Os bots estão sendo usados para golpes de phishing em redes sociais
Redator: Heitor Augusto Colli Trebien
A tecnologia dos bots digitais trouxe inúmeros benefícios para a comunicação humana, facilitando e otimizando seu processo como um todo. Entretanto, sua facilidade de uso também ocasionou alguns problemas.
Como Ariza et al (2022) mencionam, a engenharia social já se apropriou do uso de bots para criar golpes em larga escala. Por exemplo, usam as redes sociais, como Facebook, Instagram, Twitter (atual X) e LinkedIn para compartilhar esses bots com informações falsas para manipular os usuários.
Os engenheiros sociais se aproveitam do fato de as redes não terem uma proteção adequada quanto ao uso criminoso de bots, justamente pela dificuldade em identificar práticas éticas das não-éticas. Com esse tipo de implementação, os autores apresentaram a terminologia de engenharia social automatizada (ESA).
Como os cibercriminosos usam os bots para ludibriar as pessoas?
Ariza et al (2022) destacam que muitos usam, por exemplo, o LinkedIn para oferecer vagas de emprego, fazer campanhas políticas e até marketing de produtos. Os robôs utilizados nesses campos ficaram conhecidos como SocialBots (robôs sociais) e são programados para mimetizar o atendimento de uma empresa existente ou uma fictícia.
O autor destaca que esses bots podem ter um alto nível de confiança e podem enganar com facilidade os usuários devido ao fato de sua programação e implementação ser muito parecido ao processo oficial. O que realmente muda são as intenções: o bot busca coletar informações de cunho sensível e privado, algo que um bot oficial não faria.
A organização do ataque é muito semelhante ao phishing que conhecemos, mas agora pode ser realizado em alta escala. No Twitter (atual X), por exemplo, esses bots podem influenciar dados por meio de likes em determinadas postagens.
A visualização depende de um número alto de reações, algo que os bots podem fazer rapidamente. Em campanhas políticas, é comum observarmos enquetes adulteradas pela influência de bots.
Testagem prática
Ariza et al (2022) desenvolveram, por meio da linguagem Python e da biblioteca Selenium, um bot fraudulento para verificar se a rede do LinkedIn conseguiria barrá-lo. O bot podia realizar diversas ações simultâneas de modo automático e violava as políticas de uso da citada rede social.
Os pesquisadores notaram que a rede não conseguiu identificar que aquele era um perfil falso. Alguns dados, como graduação, trabalho e nível de conhecimento podem ser facilmente falsificados. Isso contribui para um golpe mais eficaz.
Os autores organizaram o golpe teste em três etapas:
- Autenticação: processo em que se cria de modo automatizado o perfil fake para acessar uma rede social. Utiliza-se, neste caso, uma biblioteca de programação para ajudar no processo de criação de login e senha, possibilitando o acesso à plataforma.
- Busca: rastreia-se os usuários com o perfil desejado por meio de palavras-chave. A plataforma retorna os perfis que melhor se encaixam no padrão estabelecido e o bot registra esses dados.
- Abordagem: envio simultâneo de mensagens para os usuários coletados. O bot envia mensagens personalizadas para as vítimas, as chamando pelo nome, para estabelecer conexão ou outro tipo de conteúdo. Com isso, pegam os dados que precisam.
Os autores notaram que o perfil fake passou pelos filtros de proteção da rede, em todas as etapas. Assim, quando os usuários com os perfis selecionados aceitaram a solicitação, os investigadores cancelaram o processo.
A principal proposta da pesquisa foi estimular a criação de medidas protetivas mais eficazes nas redes sociais, pois hoje elas são umas das principais ferramentas para aplicar os golpes de engenharia social, seja ela automática ou não.
Quais são as leis atuais que visam proteger o usuário?
Lima e Silva (2024) destacam algumas leis que protegem os dados dos usuários. A Lei Nº 12.737, de 30 de novembro de 2012, também chamada de Lei Carolina Dieckmann, visa proteger as pessoas de invasões em seus dispositivos de informática.
A Lei afirma que adulterar, roubar ou destruir dados sofrerá penalidades correspondentes ao crime, podendo ter uma detenção de 3 meses a 1 ano e multa. Quando as informações forem comerciais ou mesmo sigilosas, a pena pode ser de 6 meses a 2 anos, com multa.
Outra Lei importante é a Lei Nº 12.965, de 23 de abril de 2014 que estabelece diretrizes para a ação da União, dos Estados, do Distrito Federal e dos Municípios em relação aos direitos e garantias do uso da internet. A Lei ficou conhecida como Marco Civil da Internet e busca proteger a liberdade de expressão e o exercício da cidadania por parte do usuário. Sendo assim, ela também protege a privacidade e busca garantir o acesso à internet e informação.
A Lei mais recente é a Lei Geral de Proteção de Dados (LGPD), ou a Lei n° 13.709/2018. Ela é focada nos dados pessoais, seja no meio digital ou não, de pessoas físicas e jurídicas, tanto no nível público quanto privado. A Lei defende principalmente o consentimento do uso de dados e da proteção de dados sensíveis de públicos vulneráveis, como crianças e adolescentes, por exemplo.
Atualização do Código Penal brasileiro devido às novas tecnologias digitais
O Código Penal, como Lima e Silva (2024) ressaltam, sofreu algumas atualizações para tentar lidar com os golpes de phishing e engenharia social. A Lei nº 14.155, de 27 de maio de 2021 visa deixar os crimes cibernéticos mais graves, aumentando as penalidades para quem comete crimes cibernéticos.
A Lei busca averiguar qual é o caso e o tipo de dano causado pelo roubo de dados e, com isso, aumenta a pena de modo correspondente. Por exemplo, pode-se aumentar em 1/3 ou o dobro caso a vítima tenha sido um idoso ou uma pessoa vulnerável.
A pena pode ser de 4 a 8 anos se o golpe for feito por meio de dispositivo eletrônico e se as informações foram fornecidas pela vítima para dar o golpe.
Nota-se que os crimes estão cada vez mais recorrentes devido ao estabelecimento de gravidade e aumento dos níveis de penalidades que a Lei trouxe. Sendo assim, devemos nos informar sempre sobre como nos proteger destes ataques para poder aproveitar os benefícios que a tecnologia trouxe.
Referência da imagem da capa
Fonte: imagem gerada pelo Dall-e e chatGPT com prompts do redator
Referências
LIMA, Natália; SILVA, Eber. aplicação da legislação vigente brasileira nos casos de ataques de engenharia social. IX fórum rondoniense de pesquisa. Inovações tecnológicas e os desafios na Educação, Saúde e Diversidade. Anais, v. 4, n. 9, jan. 2024. Disponível em: https://jiparana.emnuvens.com.br/foruns/article/view/1060. Acesso em: 15 abr. 2024.
ARIZA, Maurício et al. Ataques automatizados de engenharia social com o uso de bots em redes sociais profissionais. In: SIMPÓSIO BRASILEIRO DE SEGURANÇA DA INFORMAÇÃO E DE SISTEMAS COMPUTACIONAIS (SBSEG), 22. , 2022, Santa Maria. Anais. Porto Alegre: Sociedade Brasileira de Computação, p. 153-166, 2022. Disponível em: https://sol.sbc.org.br/index.php/sbseg/article/view/21665. Acesso em: 15 abr. 2024.