Engenharia social na internet: o que é e como se prevenir

Introdução

Engenharia social é o nome que se dá a toda abordagem que visa convencer uma pessoa a revelar determinada informação ou a realizar uma ação específica. Na internet, técnicas do tipo são usadas para roubo de dados pessoais ou aplicação de golpes financeiros, por exemplo.

Neste texto, você compreenderá o que é engenharia social, verá exemplos de abordagens do tipo e terá orientações sobre como se proteger dessa ameaça.

Se preferir, vá direto ao tópico de seu interesse:

- O que é engenharia social?
- Explorando “falhas de segurança” nos humanos
- Armadilhas emocionais
- Tipos de ataques de engenharia social na internet
- Phishing
- Falso emprego
- Golpe do Don Juan
- Golpe do príncipe nigeriano
- Pedido de doações
- Serviço de atendimento em nome de uma marca
- Roubo de identidade
- Como se prevenir de ataques de engenharia social

O que é engenharia social?

O conceito é amplo, mas uma definição aceitável é esta: engenharia social consiste em todo e qualquer método usado para enganar ou explorar a confiança de pessoas para que elas repassem informações restritas ou realizem determinadas ações.

Para tanto, o agente — o indivíduo que executa a ação de engenharia social — pode assumir outra identidade, fingir estar em uma situação de urgência (para despertar compaixão), apresentar vantagens “imperdíveis” ao alvo, se passar por um profissional de determinada área, entre outros.

Exemplos claros de abordagens de engenharia social aparecem no filme Prenda-Me se For Capaz (Catch Me if You Can). Nele, Leonardo DiCaprio faz o papel de um homem que se passa por piloto de avião, médico e advogado para aplicar golpes com cheques e, bom, gozar de algum prestígio.

O personagem não tem nenhuma formação nessas áreas. Então, como ele pôde exercer — ou fingiu exercer — essas funções? Com lábia. Muita lábia.

Em outras palavras, o impostor interpretado por DiCaprio usava técnicas de persuasão para convencer pessoas em posições privilegiadas ou funções-chaves a realizar ações convenientes a ele.

Só para ilustrar, em uma das passagens do filme (alerta de spoiler!), ele telefonou para uma companhia aérea dizendo ser um comandante que esqueceu o uniforme no hotel. Com isso, o impostor conseguiu receber as roupas necessárias e, mais tarde, se passou por piloto.

Não bastava afirmar ser uma coisa ou outra. O personagem buscava informações que pudessem fazer seus argumentos serem convincentes. Essa é uma das principais facetas da engenharia social.

Engenharia social — imagem ilustrativa por Mohamed Hassan / PxHere
Engenharia social — imagem ilustrativa por Mohamed Hassan / PxHere

Explorando “falhas de segurança” nos humanos

Os exemplos retratados em Prenda-Me se For Capaz ocorreram no “mundo real”. Mas, com o advento da internet, ações baseadas em engenharia social ganharam escala. Não por acaso, golpes online ou invasões a sistemas, por exemplo, são atividades que acontecem a todo momento.

Empresas, governos e outras organizações investem muito dinheiro em tecnologias de proteção. A maior parte delas é bastante eficiente. Por isso, hackers, golpistas e afins tentam executar as suas ações explorando “falhas de segurança” nas pessoas.

Não é difícil entender o motivo. Para invadir o sistema de um banco, por exemplo, um hacker precisa burlar numerosos mecanismos de segurança. Se o objetivo é roubar dinheiro de correntistas, é mais fácil convencer um cliente a fornecer os dados de acesso à sua conta.

Mas ninguém em sã consciência faria isso, certo? Certo. O criminoso pode então usar alguma técnica de engenharia social para persuadir a vítima a fornecer seus dados. É possível fazer isso, por exemplo, a partir de um e-mail falso em nome do banco; a mensagem pode conter um alerta — também falso — de que a conta da pessoa será bloqueada se os seus dados não forem atualizados.

Se esse cliente não perceber a cilada, irá acessar o link que acompanha a mensagem e fornecer dados da conta em uma página que parece ser a do banco, mas não é.

Esse tipo de abordagem é tão comum que, hoje, muitos bancos exigem tokens (códigos gerados por aplicativo ou um aparelho específico) no acesso ao internet banking. Sem esse código, o acesso à conta bancária será limitado ou bloqueado, mesmo que a senha tenha sido informada corretamente.

