Por Aline Sayuri Murai e Thaís de Souza Rodrigues
Para elevar o grau de segurança de uma organização, normalmente costuma-se investir em tecnologia de segurança de ponta, treinamentos para seus funcionários sobre as informações existentes que não podem ser divulgadas e a contratação de seguranças para fiscalizar o local. Porém, a instituição ainda pode estar vulnerável. Uma das principais razões disto ocorrer é o fator humano ser o elo mais fraco da segurança. E tal fator é estudado e explorado pela engenharia social.
A engenharia social é o ato de utilizar habilidades sociais e/ou tecnológicas para manipulação de outras pessoas, a fim de obter informações confidenciais. Isso pode ocorrer tanto de forma presencial, quanto de maneira remota. As habilidades sociais são imprescindíveis, dado que é por meio dela que a vítima começará a ter confiança no atacante e, por consequência, estará sujeita à retirada de informações. Logo, por mais que haja uma empresa que tenha inúmeras tecnologias para segurança, ainda pode ter fragilidades humanas evidentes.
Em relação a sua origem, a engenharia social sempre esteve presente na história da humanidade, portanto não é possível determinar o momento específico que surgiu. Contudo, um exemplo histórico em que isto foi explorado é o cavalo de tróia de Ulisses. Durante a guerra de Tróia da Grécia, Ulisses deixou um cavalo de madeira na porta de seu inimigo, como se fosse um presente e como demonstração de sua desistência. Porém, dentro da estrutura havia vários guerreiros. Ao deixarem o cavalo entrar, tornou-se possível a entrada desses guerreiros e os inimigos foram derrotados pela ideia genial de Ulisses. Isto é um evidente uso da engenharia social, dado que explorou a fragilidade humana em prol de seus objetivos.
A engenharia social usufrui muito da psicologia nos seus métodos, já que se aproveita dos vieses cognitivos de um indivíduo, utilizando os pré-julgamentos que influenciam o processamento de informações pelo cérebro. Isso ocorre tanto pela linguagem verbal quanto pelos comportamentos humanos, e faz com que o cidadão aja irracionalmente, se desviando da lógica. Dessa forma, o engenheiro social consegue influenciar a vítima a fazer aquilo que deseja.
Existem diversas técnicas de influência através da comunicação que podem ser utilizadas pelo engenheiro social. Algumas delas são: reciprocidade, pressão, autoridade, simpatia, concessão e obrigação. Ao ler sobre a engenharia social e sobre as suas técnicas, é fácil alguém pensar que não seria manipulado. Porém, dentro de uma empresa, quem nunca ficou com receio de não obedecer uma ordem ou dar alguma informação para alguma pessoa que parecia ser uma autoridade? O engenheiro social pode obter diversas informações importantes que os funcionários da empresa podem não considerar sigilosas, por meio de conversas informais, com simpatia e que trazem um aspecto positivo na fala ou em alguma ação. Com tais informações, o engenheiro pode trazer uma falsa sensação de conhecimento sobre o funcionamento do local e conseguir facilmente passar um senso de autoridade para a vítima. Desse modo, a vítima pode se sentir pressionada e na obrigação de conceder a informação que o engenheiro pede.
Essas são algumas das formas por meio das quais um engenheiro social pode atuar e obter informações, sejam elas documentos, arquivos digitais, senhas ou qualquer objeto importante de uma organização, adquiridos por meio de conversas com os trabalhadores do local. Além disso, a linguagem corporal e os comportamentos humanos também podem influenciar bastante, em conjunto com a linguagem verbal, na aplicação da engenharia social em uma conversa presencial.
A linguagem corporal é tão importante quanto a linguagem verbal em uma conversa. Ao fazer uso desses dois tipos de linguagens, o engenheiro social é capaz de transparecer mais confiança em sua comunicação e, ao saber interpretar os diversos comportamentos de sua vítima, também é possível saber se está conseguindo manipulá-la. Essa linguagem é tão crucial, que a maneira como o atacante se comporta pode até desencadear uma atitude recíproca do seu alvo, da maneira como o engenheiro deseja.
Transmitir confiança e simpatia com a postura adequada, sem ter os ombros e costas curvadas, acenar com a cabeça durante a conversa e ter uma consistência no comportamento é um ótimo método de manipulação. A consistência comportamental se dá por um padrão nos comportamentos, que possuem uma coerência entre si. Esse padrão é essencial para não ser visto de forma negativa e gerar desconfiança. Desse modo, combinar as duas formas de linguagem, a verbal e a corporal, é bem importante para ter sucesso e criar uma consistência comportamental.
Por meio da linguagem verbal e corporal, é possível o engenheiro realizar o ataque de maneira presencial, sendo assim, nomeado de pretexting. Por meio do pretexting, é montada uma situação em um determinado cenário, de forma que a vítima gere confiança no atacante. Neste caso, a tecnologia é um mero instrumento, sendo primordial a pesquisa, planejamento e a análise das linguagens corporais e verbais existentes. No presencial, não há muito tempo para construir essa confiança, logo, deve ser construído de maneira rápida, utilizando técnicas de pretexting.
Se, por exemplo, deseja-se invadir uma área restrita de uma empresa, o engenheiro deve pesquisar sobre ela e sobre como é o ambiente deste local, procurando fotos de credenciais e outras informações essenciais, para tornar possível o planejamento. No dia da invasão, pode-se fingir que é um funcionário e, a partir disso, fazer o uso de técnicas sociais, observando as posturas de cada pessoa, a fim de analisar se realmente o seu perfil inventado está sendo acreditado. E, a partir da confiança gerada, pode tentar acessar a área restrita, podendo apenas pedir ou tentar pegar credenciais alheias emprestadas ou não. Tudo isso dependerá do cenário em que estiver inserido e como será escolhida a realização do pretexting.
Por fim, fica evidente que se deve tomar cuidado, dado que nem todos são confiáveis quanto aparentam ser. Nem sempre o atacante tem a aparência estereotipada de alguém perigoso. Dessa forma, caso trabalhe em uma empresa, tenha certeza de que uma pessoa é realmente um funcionário, antes de revelar informações.
Referências
KOLENDA, Nick. Methods of Persuasion – How to Use Psychology to Influence Human Behavior. Kolenda Entertainment, 2013.
TALAMANTES, Jeremiah. The Social Engineer’s Playbook: A Practical Guide to Pretexting. Hexcode Publishing, 2014.