Infelizmente, não são apenas as pessoas ingênuas que caem em golpes e ataques de phishing. Hoje, literalmente qualquer pessoa pode se tornar uma vítima. Os criminosos virtuais passam anos aperfeiçoando suas táticas para aumentar suas chances de sucesso, recorrendo a sofisticadas técnicas de manipulação psicológica que, muitas vezes, são difíceis de perceber. No universo da cibersegurança, esse tipo de jogos psicológicos tem até um nome: engenharia social.
Neste artigo, explicamos os truques psicológicos que os golpistas usam para enganar suas vítimas, os sinais de alerta aos quais você deve ficar atento e exatamente o que fazer se perceber que está sendo manipulado.
As emoções usadas como armas pelos golpistas
A engenharia social funciona justamente porque desperta nossas emoções mais profundas. Quando uma vítima está ansiosa, apavorada ou envolvida emocionalmente em uma situação, tende a tomar decisões impulsivas, sem refletir sobre as consequências. E é exatamente nisso que os hackers apostam.
Por isso, em um momento de tensão, enquanto conversa por telefone ou troca mensagens com alguém que faz exigências, você precisa parar por um instante e se perguntar: “O que exatamente estou sentindo neste momento? O que eu estava sentindo há alguns instantes? Essa pessoa está tentando explorar meu estado emocional?”
Na maioria das vezes, os golpistas tentam explorar emoções como:
- Medo e ansiedade
- Entusiasmo
- Vergonha e culpa
- Surpresa e choque
Antes de tudo, confirme com quem você está realmente lidando
Antes mesmo de procurar sinais de alerta, verifique um aspecto fundamental: com quem você realmente está falando? Se você estiver conversando, por exemplo, com alguém que afirma ser um “representante do banco”, a melhor opção é pesquisar o número de telefone e o endereço de e-mail oficiais da instituição. Ligue para o banco ou envie uma mensagem para um endereço que você saiba ser 100% legítimo. É sempre melhor prevenir do que remediar.
Redobre a atenção se alguém entrar em contato com você por um aplicativo de mensagens ou pelas redes sociais. Em geral, grandes empresas simplesmente não utilizam esses canais para esse tipo de abordagem.
Sinais claros de que você está lidando com um golpista
Ele coloca você em uma verdadeira montanha-russa emocional
Imagine que você receba um e-mail da “equipe de suporte” de um serviço de streaming que utiliza. A mensagem informa que alguém acabou de tentar fazer login na sua conta de outro país: o suficiente para provocar um susto imediato. Logo em seguida, porém, vem o alívio: “Não se preocupe. Bloqueamos a tentativa de login suspeita a tempo. Sua conta está segura”.
Mas os golpistas não param por aí. No parágrafo seguinte, eles fazem você entrar novamente em estado de alerta: “Infelizmente, durante nossa verificação de segurança, descobrimos que suas informações de pagamento podem ter sido comprometidas”. Por fim, oferecem uma aparente solução: “Estamos prontos para ajudá-lo a resolver isso agora mesmo. Basta clicar neste link para verificar sua identidade”.
Ao final da leitura dessa suposta “atualização urgente”, você passou por uma sucessão de emoções em poucos instantes. O objetivo dessa montanha-russa emocional é desestabilizar você para que deixe de pensar de forma crítica e passe simplesmente a reagir. E, no momento em que o golpista apresenta uma suposta solução para o problema, sua capacidade de julgamento fica seriamente comprometida.
Eles sabem um pouco demais sobre você
Os golpistas costumam bombardear deliberadamente suas vítimas com informações pessoais para dar a impressão de que realmente sabem do que estão falando e têm acesso legítimo aos seus dados confidenciais.
O simples fato da pessoa do outro lado conhecer detalhes sobre sua identidade, suas finanças ou seus contratos não significa que ela seja confiável. Graças aos inúmeros vazamentos de dados já ocorridos, existe um enorme volume de informações pessoais disponível sobre praticamente todos nós. Para um hacker, pode ser surpreendentemente fácil descobrir quanto você gastou com entregas de supermercado no ano passado, qual é a sua operadora de telefonia móvel ou qual endereço de e-mail está vinculado à sua conta bancária.