Essa é uma das razões para um crescente número de serviços online exigirem autenticação em dois fatores, isto é, a digitação de um código gerado por aplicativos como Google Authenticator e Microsoft Authenticator, ou enviados por SMS.

Se voltarmos ao exemplo do banco, veremos que o invasor tenta despertar um senso de urgência no alvo: o argumento de que a conta será bloqueada pode deixar a pessoa preocupada sobre a possibilidade de não ter acesso ao seu dinheiro, o que a faz ter uma reação rápida para evitar o pior.

O problema é que essa reação não é oriunda de um mecanismo racional, mas emocional. Ou seja, a vítima age com urgência, quase sem pensar.

Armadilhas emocionais

Ao contrário de uma máquina, que é orientada pela lógica, um humano se guia tanto pela razão quanto pelas emoções. As duas vertentes são fundamentais para que possamos viver em sociedade. O problema é que o lado emocional de uma pessoa tende a ser mais impulsivo e menos analítico. Abordagens de engenharia social tentam explorar justamente essa vulnerabilidade, por assim dizer.

Eis algumas dessas “armadilhas emocionais”:

- Compaixão: o agente (relembrando, a pessoa que executa uma abordagem de engenharia social) tenta despertar na vítima um sentimento de compaixão ou pena alegando enfrentar um problema grave de saúde ou dificuldades financeiras, por exemplo;

- Perigo: o agente tenta convencer a vítima de que ela está sob algum tipo de ameaça, por exemplo, alegando que ela pode ficar com o “nome sujo” se não pagar uma dívida que, na realidade, não existe;

- Vantagem: o agente apresenta à vítima uma falsa oportunidade dizendo que, se determinada ação for executada, ela será recompensada de alguma forma – com parte de uma herança ou um prêmio de loteria, por exemplo;

- Sedução: o agente se aproxima da vítima com o falso intuito de estabelecer um relacionamento amoroso; quando ambos estão mais próximos, o agente tenta obter vantagens, como dinheiro para uma emergência que, na realidade, não existe;

- Confiança: o agente tenta conquistar a confiança da vítima se oferecendo para ajudá-la a resolver um problema, por exemplo; em abordagens desse tipo, é comum o agente explorar a falta de conhecimento da vítima sobre determinado assunto para, com isso, obter alguma informação sigilosa ou aplicar um golpe;

- Curiosidade: o agente apresenta ao alvo algum assunto para tentar despertar a sua curiosidade, como um link que promete um vídeo escandaloso de alguma personalidade famosa, mas que, na prática, leva a um malware, por exemplo;

Para explorar essas e outras “vulnerabilidades emocionais”, o agente pode fazer uso de argumentos de persuasão, intimidação, bajulação e assim por diante. Frequentemente, essa pessoa se cerca de informações relacionadas à sua abordagem para aumentar as chances de o argumento ser aceito pelo alvo.

Tipos de ataques de engenharia social na internet

Como, hoje, a maioria dos ataques de engenharia social ocorre na internet, vamos a alguns exemplos de ações executadas com certa frequência de modo online.

Phishing

O phishing é uma das abordagens mais comuns e antigas da internet. Aqui, a pessoa recebe um comunicado falso por e-mail, redes sociais (como Facebook e Instagram) ou serviços de mensagens instantâneas (como o WhatsApp) que se passa por um aviso de um banco, órgão judicial, loja online ou operadora de celular, por exemplo.

Nessa modalidade, a abordagem de engenharia social se manifesta por meio de uma mensagem que pode afirmar que a pessoa tem uma dívida de alto valor, que alguém fez uma compra em seu nome, que sua aposentadoria vai ser cancelada ou que ela foi intimada judicialmente, só para dar alguns exemplos.

A intenção é deixar a pessoa tão alarmada ou preocupada que ela não percebe que, se clicar no link que acompanha a mensagem, será encaminhada para um site falso que pede seus dados ou baixa um malware (vírus).

Falso emprego

Eis um ataque cruel, que costuma explorar o desespero de pessoas na busca por trabalho. O golpe do falso emprego consiste em mensagens compartilhadas em redes sociais, serviços de mensagens, anúncios publicitários e outros meios que afirmam que uma empresa está contratando funcionários com urgência.

A pessoa é levada a fazer um cadastro, mas, no fim das contas, não recebe o emprego. A ação visa, na verdade, fazê-la pagar por um suposto curso ou taxa de inscrição, por exemplo, mas a vaga de trabalho em si não existe.

