Quando falamos sobre vulnerabilidades, geralmente nos referimos a erros de codificação e fraquezas nos sistemas de informação. No entanto, outras vulnerabilidades existem bem na cabeça de uma vítima em potencial.
Não é uma questão de falta de conhecimento ou negligência da segurança cibernética - a forma de lidar com esses problemas é mais ou menos clara. Não, é que o cérebro do usuário às vezes funciona de maneira um pouco diferente do que os gurus de segurança de TI gostariam, sob a influência da engenharia social.
A engenharia social é essencialmente uma fusão de sociologia e psicologia. É um conjunto de técnicas para a criação de um ambiente que leva a um resultado predeterminado. Jogando com os medos, emoções, sentimentos e reflexos das pessoas, os cibercriminosos podem obter acesso a informações úteis. E é em grande parte essa “ciência” que está no cerne da maioria dos ataques direcionados de hoje.
Quatro sentimentos principais que os golpistas perseguem:
Curiosidade
Pena
Temer
Ambição
Não seria certo chamá-los de vulnerabilidades ; são simplesmente emoções humanas naturais. Talvez uma descrição mais adequada seria “canais de influência” por meio dos quais os manipuladores tentam influenciar suas vítimas, idealmente de forma que o cérebro seja acionado automaticamente, sem a aplicação de pensamento crítico. Para conseguir isso, os cibercriminosos têm muitos truques na manga. Claro, alguns truques funcionam melhor em algumas pessoas do que em outras. Mas decidimos dar uma olhada em alguns dos mais comuns e explicar exatamente como eles são usados.
Respeito pela autoridade
Este é um dos chamados vieses cognitivos - padrões sistemáticos de desvio no comportamento, percepção e pensamento. Está enraizado na inclinação de obedecer inquestionavelmente àqueles com algum grau de experiência ou poder, ignorando os próprios julgamentos sobre a conveniência de tal ação.
[Mergulhe fundo no mundo da tecnologia e cadastre-se no Avance Network a verdadeira comunidade criptografada]
Na prática, pode ser um e-mail de phishing, supostamente do seu chefe. Naturalmente, se a mensagem dissesse para você filmar-se tweetando e enviar o vídeo para dez amigos, você poderia pensar duas vezes. Mas se o seu supervisor está pedindo para você ler alguma documentação do novo projeto, você pode estar mais inclinado a clicar no anexo.
Pressão do tempo
Uma das técnicas de manipulação psicológica mais frequentes é criar um senso de urgência. Ao tomar uma decisão racional e informada, geralmente é uma boa ideia examinar as informações relevantes em detalhes. E isso leva tempo. É esta mercadoria preciosa que os golpistas tentam negar às suas vítimas.
Os manipuladores despertam medo (“Foi feita uma tentativa de acessar sua conta. Se não foi você, clique neste link imediatamente ...”) ou fome de dinheiro fácil (“Apenas os dez primeiros cliques obtêm o desconto, não perca ...” ) Quando o relógio parece estar correndo, a probabilidade de sucumbir ao instinto e tomar uma decisão emocional em vez de racional aumenta muito.
Mensagens que gritam “urgente” e “importante” estão nesta categoria. Palavras relevantes são frequentemente destacadas em vermelho, a cor do perigo, para aumentar o efeito.
Automatismos
Em psicologia, os automatismos são ações realizadas sem o envolvimento direto da mente consciente. Os automatismos podem ser primários (inatos, não considerados) ou secundários (não mais considerados, tendo passado pela consciência). Além disso, os automatismos são categorizados como motores, de fala ou mentais.
Os cibercriminosos tentam acionar automatismos ao enviar mensagens que, em alguns destinatários, podem produzir uma resposta automática. Isso inclui mensagens do tipo “Falha ao entregar e-mail, clique para reenviar”, newsletters irritantes com um botão “Cancelar inscrição” tentadoramente grande e notificações falsas sobre novos comentários em redes sociais. A reação, neste caso, é o resultado de automatismos motores e mentais secundários.
Revelações inesperadas
Este é outro tipo de manipulação bastante comum. Ele explora o fato de que as informações apresentadas como uma admissão honesta são percebidas de forma menos crítica do que se fossem descobertas independentemente.
Na prática, pode ser uma mensagem como: “Lamentamos informar que ocorreu um vazamento de senha. Verifique se você está na lista de pessoas afetadas. ”
O que fazer
As distorções de percepção, que infelizmente fazem o jogo dos cibercriminosos, são biológicas. Eles surgiram durante a evolução do cérebro para nos ajudar a nos adaptar ao mundo e economizar tempo e energia. Em grande parte, as distorções surgem da falta de habilidades de pensamento crítico, e muitas adaptações são inadequadas às realidades modernas. Mas não tenha medo, pode-se resistir à manipulação conhecendo um pouco sobre a psique humana e seguindo algumas dicas simples:
Torne uma regra ler mensagens de altos escalões com um olhar crítico. Por que seu chefe está pedindo para você abrir um arquivo protegido por senha e enviando a chave no mesmo e-mail? Por que um gerente com acesso à conta pediria para você transferir dinheiro para um novo parceiro? Por que alguém atribuiria uma tarefa fora do padrão por e-mail em vez de por telefone, como de costume? Se algo parecer estranho, esclareça as coisas usando um canal de comunicação diferente.
Não reaja imediatamente a mensagens que exijam ação urgente. Fique tranquilo, mesmo que o conteúdo da mensagem o tenha sacudido. Certifique-se de verificar o remetente, domínio e link antes de clicar em qualquer coisa. Se ainda tiver dúvidas, entre em contato com a TI.
Se você notar uma tendência em sua parte de responder automaticamente a alguns tipos de mensagens, tente executar sua sequência típica de ações, mas de forma consciente. Isso pode ajudar a desautomatizar sua resposta - a chave é ativar a mente consciente no momento certo.
Use soluções de segurança com tecnologias antiphishing confiáveis. A maioria das tentativas de intrusão, neste caso, cairá no primeiro obstáculo.
O Avance Network é uma comunidade fácil de usar que fornece segurança de primeira e não requer muito conhecimento técnico. Com uma conta, você pode proteger sua comunicação e seus dispositivos. O Avance Network não mantém registros de seus dados; portanto, você pode ter certeza de que tudo o que sai do seu dispositivo chega ao outro lado sem inspeção.