Tenho um amigo que tem um amigo. E, como quase sempre acontece nestas histórias, percebemos logo que isto não vai acabar bem.
Ele precisava de um programa simples para trabalhar. Nada de extraordinário. Curiosamente, não se decidiu por uma compra e escolheu um atalho. Encontrou um software gratuito que prometia tudo. Bastava seguir um tutorial. Primeiro passo: desativar o antivírus. Segundo passo: instalar o referido software e usufruir… enquanto alguém aproveitava a sua confiança mal colocada.
Perguntou-me se fazia sentido o caminho que escolhera. Respondi que não. Não porque fosse tecnicamente complexo, mas porque era previsível. Quando alguém pede para ignorar um alerta de segurança, não está a resolver um problema. Está a pedir confiança. E é nesse momento que tudo acontece, não no código, nem no sistema, mas na decisão.
É por isso que faz todo o sentido parar antes de confiar, nem que seja por cinco segundos. Prometo que dará o tempo por bem empregue.
A maioria das pessoas imagina que os ataques digitais acontecem através de falhas tecnológicas sofisticadas. Mas a realidade é bem mais simples. Os ataques acontecem quando alguém aceita fazer algo que não devia: clicar, confiar, ignorar um sinal.
É por isso que a segurança não começa na tecnologia. Começa no comportamento. E o nosso comportamento é objeto de estudo e não apenas por investigadores dedicados, mas também por quem procura explorá-lo.
Chamamos a este tipo de ataque engenharia social. Antes que possa soar a uma disciplina complexa, importa simplificar: trata-se apenas de manipulação. Não exige conhecimento técnico avançado. Exige compreensão humana.
Quem ataca conhece bem o fator humano. Sabe como reagimos à urgência, à autoridade e à familiaridade. E usa isso em nosso prejuízo. Aquela mensagem de texto que parece do banco. Um contacto através do WhatsApp que imita um familiar. Um pedido que surge no momento certo. Nada disto é por acaso.
Um ataque de engenharia social começa quase sempre da mesma forma: com informação. O atacante observa, procura nas redes sociais e, a pouco e pouco, constrói um perfil. Percebe hábitos, contactos, rotinas. Depois aproxima-se. Uma mensagem simples. Uma conversa aparentemente inocente. Com o tempo, constrói-se confiança. E só depois surge o verdadeiro objetivo: explorar uma das nossas fraquezas.
Partilho uma pequena história.
Há algum tempo, fui contactado através do WhatsApp. Alguém dizia não saber porque tinha o meu número, mas não desistiu perante o meu desinteresse inicial. Interessou-me acompanhar o “golpe” e estudar o atacante. Respondi às mensagens e estabelecemos uma conversa banal.
Fui acompanhando e nutrindo esta interação. Este período estendeu-se ao longo de dias, diria quase duas semanas, e, claro, a interação tornou-se mais próxima. Tornou-se tão natural que, para agilizar o ataque, fiz questão de que também se tornasse mais credível. Finalmente surgiu a oportunidade.
Um investimento imperdível, com promessas de retorno rápido e elevada rentabilidade. Informação “privilegiada” fazia de mim um verdadeiro insider no mundo da finança. E tudo parecia simples: bastava entrar com algum dinheiro. Não era necessário nada de técnico. Apenas uma decisão, uma daquelas situações que, parafraseando a engenheira social, não têm nada que enganar.
Se tivesse avançado, provavelmente veria ganhos iniciais, reforçando a confiança no esquema. E depois, silêncio. Sem plataforma. Sem dinheiro. Sem contacto.
Como podemos aferir, nada disto depende de tecnologia avançada. Depende de algo muito mais simples: a nossa disponibilidade para acreditar.
A ideia de que “isso não me acontece” é precisamente o que torna estes ataques eficazes. Porque o problema não é, nunca foi, falta de inteligência. É, acima de tudo, excesso de confiança.
Podemos continuar a falar de vírus, malware ou mesmo de inteligência artificial. Mas, na prática, a maioria dos problemas começa sempre da mesma forma: alguém confiou quando devia ter parado.
Já agora, considere parar como um exercício de proatividade. Porque, no mundo digital, não é o sistema que falha primeiro. Somos nós. Segurança não é técnica. É humana.
Os textos nesta secção refletem a opinião pessoal dos autores. Não representam a VISÃO nem espelham o seu posicionamento editorial.
