image

Acesse bootcamps ilimitados e +650 cursos

50
%OFF
Article image
Gabriela Rabelo
Gabriela Rabelo06/09/2023 01:27
Compartilhe

Engenharia Social: Como criminosos usam a Psicologia para manipular suas vítimas

  • #Boas práticas
  • #Segurança da informação

Olá, queridos amigos.

A área da Tecnologia da Informação em geral é muito abrangente, e várias vezes nos atentamos apenas a parte "mão na massa" do desenvolvimento de software em detrimento de algumas questões mais filosóficas e/ou morais da área. Entretanto, existem alguns pontos, como os fundamentos das boas práticas em segurança da informação, que precisam ser aprofundados se quisermos garantir o sucesso do nosso projeto. Assim sendo, visando compartilhar conhecimento e estimular a reflexão dos leitores, gostaria de falar um pouco sobre Engenharia Social, seus impactos na informática em geral e sua relação com a Psicologia.

Este artigo se divide em:

  1. Introdução - O que é Engenharia Social?
  2. Engenharia Social na Tecnologia da Informação
  3. Como se prevenir dos ataques?
  4. Psicologia do Comportamento e Engenharia Social
  5. Conclusão
  6. Referências

Introdução - O que é Engenharia Social?

image

Em poucas palavras, podemos dizer que a Engenharia Social é a aplicação de um conjunto de técnicas que manipulam os sentimentos e os pensamentos da vítima, incentivando-a a agir em conformidade com os desejos do atacante. Ainda, segundo Mitnick (2003) apud. Pierini (2013), a engenharia social é uma técnica que utiliza 

influência e persuasão para fazer com que uma vítima pense que o atacante é 

alguém que não é, facilitando para que ele possa conseguir informações através 

dessas pessoas utilizando ou não a tecnologia. A Engenharia Social na verdade é algo muito mais antigo do que a própria informática e, para exemplificar, podemos citar o Cavalo de Madeira, protagonista da Guerra de Troia.

Segundo o poeta Homero, os soldados gregos, sem saber como transpor as muralhas da cidade troiana, resolveram deixar um "presente" para os mesmos, um enorme cavalo de madeira. Um soldado grego (um dos primeiros engenheiros sociais) foi incumbido de convencer os troianos a abrirem os portões da cidade e acolherem o presente. Ao cair da noite, soldados gregos que se escondiam na escultura saíram de seu esconderijo e conquistaram a cidade por dentro. A estátua era oca, e os troianos convencidos da rendição dos grego não se deram ao trabalho de verificar. Daí vieram algumas expressões usadas até hoje, como "presente de grego" - algo que parece muito bom à primeira vista mas que na verdade tem vários problemas - e "cavalo de troia", um conhecido tipo de malware que aterroriza nossos Windows desde os primórdios da Internet. O soldado grego que convenceu os troianos a abrigarem a estátua usou de técnicas como sugestionabilidade, mirando na vaidade dos troianos para convencê-los a agir de acordo com sua vontade.

Engenharia Social na Tecnologia da Informação

image

No contexto da Tecnologia da Informação, os Engenheiros Sociais visam ultrapassar barreiras de segurança. Podemos ilustrar a ação de um Engenheiro Social com um daqueles e-mails suspeitos nos informando que ganhamos um prêmio, prometendo mundos e fundos - a técnica de phishing. O phishing é uma das técnicas maliciosas mais utilizadas pelos atacantes, e consiste em oferecer algo muito gratificante ao usuário, desde que ele clique em um link ou baixe algum anexo. A partir daí, quando a ação é executada, a vítima pode ter sua máquina infectada por um malware que rouba informações pessoais sensíveis, senhas e logins, dados bancários e outros.

Geralmente, o invasor se passa por uma entidade confiável, usando como veículo e-mails ou mensagens por redes sociais, solicitando alguma ação urgente da vítima. Essa ação a redireciona para algum site ou domínio que possui uma aparência familiar ou semelhante a um endereço confiável, mas que na verdade é malicioso.

Esses ataques também podem ocorrer por meio de redes sociais, como o LinkedIn ou o Facebook, onde o invasor costuma investigar os interesses da vítima e usar essas informações para manipulá-las.

Como se prevenir dos ataques?

A educação e a conscientização são cruciais na prevenção dos ataques de Engenheiros Sociais. As pessoas devem estar cientes dos riscos e treinadas para reconhecer tentativas de manipulação. Além disso, é importante ter políticas de segurança sólidas e procedimentos de autenticação rigorosos. De acordo com Kumar (2015) apud. Pinto e Berenguel (2019), algumas das ações preventivas a serem adotadas são:

  • Use logins diferentes para cada serviço e nunca use a mesma senha para todos os serviços.
  • Certifique-se de que as senhas sejam fortes e complexas.
  • Use a autenticação de dois fatores.
  • Use a criatividade nas perguntas de segurança.
  • Use cartões de crédito com sabedoria.
  • Monitorar com frequência suas contas e dados pessoais.
  • Remova suas informações de bancos de dados de informações públicas.

