A engenharia social não é novidade. Muito antes dos computadores entrarem nas nossas vidas, os seres humanos estavam a ser enganados com truques psicológicos. Em 1947, foi publicado um livro intitulado "Illustrated Circular of Confidence Tricksters and Expert Criminals". Este livro era um "Who's who of international swindlers". Avança rapidamente para 2021, e os bandos criminosos internacionais adoptam uma abordagem mais digital para enganar as pessoas com dinheiro, dados, e credenciais de login de empresas. Embora possa haver décadas, ou mesmo séculos, entre campanhas fraudulentas, todos eles têm uma coisa em comum: os burlões da velha e da nova engenharia social usam a engenharia social para obterem o que querem.
Engenharia Social: Truques do comércio de Phishing
Basta um único clique para se acabar com um dispositivo infectado. Esta infecção pode propagar-se como fogo selvagem através da rede corporativa e de quaisquer dispositivos conectados. A infecção pode acabar por custar a uma empresa vastas somas de dinheiro em tempo de inactividade, perda de dados e reputação danificada.
A experiência de um único clique é aquilo a que tanto os comerciantes como os cibercriminosos aspiram. Ao criar uma situação em que as pessoas não precisam de pensar muito antes de agir, é possível capturar com mais sucesso uma audiência.
Os comerciantes querem obter uma resposta emocional a uma campanha de marketing, envolvendo o indivíduo com um produto ao ponto de clicar para obter mais informações ou, melhor ainda, clicar para comprar.
Os cibercriminosos também querem obter essa 'resposta automática', por isso usam tácticas semelhantes para conseguir que o humano clique.
Os criminosos digitais têm vantagens sobre o seu equivalente não-digital. O alcance, por exemplo, é mais amplo, com uma abordagem "spray and pay" pelos cibercriminosos que utilizam campanhas de phishing em massa para atingir milhões de alvos. Ou os autores de fraudes podem obter um alvo pessoal e utilizar o phishing de lança direccionado que se centra num indivíduo.
Os ataques de Phishing são construídos em torno do comportamento humano - o que nos faz tiquetaque, faz-nos clicar. Muito disto se resume ao treino silencioso que todos nós temos tido na utilização da Internet. Os designers de web e aplicações estão concentrados na criação do 'UX sem costura', ou seja, uma experiência de utilizador fácil que se baseia numa interacção tecnologia-humana sem costura. O resultado é que estamos todos habituados a seguir certos padrões de comportamento no domínio digital. São estes padrões que os cibercriminosos utilizam para nos enganar na acção do clique.
Detectando os Sinais de Engenharia Social
As técnicas utilizadas pelos cibercriminosos para enganar o cérebro humano a agir sobre um gatilho, são típicas de como normalmente desenvolvemos as relações humanas:
Confiança: Utilizar uma marca bem conhecida como base para um e-mail de phishing permite ao burlão utilizar a confiança para hackear um humano. As marcas populares para campanhas de phishing em massa incluem Office 365, Facebook, Google, e eBay. No entanto, campanhas mais direccionadas podem escolher uma marca mais alinhada com uma empresa, por exemplo, uma aplicação web específica ou um portal de fornecedores. Estas campanhas podem tornar os e-mails de phishing ainda mais difíceis de detectar e acrescentar um elemento extra de confiança ao ataque se a marca falsificada estiver intimamente ligada e for altamente reconhecível pelo alvo. Mesmo os vendedores de segurança podem ser vítimas de falsificação da marca em campanhas de phishing: Check Point Software, um fornecedor de segurança de confiança, teve a sua marca utilizada num website de phishing.
Curiosidade e urgência: Estes são elementos típicos de uma campanha de phishing. Os autores de fraudes enganam os utilizadores, fazendo-os sentir que estão a lidar com uma entidade de confiança e que a tarefa é urgente. Um exemplo disto é uma campanha de phishing do Office 365 a partir de 2020. Os investigadores identificaram uma campanha que começou com um empregado a receber um e-mail mostrando uma "mensagem de voz perdida". Os utilizadores foram convidados a clicar num botão para acederem à sua conta no Office 365 para acederem à mensagem perdida. A mensagem também mostrava uma notificação "Mensagem do servidor de confiança" no topo do e-mail, para construir sobre o elemento "confiança". Se o utilizador clicar no botão e introduzir as credenciais no sítio falsificado do Office 365, essas credenciais serão roubadas.
A voz persuasiva: A persuasão desempenha um papel importante no sucesso do phishing. De acordo com a investigação sobre marketing realizada pela Cialdini, existem seis princípios básicos utilizados para influenciar o comportamento dos clientes. Estes princípios, juntamente com investigações semelhantes sobre persuasão e influência, foram utilizados por uma equipa de investigação que analisou a forma como a engenharia social funciona no phishing. Os investigadores apresentaram cinco elementos-chave de campanhas de phishing altamente persuasivas, e portanto bem sucedidas:
- Autoridade: Utilização de um nome com autoridade, por exemplo, um Director Executivo de uma empresa
- Prova social: Construir uma campanha que utilize a pressão dos pares para encorajar o comportamento
- O gosto, a semelhança, o engano: A persuasão bem sucedida funciona quando as pessoas ou os assuntos são familiares
- Compromisso, Reciprocação & Coerência: As pessoas gostam de ser consistentes e de acreditar no que os outros dizem e fazem: retribuir um favor, por exemplo
- Distracção: Ao criar um sentido de urgência, por exemplo, um item será mais caro se não agir agora, um burlão pode distrair uma pessoa dos sinais de um esquema.
As Emoções da Engenharia Social
As respostas emocionais são aquelas que estão profundamente enraizadas em todos nós. O uso da persuasão e da manipulação emocional em campanhas de phishing foi explorado num estudo de 2018 publicado pela Sociedade Americana de Psicologia. Os investigadores consideraram a "excitação emocional como uma táctica de fraude". O estudo descobriu que pessoas de todas as idades responderam a mensagens de persuasão positivas e negativas e tomaram más decisões ao responder. O estudo afirma que "aexcitação emocional pode influenciar a susceptibilidade à informação enganosa e que este efeito ocorre tanto nos adultos mais velhos como nos mais jovens". Este comportamento joga bem nas mãos do fraudador e as mensagens de phishing contêm frequentemente um componente que suscita uma resposta emocional, como se vê nos exemplos acima.
Como Ficar a Salvo da Engenharia Social
A engenharia social é perigosa porque utiliza o nosso comportamento natural para nos levar a clicar num link malicioso ou a descarregar um anexo infectado. Mas os golpistas de phishing também ajustam técnicas e ferramentas para garantir o sucesso continuado. Os padrões mutáveis de phishing, aliados a uma sofisticada manipulação de alvos, fazem deste tipo de cibercrime insidioso um dos mais difíceis de lidar. Não existe uma solução única para impedir o sucesso do phishing. Em vez disso, é necessária uma mistura de Formação de Sensibilização para a Segurança e soluções técnicas para detectar e prevenir uma tentativa de phishing.