As burlas de phishing tornaram-se uma ameaça prevalecente e persistente tanto para os indivíduos como para as organizações. Estas fraudes são concebidas para enganar e manipular as vítimas de modo a que estas divulguem informações sensíveis, tais como dados pessoais, palavras-passe ou dados financeiros, mas, felizmente, a educação sobre os ataques de phishing e a forma de os detetar está a aumentar. Para combater eficazmente este problema crescente, é essencial compreender a psicologia por detrás dos esquemas de phishing. Esta publicação do blogue tem como objetivo aprofundar os meandros do funcionamento destes esquemas e como a compreensão da psicologia humana pode ajudar a construir melhores defesas contra eles.
A arte de enganar
Os esquemas de phishing são criados com uma atenção meticulosa aos pormenores. Os criminosos fazem-se frequentemente passar por entidades de confiança ou criam cenários que desencadeiam reacções emocionais específicas. Ao compreender alguns dos principais factores psicológicos em jogo, podemos começar a compreender por que razão estas burlas são tão eficazes.
Medo e urgência:
Os phishers utilizam frequentemente tácticas de indução de medo para manipular os seus alvos. Criam um sentimento de urgência, fazendo com que as vítimas acreditem que têm de agir imediatamente para evitar consequências terríveis. Isto desencadeia a resposta de luta ou fuga, prejudicando a tomada de decisões racionais. Por exemplo, um e-mail fraudulento pode ameaçar a suspensão da conta ou uma ação legal, obrigando a vítima a agir impulsivamente.
Confiança e autoridade:
Os seres humanos têm uma tendência natural para confiar em figuras de autoridade. Os phishers exploram este facto fazendo-se passar por instituições de confiança, como bancos ou agências governamentais. Quando as pessoas recebem um e-mail aparentemente de uma fonte respeitável, é mais provável que aceitem pedidos de informação sensível.
Curiosidade e ganância:
Algumas fraudes de phishing baseiam-se na curiosidade e na ganância humanas. Prometem ofertas aliciantes, negócios exclusivos ou conteúdos apelativos, que levam as pessoas a clicar em ligações maliciosas ou a descarregar ficheiros infectados sem pensar duas vezes.
Engenharia social:
Os phishers utilizam frequentemente técnicas de engenharia social para explorar o desejo inato de ligação social. Isto pode implicar fazer-se passar por amigos ou colegas, levando as pessoas a partilhar informações confidenciais ou a clicar em ligações maliciosas sem suspeitar.
O papel dos preconceitos cognitivos
Os enviesamentos cognitivos são atalhos mentais que os humanos utilizam para processar informação e tomar decisões. Infelizmente, estes atalhos podem ser explorados pelos phishers em seu proveito. Muitas pessoas pensam que nunca cairiam num ataque de phishing porque passaram por uma formação rigorosa em cibersegurança. No entanto, este excesso de confiança pode levar à complacência, que é explorada pelos criminosos.
Eis alguns preconceitos cognitivos comuns que desempenham um papel importante nas burlas de phishing:
1. Viés de confirmação:
As pessoas tendem a procurar, interpretar e recordar informações que confirmem as suas crenças pré-existentes. Os phishers tiram partido deste facto, elaborando mensagens que se alinham com as expectativas da vítima, tornando mais provável que esta aceite a mensagem como genuína.
2. Viés de autoridade:
As pessoas tendem a seguir o exemplo daqueles que consideram figuras de autoridade. Os e-mails de phishing que se fazem passar por CEOs ou altos funcionários da empresa exploram frequentemente esta tendência para enganar os funcionários e levá-los a tomar medidas que normalmente não tomariam.
3. Viés de ancoragem:
Este enviesamento refere-se à tendência humana para confiar fortemente na primeira informação que encontra ao tomar decisões. Os phishers compreendem este facto e utilizam-no em seu proveito, apresentando à vítima uma primeira informação que a leva a revelar dados mais sensíveis.
4. Viés de escassez:
As pessoas tendem a atribuir um valor mais elevado a coisas que são raras ou de oferta limitada. As fraudes de phishing criam frequentemente uma sensação de escassez ao apresentarem ofertas exclusivas ou prazos de ação, obrigando as vítimas a agir rapidamente e sem a devida diligência.
Proteger-se contra esquemas de phishing
Compreender a psicologia por detrás dos esquemas de phishing é apenas uma parte da solução. Para nos protegermos a nós próprios e às nossas organizações de forma eficaz, temos de implementar medidas de segurança robustas e cultivar uma cultura consciente da cibersegurança. O Relatório de Crimes na Internet de 2021 do FBI analisou dados de 847 376 crimes cibernéticos relatados e encontrou um aumento acentuado no número de ataques de phishing, aumentando de 25 344 incidentes em 2017 para 323 972 em 2021.
- É fundamental dar formação aos indivíduos para reconhecerem as tentativas de phishing e as tácticas psicológicas envolvidas. Informe regularmente os funcionários e as pessoas sobre os riscos e as consequências de cair em esquemas de phishing.
- Implemente sistemas avançados de filtragem de correio eletrónico e software anti-phishing para identificar e colocar em quarentena os e-mails potencialmente nocivos. Estas ferramentas podem reduzir significativamente o número de mensagens de correio eletrónico de phishing que chegam às caixas de entrada.
- Implemente a MFA para adicionar uma camada extra de segurança, tornando mais difícil para os atacantes obterem acesso não autorizado, mesmo que as credenciais de início de sessão estejam comprometidas.
- Mantenha o software e os sistemas actualizados para minimizar as vulnerabilidades que os phishers podem explorar. O software desatualizado pode ser um elo fraco na sua defesa contra a cibersegurança.
- Estabelecer procedimentos claros e directos para a comunicação de e-mails ou incidentes suspeitos. Incentivar as pessoas a comunicarem tudo o que pareça suspeito, por mais insignificante que possa parecer.
Os esquemas de phishing continuam a evoluir e a adaptar-se, mas o mesmo acontece com a nossa compreensão da psicologia que lhes está subjacente. Reconhecer os estímulos emocionais, os preconceitos cognitivos e as técnicas de engenharia social empregues pelos phishers é o primeiro passo para construir defesas mais fortes. Ao promover uma cultura de sensibilização para a cibersegurança, implementar ferramentas de segurança avançadas e educarmo-nos a nós próprios e às nossas organizações, podemos proteger-nos melhor contra estes ataques enganadores. Num mundo digital repleto de ameaças, o conhecimento é verdadeiramente poder.