Por mais que se invista em portões com dispositivos avançados de autenticação, câmeras de segurança, antivírus, firewalls, bem como outros equipamentos ou esquemas de segurança – ou seja, medidas defensivas técnicas que oferecem uma ilusão de segurança -, é muito comum que todo esse aparato tenha em algum momento a interferência, seja para gerenciamento ou manutenção, de um elemento que ao mesmo tempo é a sua força e seu elo mais fraco: o fator humano, que é justamente o alvo de uma técnica que pode tornar inútil todo um oneroso investimento em segurança da informação. Tal técnica visa a manipulação de pessoas, de forma a enganá-las, para que então forneçam informações ou executem determinada ação em prol dos objetivos de um atacante, e é conhecida como engenharia social, muitas vezes ignorada e, portanto, um método fácil de ataque. Ela não é uma técnica em si, mas sim um conjunto de habilidades cuidadosamente dispostas para se levar adiante a ação desejada.
Qualquer pessoa possui uma ampla variedade de peculiaridades específicas à sua educação, formação e meio social, que se projetam emtraços comportamentais e psicológicos que a torna vulnerável a ataques de engenharia social. Logo, o comportamento humano é muito mais complexo do que as configurações de segurança de uma rede ou a senha de acesso a um servidor; sendo assim, tais peculiaridades podem ser moldadas e exploradas em um ataque de engenharia social em que se busca o comprometimento, direto ou indireto, e o vazamento de informações que devem permanecer protegidas. Vaidade, autoconfiança exacerbada, complacência, vontade de ser útil ou a busca por novas amizades são alguns dos aspectos que podem fazer algum incauto falar mais do que deveria, e desse modo pôr em risco alguma informação importante, seja a própria senha do banco ou um projeto de tecnologia avançada da empresa para o qual trabalha.
Fraudadores, hackers (termo aqui entendido como alguém que conhece muito sobre determinado assunto, não apenas no equivocado emprego em contexto de invasão eletrônica) e embusteiros são especialistas nesse tipo de situação, ou seja, na exploração das fraquezas humanas para executarem ataques em diversos graus de dificuldade contra os mais variados alvos.
Exemplos disso são demonstrados nos livros de Kevin D. Mitnick, “A arte de enganar” e “A arte de invadir”, em que o autor, que chegou a ser preso em 1995 e solto em 2000, demonstra que os ataques de engenharia social podem ter sucesso por conta da ignorância acerca de boas práticas de segurança. Sua história inclusive rendeu um filme (“Caçada virtual”, de 2000).
Como Mitnick esclarece em um de seus livros, a engenharia social “usa a influência e a persuasão para enganar as pessoas e convencê-las de que o engenheiro social é alguém que ele não é, ou pela manipulação. Como resultado, o engenheiro social pode aproveitar-se das pessoas para obter as informações com ou sem uso da tecnologia”. Isso porque, continua ele, “os engenheiros sociais habilidosos são adeptos do desenvolvimento de um truque que estimula emoções tais como medo, agitação ou culpa. Eles fazem isso usando os gatilhos psicológicos – os mecanismos automáticos que levam as pessoas a responderem as solicitações sem uma análise cuidadosa das informações disponíveis”.
Outro famoso exemplo de uso bem-sucedido de engenharia social é o de Frank William Abagnale Jr., retratado no filme “Prenda-me se for capaz”. Ele chegou a se passar por médico, professor, advogado e até mesmo piloto da Pan Am por um período de dois anos, e em sua trajetória de cinco anos de golpista deixou um prejuízo de mais de dois milhões de dólares em fraudes. Ele também é autor ou coautor de livros que tratam sobre fraudes, como o “The art of the steal” e “Stealing your life”.
Em ambos os casos, não houve o uso de ameaças de violência ou ações espetaculares com tiroteios e explosões, mas sim o uso da engenharia social para convencer outros de que os atacantes eram pessoas diferentes, e assim lograram êxito em enganar e amealhar lucros e informações privilegiadas que os ajudaram a dar continuidade em suas fraudes e golpes.
Portanto, a segurança da informação deve ser analisada sob a ótica do risco, entendido enquanto uma “combinação da probabilidade de um evento e sua consequência”, conforme a norma ISO 27001. Destacam-se, portanto, dois componentes essenciais nesta análise: o impacto e a probabilidade. O engenheiro social explora justamente o aspecto que corriqueiramente é relegado para segundo ou até mesmo terceiro nível de prioridade na segurança, qual seja, a conscientização dos vetores humanos no trato e proteção da informação. Controles de acesso físico ou remotos podem ser facilmente contornados com o convencimento de um funcionário despreparado, ou, dependendo da complexidade do ataque, de um parente ou amigo desse funcionário, que pode servir de “credencial” até ele para que então o verdadeiro ataque seja executado.
Logo, explorar a ingenuidade das pessoas é a essência da engenharia social. O objetivo primário de um engenheiro social é o desenvolvimento de laços de confiança, o estabelecimento de rapport (estar “sincronizado” com o outro), elemento essencial para uma comunicação humana mais robusta. Um ataque pode ser feito por intermédio de um único telefonema ou email, dependendo da habilidade do engenheiro social em convencer o seu alvo de sua história, e pode começar com uma simples análise da página pessoal de um alvo de interesse em uma rede social. Convém esclarecer que utilizamos em nossas interações diárias, inconscientemente, várias ferramentas da engenharia social, como por exemplo a programação neurolinguística ou a leitura de microexpressões. Entretanto, o que diferencia uma pessoa de outra, que possua as mesmas capacidades, são as suas intenções, já que desde ladrões de identidade a olheiros, passando por advogados e funcionários insatisfeitos, utilizam técnicas de engenharia social para alcançarem seus objetivos, não importando o quão discutível seja a ética ou a moral envolvida nesse processo.
No fim, resta observar as palavras de um estelionatário com uma longa ficha de golpes: desconfie de alguém que é muito simpático com você sem qualquer motivo aparente. Por trás do sorriso e da conversa fácil, pode se esconder um malicioso plano de comprometimento de informações. Estar ciente de que ninguém está livre de ser um alvo desse tipo de ação já é uma primeira linha de defesa contra ela.
Wellington Lange.
