A engenharia social faz com que o elo mais fraco seja o utilizador

Cremos que todos conhecem esta expressão Uma corrente é tão forte quanto seu elo mais fraco. Esta frase utiliza-se muito no âmbito da segurança de sistemas informáticos, explicando de que nada serve aumentar recursos em certos sectores se deixar que um outro (basta apenas um) permanecer vulnerável.

La ingeniería social logra que el eslabón más débil sea el propio usuario

Imagen recolhida de trulyfallacious.com

Um dos principais problemas que encontram os especialistas que cuidam da nossa segurança informática é normalmente o próprio utilizador, muitas vezes é precisamente o elo mais fraco de muitos processos, a peça mais vulnerável que colocará por terra todos os restantes elementos de segurança.

Umas vezes por desconhecimento e outras por excesso de confiança, mas o certo é que a maioria dos problemas de segurança habituais que afetam os nossos dispositivos e portanto a nossa informação, são desencadeados pela ação do próprio utilizador.

Os ciber delinquentes sabem-no e procuram aproveitar-se de esta debilidade sempre que podem. Utilizam o que se conhece como engenharia social para planificar as suas fraudes, ou seja, as técnicas com a qual nos confundem ou enganam para que façamos ações no seu interesse e sem sermos conscientes de que nos estamos a colocar em problemas. Utiliza com mestria a habilidade de manipular as pessoas para eludir os sistemas de segurança.

Os seus objetivos podem ser conseguir informação pessoal e meios de acesso a sistemas informáticos, para realizar ações que prejudiquem as pessoas e inclusivamente a inteiras organizações. A maioria das vezes o propósito é económico, mas em algumas ocasiões podem perseguir outros objetivos, como o boicote a empresas ou organismos.

Exemplos

Não é possível expor uma relação exaustiva de todos os possíveis tipos de enganos praticados em engenharia social que podemos vir a encontrar, por serem tão variados como os que possamos imaginar. Conforme evoluciona a Internet, os sistemas de mensagens, as redes sociais e os dispositivos conectados vamos encontrando com métodos cada vez mais sofisticados para nos levar ao engano.

A engenharia social está por detrás de casos tão conhecidos e frequentes como:

  • phishing: normalmente que nos engana com um email urgenteque nos insta a visitar uma Web através de um link. A página que noa apresentam, ainda que pareça real, resulta ser falsa e difícil de distinguir. Na maioria dos casos fazem-se passar por uma entidade bancaria com a finalidade de roubar-nos os nossos dados, como também podem fingir ser outros tipos de organizações, como PayPal, Amazon, Ebay num típico caso de entregas pendentes, contas comprometidas ou em que fingem ser o administrador da conta de email com a finalidade de roubar-nos os nossos dados de acesso.
  • As cartas nigerianas: certamente conhecem as mensagens que vos chegam, convidando-os a conseguir uma grande quantidade de dinheiro a troco de um pequeno desembolso inicial. Um caso frequente é o de uma herança multimilionáriaque estão gentilmente de partilhar consigo se os ajudar. Outra modalidade é também o prémio de um concurso com o qual fomos agraciados mas sem nunca tivermos jogado.
  • Grandes desastres naturais ou qualquer outro evento internacional Na realidade, qualquer acontecimento de repercussão mundial é aproveitado imediatamente pelos delinquentes informáticos. Uma catástrofe será a desculpa perfeita para chamar a nossa atenção através da solidariedade, por exemplo para que colaboremos economicamente com algum donativo. Outros eventos como os mundiais de futebol, os jogos olímpicos e inclusivamente o lançamento de um novo iPhone, são utilizados como engodo para atrair a atenção de milhões de utilizadores e dirigi-los a páginas e downloads perigosas.
  • Noticias sobre pessoas famosas. Também aproveitam a curiosidade dos utilizadores para noticias curiosas como escândalos, rumores ou falsos incidentes. Todos eles terminam conduzindo-nos a páginas carregadas de malwareou que nos reconduzem a outras onde nos solicitam a descarga de algum ficheiro ou nos pedem que entreguemos dados pessoais.
  • Datas comemorativas. Como o Natal, ou o dia de São Valentim, nas quais nos surgem propostas para download de felicitações, páginas para partilhar postais virtuais e um sem fim de propostas que embora nos pareçam no inicio, normais, pelas festividades em que surgem.

Como proteger-se

O método ideal é  ter conhecimento de estes métodos. Aprender que existem e conhecer como atuam nos fará praticamente imunes perante estes riscos.

Segundo o especialista em engenharia social Kevin Mitnick (anteriormente hacker perseguido pela Lei), as pessoas são vulneráveis essencialmente porque obedecemos a estas quatro premissas no nosso comportamento:

  1. Todos gostamos de ajudar
  2. O nosso primeiro impulso para com outra pessoa é dar-lhe confiança
  3. Não gostamos de dizer NÃO
  4. Todos gostamos que nos agraciem

Eu ainda adicionaria mais um par deles como capazes de influir negativamente no sentido comum das pessoas, o oportunismo e o próprio picaresco “ganhar vantagem de algo”, algo que nos impulsa a ações arriscadas sem medir as consequências.

Portanto, o principal conselho que poderíamos lançar é que devemos desenvolver um sentido razoável de desconfiança. Não se trata de atuar com medo perpétuo, como se o perigo se esconder atrás de tudo, mas sim de aprender a desconfiar ao detetar certos sinais. De igual modo que sabemos que na rua existem perigos, não é por isso que deixamos de sair, mas sabemos que devemos evitar certos lugares e horários que possam resultar mais arriscados.

Alguns hábitos mais comuns na utilização das tecnologias podem proporcionar-nos um maior nível de segurança contra a engenharia social. Por exemplo:

  • Assegurar-se de ter ativo um filtro antispam. A maioria dos gestores de email dispõem de esta opção, o que evitará que nos cheguem muitos destes emails mal intencionados.
  • Documentar-se com a leitura de notícias e blogs relacionados, como este mesmo, que informa os conhecimentos e destrezas suficientes para evitar qualquer tentativa de engano baseado em engenharia social. Não conseguirá a capacidade de defender-se de estes ataques se previamente não os conhecer.
  • Utilizar passwords robustas, alterá-las periodicamente e não confiar em ninguém sempre possa repercutir com a nossa segurança.
  • A utilização de Favoritos ou Marcadores no navegador garante-nos que acedemos às páginas que queremos e não a outras que as simulam. Nunca aceder às páginas por links em emails ou sites não de dúbia confiança.
  • Utilize um antivírus e um navegador devidamente atualizados pode salvar-nos de algum desgosto. A maioria das páginas fraudulentas ficam registadas em listas negras que são distribuídas e atualizadas rápidamente sendo incorporadas em muitos dos sistemas de segurança.

Deja un comentario