BR +55 11 3069 3925  |  USA +1 855 726 4878

Segurança da Informação e a Psicologia do Engenheiro Social

por | jan 10, 2020 | Blog

Quando se trata de Segurança da Informação, um assunto em evidência no momento é a Engenharia Social. Como define o famoso hacker e engenheiro social Kevin Mitnick em seu livro “A Arte de Enganar”: 

“Pode-se dizer que há duas especialidades dentro da classificação do cargo de artista da trapaça. Alguém que faz falcatruas e engana as pessoas para tirar o seu dinheiro pertence a uma subespecialidade chamada grifter. Alguém que usa a fraude, a influência e a persuasão contra as empresas em geral, visando às suas informações, pertence a outra subespecialidade: o engenheiro social.”

Embora possa se considerar essa divisão, hoje, o termo “engenheiro social” acaba sendo empregado para ambos os casos. Pode-se dizer, portanto, que  Engenharia Social é uma prática que consiste em se valer de habilidades interpessoais, conhecimentos previamente adquiridos e outras artimanhas para, por meio da manipulação de terceiros, chegar a algum objetivo (geralmente, criminoso). 

Nós já abordamos a Engenharia Social no artigo Tudo sobre Engenharia Social. O foco, agora, é, naquele que a prática: o Engenheiro Social. 

Você sabe qual é o perfil do engenheiro social? Quais são as técnicas que ele comumente se utiliza? Quais são os padrões de comportamento e conceitos psicanalíticos que o engenheiro social conhece e dos quais se aproveita para lograr sucesso nos seus objetivos?

Vamos explicar por meio de situações que acontecem e muito.

Uma pessoa recebe um e-mail do seu banco informando que existe uma dívida em atraso e que por conta disso o seu CPF está sendo negativado. Imediatamente, ela  clica no link incluído na mensagem e é redirecionada para a página de login do banco, no qual é solicitada a informar seu usuário e senha. Acontece que esse e-mail não foi enviado pelo banco, mas sim por um hacker se passando pelo banco, e ao informar seu usuário e senha para realizar o suposto login, a pessoa habilita o hacker a coletar suas credenciais. Nesse exemplo, vemos uma técnica de engenharia social bem simples, porém efetiva, bastante presente, chamada phishing.

Mas se essa é uma prática bastante conhecida e constantemente advertida para que se evite, por que muitas pessoas ainda continuam a cair nela? Qual o gatilho mental utilizado aqui? 

Nesse caso, o que age na mente da vítima é o gatilho da perda ou urgência. Ao se deparar com a informação de que seu CPF será negativado, geralmente junto com uma informação do tipo “este é o nosso último contato antes de negativarmos” ou “resolva esta pendência até hoje para evitar o bloqueio”, a vítima tem a sensação de ver algo sendo retirado dela, o que, inconscientemente, gera um efeito de emergência que faz com que ela deixe de raciocinar friamente e de reparar em alguns detalhes que em outras circunstâncias a faria perceber a tentativa de golpe. Curiosamente, muitos dos gatilhos utilizados pelos engenheiros sociais são os mesmos que os utilizados pelos profissionais de marketing para levar os consumidores a comprar.

Agora, imagine este outro cenário: em um grande evento festivo, uma pessoa bem vestida se apresenta ao segurança com ar de urgência e falando com autoridade, pedindo para que a leve rapidamente até Fulano de Tal para que possam resolver um problema importante que, se não resolvido logo, arruinará o início do show. O segurança, então, se desculpa dizendo que não pode deixar a portaria, mas aponta onde o sujeito bem vestido poderá encontrar o Fulano, deixando-o passar.

Nesse exemplo, podemos observar várias coisas importantes. A primeira é que a Engenharia Social não se aplica exclusivamente à Segurança da Informação e tampouco aos recursos de TI. Embora esteja constantemente presente nestes meios, a Engenharia Social pode ser usada em qualquer esfera para que o praticante possa obter vantagem para si mesmo, como no nosso exemplo, para conseguir acesso ao evento sem pagar.

