Engenharia social: hackeando humanos desde o cavalo de troia

As caixas de spam estão cheias de propostas tentadoras para “ganhar dinheiro fácil”: é alguém que está distribuindo uma herança milionária pelo mundo (Príncipe da Nigéria), ou uma oportunidade imperdível para aquisição de um determinado produto (vale assistir esse vídeo: TedTalks). Esta é apenas uma das formas de ataque do que denominamos de Engenharia Social, casos muito comuns são de vítimas que são conquistadas por pessoas que “conheceram” nas redes sociais e com as quais após algum tempo estabelecem uma relação de amizade ou romântica e de tão envolvidas emocionalmente chegam a fazer planos de uma vida em comum a ponto de enviarem grandes quantias de dinheiro para começarem uma nova vida em um outro país. Nesses casos, em regra, a vítima envia o dinheiro após o criminoso contar uma história triste (que era combatente na guerra, que perdeu tudo em uma tempestade, etc) ou após construírem uma “história de amor” em que comprarão uma casa e viverão juntos para sempre. Há casos mais agressivos como a sextorsão, por exemplo, em que após adquirir intimidade o criminoso solicita o envio de fotos de cunho íntimo e de posse desse material passa a coagir a vítima ou a extorqui-la, e aqui tem se popularizado as vítimas do sexo masculino que se encantam pela mulher jovem e de boa aparência que os aborda pelas redes sociais.

A engenharia social caracteriza-se por ser um tipo de ataque em que o atacante é meticuloso, bom de conversa e acima de tudo paciente, o ataque pode levar até anos para se concretizar e as consequências para a vítima são avassaladoras e envolvem prejuízo financeiro e psicológico (indico a leitura desse depoimento) podendo levá-la inclusive ao suicídio. O desenrolar da história tem grande semelhança com o estelionato porque da mesma forma que no crime previsto no art. 171 do Código Penal, nas situações envolvendo engenharia social a vítima é enganada e conduzida pelo atacante a lhe entregar-lhe o objeto de desejo, seja dinheiro, bens, fotos, dados.

Embora eu até aqui tenha tratando de casos que acontecem online os ataques físicos não são incomuns. Nesses casos o atacante utiliza-se da aproximação com um colaborador do alto escalão, ou mesmo com os proprietários ou diretores das organizações para obter acesso privilegiado. O agente se apresenta como uma pessoa qualificada, prestativa em busca de uma oportunidade de emprego ou de negócio e assim ganha a confiança da vítima logrando sucesso em seu intento que pode ser o de acessar documentos confidenciais, como é o que ocorre na espionagem industrial, por exemplo, ou ainda acesso a sistemas através dos quais conseguem realizar os mais diversos tipos de fraudes.

Esse tipo de ataque está no rol dos mais antigos, há quem diga que o episódio do Cavalo de Troia tenha sido o primeiro caso noticiado, e também dos mais difíceis de identificar e prevenir visto que em muitos casos ele não pode ser rastreado por um antivírus por depender basicamente do comportamento humano. As formas de ataque já registradas são inúmeras e vão se modificando ao longo do tempo. Pessoas solitárias, por exemplo, são um alvo mais fácil pois a especialidade desse tipo de atacante é explorar emoções humanas como a afetividade e a solidão, da mesma forma que pessoas ambiciosas ou desesperadas por um solução financeira para suas vidas.

Sem dúvidas, a ausência de contato humano real e o excesso de virtualização do cotidiano tem nos levado a viver cada vez mais conectados às redes sociais, o que consequentemente faz com que busquemos dialogar e estabelecer relacionamentos com quem lá está, tornando mais fácil a vida do criminoso que encontra nesse cenário terreno fértil para prosperar em seus propósitos inescrupulosos. Entendo que esse é o tipo de ataque que deve se proliferar mais e mais, pois cada vez mais pessoas com menos educação digital, portanto, com menor capacidade de discernimento, estão acessando as redes sociais e ficando ao alcance dessa prática.

Por fim, em poucas palavras, engenharia social “é a arte de hackear seres humanos”, segundo a Kaspersky, onde o criminoso atua de forma a ganhar a confiança do atacado e o convence a praticar atos que comprometem sua vida ou o sistema da organização.

 

Por Angela Rosso

Fonte: //www.lexmachinae.com/2018/11/27/engenharia-social-hackeando-humanos-cavalo-de-troia/

Comentários

Comentários