Eles tentam intimidar você, às vezes, com ameaças e extorsão
Provavelmente, a forma mais fácil de desestabilizar alguém é provocar medo ou aumentar seu nível de ansiedade. Quando promessas boas demais para serem verdade deixam de funcionar, os criminosos virtuais recorrem a táticas de intimidação: “Sua conta foi comprometida”, “Você será acusado de sonegação fiscal, a menos que forneça a frase-semente da sua carteira de criptomoedas”, “Você perderá o acesso aos nossos serviços se não entrar em contato conosco imediatamente” ou “Seu nome foi incluído no cadastro de criminosos sexuais. Entre em contato para resolver essa situação; caso contrário, apresentaremos uma denúncia e divulgaremos suas informações para a imprensa”. E esses são apenas alguns exemplos.
Em alguns casos, essas mensagens podem parecer completamente neutras e reproduzir com perfeição um e-mail legítimo da equipe de suporte. No entanto, se o tom for excessivamente dramático e você sentir que está sendo pressionado, há cerca de 99,9% de chance de estar diante de um golpista. E, se a pessoa exigir que você tome alguma providência, como transferir dinheiro para uma conta aleatória ou fornecer informações confidenciais, sob ameaça de violência física, exposição pública ou processo criminal, essa probabilidade sobe para 100%.
Para saber mais sobre o funcionamento desse tipo de golpe, leia nossa postagem sobre Extorsão por e-mail: como os golpistas usam a chantagem.
Uma “pessoa muito importante” está entrando em contato com você
Para aumentar ainda mais sua ansiedade, os golpistas costumam assinar suas mensagens com o nome de autoridades de alto escalão. Quando isso acontecer, pare por um instante e pergunte a si mesmo: você realmente acredita que o chefe da Receita Federal ou o comandante da polícia local entraria em contato diretamente com você por telefone ou mensagem? Autoridades e investigadores de alto escalão normalmente têm questões muito mais importantes para tratar. E, se você receber uma mensagem acusando-o de um crime grave, supostamente assinada pelo procurador-geral da sua cidade, esse é um forte indício de que se trata de um golpe.
Você recebeu uma oferta boa demais para ser verdade
Desconfie de demonstrações inesperadas de generosidade ou de presentes que simplesmente aparecem do nada. Veja uma pequena lista do que pode acontecer com você:
- Você recebe um pacote inesperado com um código QR impresso na caixa. Informam que basta escaneá-lo para descobrir quem enviou o presente, resgatar um cupom do vendedor ou confirmar a entrega para evitar uma taxa de frete. Não é difícil imaginar que o código QR, na verdade, levará para um site de phishing. A partir daí, é a vez dos golpistas brilharem: eles podem tentar roubar os dados do seu cartão, convencê-lo a baixar um aplicativo com malware ou induzi-lo a informar um código de verificação do seu aplicativo bancário.
- “Olá! Estou ligando da central de entregas. Você tem um pacote (ou um buquê de flores) a caminho. Poderia informar o código de verificação que acabamos de enviar por SMS para que possamos liberar seu presente?”. Veja, todo mundo gosta de receber um presente surpresa. Mas, no entusiasmo do momento, é fácil baixar a guarda e acidentalmente dar aos golpistas um presente ainda maior: o código de acesso à sua conta de serviços governamentais.
