Engenharia social, a arte de manipular os sentimentos do ser humano
Engana-se quem pensa que, quando o assunto é segurança da informação, a única coisa que temos a temer são os malwares. Vírus de computadores podem ser perigosos e poderosos, evoluindo o tempo todo para ultrapassar as barreiras de softwares que construímos. Ainda assim, por mais que essa seja uma luta constante, temos a capacidade de detê-los com relativa facilidade. É tecnologia lutando contra tecnologia.
O verdadeiro perigo deste ramo sempre foi e sempre será a engenharia social, uma técnica mais velha do que a própria informática. Estamos falando da arte de manipular os sentimentos e o psicológico do ser humano, manipulando-o e incentivando-o a agir de acordo com os seus desejos. E, infelizmente, como bem sabemos, não há como instalar um antivírus na cabeça de um ser humano que lhe torne resguardado contra tais ataques.
Vejamos: a engenharia social é tão antiga que podemos encontrar seus resquícios até mesmo em eventos da Antiguidade. Segundo contou o poeto grego Homero, o Cavalo de Tróia — uma belíssima escultura em madeira que escondia guerreiros em seu interior oco — só foi carregado para dentro da cidade em questão pela ajuda de um soldado grego que se deixou capturar e incentivou os troianos a aceitarem o belo presente.
Aqui, vemos que um engenheiro social grego foi capaz de manipular o comportamento dos inimigos troianos, que, através da sugestionabilidade (qualidade psicológica de agir de acordo com a sugestão de terceiros) e da ganância, derrubaram suas defesas para ter aquela formosa estatueta em seus territórios. Uma vez dentro dos portões, os soldados ocultos revelaram-se e tomaram a cidade para si.
On e Off
Pode parecer uma comparação absurda, mas o que vivemos hoje diariamente é uma mera reprodução de tal história. O internauta recebe um e-mail malicioso — o famoso phishing —, geralmente lhe prometendo um “presentão” (como uma promoção imperdível de algum smartphone top de linha ou a chance de receber uma transferência milionária de algum ricaço estrangeiro) e lhe incentivando a clicar em um link ou abrir um anexo.
Quando a ação é executada, a carga maliciosa lhe é entregue. Pode ser um malware que infectará a sua máquina ou um formulário que roubará informações pessoais. Se os troianos tivessem se preocupado mais com o que estava no interior da estatueta em vez de sua beleza externa, teriam mantido seu comportamento seguro, desacreditando nas palavras do manipulador grego. A cidade de Tróia jamais seria derrubada.
Claro, esse comparativo extremo também é útil para nos lembrar de outra coisa muito importante: a engenharia social não ocorre somente no âmbito virtual. Uma vítima pode ser abordada fisicamente e manipulada para, por exemplo, permitir que o agente malicioso passe pela catraca de um edifício sem estar autorizado para tal ou lhe ceder informações de cunho sigiloso. Basta que o engenheiro social use e abuse da confiança que lhe está sendo depositada.
Moldando o comportamento
Como você já deve ter percebido, tal ameaça tem muito mais a ver com a psicologia do que a área de tecnologia da informação em si. Existem dezenas de técnicas de engenharia social, mas todas têm uma característica em comum: se aproveitam dos vieses cognitivos, que são tendências psicológicas capazes de fazer um indivíduo se desviar da lógica e adotar uma decisão irracional.
A melhor forma de coibir esses desvios e condicionar um comportamento seguro, como defende a própria psicologia comportamental, é através da educação e conscientização. E é por isso que a conscientização em segurança da informação é tão importante: é ela que fará com que seus colaboradores se tornem soldados inabaláveis, que não aceitarão uma bela escultura de um cavalo sem saber o que está escondido lá dentro.
Produção: Equipe de Conteúdo Perallis Security