Pontos de vista

Você se lembra quando foi a última vez em que foi vítima da engenharia social?

Byron Acohido, 11 Julho 2019

As campanhas de phishing continuam intensas: frequentes ameaças com que os cibercriminosos querem manipular as fraquezas humanas e ganhar acesso ilegal a residências e empresas.

Acabamos de comemorar o 20º aniversário do vírus Melissa, que se espalhou ao redor do mundo via e-mail. O episódio pavimentou o caminho para que a engenharia social se tornasse o que é hoje.

O malware Melissa chegou escondido em um documento de Word anexado a um email com a seguinte mensagem: “Aqui está o documento que você solicitou... Não mostre para mais ninguém ;-).” Ao clicar nele, uma sequência de comandos era acionada para executar silenciosamente instruções de envio de cópias de e-mail. A mensagem seguia para as primeiras 50 pessoas da lista de contatos do Outlook, que recebiam outro arquivo infectado.

Mas o que aconteceu desde o caso Melissa? Infelizmente, mesmo com muitos avanços no que diz respeito à detecção de malwares e sistemas de prevenção de invasões, além de muito esforço das organizações no treinamento dos seus funcionários, a engenharia social, mais frequentemente na forma de phishing ou spear phishing, continua sendo a forma mais efetiva de começar muitos tipos de práticas criminosas na internet.

Evidências irrefutáveis vem da Microsoft. No decorrer dos últimos 20 anos, o sistema operacional Windows e o pacote de produtividade Office, os principais produtos da empresa, têm sido os principais alvos de cibercriminosos. Para proteger seus clientes, a gigante do setor de softwares investiu grandes quantias na melhoria da sua segurança. E ela tem se comportado como um verdadeiro modelo de empresa cidadã no que diz respeito à reunião e compartilhamento de informações importantes sobre o que os bandidos estão fazendo nessa área.

Esses cibercriminosos entendem muito bem que o fator humano sempre será o ponto fraco em qualquer rede digital. A engenharia social dá a eles um ponto de apoio, quer seja em uma casa inteligente ou na rede de negócios da empresa que você trabalha.

Ataques temáticos

Um ataque em larga escala será muito parecido com o caso Melissa. Os cibercriminosos vão espalhar uma onda de emails com assuntos relevantes e preparar mensagens semelhantes àquelas enviadas por alguém que tenha feito algum negócio com você. Pode ser uma empresa de remessas, lojas online ou até mesmo bancos.

Alguns temas que estão sempre em discussão incluem: intimação judicial, restituição de imposto de renda, oferta de emprego, avisos de correspondência dos Correios ou FedEx/UPS, link do DropBox, alerta de segurança da Apple Store ou uma mensagem do Facebook.

Morte de celebridades, grandes eventos esportivos e os principais feriados também são temas recorrentes. Quando Robin Williams morreu, um criminoso rapidamente disparou uma mensagem no Facebook dizendo enticing folks to click (pessoas atraentes para clicar, em tradução livre). As pessoas achavam que o link levaria a uma suposta última ligação feita pelo ator. Mas ao invés disso, as vítimas eram encaminhadas a um site desenvolvido pelo autor da mensagem, que lhe gerava receita via cliques em anúncios publicitários.

O principal ponto disso é que o desenvolvimento de estratégias similares para manipular os desejos humanos entregam conteúdos muito mais traiçoeiros, como a ativação de serviços telefônicos premium pagos, instalação de spyware ou até mesmo a distribuição de spywares.

Golpes online

E ainda tem o spear phishing. Essa ação foca em uma determinada empresa para coletar informações sobre um empregado bem colocado. O objetivo é preparar cuidadosamente uma mensagem de phishing. O tal do comprometer o e-mail corporativo (ou Business E-mail Compromise, BEC, na sigla em inglês) ou fraude do CEO pode ser a forma mais rebuscada dessa prática criminosa.

Em uma ação BEC, o impostor se passa por um executivo senior e orienta um subordinado a transferir fundos da empresa para uma conta controlada por estelionatários. Agora preste atenção: prejuízos causados por golpes desse tipo alcançaram a impressionante marca de 1,3 bilhões de dólares em 2018, o dobro das perdas registradas pelo FBI, a Polícia Federal dos EUA, em 2017, como revela o relatório anual de crimes de internet da agência. E essa quantia pode ser ainda maior, já que o documento só considera os crimes registrados pelo FBI em empresas estabelecidas naquele país.

Geralmente, um ataque BEC começa com o uso de uma conta de email verdadeira, mas comprometida. O cibercriminoso usa um ponto de apoio para monitorar o fluxo de operações da empresa, coletando dados sobre notas fiscais e contratos, além de preparar garantias falsas. Paciência faz parte do jogo. No momento certo, como durante a viagem de um executivo da empresa, uma ação bem planejada entra em operação.

Responsabilidade pessoal

Por que a engenharia social não apenas continua a existir, mas acabou se tornando uma parte importante do nosso dia a dia? Nossa crescente confiança em serviços baseados nas nuvens e a colaboração com terceiros apenas facilitou a vida de cibercriminosos na manipulação dos instintos humanos. E há muitas outras maneiras de passar por cima de processos de autentificação. Anos de roubos de nomes de usuários e senhas, além de práticas questionáveis relacionadas a credenciais de segurança são apenas alguns exemplos a serem citados.

No futuro próximo, o fardo da resistência à engenharia social continua nas costas das empresas e das pessoas. As companhias precisam conduzir treinamentos efetivos e testar seus funcionários para mantê-los atentos a respeito de ataques dessa natureza. Outra parte do comportamento humano que precisa de atenção é a nossa propensão de voltarmos à nossa zona de conforto, deixando-nos suscetíveis a novos golpes.

Mas cada um de nós, enquanto cidadãos digitais, precisa tomar cuidado com as pegadas deixadas no ambiente online. Essas precauções precisam ser incorporadas a nossas rotinas diárias:

  • Abrir cuidadosamente os nossos e-mails
  • Nunca abrir um documento anexado (desconhecido) ou clicar em um link suspeito
  • Aplicar todas as atualizações de segurança dos seus navegadores e dos principais softwares usados
  • Ter um bom antivírus em todos os seus dispositivos eletrônicos

Do ponto de vista das ameaças, as coisas não mudaram muito desde o Melissa. A manutenção da segurança se tornou uma responsabilidade pessoal ainda maior. Falaremos mais sobre isso em breve.