Como a engenharia social se aproveita da sua bondade
How social engineering exploits your kindness
Na semana passada, a MGM Resorts divulgou um problema massivo nos sistemas que, segundo relatos, tornou as máquinas caça-níqueis, chaves dos quartos e outros dispositivos críticos inoperantes. Quais métodos elaborados foram necessários para invadir um império de cassino e hotel de quase $34 bilhões de dólares? De acordo com os próprios hackers (e aparentemente confirmado por uma fonte que falou com a Bloomberg), tudo o que foi preciso foi uma ligação telefônica de dez minutos.
Os supostos hackers por trás do problema da MGM, aparentemente, conseguiram acesso por meio de um dos vetores mais comuns e de baixa tecnologia: um ataque de engenharia social. A engenharia social manipula psicologicamente um alvo para fazer o que o atacante deseja, ou revelar informações que não deveriam ser reveladas – neste caso, aparentemente, enganando um funcionário desavisado do suporte de TI. As consequências vão desde a derrubada de corporações globais até a devastação das finanças pessoais de vítimas individuais infelizes. Mas o que torna os ataques de engenharia social tão eficazes e por que são tão difíceis de serem prevenidos?
Parece contraditório entregar informações sensíveis a um completo estranho, mas os atacantes desenvolveram maneiras de enganar você e fazê-lo se sentir confortável fazendo exatamente isso. Isso pode incluir a construção de confiança ao longo do tempo, reunir informações sobre você para parecer que eles o conhecem ou usar um senso de urgência para fazê-lo agir rapidamente, sem pensar no que está entregando. É por isso que traços de personalidade comuns entre as vítimas cibernéticas incluem ser extrovertido, concordar com facilidade e estar aberto a novas experiências, de acordo com Erik Huffman, um pesquisador que estuda a psicologia por trás das tendências de cibersegurança.
“O medo é um vetor de ataque. A prestatividade é um vetor de ataque”, disse Huffman. “Quanto mais confortável você está, mais vulnerável se torna”.
Além disso, os ambientes digitais têm menos pistas sociais em comparação com o contato pessoal, portanto, uma vítima em potencial não é tão habilidosa em detectar sinais potencialmente suspeitos, disse Huffman. Nós lemos mensagens com nossa própria voz, projetando nossa própria boa vontade nelas, o que normalmente não acontece pessoalmente. Há menos informações, como pistas sociais ou linguagem corporal, para nos guiar ou dar-nos uma sensação de que algo está errado.
- O Panos Panay da Microsoft deixa a empresa após quase 20 anos.
- Os equipamentos de carregamento e power banks da Anker estão com at...
- O iPadOS 17 está pronto para download
Um ataque de engenharia social pode ser tão simples como uma ligação telefônica urgente falsa de um golpista para obter suas informações de cartão de crédito para roubo de baixo nível. Mas existem ataques cada vez mais complicados de “Rube Goldberg” que envolvem várias abordagens para enganá-lo, de acordo com Andrew Brandt, pesquisador principal da Sophos X-Ops. Em um exemplo desse tipo de ataque, Brandt observou que os golpistas primeiro agem por telefone para fazer com que o alvo clique em um e-mail também enviado pelo golpista. Uma vez clicado, o e-mail ativaria uma cadeia de ataques que incluía malware e software de acesso remoto.
Mais provavelmente, você encontrará isso em um nível muito mais simples. Você pode receber uma mensagem de texto de alguém fingindo ser seu chefe, pedindo cartões-presente ou ser enganado para clicar em um link malicioso que rouba suas credenciais. Mas de uma forma ou de outra, você provavelmente acabará encontrando isso, já que estima-se que 98% dos ciberataques dependem, em certa medida, de táticas de engenharia social, de acordo com pesquisas da Splunk.
Há alguns outros sinais de alerta que as pessoas podem observar. Ter que baixar um arquivo incomumente grande, um arquivo zip protegido por senha que não pode ser verificado em busca de malware ou um arquivo de atalho suspeito são todos sinais de um possível ataque, de acordo com Brandt. Mas grande parte disso é um sentimento instintivo – e tirar um tempo para dar um passo atrás antes de prosseguir para considerar o que poderia dar errado.
“É uma prática que requer repetição e ensaio várias e várias vezes para desconfiar reflexivamente do que as pessoas dizem a você, que você não conhece”, disse Brandt.
Huffman disse que as pessoas podem tentar evitar serem vítimas reconhecendo as limitações de um ambiente digital e fazendo perguntas como: Faz sentido para essa pessoa entrar em contato comigo? Essa pessoa se comporta de maneira confiável? Essa pessoa tem a autoridade ou posição de poder para dar essas instruções? Essa pessoa realmente entende o tópico que estamos discutindo?
Os ataques de engenharia social acontecem constantemente, tanto para grandes corporações quanto para pessoas comuns. Sabendo que nossos traços de boa índole podem ser nossa maior fraqueza diante dessa variedade de atores malignos, pode ser tentador parar de ser gentil completamente em prol da segurança. A chave é equilibrar nossos instintos sociais com um ceticismo saudável. “Você pode ser prestativo”, disse Huffman, “mas seja cauteloso”.
