Engenharia social e psicologia: como usam nossos sentimentos para nos roubar

Engenharia social e psicologia: como usam nossos sentimentos para nos roubar

A engenharia social usa a psicologia humana e as novas tecnologias digitais para explorar nossas emoções 

 

Redator: Heitor Augusto Colli Trebien

 

A engenharia social é um nome novo para uma prática antiga: a de enganar as pessoas usando suas emoções e sentimentos contra elas mesmas. Mas nesse caso, a enganação é voltada para fazer a pessoa passar dados sensíveis sem o usuário perceber que está sendo vítima de golpe. 

A Perallis Security compara a engenharia social com o Cavalo de Troia e o famoso presente de grego. Os gregos prometeram paz e construíram um “presente” aos troianos. Quando aceitaram, durante a noite os guerreiros da Grécia saíram e derrubaram as defesas da cidade. 

O que vivemos atualmente é uma releitura da Odisseia, de Homero, mas aplicada ao mundo digital. Recebemos mensagens de benefícios perfeitos, que são exatamente aquilo que precisamos. Assim, baixamos nossa guarda e transferimos nossos dados sem pensar nas consequências. 

Assim, os criminosos conseguem nossos dados de forma rápida e aparentemente indolor para a vítima, até ela ver a conta bancária. Devemos desconfiar de links que caem na nossa mão no momento perfeito, justamente quando precisamos. 

Inclusive, atualmente o termo Cavalo de Troia é usado na tecnologia para designar um programa que parece ser legítimo, no entanto está carregado de malwares (vírus) que podem incapacitar sua máquina e roubar dados pessoais.  

 

Quais as principais estratégias dos criminosos digitais?

 

Rabelo (2023) destaca a influência e a persuasão como os principais meios de manipular a vítima a realizar os desejos do atacante. No entanto,  a vítima acha que as suas necessidades estão sendo atendidas durante o processo. 

A técnica ficou conhecida na internet como phishing, em alusão ao processo de “pescar” alguma coisa. A vítima recebe uma mensagem, seja por email ou whatsapp, com o discurso de que recebeu um prêmio ou benefício, geralmente em dinheiro. Mas para sacá-lo, a pessoa precisa clicar no link e passar alguns dados. 

Quando a pessoa clica, o malware já ultrapassa as defesas do aparelho, e quando coloca seus dados no suposto formulário, como por exemplo dados do cartão de crédito, o aparelho e o usuário saem prejudicados. 

Outra estratégia é o uso da falsidade ideológica e da urgência. O criminoso, com as tecnologias atuais, consegue se disfarçar como se fosse representante de uma empresa séria. Assim ele aborda algum problema geral como: você está com o nome sujo no Serasa, mas estou aqui para negociar sua dívida. 

O criminoso oferece diversas opções e passa o boleto ou pix para o pagamento da tarifa e da dívida. Como estamos com pressa de não ter mais dívidas, acabamos aceitando as opções, e no fim cria-se mais pendências financeiras.

 

Como evitá-los?   

 

Primeiro, devemos sempre desconfiar do que recebemos na internet, seja nas redes sociais, como Facebook e Instagram, seja por SMS ou torpedo de voz. Procure sempre a empresa verdadeira em questão e entre em contato para saber como eles trabalham de verdade.

Rabelo (2023) cita algumas estratégias para proteger melhor seus dados, como:

 

  • Autenticação por 2 fatores.
  • Criação de senhas fortes.
  • Uso de antivírus em aparelhos celulares e computadores.
  • Monitoramento frequente de seus dados (algo que o antivírus pode oferecer).
  • Uso de logins diferentes para contas diferentes.
  • Perguntas de segurança que só você saiba responder.
  • Remoção de seus dados de redes públicas.
  • Jamais passe suas senhas para estranhos.

 

Um pouco de psicologia para entender os golpes 

 

Rabelo (2023) destaca que uma abordagem psicológica utilizada neste campo é a psicologia comportamental, tendo Burrhus Frederic Skinner como um dos principais teóricos. 

O psicólogo desenvolveu 4 conceitos que podem ser aplicados na interpretação das estratégias de phishing, que são:

  • Reforço positivo: é o processo de recompensar subjetivamente um determinado comportamento para que ele se repita. No caso dos engenheiros sociais, eles podem oferecer “recompensas”, como prêmios ou resgate de dinheiro para que a vítima passe os dados.   
  • Reforço negativo: envolve a remoção de algo desagradável para estimular determinadas atitudes. Por exemplo, a negociação de dívidas pode ser uma estratégia para os engenheiros sociais: “eu vou tirar seu nome do Serasa se você pagar uma certa taxa”. Normalmente, a taxa é bem mais baixa do que as dívidas, então nesse caso a promessa foi a remoção do endividamento, o que pode contribuir para a pessoa cooperar e transferir os dados.   
  • Punição positiva: é quando se aplica alguma consequência aversiva após certo comportamento, visando a diminuição de sua frequência. No caso de phishing, a punição positiva não é muito comum, pois envolve a adição de um estímulo desagradável para cessar determinado comportamento. É uma ação mais agressiva, e os engenheiros sociais precisam ser manipuladores, portanto, não tão explícitos. 
  • Punição negativa: envolve a remoção de algo agradável para diminuir a frequência de determinado comportamento. Dentre as estratégias utilizadas, destaca-se a coerção, ameaça e chantagem para forçar uma cooperação. Por exemplo, se a pessoa não pagar a taxa da dívida, perderá benefícios como o bolsa família. Nesse caso, o engenheiro social quer cessar a dúvida e a não cooperação da pessoa para fazer com que ela coopere. As atitudes dos engenheiros sociais começam a ser um pouco mais agressivas e explícitas, mas ainda são manipulações realizadas. 

Como podemos observar, a prática de phishing se aproveita de emoções e vulnerabilidades humanas para atingir os objetivos do criminoso. Uma das principais emoções exploradas é a ansiedade e o sentimento de urgência. O usuário precisa fazer a transição naquele momento ou vai “perder” o benefício. 

O phishing apoia-se principalmente no imediatismo, portanto, desconfie de transações e negociações que “precisam” ser feitas naquela hora. Uma empresa séria sempre dará tempo para realizar uma negociação justa. 

 

Velip, ecoando sua voz por novos caminhos, mas com segurança em primeiro lugar! 

 

Referências

 

PERALLIS Security. Engenharia social, a arte de manipular os sentimentos do ser humano. Disponível em: https://www.perallis.com/news/tudo-o-que-voce-queria-saber-sobre-engenharia-social. Acesso em: 5 abr. 2024. 

RABELO, Gabriela. Engenharia Social: Como criminosos usam a Psicologia para manipular suas vítimas. Dio, 6 set. 2023. Disponível em: https://www.dio.me/articles/engenharia-social-como-criminosos-usam-a-psicologia-para-manipular-suas-vitimas. Acesso em: 5 abr. 2024.