Outro ponto interessante são os gatilhos mentais utilizados para obter sucesso no seu intento. Novamente podemos observar o gatilho da perda ou urgência: a perda do evento, caso o problema não seja resolvido, como visto no exemplo anterior. Mas aqui, podemos ir além. O engenheiro social, ao realizar a sua abordagem, se vale também do gatilho da escassez, neste caso, de tempo. Os seres humanos tendem a, inconscientemente, dar mais importância àquilo que estão prestes a perder. A escassez de tempo no cenário exemplificado torna necessária a rápida resolução do problema para evitar a perda, assim, vários mecanismos que o segurança normalmente adotaria – como verificação de identidade de credenciais para permitir o acesso – são deixados de lado em função da necessidade.

Ainda outro gatilho utilizado aqui é o da autoridade. Isso acontece porque as pessoas instintivamente estão propícias a seguir quem elas consideram superior. Ao se apresentar visualmente bem vestido e falar com autoridade, o atacante acaba ativando este gatilho, tornando a vítima mais suscetível a aceitar a sua sugestão.

Ao observarmos estes e outros exemplos que evidenciam vulnerabilidades enraizadas na mente humana, surgem os seguintes questionamentos: o que fazer perante tais fraquezas que acabam derrubando por terra todos os esforços tecnológicos, protocolos, softwares e mecanismos de defesa caros implementados com o objetivo de proteger informações e organizações? Será que mais investimento em tecnologias, câmeras, sistemas, biometrias etc. resolveriam o problema?

O que tem se observado em relação à Engenharia Social e seus riscos à Segurança da Informação é que estes esforços não se mostram eficientes. Embora sistemas, firewalls e mecanismos de controle acabem proporcionando os seus benefícios, o fator humano é amplamente considerado o ponto fraco de qualquer sistema. E uma vez que o fator humano, pelo menos por enquanto, sempre se fará presente nestes sistemas, a solução mais efetiva é “reprogramar” essas vulnerabilidades mentais.

Assim como o engenheiro social consegue se valer de brechas na mente humana para atingir seus objetivos, é possível, por meio de treinamentos, exercícios e protocolos bem estabelecidos, minimizar os riscos de sucesso desses atacantes. Se o ser humano é o “elo mais fraco” da Segurança da Informação, torna-se válido investir na proteção deste elo.

Força de senha: como criar senhas fortes para as credenciais?

A força de senha é um dos critérios considerados na criação de políticas de senhas. Afinal, essa é uma das medidas mais eficientes para evitar que as senhas sejam violadas. E se preocupar com isso é de suma importância para as organizações nos dias atuais. Isso porque...

Investimento de 13 milhões de dólares impulsiona expansão da senhasegura nas Américas e no Oriente Médio

Por Priscilla Silva São Paulo, 10 de Março de 2023 - O senhasegura, provedor líder de solução para Gestão de Acessos Privilegiados (PAM), que protege ambientes tecnológicos e recursos críticos de organizações contra ameaças cibernéticas, anuncia o aporte de 13 milhões...

senhasegura recebe prêmio CyberSecured 2022 como melhor solução de PAM nos EUA

Escrito por Priscilla Silva SÃO PAULO, 28 de Fevereiro de 2023 - A edição de 2022 do prêmio CyberSecured, promovido pela revista Security Today, marca do grupo 1105 Media's Infrastructure Solutions Group, elegeu a senhasegura como vencedora na categoria Privileged...

senhasegura lança o conceito “Jiu-JitCISO” para mostrar o vigor da cibersegurança brasileira

Por Priscilla Silva São Paulo, 13 de janeiro de 2023 - "Como no Jiu-Jitsu, a senhasegura é sobre defesa própria. Toda empresa deveria saber como se proteger e também proteger os seus clientes" é o propósito baseado na filosofia da arte marcial japonesa, mas...

CISA e FBI lançam script de recuperação de ransomware ESXiArgs

A Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos e o Departamento Federal de Investigação (FBI) lançaram, nesta semana, um guia de recuperação do ransomware ESXiArgs, que prejudicou milhares de empresas em âmbito global. Isso ocorreu porque...

senhasegura é líder pelo segundo ano consecutivo no relatório KuppingerCole Leadership Compass 2023

Por Priscilla Silva São Paulo, 30 de janeiro de 2023 - A senhasegura, solução de Gestão de Acessos Privilegiados (PAM) conquista a posição de líder no atual "Leadership Compass 2023". O relatório é produzido pela renomada empresa de análise de TI, a alemã...