- Você teve muita sorte! Diversas celebridades anunciam um sorteio gratuito de NFTs que promete render uma fortuna. Para resgatar seu novo criptoativo, você abre um miniaplicativo, insere seus dados e pronto: sua conta do Telegram desaparece. E, pensando bem, aqueles perfis de celebridades que divulgavam o sorteio realmente pareciam um pouco estranhos…
Eles pressionam você e tentam isolá-lo do mundo exterior
“Não desligue! Esta é sua última chance de recuperar o acesso à sua conta.”, “Se você não responder a este e-mail em até oito horas, tomaremos medidas judiciais contra você.”, “Vá imediatamente ao banco para proteger o dinheiro que ainda resta na sua conta e transfira-o para uma conta segura.” Se frases como essas forem usadas para levar você a agir imediatamente, pare um segundo. Os golpistas estão apenas tentando assustá-lo e criar uma falsa sensação de urgência.
Essa é uma tática clássica. Imagine receber uma ligação de um golpista que se apresenta como representante do banco ou até mesmo um funcionário do Departamento de Comércio, alegando que suas contas bancárias foram invadidas. Em seguida, essa pessoa pede que você assine um acordo de confidencialidade, supostamente para facilitar a recuperação do seu dinheiro, e ameaça processá-lo caso você conte o que está acontecendo a qualquer pessoa, inclusive aos seus familiares mais próximos. Ela insistirá que o caso é “muito sério”, exige providências imediatas e que a cooperação com as autoridades “deve permanecer em absoluto sigilo”.
Lembre-se: representantes legítimos de empresas ou autoridades governamentais jamais pediriam que você mantivesse segredo, a menos que você lide com dados governamentais sigilosos ou tenha assinado um acordo de confidencialidade (NDA) corporativo formal. Os golpistas procuram isolar suas vítimas de qualquer rede de apoio, voz da razão ou opinião externa. E eles não apenas afastam você das pessoas: também impedem seu acesso à informação. Eles fazem questão de mantê-lo em uma ligação contínua ou enviam uma sequência de mensagens carregadas de apelo emocional para que você não tenha sequer alguns segundos para respirar, muito menos para pesquisar o assunto na internet.
Quando você está em um estado de ansiedade intensa, torna-se muito mais fácil cair nessas manipulações e tomar decisões precipitadas, mesmo quando acha que está apenas tentando resolver o problema. Nunca tenha receio de pedir ajuda. Buscar uma segunda opinião sobre o que está acontecendo é sempre uma atitude sensata.
Eles tentam fazer você se sentir culpado
Imagine que você receba uma notificação informando que sua conta foi comprometida, juntamente com uma solicitação para entrar em contato com o suporte. Durante o atendimento, porém, o suposto “representante do suporte” começa a fazer perguntas para despertar um sentimento de culpa: “Quando foi a última vez que você trocou sua senha? Faz muito tempo? Você não viu nossos avisos urgentes para atualizar suas credenciais?”. Ou então: “Veja bem, a mensagem de texto dizia claramente para não compartilhar esse código com ninguém! Por que você o informou?”. Essa é uma tática deliberada para fisgá-lo com um sentimento de culpa, fazendo com que você sinta que perdeu o controle e precisa da experiência e da ajuda do golpista.
Mesmo que você realmente tenha cometido um erro, não se culpe. Cair em uma armadilha desse tipo é muito mais fácil do que parece. Basta um dia particularmente estressante no trabalho e uma ligação chegando exatamente no pior momento possível.
De repente, você recebe um alerta dizendo que estava conversando com golpistas
Os golpistas adoram aplicar golpes complexos, com várias etapas. Por exemplo, primeiro eles podem tentar convencer você a fornecer o código de acesso do seu aplicativo bancário sob o pretexto de atualizar as informações da sua conta. Mas, de repente, a ligação cai ou você recebe, em seguida, uma mensagem dizendo que acabou de conversar com um golpista, que sua conta foi comprometida e que, para sua própria segurança, é necessário entrar em contato com o suporte imediatamente. Em alguns casos, pessoas que se apresentam como “agentes federais” ou “autoridades policiais” entram em cena para participar da conversa.
O problema é que essa suposta “equipe de segurança” faz parte exatamente da mesma quadrilha que está aplicando o golpe. Eles começam a insistir que todo o seu dinheiro está prestes a cair nas mãos de criminosos, a menos que você o transfira para uma “conta segura”, ou dizem que empréstimos já foram contratados em seu nome.
