Por que golpes spear phishing funcionam bem?

19 fev 2019

Quando falamos de vulnerabilidades, geralmente estamos falando sobre erros de codificação e brechas de segurança identificadas nos sistemas de informação. No entanto, existem muitas falhas nas próprias vítimas.
Não é uma questão de falta de consciência ou negligência de cibersegurança – é a maneira de lidar com esses problemas que é mais ou menos clara. Acontece que o cérebro do usuário às vezes funciona de forma um pouco diferente do que os gurus em segurança de TI gostariam, principalmente quando estão sob a influência de engenharia social.

A engenharia social é essencialmente uma fusão entre a sociologia e a psicologia. É um conjunto de técnicas para criar um ambiente que leva a um resultado predeterminado. Ao jogar com os medos, emoções, sentimentos e reflexos das pessoas, os cibercriminosos conseguem obter acesso a informações importantes. Hoje em dia,  esta “ciência” que está no centro da maior parte dos ataques direcionados.

Os quatro principais sentimentos explorados pelos golpistas:

  • Curiosidade
  • Pena
  • Medo
  • Ganância

Não seria correto chamá-las de vulnerabilidades; são simplesmente emoções humanas. Talvez uma descrição mais adequada seria “canais de influência”, por meio das quais os cibercriminosos tentam influenciar suas vítimas, de tal maneira que o cérebro é acionado automaticamente, sem utilizar o pensamento crítico. Para alcançar esse objetivo, os golpistas guardam muitos truques na manga. Claro que alguns deles funcionam melhor em algumas pessoas do que em outras. Por isso, decidimos dar uma olhada em alguns dos truques mais comuns e explicar exatamente como eles funcionam.

Respeito à autoridade

Esse é um dos chamados vieses cognitivos – padrões sistemáticos de desvio de comportamento, percepção e pensamento. Está fundamentado na tendência de obedecer inquestionavelmente àqueles com algum grau de experiência ou poder, ignorando os próprios juízos em relação a conveniência de tais ações.

Na prática, poderia ser um e-mail de phishing supostamente enviado pelo seu chefe. Se a mensagem dissesse para produzir um vídeo provocativo (e inapropriado) de si mesmo e enviar para dez amigos, naturalmente você pensaria duas vezes. No entanto, se o seu supervisor está pedindo para efetuar a leitura de uma nova documentação do projeto, você provavelmente estará mais disposto a clicar no anexo em questão.

A pressão do tempo

Uma das técnicas mais frequentes de manipulação psicológica é a criação de um senso de urgência. Para tomar uma decisão de forma informada e racional, geralmente é uma boa ideia examinar as informações relevantes nos mínimos detalhes. E isso leva tempo. É esse bem precioso que os golpistas tentam negar às suas vítimas.

Manipuladores despertam medo na vítima (“Foi feita uma tentativa de acessar sua conta. Se não foi você, clique neste link imediatamente …”) ou sua ganância em ganhar dinheiro fácil (“Somente os dez primeiros cliques recebem o desconto, não perca essa oportunidade… “). Quando os ponteiros do relógio começam a deixá-lo em desvantagem, a probabilidade de sucumbir ao instinto e tomar uma decisão emocional, em vez de racional, aumenta consideravelmente.

As mensagens que exclamam “urgente” e “importante” estão nesta categoria. Palavras relevantes são frequentemente destacadas em vermelho, a cor do perigo, para aumentar ainda mais o efeito de urgência.

Automatismo

Na psicologia, os automatismos são ações realizadas sem o envolvimento direto de uma mente consciente. Os automatismos podem ser primários (inatos, não considerados) ou secundários (não mais considerados, tendo passado pela consciência). Além disso, os automatismos são categorizados como motor, verbal ou mental.

Os cibercriminosos tentam acionar os automatismos ao enviarem mensagens que, em alguns destinatários, podem produzir uma resposta automática. Isto inclui mensagens do tipo “Falha ao entregar o e-mail, clique para reenviar”, newsletters irritantes com um grande botão de “cancelar inscrição” e notificações falsas sobre novos comentários em mídias sociais. A reação neste caso é resultado do automatismo secundário motor e mental.

Revelações inesperadas

Este é outro tipo muito comum de manipulação. Aqui é explorado o fato de que informações embaladas com uma aparência honesta são percebidas de maneira menos crítica do que se fossem descobertas de forma independente.

Na prática, pode ser uma mensagem como: “Lamentamos informar que sofremos um vazamento de senha. Por favor, verifique se você está na lista de afetados”.

O que fazer?

As distorções de percepção, que infelizmente foram parar nas mãos dos cibercriminosos, na verdade, são biológicas. Elas apareceram durante a evolução do cérebro para ajudar a nos adaptar ao mundo, economizando tempo e energia. Em grande parte, as distorções surgem da falta de habilidade de pensamento crítico, sendo que muitas adaptações são inadequadas para a realidade atual. Mas não tenha medo, a manipulação pode ser evitada sabendo um pouco sobre a psique humana e seguindo algumas dicas simples:

  1. Crie uma regra de leitura de mensagens que estimule o olhar crítico. Por que o seu chefe está pedindo para você abrir um arquivo protegido por senha e enviar a chave no mesmo e-mail? Por que um gerente com acesso à conta solicita que você transfira dinheiro para um novo parceiro? Por que alguém atribuiria uma tarefa fora do padrão por e-mail, em vez de por telefone, como de costume? Se algo parecer estranho, esclareça as dúvidas utilizando um canal de comunicação diferente.
  2. Não reaja imediatamente a mensagens que demandam ação urgente. Fique calmo, mesmo que o conteúdo tenha causado impacto, verifique o remetente, o domínio e o link antes de clicar em qualquer coisa. Se ainda estiver em dúvida, entre em contato com o setor de TI.
  3. Se você identificar que possui uma tendência em responder automaticamente a alguns tipos de mensagens, tente executar sua sequência de ações, mas de maneira consciente. Isso poderá ajudar a tirar a sua resposta do automático. A chave é ativar a mente consciente no momento certo.
  4. Lembre-se de nossas dicas anteriores de como evitar o phishing:
  1. Use soluções de segurança com tecnologias antiphishing confiáveis. A maioria das tentativas de intrusão cairão no primeiro obstáculo.