CHEGAMOS A TAL PONTO DE IMBECILIDADE QUE CONSIDERAMOS O TRABALHO NÃO SÓ HONROSO, MAS TAMBÉM SAGRADO, QUANDO NA VERDADE ELE NÃO PASSA
DE UMA TRISTE NECESSIDADE.
Muito já se disse aqui no Blog
sobre o tema em pauta, mas, dada a sua importância e considerando que hoje é 1º de abril, resolvi revisitá-lo, até porque a audiência deste humilde espaço é rotativa, e os recém-chegados nem
sempre se dão conta de que podem acessar, mediante poucos cliques do mouse,
qualquer uma das mais de 2200 postagens publicadas.
Passando ao que interessa, chamamos ENGENHARIA SOCIAL a um conjunto de técnicas que exploram a ingenuidade, a confiança, ou, em certos casos, a cobiça das pessoas, visando induzi-las a cometar atos que auxiliem os cybercriminosos em seus propósitos escusos.
As táticas que a bandidagem usa variam, mas as mais comuns consistem na remessa de emails com anexos suspeitos ou links duvidosos, pretensamente oriundos de pessoas de reputação ilibada, empresas idôneas, instituições financeiras ou órgãos públicos. Afinal, pouca gente deixa de seguir as instruções de um email supostamente recebido da Microsoft ou reluta em averiguar uma pretensa pendência com a Receita Federal ou a Justiça Eleitoral, por exemplo, embora seja público e notório que tais órgãos não utilizam o correio eletrônico para convocações que tais.
Observação: É possível separar o joio do trigo (embora nem sempre) salvando os
anexos de email e fiscalizando-os com o VIRUSTOTAL,
buscando discrepâncias entre os links e os endereços que eles
apontam, checando-os com o ONLINE LINK SCAM, e por aí vai, mas o
melhor é contatar por telefone a empresa/instituição remetente e conferir a
autenticidade da mensagem.
Segundo a INTEL SECURITY (McAfee) os cyberataques
baseados em engenharia social se dividem em “caçada” e “cultivo”, e se dividem em quatro
etapas:
1.
A pesquisa (opcional) consiste na coleta de
informações sobre o alvo que forneçam ao atacante elementos para a construção do
anzol, tais como hobbies, endereços de casa e do local de trabalho, Banco em que a vítima mantém conta, e por aí vai.
2.
O anzol tem como objetivo encenar um “enredo”
bem-sucedido envolvendo o alvo e proporcionando um pretexto para interação. O
psicólogo Robert Cialdini cita seis alavancas de influência que permitem tirar
proveito do subconsciente do alvo:
a)
Reciprocidade:
as pessoas ganham alguma coisa, ficam agradecidas e sentem-se na obrigação de
retribuir o favor.
b) Escassez: as pessoas tendem a obedecer
quando acreditam que algo está em falta.
c)
Consistência:
uma vez que os alvos tenham prometido fazer algo, eles cumprem suas promessas
por receio de parecerem pouco confiáveis.
d) Propensão: é mais provável que os alvos
obedeçam quando o engenheiro social é alguém de quem eles gostam.
e)
Autoridade: explora a tendência humana de
obedecer quando a solicitação vem de alguma autoridade.
f)
Validação social: a tendência de obedecer quando
outras pessoas estão fazendo o mesmo.
3.
Enredo: execução da parte principal do ataque,
que pode envolver a divulgação de informações, um clique em um link, a
transferência de fundos, etc.
4. Saída: a interação é encerrada. Note que, dependendo do fruto do golpe, pode ser uma vantagem sair antes de despertar suspeitas ou prolongar o ataque para obter vantagens adicionais.
4. Saída: a interação é encerrada. Note que, dependendo do fruto do golpe, pode ser uma vantagem sair antes de despertar suspeitas ou prolongar o ataque para obter vantagens adicionais.
A melhor
arma contra a engenharia social é a informação. Mesmo tendo um
arsenal de segurança responsável e mantendo o sistema e os programas
atualizados, as brechas humanas continuam a existir ─ e como muitos internautas não
têm noção do perigo que correm, maravilham-se com a Web e passam a acreditar em
tudo aquilo que leem nesse meio.
Barbas de molho, minha gente.
Barbas de molho, minha gente.