A engenharia social não é nada de novo. Muito antes de os computadores entrarem nas nossas vidas, os seres humanos já eram burlados através de truques psicológicos. Em 1947, foi publicado um livro intitulado“Illustrated Circular of Confidence Tricksters and Expert Criminals“. Este livro era um “Quem é quem dos vigaristas internacionais”. Avança rapidamente para 2021 e os grupos criminosos internacionais adoptam uma abordagem mais digital para enganar as pessoas, tirando-lhes dinheiro, dados e credenciais de login empresariais. Apesar de poderem existir décadas, ou mesmo séculos, entre as campanhas de burla dos burlões, todas elas têm uma coisa em comum: os burlões antigos e os novos utilizam a engenharia social para conseguirem o que querem.

Engenharia social: Truques do comércio de phishing

Basta um único clique para acabar com um dispositivo potencialmente infetado. Esta infeção pode espalhar-se como fogo na rede da empresa e em todos os dispositivos ligados. A infeção pode acabar por custar à empresa grandes somas de dinheiro em tempo de inatividade, perda de dados e danos à reputação.

A experiência de um único clique é o que tanto os profissionais de marketing como os cibercriminosos aspiram. Ao criar uma situação em que as pessoas não precisam de pensar muito antes de agir, podes captar um público com mais sucesso.

Os profissionais de marketing querem provocar uma resposta emocional a uma campanha de marketing, envolvendo o indivíduo com um produto ao ponto de clicar para obter mais informações ou, melhor ainda, clicar para comprar.

Os cibercriminosos também querem obter essa “resposta automática”, pelo que utilizam tácticas semelhantes para levar o ser humano a clicar.

Os criminosos digitais têm vantagens sobre os seus equivalentes burlões não digitais. O alcance, por exemplo, é maior, com uma abordagem “pulverizar e pagar” por parte dos cibercriminosos que utilizam campanhas de phishing em massa para atingir milhões de alvos. Ou os burlões podem tornar-se pessoais e utilizar spear-phishing direcionado para um indivíduo.

Os ataques de phishing baseiam-se no comportamento humano – o que nos faz vibrar, faz-nos clicar. Muito disto deve-se à formação silenciosa que todos nós recebemos na utilização da Internet. Os designers da Web e de aplicações estão concentrados em criar uma “experiência de utilizador sem descontinuidades”, ou seja, uma experiência de utilizador fácil que se baseia numa interação tecnologia-humana sem descontinuidades. O resultado é que todos nós estamos habituados a seguir certos padrões de comportamento no domínio digital. São estes padrões que os cibercriminosos utilizam para nos induzir a clicar.

Detetar os sinais de engenharia social

As técnicas utilizadas pelos cibercriminosos para enganar o cérebro humano e levá-lo a agir de acordo com um gatilho são típicas da forma como normalmente desenvolvemos relações humanas:

Confiança: A utilização de uma marca bem conhecida como base para um e-mail de phishing permite ao burlão utilizar a confiança para piratear um ser humano. As marcas mais populares para campanhas de phishing em massa incluem Office 365, Facebook, Google e eBay. No entanto, as campanhas mais direcionadas podem escolher uma marca mais próxima de uma empresa, por exemplo, uma aplicação Web específica ou um portal de fornecedor. Estas campanhas podem tornar os e-mails de phishing ainda mais difíceis de detetar e acrescentar um elemento extra de confiança ao ataque se a marca falsificada estiver intimamente ligada e for altamente reconhecível pelo alvo. Até os fornecedores de segurança podem ser vítimas de falsificação de marcas em campanhas de phishing: A Check Point Software, um fornecedor de segurança de confiança, viu a sua marca ser utilizada num sítio Web de phishing.

Curiosidade e urgência: Estes são elementos típicos de uma campanha de phishing. Os autores das fraudes enganam os utilizadores para que estes cumpram as suas ordens, fazendo-os sentir que estão a lidar com uma entidade de confiança e que a tarefa é urgente. Um exemplo disto é uma campanha de phishing do Office 365 de 2020. Os investigadores identificaram uma campanha que começava com um funcionário a receber um e-mail com uma “mensagem de voz perdida”. Os utilizadores eram convidados a clicar num botão para acederem à sua conta do Office 365 e acederem à mensagem perdida. A mensagem também mostrava uma notificação “Mensagem de um servidor de confiança” no topo do e-mail, para reforçar o elemento “confiança”. Se o utilizador clicasse no botão e introduzisse as credenciais no site falso do Office 365, essas credenciais seriam roubadas.

A voz persuasiva: A persuasão desempenha um papel importante no sucesso do phishing. De acordo com a investigação sobre marketing efectuada por Cialdini, existem seis princípios básicos utilizados para influenciar o comportamento dos clientes. Estes princípios, juntamente com investigação semelhante sobre persuasão e influência, foram utilizados por uma equipa de investigação que analisou o modo como a engenharia social funciona no phishing. Os investigadores chegaram a cinco elementos-chave de campanhas de phishing altamente persuasivas e, por conseguinte, bem sucedidas:

  1. Autoridade: Utiliza um nome com autoridade, por exemplo, o CEO de uma empresa

  2. Prova social: Constrói uma campanha que utiliza a pressão dos pares para incentivar o comportamento

  3. Gostas, semelhança, engano: A persuasão bem sucedida funciona quando as pessoas ou os assuntos são familiares

  4. Compromisso, reciprocidade e coerência: As pessoas gostam de ser consistentes e gostam de acreditar no que os outros dizem e fazem: retribuir um favor, por exemplo

  5. Distração: Ao criar um sentido de urgência, por exemplo, um artigo será mais caro se não agires agora, um burlão pode distrair uma pessoa dos sinais de uma burla.

As emoções da engenharia social

As respostas emocionais são aquelas que estão profundamente enraizadas em todos nós. A utilização da persuasão e da manipulação emocional em campanhas de phishing foi explorada num estudo de 2018 publicado pela American Psychological Society. Os investigadores analisaram a “excitação emocional como uma tática de fraude”. O estudo descobriu que pessoas de todas as idades responderam a mensagens de persuasão positivas e negativas e tomaram más decisões ao responder. O estudo afirma que “a excitação emocional pode influenciar a suscetibilidade a informações enganosas e que este efeito ocorre tanto em adultos mais velhos como em jovens“. Este comportamento é muito útil para o fraudador e as mensagens de phishing contêm frequentemente uma componente que provoca uma resposta emocional, como se pode ver nos exemplos acima.

Como te protegeres da engenharia social

A engenharia social é perigosa porque utiliza o nosso comportamento natural para nos levar a clicar numa ligação maliciosa ou a descarregar um anexo infetado. Mas os autores de fraudes de phishing também ajustam técnicas e ferramentas para garantir o seu sucesso contínuo. Os padrões variáveis do phishing, juntamente com uma manipulação sofisticada dos alvos, fazem deste tipo de cibercrime insidioso um dos mais difíceis de combater. Não existe uma solução única para evitar o sucesso do phishing. Em vez disso, é necessária uma combinação de formação em sensibilização para a segurança e soluções técnicas para detetar e evitar uma tentativa de phishing.

O guia definitivo para o phishing