Segurança da Informação e a Psicologia do Engenheiro Social
Quando se trata de Segurança da Informação, um assunto em evidência no momento é a Engenharia Social. Como define o famoso hacker e engenheiro social Kevin Mitnick em seu livro “A Arte de Enganar”:
“Pode-se dizer que há duas especialidades dentro da classificação do cargo de artista da trapaça. Alguém que faz falcatruas e engana as pessoas para tirar o seu dinheiro pertence a uma subespecialidade chamada grifter. Alguém que usa a fraude, a influência e a persuasão contra as empresas em geral, visando às suas informações, pertence a outra subespecialidade: o engenheiro social.”
Embora possa se considerar essa divisão, hoje, o termo “engenheiro social” acaba sendo empregado para ambos os casos. Pode-se dizer, portanto, que Engenharia Social é uma prática que consiste em se valer de habilidades interpessoais, conhecimentos previamente adquiridos e outras artimanhas para, por meio da manipulação de terceiros, chegar a algum objetivo (geralmente, criminoso).
Nós já abordamos a Engenharia Social no artigo Tudo sobre Engenharia Social. O foco, agora, é, naquele que a prática: o Engenheiro Social.
Você sabe qual é o perfil do engenheiro social? Quais são as técnicas que ele comumente se utiliza? Quais são os padrões de comportamento e conceitos psicanalíticos que o engenheiro social conhece e dos quais se aproveita para lograr sucesso nos seus objetivos?
Vamos explicar por meio de situações que acontecem e muito.
Uma pessoa recebe um e-mail do seu banco informando que existe uma dívida em atraso e que por conta disso o seu CPF está sendo negativado. Imediatamente, ela clica no link incluído na mensagem e é redirecionada para a página de login do banco, no qual é solicitada a informar seu usuário e senha. Acontece que esse e-mail não foi enviado pelo banco, mas sim por um hacker se passando pelo banco, e ao informar seu usuário e senha para realizar o suposto login, a pessoa habilita o hacker a coletar suas credenciais. Nesse exemplo, vemos uma técnica de engenharia social bem simples, porém efetiva, bastante presente, chamada phishing.
Mas se essa é uma prática bastante conhecida e constantemente advertida para que se evite, por que muitas pessoas ainda continuam a cair nela? Qual o gatilho mental utilizado aqui?
Nesse caso, o que age na mente da vítima é o gatilho da perda ou urgência. Ao se deparar com a informação de que seu CPF será negativado, geralmente junto com uma informação do tipo “este é o nosso último contato antes de negativarmos” ou “resolva esta pendência até hoje para evitar o bloqueio”, a vítima tem a sensação de ver algo sendo retirado dela, o que, inconscientemente, gera um efeito de emergência que faz com que ela deixe de raciocinar friamente e de reparar em alguns detalhes que em outras circunstâncias a faria perceber a tentativa de golpe. Curiosamente, muitos dos gatilhos utilizados pelos engenheiros sociais são os mesmos que os utilizados pelos profissionais de marketing para levar os consumidores a comprar.
Agora, imagine este outro cenário: em um grande evento festivo, uma pessoa bem vestida se apresenta ao segurança com ar de urgência e falando com autoridade, pedindo para que a leve rapidamente até Fulano de Tal para que possam resolver um problema importante que, se não resolvido logo, arruinará o início do show. O segurança, então, se desculpa dizendo que não pode deixar a portaria, mas aponta onde o sujeito bem vestido poderá encontrar o Fulano, deixando-o passar.
Nesse exemplo, podemos observar várias coisas importantes. A primeira é que a Engenharia Social não se aplica exclusivamente à Segurança da Informação e tampouco aos recursos de TI. Embora esteja constantemente presente nestes meios, a Engenharia Social pode ser usada em qualquer esfera para que o praticante possa obter vantagem para si mesmo, como no nosso exemplo, para conseguir acesso ao evento sem pagar.
Outro ponto interessante são os gatilhos mentais utilizados para obter sucesso no seu intento. Novamente podemos observar o gatilho da perda ou urgência: a perda do evento, caso o problema não seja resolvido, como visto no exemplo anterior. Mas aqui, podemos ir além. O engenheiro social, ao realizar a sua abordagem, se vale também do gatilho da escassez, neste caso, de tempo. Os seres humanos tendem a, inconscientemente, dar mais importância àquilo que estão prestes a perder. A escassez de tempo no cenário exemplificado torna necessária a rápida resolução do problema para evitar a perda, assim, vários mecanismos que o segurança normalmente adotaria – como verificação de identidade de credenciais para permitir o acesso – são deixados de lado em função da necessidade.
Ainda outro gatilho utilizado aqui é o da autoridade. Isso acontece porque as pessoas instintivamente estão propícias a seguir quem elas consideram superior. Ao se apresentar visualmente bem vestido e falar com autoridade, o atacante acaba ativando este gatilho, tornando a vítima mais suscetível a aceitar a sua sugestão.
Ao observarmos estes e outros exemplos que evidenciam vulnerabilidades enraizadas na mente humana, surgem os seguintes questionamentos: o que fazer perante tais fraquezas que acabam derrubando por terra todos os esforços tecnológicos, protocolos, softwares e mecanismos de defesa caros implementados com o objetivo de proteger informações e organizações? Será que mais investimento em tecnologias, câmeras, sistemas, biometrias etc. resolveriam o problema?
O que tem se observado em relação à Engenharia Social e seus riscos à Segurança da Informação é que estes esforços não se mostram eficientes. Embora sistemas, firewalls e mecanismos de controle acabem proporcionando os seus benefícios, o fator humano é amplamente considerado o ponto fraco de qualquer sistema. E uma vez que o fator humano, pelo menos por enquanto, sempre se fará presente nestes sistemas, a solução mais efetiva é “reprogramar” essas vulnerabilidades mentais.
Assim como o engenheiro social consegue se valer de brechas na mente humana para atingir seus objetivos, é possível, por meio de treinamentos, exercícios e protocolos bem estabelecidos, minimizar os riscos de sucesso desses atacantes. Se o ser humano é o “elo mais fraco” da Segurança da Informação, torna-se válido investir na proteção deste elo.