Além destas, também é recomendado nunca compartilhar suas senhas, nunca clique em links que cheguem através de e-mails ou por redes sociais sem que haja certeza da origem, e desconfiar de qualquer mensagem de e-mail que ofereça facilidades e promoções fora do comum. Assim, infere-se que a melhor tática contra a Engenharia Social é o questionamento e a investigação.

Psicologia do Comportamento e Engenharia Social

image

Para agregar um pouco de conhecimento, gostaria de falar um pouco sobre B. F. Skinner e o Behaviorismo. Skinner foi um psicólogo reconhecido por seu trabalho na área da análise do comportamento e do condicionamento operante. Ele afirmava que o comportamento humano era moldado principalmente pelo ambiente e pelas consequências das ações individuais. No condicionamento operante, o comportamento é influenciado pelas consequências que se seguem a esse comportamento. Um engenheiro social pode usar o condicionamento operante como uma técnica psicológica para manipular e influenciar as pessoas de maneira mais eficaz em seus ataques. Existem quatro tipos principais de consequências no condicionamento operante, que são reforço positivo, reforço negativo, punição positiva e punição negativa:

  • Reforço Positivo: ocorre quando um comportamento é seguido por uma consequência agradável ou recompensadora. O reforço positivo aumenta a probabilidade de que o comportamento seja repetido no futuro. Um engenheiro social pode recompensar o comportamento desejado da vítima para incentivá-la a tomar medidas específicas, usando elogios ou promessas de cooperação.
  • Reforço Negativo: ocorre quando um comportamento é seguido pela remoção de algo desagradável. O reforço negativo também aumenta a probabilidade de que o comportamento seja repetido no futuro. O engenheiro social pode usar ameaças ou pressões para induzir a vítima a tomar certas medidas. A remoção da pressão ou ameaça após a cooperação da vítima pode ser vista como um reforço negativo.
  • Punição Positiva: ocorre quando um comportamento é seguido por uma consequência desagradável ou aversiva. A punição positiva visa diminuir a probabilidade de que o comportamento ocorra novamente. Um engenheiro social pode aplicar consequências negativas imediatas ao comportamento indesejado da vítima, como chantagem emocional ou ameaças. A vítima pode ser informada de que a punição será interrompida se ela cooperar.
  • Punição Negativa: ocorre quando um comportamento é seguido pela remoção de algo agradável ou desejável. A punição negativa visa diminuir a probabilidade de que o comportamento ocorra novamente. Nesse caso, o engenheiro social pode ameaçar retirar algo valioso da vítima (por exemplo, informações pessoais, reputação online) se ela não cooperar. A punição negativa pode ser evitada se a vítima seguir as instruções do atacante.

Conclusão

Entende-se que a Engenharia Social é uma tática perversa de manipulação que é usada há milênios, e que se mostra uma ameaça à segurança da informação, visto que nossa sociedade atual é refém dos dados. Com a propagação do uso de novas tecnologias, faz-se necessário a educação da população a respeito destas, não só sobre como usar a Internet, mas também sobre como reconhecer uma potencial ameaça e como evitá-la. Conscientização das potenciais vítimas, implementação de procedimentos, normas e diretrizes de segurança no uso da Tecnologia da Informação são os passos chave para evitar os ataques dos Engenheiros Sociais.

Referências

PINTO, Luiz. BERENGUEL, Orlando. ENGENHARIA SOCIAL: A PORTA DE ENTRADA PARA INFORMAÇÕES CONFIDENCIAIS. Revista Científica da FAEX, 2019.
FONSECA, Marcelo. ENGENHARIA SOCIAL: CONSCIENTIZANDO O ELO MAIS FRACO DA SEGURANÇA DA INFORMAÇÃO. 2017.
Biografia de B.F. Skinner
Compartilhe
Comentários (1)
Lucas Oliveira
Lucas Oliveira - 06/09/2023 02:07

Ótimo artigo, recomendo também a leitura do livro "A Arte de Enganar: Ataques de Hackers: Controlando o Fator Humano na Segurança da Informação", O livro é escrito por Kevin Mitnick, um hacker profissional que foi preso em 1995 por invasão de computadores e roubo de informações confidenciais. Após ser libertado da prisão, Mitnick passou a trabalhar como consultor de segurança e autor de livros sobre segurança da informação.

"A Arte de Enganar: Ataques de Hackers: Controlando o Fator Humano na Segurança da Informação" é um livro essencial para profissionais de segurança da informação e para qualquer pessoa que deseja proteger-se contra ataques de hackers.