inclui informações como números de identificação, senhas, informações financeiras e outros dados confidenciais.
- Empresas devem investir em treinamento contínuo, da mesma forma que conduzem outros aspectos de segurança no trabalho. É necessária orientação constante para os funcionários, através de palestras educativas, vídeos demonstrativos, cartilhas e testes frequentes para alertar os funcionários sobre a melhor resposta possível para tentativas de engenharia social. Nas palavras do consultor de segurança Roger Grimes, “se você criar a cultura certa, acabará com um firewall humano que protege a organização contra ataques”.
- Individualmente, é preciso exercer cautela: verifique sempre a origem das solicitações. Antes de fornecer informações a qualquer pessoa, verifique se o interlocutor é quem diz ser. Isso pode ser feito através da verificação de identidade e confirmação de sua autorização para solicitar essas informações. Não existe excesso de precaução quando se lida com dados sensíveis.
- Empresas devem facilitar o processo de reportar e registrar tentativas de ataques. É necessário um canal de comunicação fácil e sem atrito entre as equipes de segurança e TI e os demais setores, que podem ser alvos de abordagens de engenharia social. Os dois lados precisam estar antenados com as estratégias, as dificuldades e o volume de ataques.
- Fique atento a solicitações urgentes: os golpistas muitas vezes tentam pressionar suas vítimas para que forneçam informações rapidamente, alegando que há uma situação urgente ou uma emergência. Sempre verifique a autenticidade da solicitação antes de tomar qualquer ação.
- Empresas devem empregar estratégias específicas de segurança, como autenticação de múltiplos fatores ou compartimentalização de acesso. Quanto mais camadas de proteção para dados, menor fica a eficácia de ataques de engenharia social. Um sistema simples 2FA, que exija, por exemplo, um token enviado por SMS, já irá dobrar o esforço necessário para se obter acesso indevido: o cibercriminoso precisará primeiro obter a senha e depois ainda convencer sua vítima a ceder o código. Por compartimentalização, entende-se o processo de reduzir o privilégio de acesso para menos pessoas, na medida do possível, removendo perfil de administrador para quem não precisa.
- Fique atento a links encurtados: links encurtados são frequentemente usados em campanhas de phishing para esconder URLs maliciosos. Use ferramentas para desencurtar links ou verifique a URL completa antes de clicar.
