Num sentido mais amplo, qualquer tipo de manipulação ligada à psicologia comportamental pode ser considerada engenharia social. Contudo, o conceito nem sempre está relacionado com atividades criminosas ou fraudulentas. Na verdade, a engenharia social está sendo amplamente utilizada e estudada em diversos contextos, em áreas como ciências sociais, psicologia e marketing.
Quando se trata de segurança cibernética, a engenharia social é realizada com segundas intenções e refere-se a um conjunto de atividades maliciosas que tentam manipular as pessoas para que tomem medidas erradas, como fornecer informações pessoais ou confidenciais que podem ser posteriormente usadas contra elas ou a sua empresa. A fraude de identidade é uma consequência comum destes tipos de ataques e, em muitos casos, leva a perdas financeiras significativas.
A engenharia social é frequentemente apresentada como uma ameaça cibernética, mas o conceito existe há muito tempo, e o termo também pode ser utilizado em relação a esquemas fraudulentos do mundo real, que geralmente envolvem a representação de autoridades ou especialistas em TI. No entanto, o surgimento da Internet tornou muito mais fácil aos hackers realizar ataques manipulativos em maior escala e, infelizmente, estas atividades maliciosas também ocorrem no contexto das criptomoedas.
Como funciona?
Todos os tipos de técnicas de engenharia social dependem das fraquezas da psicologia humana. Os golpistas aproveitam as emoções para manipular e enganar suas vítimas. O medo, a ganância, a curiosidade das pessoas e até mesmo a sua vontade de ajudar os outros voltam-se contra elas através de uma variedade de métodos. Entre os vários tipos de engenharia social maliciosa, o phishing é certamente um dos exemplos mais comuns e conhecidos.
Phishing
Os e-mails de phishing muitas vezes imitam a correspondência de uma empresa legítima, como uma rede bancária nacional, uma loja online confiável ou um provedor de e-mail. Em alguns casos, esses e-mails clones avisarão os usuários que sua conta precisa ser atualizada ou apresentou atividade incomum, exigindo que forneçam informações pessoais como forma de confirmar sua identidade e regularizar suas contas. Por medo, algumas pessoas clicam prontamente nos links e navegam até um site falso para fornecer os dados necessários. Neste ponto, as informações estarão nas mãos dos hackers.
Espantalho
Técnicas de engenharia social também são aplicadas para difundir o chamado Scareware. Como o nome sugere, scareware é um tipo de malware projetado para assustar e chocar os usuários. Eles normalmente envolvem a criação de alarmes falsos que tentam induzir as vítimas a instalar um software fraudulento que parece legítimo ou a acessar um site que infecta seu sistema. Essa técnica geralmente depende do medo dos usuários de ter seu sistema comprometido, convencendo-os a clicar em um banner ou pop-up da web. As mensagens costumam dizer algo como: “Seu sistema está infectado, clique aqui para limpá-lo”.
Isca
A isca é outro método de engenharia social que causa problemas para muitos usuários desatentos. Envolve o uso de iscas para atrair as vítimas com base na sua ganância ou curiosidade. Por exemplo, os golpistas podem criar um site que oferece algo gratuitamente, como arquivos de música, vídeos ou livros. Mas para acessar esses arquivos, os usuários são obrigados a criar uma conta, fornecendo suas informações pessoais. Em alguns casos, não há necessidade de uma conta porque os arquivos estão diretamente infectados com malware que irá penetrar no sistema do computador da vítima e coletar seus dados confidenciais.
Esquemas de isca também podem ocorrer no mundo real através do uso de pen drives e discos rígidos externos. Os golpistas podem deixar intencionalmente dispositivos infectados em um local público, então qualquer curioso que o pegue para verificar o conteúdo acaba infectando seu computador pessoal.
Engenharia social e criptomoedas
Uma mentalidade gananciosa pode ser bastante perigosa quando se trata de mercados financeiros, tornando os comerciantes e investidores particularmente vulneráveis a ataques de phishing, esquemas Ponzi ou de pirâmide e outros tipos de fraudes. Na indústria de blockchain, o entusiasmo que as criptomoedas geram atrai muitos recém-chegados ao espaço em um período de tempo relativamente curto (especialmente durante os mercados em alta).
Mesmo que muitas pessoas não entendam completamente como funciona a criptomoeda, muitas vezes ouvem falar do potencial desses mercados para gerar lucros e acabam investindo sem fazer a pesquisa adequada. A engenharia social é particularmente preocupante para os novatos, pois eles são frequentemente apanhados pela sua própria ganância ou medo.
Por um lado, a ânsia de obter lucros rápidos e ganhar dinheiro fácil acaba levando os recém-chegados a perseguir falsas promessas de brindes e lançamentos aéreos. Por outro lado, o medo de ter os seus ficheiros privados comprometidos pode levar os utilizadores a pagar um resgate. Em alguns casos, não há infecção real por ransomware e os usuários são enganados por um alarme falso ou mensagem criada por hackers.
Como prevenir ataques de engenharia social
Conforme mencionado, os golpes de engenharia social funcionam porque apelam à natureza humana. Geralmente usam o medo como motivador, incitando as pessoas a agir imediatamente para se protegerem (ou ao seu sistema) de uma ameaça irreal. Os ataques também dependem da ganância humana, atraindo as vítimas para vários tipos de fraudes de investimento. Portanto, é importante ter em mente que se uma oferta parece boa demais para ser verdade, provavelmente é.
Embora alguns golpistas sejam sofisticados, outros invasores cometem erros perceptíveis. Alguns e-mails de phishing e até mesmo banners de scareware geralmente contêm erros de sintaxe ou palavras com erros ortográficos e só são eficazes contra aqueles que não prestam atenção suficiente à gramática e à ortografia - portanto, fique atento.
Para evitar ser vítima de ataques de engenharia social, considere as seguintes medidas de segurança:
Eduque-se, família e amigos. Ensine-os sobre os casos comuns de engenharia social maliciosa e informe-os sobre os principais princípios gerais de segurança.
Tenha cuidado com anexos e links de e-mail. Evite clicar em anúncios e sites de origem desconhecida;
Instale um antivírus confiável e mantenha seus aplicativos de software e sistema operacional atualizados;
Utilize soluções de autenticação multifator sempre que puder para proteger suas credenciais de e-mail e outros dados pessoais. Configure a autenticação de dois fatores (2FA) em sua conta Binance.
Para empresas: considere preparar os seus funcionários para identificar e prevenir ataques de phishing e esquemas de engenharia social.
Pensamentos finais
Os cibercriminosos estão constantemente em busca de novos métodos para enganar os usuários, com o objetivo de roubar seus fundos e informações confidenciais, por isso é muito importante educar a si mesmo e às pessoas ao seu redor. A Internet oferece um refúgio para esses tipos de golpes, e eles são particularmente frequentes no espaço das criptomoedas. Seja cauteloso e fique alerta para evitar cair em armadilhas de engenharia social.
Além disso, qualquer pessoa que decida negociar ou investir em criptomoeda deve fazer uma pesquisa prévia e ter um bom conhecimento dos mercados e dos mecanismos de funcionamento da tecnologia blockchain.
