Engenharia social: Conto do Vigário em tempos de Pix
O fraudador aposta na falta de familiaridade e atenção com o ambiente e as regras dos provedores de serviços digitais.
A transformação digital, por si só, não potencializa nem as “oportunidades” dos criminosos nem os riscos às vítimas. Pelo contrário, processos digitais são mais suscetíveis a controles e rastreamento. E naturalmente mais seguros – o comerciante que já recebeu cheques sem fundos ou, pior, quem já sofreu roubo “presencial” valoriza a tranquilidade da vida digital. Em contrapartida, a Engenharia Social, que antecede o mundo digital, nele ganha agilidade e escala.
A Engenharia Social pode ser o modo usado fim-a-fim, ou se conjugar com artefatos técnicos, como malware, sites falsos e recursos de automação. Em essência, a Engenharia Social explora uma biblioteca de vulnerabilidades humanas, que a sinceridade obriga a admitir pelo menos uma das mais recorrentes:
Curiosidade – a forma mais rápida de dar atenção e divulgação a algo é carimbar como “confidencial”. “Informação é poder” vira um jargão para racionalizar o fofoqueiro. Quanto mais exclusivo e chocante pareça o conteúdo, maior a chance de a vítima clicar em qualquer coisa ou fornecer espontaneamente o que o criminoso quer.
Exposição inconsciente e o “mito da privacidade” – os mesmos perfis de vítimas das técnicas de “leitura a quente” de videntes e cartomantes ficam muito mais suscetíveis com as redes sociais e outros pontos de exposição. Com recursos de mineração de dados e automação de dossiês, não é difícil saber sobre sua família, trabalho, o carro que tinha em 2013 ou onde passou as férias.
“Eu sei o que você fez!” – com exceção de todos os leitores deste artigo, qualquer pessoa tem hábitos e atitudes que prefere não compartilhar. A câmera esquecida aberta após várias reuniões; os amigos que postam tudo e outros eventos podem ser inconscientemente associados às ameaças do fraudador. O risco de ser verdade é mínimo e, mesmo no pior caso, menor do que se imagina – normalmente, ninguém é tão singular nem tão importante.
Carona de crachá, em vez do firewall, a porta de entrada – pior do que esquecer de tirar o crachá no transporte público é usá-los para reservar lugar na mesa, onde o criminoso tem mais calma para ver os dados e ainda calcular o tempo de ausência. Só aí, se tem todo o repertório para alegar um atendimento urgente e entrar.
Para sua segurança… – “Você acaba de autorizar um PIX de R$ 800. Clique aqui para confirmar ou cancelar”. Além de explorar o pânico, o fraudador aposta na falta de familiaridade e atenção com o ambiente e as regras dos seus provedores de serviços digitais.
A hiperadimplência, porque é tanta coisa para pagar… – a modalidade mais primária do golpe do boleto ainda funciona. Principalmente com valores baixos, muitos sequer notam as evidências de fraude no decorrer do pagamento. No entanto, alguns credores e seus clientes são vítimas de golpes mais sofisticados, em que um malware substitui o código de pagamentos de um boleto legítimo.
O que fazer – as mudanças simples de hábitos e premissas
O dia é corrido, as metas são difíceis, a tecnologia muda toda hora, e nada disso é pretexto para se negligenciar a segurança. Ninguém estaciona o carro aberto por estar atrasado para uma reunião. De forma geral, poucas atitudes barram as principais tentativas de engenharia social.
Não é não – o cara legal, cheio de afinidades; o executivo assoberbado e intimidador; aquela moça frágil prestes a chorar; ou o senhor que lembra o seu avô devem todos ser tratados com a devida delicadeza, e sem exceções pessoais. As regras de segurança fazem sentido e beneficiam a todos os lados legítimos. A maldade é transigir, seja com quem for.
Calma – os treinamentos, as recomendações e os cuidados das equipes de segurança não o protegem de tudo, mas certamente atenuam os casos graves. Se as práticas corretas forem seguidas durante a maior parte do tempo, os lapsos têm consequências menores e podem ser mais facilmente mitigados.
Na dúvida, pede ajuda – o profissional de segurança está lá para policiar os atacantes, não os usuários. A especialidade deles é exatamente cuidar da parte desagradável e sombria, para que todos possam depois falar de conquistas e histórias de sucesso.
Essas são dicas preciosas e que dependem apenas da nossa atenção. Acredito muito que o comportamento humano ainda é o principal meio de se defender de criminosos virtuais.
Para refletir: Receber um link falso, sempre vamos receber. Cabe a nós não clicar.
Kemily Boff
Head de conscientização e educação de pessoas em segurança da informação da CYLK Technologing