Não entre em contato com números ou endereços de e-mail desconhecidos enviados em mensagens, mesmo que prometam ajudá-lo. Procure o site oficial da empresa ou do órgão, localize os canais oficiais de atendimento e utilize apenas esses meios de contato.
Lembre-se: nenhum órgão governamental (e muito menos uma empresa privada) monitora suas ligações para verificar se você está conversando com golpistas. Sua melhor defesa contra golpistas telefônicos é um aplicativo de identificação de chamadas com um vasto banco de dados que avisa se a chamada é suspeita antes mesmo de você atender.
O que fazer se você caiu em um golpe
Antes de qualquer coisa: não se culpe. Qualquer pessoa pode ser pega de surpresa e acabar sendo enganada em um momento de vulnerabilidade. Tente não entrar em pânico e lembre-se exatamente de quais informações você forneceu. As providências a tomar dependem disso:
- Você informou um código de verificação enviado por SMS ou a senha de uma conta → Altere imediatamente sua senha para esse serviço, bem como para quaisquer outras contas onde você a tenha reutilizado. Ative a autenticação de dois fatores, caso ainda não tenha feito isso.
- Você forneceu os dados do seu cartão → Entre em contato imediatamente com o banco e solicite o bloqueio do cartão. Se já houve um débito ou transferência não autorizada, pergunte como contestar a transação.
- Você clicou em um link suspeito ou baixou um arquivo de um remetente desconhecido → Faça uma verificação do dispositivo com um antivírus confiável. Tentar descobrir por conta própria se o dispositivo foi infectado por malware é praticamente impossível, pois essas ameaças costumam permanecer ocultas, sem apresentar sinais evidentes.
Não dê ouvidos aos golpistas
Veja algumas medidas que ajudam a proteger suas contas, seus dados e seu dinheiro:
- Não tenha pressa. Se alguém estiver pressionando você para agir imediatamente (informar dados, fornecer um código ou enviar dinheiro), há uma grande chance de você estar falando com um criminoso virtual. Pare por um momento, ligue para a empresa usando o telefone oficial disponível no site e confirme se realmente há alguma solicitação.
- Deixe a proteção por conta do Kaspersky Premium. Ao contrário de uma pessoa, nosso pacote de segurança, com Machine Learning e IA, é totalmente imparcial e identifica e-mails de phishing e arquivos maliciosos justamente nos momentos em que um usuário pode ter dúvidas ou hesitar. Ele bloqueia o acesso a sites suspeitos, impede tentativas de infecção do dispositivo, neutraliza malwares detectados e ajuda a manter seus dados e seu dinheiro protegidos.
- Ative a autenticação de dois fatores nas contas mais importantes. Com o Kaspersky Password Manager, você pode gerar códigos de login de uso único que mudam a cada 30 segundos, tornando-os muito mais difíceis de serem interceptados por golpistas do que códigos enviados por e-mail ou mensagem de texto.
- Se está cansado de verificar constantemente quem está ligando, obtenha um aplicativo de identificação de chamadas com um banco de dados extenso. Ele avisa você instantaneamente se quem está do outro lado da linha é um golpista ou operador de telemarketing.
- Siga uma regra de ouro: nunca reutilize uma senha. Se você usa a mesma senha em vários serviços, basta que um hacker descubra a senha de uma conta para obter acesso automático a todas as outras. Pequenas variações, como “Senha123” e “Senha1234!”, também não são suficientes, pois são extremamente fáceis de adivinhar. É claro que memorizar dezenas ou até centenas de senhas diferentes está longe de ser uma tarefa simples. É justamente por isso que um gerenciador de senhas é tão útil: ele armazena seus dados com segurança em um cofre criptografado e gera senhas fortes e exclusivas.
Confira também nossas outras postagens para obter mais dicas de segurança:
engenharia
Dicas