A sofisticação dos ciberataques baseados em engenharia social

Não é novidade que a aceleração dos processos de transformação digital das empresas e a consolidação da digitalização da sociedade como um todo trouxeram novos desafios. Um dos maiores diz respeito à segurança da informação: com mais dispositivos e processos conectados à internet, as ameaças digitais cresceram e, também, estão se tornando mais e mais sofisticadas. 

Para se ter uma ideia, os ataques de phishing aumentaram, no primeiro semestre deste ano, 226% em relação ao mesmo período do ano passado. Ao mesmo tempo, os ataques de ransomware estão se tronando cada vez mais direcionados, causando prejuízos às empresas que, na maior parte das vezes, não estão devidamente preparadas para enfrentar estas ameaças.  

Outros exemplos: o Brasil é hoje o país da América Latina mais afetado por ameaças focadas em dispositivos móveis que utilizam o Android; o País registrou no primeiro semestre deste ano 31,5 bilhões de tentativas de ataques cibernéticos a empresas, contra 16,2 bilhões no mesmo período de 2021. Levando em conta os mesmos períodos, os ataques cibernéticos cresceram 94% no Brasil entre 2021 e 2022.  

Grande parte destes ataques ocorrem por causa da chamada engenharia social, uma técnica que permite aos cibercriminosos obter informações de potenciais vítimas (dados sigilosos, por exemplo) por meio de persuasão, em grande parte dos casos trabalhando a partir da manipulação psicológica. E o campo para que isso ocorra é enorme.  

Um exemplo são as redes sociais. O Brasil terminou o ano de 2021 com 156 milhões de usuários de redes sociais. Este número deve chegar a 184,7 milhões em 2026, ou 84,7% da população. Não por acaso, o Brasil é hoje o 5º país entre os 20 que possuem mais usuários conectados às redes sociais, e o único da América do Sul a aparecer na lista.  

Existe aqui uma relação direta: quanto maior a quantidade de indivíduos acessando redes sociais, maior o volume de pessoas em risco de ataques cibernéticos. Como as pessoas são o elo mais fraco dessa cadeia, é a partir das informações obtidas nas redes, ou mesmo por meio delas, que se constroem os ataques baseados em engenharia social.  

Para entende-los, é sempre bom lembrar que estes ataques seguem os seis princípios fundamentais da persuasão: reciprocidade, que nos deixa mais propensos a dar algo a alguém se já nos deu algo também; compromisso e coerência, já que todos queremos ser vistos como consistentes; prova social, que parte da ideia de que somos influenciados a copiar as decisões e ações dos outros; afinidade, que nos leva a concordar com pessoas que conhecemos ou gostamos; autoridade, porque temos a tendência de obedecer à autoridade; e escassez, uma vez que quanto mais difícil ou urgente é adquirir um item, mais valor esse item tem em nossas mentes.  

Geralmente os ataques baseados em engenharia social atingem uma pessoa, fazendo com que ela abra a porta para que o cibercriminoso acesse os sistemas e, ali, roube dados por meio de um acesso legítimo, realizado com a senha e os dados da vítima. Geralmente esse tipo de ataque funciona por falta de conhecimento ou de atenção do usuário; por seu senso de urgência, alavancado por um apelo psicológico ou sentimental que o leve a acessar determinados links; ou mesmo pela falta de tecnologias apropriadas para identificar esses ataques, que podem ser baseados em diferentes técnicas, tais como:   

• Phishing – geralmente realizado via e-mails e redes sociais; 
• Vishing - aplicado por áudio;  
• Smishing - aplicado por SMS, WhatsApp e outros aplicativos de mensagens;  
• Spear Phishing - usualmente direcionado a grupo específico, como um administrador de  sistemas de uma organização ou assistente de um C-Level;  
• Whaling – tem como alvo o C-Level de uma organização, preferencialmente CFOs e CEOs;  
• Spoofing – pela falsificação de sites de grandes empresas, enganando os consumidores;  
• Baiting – feito por meio de um arquivo de mídia “esquecido” em algum lugar de grande circulação;  
• Pretexting – o criminoso inventa “pretexto” para extrair informações importantes do usuário;  
• “Quid pro quo” – o criminoso faz contato com várias pessoas de uma organização oferecendo determinado serviço, até que acerta alguém que esteja esperando aquele serviço, iniciando o golpe;  
• Tailgating – consiste em seguir um dos funcionários de perto até que ele chegue a uma área de acesso controlado eletronicamente. Quando o profissional abre a porta, o criminoso pede para segurar para ele, porque está atrasado.  

Para se proteger destes tipos de ataque, é preciso estar atento. Por exemplo: recebeu um e-mail do seu banco pedindo alguma ação? Viu um anúncio nas redes sociais falando de uma promoção de produtos ou de empréstimo? Ou recebeu um SMS oferecendo promoção ou desconto? Não clique nos links enviados. Ao invés disso, acesse o site da instituição ou loja em uma nova aba do navegador e confirme que a promoção existe por lá. Se for o caso, entre em contato com a organização. 

No caso de assuntos urgentes, que devem determinar que você tome uma ação rapidamente, também é preciso atenção. O senso de urgência é uma das principais características desses golpes, por isso o ideal é não tomar nenhuma atitude precipitada. O mesmo vale para mensagens sobre produtos milagrosos ou promoções absurdas, é preciso desconfiar e não interagir com e-mails que tragam promessas mirabolantes, links estranhos ou anexos suspeitos.  

Também é preciso atenção às solicitações de informações confidenciais. Não importa qual seja o remetente, é preciso desconfiar de qualquer mensagem que requisite informações deste tipo. O ideal é levar em conta que e-mails de phishing geralmente são genéricos e, por isso, podem tratar você apenas pelo codinome de “cliente” ou “usuário”. Isso indica que a mensagem pode se tratar de um golpe, assim como problemas de ortografia e gramática. Os ataques estão se tornando cada dia mais sofisticados, restando aos usuários tomar cuidado e desconfiar sempre!