Há uma história do século passado que quero partilhar com o leitor. Eu era um jovem aspirante a informático, tinha mais tempo livre e montava os meus próprios computadores. Quando surgiu o processador Pentium, não hesitei. Encomendei-o juntamente com todo o restante hardware necessário. Escolhi até a caixa mais bonita que encontrei, o que, no início dos anos 90, era quase uma impossibilidade técnica.
Mas porque me lembrei disto agora?
Porque, olhando para trás, percebo que provavelmente não precisava daquele processador. Havia alternativas mais baratas, suficientes para aquilo que eu pretendia obter. Mas não eram um Pentium. E isso bastou para eu decidir.
Não consigo esconder que venceu a emoção. A parte racional perdeu espaço para o entusiasmo imediato, como se o cérebro tivesse decidido antes de eu ter tempo para pensar.
E é precisamente aqui que começa uma das questões mais importantes da engenharia social.
Muitas das nossas decisões não são totalmente nossas. São influenciadas por mecanismos automáticos a que chamamos gatilhos mentais. Sem querer forçar uma incursão pela neurociência, basta pensar nestes como atalhos que o cérebro utiliza para decidir mais depressa, poupando tempo e energia. Na sua essência, estes mecanismos não existem para nos prejudicar, antes pelo contrário. O problema começa quando alguém percebe como explorar esses atalhos.
É precisamente isso que exploram os ataques de engenharia social.
Eu sei que muitos de nós têm a imagem tradicional do hacker malicioso rodeado de código e ecrãs, no entanto, a maioria destes ataques não depende de tecnologia particularmente sofisticada. Depende, acima de tudo, da capacidade de influenciar o nosso comportamento. O verdadeiro objetivo destes atores maliciosos nunca passa por “hackear” computadores, mas sim por influenciar decisões. E, curiosamente, embora os ataques possam ter aparências diferentes, é fácil encontrar padrões que se repetem quase sempre: emoção, confiança, urgência e manipulação.
O desafio dos cibercriminosos passa por impedir que pensemos tempo suficiente para questionar. Porque o clique raramente acontece primeiro no computador. Acontece primeiro na mente.
Neste sentido, um ataque de engenharia social dificilmente começa com lógica. Começa com emoção. Os atacantes sabem que emoções fortes reduzem o pensamento crítico e aceleram reações impulsivas. Medo, curiosidade, ansiedade ou entusiasmo inesperado, na verdade quase todas as emoções intensas podem ser transformadas em ferramentas de manipulação.
A emoção precisa, no entanto, de um catalisador e poucas coisas funcionam melhor do que a ameaça de que algo pode correr mal. Analisemos algumas mensagens que já todos recebemos:
“A sua conta vai ser bloqueada.”
“Foi detetada atividade suspeita.”
“Tem uma encomenda pendente.”
“Recebeu um prémio.”
O atacante não quer que pensemos. Quer que reajamos.
Mas nenhum ataque funciona sem outro elemento essencial: confiança. Talvez por isso os cibercriminosos invistam tanto tempo a parecer legítimos. Imitam bancos, empresas conhecidas, serviços de entrega, colegas de trabalho, familiares ou autoridades. Tudo serve para reduzir suspeitas e criar familiaridade. Quanto mais legítima parecer uma comunicação, menor a probabilidade de questionarmos o que está a acontecer.
É também por isso que muitos ataques parecem assustadoramente pessoais. Os cibercriminosos fazem o “trabalho de casa”. Recolhem informação pública, analisam redes sociais, interesses, rotinas e contextos profissionais. Quanto maior o conhecimento sobre a vítima, mais natural parece o ataque. Um email genérico levanta dúvidas, mas um email com o nosso nome, contexto profissional ou referências familiares parece real. E quando algo parece real, baixamos a guarda. A urgência faz o resto.
Mas o verdadeiro ponto final continua a ser simples: clicar num link, descarregar um ficheiro ou confirmar um pagamento, só para citar alguns exemplos. A verdadeira vulnerabilidade, porém, apareceu antes do clique: na emoção, na confiança e na urgência. Talvez por isso exista uma pergunta mais importante do que “isto tem vírus?”: “Estou a pensar… ou apenas a reagir?”
Na próxima vez que sentir pressão para reagir rapidamente, pare um pouco. Muitas vezes, bastam alguns segundos de pausa para evitar consequências bastante dramáticas.
A engenharia social nunca explorou computadores. Explora pessoas. Os ataques mais eficazes não contornam firewalls. Contornam a atenção, a confiança e o controlo emocional de cada um de nós. E é por isso que segurança não começa no computador. Começa nas decisões das pessoas.
Segurança não é técnica. É humana.
Os textos nesta secção refletem a opinião pessoal dos autores. Não representam a VISÃO nem espelham o seu posicionamento editorial.
