Quando o assunto é ataques cibernéticos, muito se fala em códigos e algoritmos. Mas, uma técnica tem ganhado os holofotes – tudo por não precisar de nenhum tipo de programação, apenas o contato humano –, trata-se da engenharia social.
É um método de manipulação psicológica muito utilizado para fazer com que as pessoas revelem informações confidenciais, tomem alguma ação prejudicial ou permitam o acesso a sistemas.
A técnica tem sido usada por criminosos para aplicar golpes que driblam até mesmo as tecnologias de proteção mais avançadas. A ameaça cresce à medida que as pessoas expõem mais informações pessoais na internet e nas redes sociais.
Caso você queira ficar bem informado e ter conhecimento sobre esse e outros tipos de fraudes que podem ocorrer digitalmente, inscreva-se no Curso “Na Mira dos Golpes”. Ministrado pelo Delegado Emmanoel David, é uma iniciativa Gazeta do Povo.
Como os criminosos agem na engenharia social?
Segundo o delegado Emmanoel David, titular da Delegacia de Estelionatos de Curitiba e especialista em Direito Penal, Processo Penal e Criminologia, o sucesso dos golpes de engenharia social está no uso de emoções e reações humanas previsíveis, já que o ser humano é o elo mais fraco da segurança digital. “Ao invés de o criminoso atacar diretamente a máquina, como em um ataque de força bruta ou tentativa de hackear o sistema, ele explora o comportamento humano. É quase uma tortura psicológica, baseada na confiança da pessoa, no medo de determinadas circunstâncias ou, em alguns casos, na exploração da empatia”, explica.
Ainda de acordo com o delegado, a engenharia social digital é muito eficaz porque não é fictícia: ela utiliza dados reais da vítima. “É eficaz porque explora sensações humanas e porque os criminosos têm essas informações em mãos”.
Os criminosos – principalmente os estelionatários que atuam pessoalmente – são extremamente habilidosos. “Eles utilizam clickbait, técnicas de marketing de guerrilha, pagam por anúncios no Google Ads. Chamam a atenção da vítima como se fosse uma campanha publicitária”, disse.
“O criminoso manipula utilizando confiança, medo, urgência, empatia. É o caso do golpe do bilhete premiado, por exemplo. O criminoso sabe acessar a psique da pessoa: ela vê uma suposta vantagem, mas, na verdade, quer ajudar o golpista. Hoje, mais de 90% dos crimes cometidos pela internet utilizam engenharia social. É muito mais fácil aplicar um golpe de phishing e fazer a vítima abrir a porta de entrada do sistema do que o criminoso invadir esse sistema sozinho”, acrescenta.
O delegado se refere a um tipo de ataque de engenharia social feito por e-mail ou redes sociais, em que os infratores tentam enganar indivíduos para que divulguem informações pessoais confidenciais, como senhas, números de cartão de crédito ou dados bancários, passando-se por uma entidade confiável.
Além do phishing, Emmanoel cita outros golpes de engenharia social, como:
“Quando alguém te liga se passando por um banco, isso é o vishing, uma forma de golpe por voz. Já o smishing é feito por mensagem de texto (SMS). Existem ainda golpes aplicados pessoalmente”, explica.
Quais são os golpes de engenharia social mais comuns?
O delegado elencou alguns dos principais tipos de golpes baseados em engenharia social que têm sido aplicados com frequência. Confira quais são:
Golpe do WhatsApp clonado
O criminoso, ao se passar por funcionário da operadora ou do próprio WhatsApp, obtém o código de verificação e acessa a conta da vítima. A partir disso, se faz passar por ela e começa a pedir dinheiro para amigos e familiares com justificativas plausíveis, como estar com o limite estourado.
Phishing
Citado anteriormente, é realizado por e-mail ou SMS, no qual o golpista envia mensagens falsas supostamente de bancos, da Receita Federal, do INSS ou de lojas conhecidas, contendo links que direcionam a páginas clonadas. Nesse caso, a engenharia social apela para sentimentos como medo e urgência, com frases como “Última chance para regularizar seu CPF” ou “Movimentação suspeita na sua conta”.
Falsa central de atendimento
O criminoso liga para a vítima se passando por funcionário do banco e afirma que houve tentativas de invasão ou movimentações estranhas na conta. A partir disso, convence a vítima a fornecer senhas, tokens ou até a transferir valores para contas supostamente seguras, que na verdade pertencem aos próprios golpistas.
O que a Legislação Brasileira assegura sobre fraudes digitais?
David explica que a engenharia social na segurança da informação é considerada crime quando utilizada para aplicar golpes.
A depender da forma como é praticada, pode ser enquadrada em diferentes tipos penais previstos na legislação brasileira, como estelionato, previsto no artigo 171 do Código Penal, em que caracteriza-se por obter vantagem ilícita em prejuízo alheio, mediante artifício, ardil ou qualquer outro meio fraudulento.
Também pode ser caracterizada como invasão de dispositivo informático, prevista no artigo 154-A do Código Penal, que trata da invasão de computadores, celulares e outros dispositivos com o objetivo de obter, adulterar ou destruir dados sem autorização do titular.
É possível enquadrada ainda como falsidade ideológica, quando o criminoso insere ou altera informações falsas em documentos com a intenção de prejudicar ou obter vantagem; ou falsidade documental, que diz respeito ao uso ou produção de documentos falsos com fins ilícitos.
“Além desses crimes, também podem ser aplicadas sanções previstas no Marco Civil da Internet, que regula o uso da internet no Brasil, e na Lei Geral de Proteção de Dados (LGPD), especialmente em casos que envolvem o uso indevido de informações pessoais das vítimas”, enfatiza.
Como se proteger de ataques de engenharia social?
David afirma que a engenharia social é uma das maiores ameaças à cibersegurança atualmente. “Hoje, a tecnologia está bastante avançada, temos firewall, antivírus, criptografia robusta para proteger transações. Por exemplo, uma conversa no WhatsApp entre mãe e filho é muito segura por conta da criptografia, mas o elo mais fraco desse sistema é o ser humano”. Por isso, é importante se proteger!
Dessa forma, ele lista uma série de medidas para evitar golpes. “Desconfie de situações que exigem urgência. Não clique em links suspeitos e nunca forneça dados pessoais sem confirmação da identidade da outra parte. Questione: é realmente a gerente do seu banco? Desligue, respire, quebre o senso de urgência. Ligue diretamente para o banco ou acesse pelo canal oficial. Verifique a URL: o site tem “https” verdadeiro?”, recomenda.
O especialista destaca ainda a necessidade de que as pessoas fortaleçam sua presença no digital. “Não exponha demais sua vida na internet. Use autenticação em dois fatores sempre que possível. Isso ajuda a evitar que o criminoso consiga acesso mesmo que tenha sua senha”.
Entretanto, não é apenas papel do usuário se proteger. As organizações precisam treinar seus colaboradores para reconhecer tentativas de manipulação. “É fundamental implementar políticas de segurança da informação e incentivar a conscientização dentro da empresa, que deve promover treinamentos periódicos de conscientização e prevenção contra golpes de engenharia social. Devem ainda realizar simulações de phishing para que os colaboradores aprendam a identificar essas ameaças. Também é importante fazer testes de segurança, como paytest, para avaliar as vulnerabilidades dos sistemas”.
Além do mais, as empresas devem criar protocolos fortes de verificação de identidade nas comunicações. “Pessoas que fazem contato externo devem seguir regras claras sobre como comprovar quem são. O acesso a dados sensíveis deve ser limitado”, finaliza.
Fonte ==> Gazeta do Povo.com.br
