Imagem Retirado do Google |
Se você
tem alguma dúvida sobre segurança da informação (antivírus, invasões,
cibercrime, roubo de dados, etc), leia até o fim deste artigo.
Quando hackers
aparecem na ficção, normalmente eles são retratados como conhecedores da área
de informática, que usam apenas falhas em sistemas para conseguir realizar uma
invasão, o roubo de dados ou a destruição de um sistema. O hacker
norte-americano Kevin Mitnick, que chegou a ser condenado por crimes de
informática, conseguiu muita coisa manipulando pessoas – e não bits.
No livro publicado em 2002, “A Arte de Enganar”, Mitnick revela que boa parte das
invasões que realizou só foi possível porque ele enganava pessoas para que lhe
dessem as senhas dos sistemas. Com as senhas na mão, bastava “entrar pela porta
da frente”.
Até hoje, em
muitos casos, os roubos de internet não acontecem devido a alguma técnica
sofisticada dos criminosos, mas sim por falha da própria vítima.
Um grande exemplo são as fraudes
bancárias brasileiras que ocorrem pela internet. Quase todas começam com uma
mensagem de e-mail que convence a vítima de alguma mentira – como uma
investigação policial, uma mensagem especial, uma declaração de amor ou mesmo
uma solicitação falsa do próprio banco. Quando a vítima cai e clica no link
oferecido, fazendo normalmente o download do software, ela estará infectada com
um ladrão de senhas bancárias.
Não é necessária, de modo geral,
nenhuma técnica avançada de informática. Apenas o envio de uma mensagem falsa
para milhares (ou milhões) de possíveis vítimas para que algumas dessem
voluntariamente – embora sem saber – cedam o controle do computador aos
hackers.
É claro que alguns golpes fazem, sim,
uso de técnicas mais sofisticadas. Mas muitas fraudes têm sucesso mesmo
explorando apenas o ser humano.
O conjunto de técnicas para manipular
o ser humano é chamado de “engenharia social” no campo de segurança da
informação.
Uma reportagem do “Bom Dia São Paulo”
do início de abril mostra como um golpe de engenharia social pode ser aplicado
sem envolver computadores. Um grupo de mulheres alterava caixas eletrônicos
para que o cartão da vítima ficasse preso. Uma das envolvidas fornecia
panfletos informativos com o número de telefone do banco falsificado.
Quando o cliente ligava para “o
banco”, acabava cedendo todas as informações da conta para outra pessoa do
grupo. Em seguida, os dados eram usados para roubar o dinheiro da conta.
Outro golpe já clássico no Brasil e
que mesmo assim continua acontecendo é o do bilhete premiado. Um golpista alega
que tem um bilhete premiado e que não poderá retirar o prêmio, oferecendo-o à
vítima – normalmente idosos. Há variações do golpe, e algumas fontes, segundo o
site Monitor das Fraudes, indica que esse golpe é realizado no
Brasil desde 1940.
O golpe do bilhete premiado foi
adaptado para o prêmio da falsa promoção, em que a vítima recebe um SMS ou um
e-mail comunicando que ela foi sorteada para receber algo. O golpista
normalmente exige que a vítima pague algum valor adiantado – como o frete –
para poder receber o prêmio. Claro, o prêmio nunca chega.
A fraude do falso sequestro – em que o
golpista afirma ter sequestrado alguém da família, fingindo todo o episódio – é
outro exemplo.
Combinadas com a internet, essas
fraudes podem ficar ainda mais elaboradas. Por exemplo, se alguém descobrir o
seu nome e perfil no Facebook, a próxima ligação fingindo ser um falso
sequestro poderá ter muitas outras informações para que o golpe pareça mais
real.
Em 2009, Dmitry Bestuzhev,
especialista da fabricante de antivírus Kaspersky Lab, explicou que o criminoso
brasileiro compensava as técnicas
rudimentares com a lábia,
quer dizer, com a engenharia social. Desde então, os hackers brasileiros
melhoraram bastante tecnicamente. Mesmo assim, as técnicas de engenharia social
continuam como pilares do crime virtual brasileiro.
Não existe uma dica para evitar a
engenharia social. É preciso pensar como o criminoso: estou fornecendo alguma informação que pode ser usada contra mim? Estou,
talvez, seguindo um link ou uma instrução que pode me prejudicar? Como ter
certeza que a informação é realmente correta – como no caso do número de
telefone nos panfletos falsos do banco?
Não existe solução técnica para
engenharia social. É realmente preciso ter noção dos riscos de cada atitude e
tentar confirmar a autenticidade de tudo – seja de um bilhete, de um torpedo
promocional, de um e-mail, de um panfleto ou de uma chamada telefônica. Como
será possível confirmar essa autenticidade dependerá das ferramentas e
informações disponíveis. Mas, sabendo dos riscos de ser enganado, pender para a
dúvida e desconfiar pode não ser uma má ideia.
Comentários
Postar um comentário