Saiba mais sobre como evitar golpes de emprego falso.

Vaga de empregos duvidosa no Facebook
Vaga de empregos duvidosa no Facebook

Golpe do Don Juan

No que é conhecido como "golpe do Don Juan", o agente tenta se aproximar de um alvo – frequentemente, mulheres bem-sucedidas e com mais de 40 anos – que buscam um relacionamento amoroso. Para seduzir a vítima, o agente pode se passar por um empresário de sucesso ou um estrangeiro à procura de um grande amor.

A aproximação pode ser feita via redes sociais ou serviços de relacionamento, mas, depois, a comunicação passa a ocorrer via telefone ou mensagens instantâneas. Após conquistar a confiança da vítima, o agente começa a pedir favores financeiros. Quando a vítima se dá conta do golpe, o agente some.

Esse tipo de ação faz muitas vítimas no Brasil e em outras partes do mundo. Em alguns casos, a pessoa até desconfia de que há algo errado, mas o medo de perder o seu "novo amor" a faz agir de modo descuidado — em boa parte dos casos, a vítima desenvolve uma afeição tão intensa pelo agente que fica "cega" para as suas ações.

Golpe do príncipe nigeriano

Esse é um dos golpes mais antigos da internet. Nele, o usuário recebe um e-mail de um suposto “príncipe da Nigéria” que precisa de ajuda para transferir uma grande fortuna para outro país. Como compensação pelo auxílio — que consiste em realizar pagamentos em moeda local para a transferência ser efetuada —, o tal príncipe promete entregar ao alvo parte da fortuna. É claro que isso nunca ocorre.

Esse golpe tem numerosas variações. O príncipe pode ser de outro país ou a história pode ser contada de outra forma, por exemplo. Mas o objetivo é sempre o mesmo: convencer a vítima de que ela será recompensada se topar transferir dinheiro para agilizar determinadas transações.

Pedido de doações

Pedidos de doações são frequentes nas redes sociais. Em comentários de postagens muito acessadas no Facebook ou Twitter, por exemplo, é comum encontrar usuários que, de olho nesse alcance, publicam mensagens no mesmo lugar pedindo auxílio financeiro para o tratamento de uma doença ou para a compra de alimentos.

Embora muitos desses pedidos venham de pessoas que realmente estão em situação financeira crítica, há quem tente se aproveitar da generosidade alheia para conseguir dinheiro fácil. Frequentemente, essas pessoas contam uma história dramática ou publicam fotos chocantes para convencer os demais participantes da rede social a realizar doações.

Serviço de atendimento em nome de uma marca

Nessa modalidade, golpistas criam perfis falsos em nome de marcas nas redes sociais ou em serviços de mensagens, como o WhatsApp. Em seguida, eles entram em contato com vítimas em potencial para tentar extrair informações sigilosas delas.

Isso pode acontecer, por exemplo, com um usuário que reclama do seu cartão de crédito em uma rede social. O golpista pode fazer uma varredura no serviço para encontrar esse tipo de queixa e, em seguida, entrar em contato com o usuário se passando por um serviço de atendimento ao cliente.

Se a pessoa não perceber que o perfil é falso, acabará passando informações que a colocarão em risco de prejuízo, como número, data de validade e código de verificação (CVC) do cartão de crédito. De posse desses dados, o criminoso pode fazer compras com o cartão da vítima.

Roubo de identidade

Modalidade muito comum, o roubo de identidade ocorre quando um agente se passa por outra pessoa. Isso pode ser feito de várias formas. Na internet, são frequentes os casos em que perfis falsos são criados nas redes sociais.

Outra abordagem comum – e mais perigosa – é a criação de contas falsas em serviços de mensagens, sobretudo o WhatsApp. Um criminoso pode conseguir a lista de contatos de uma pessoa após roubar o seu celular, por exemplo, e, na sequência, cria uma conta na plataforma usando a foto dela.

Depois, o criminoso envia mensagens aos contatos da vítima dizendo que ela trocou de número de celular. O golpe é efetivado quando esses contatos atendem aos pedidos do golpista, que costumam ser empréstimos de dinheiro para supostas emergências.

Engenharia social na internet — imagem ilustrativa
Engenharia social na internet — imagem ilustrativa

Como se prevenir de ataques de engenharia social

Os tipos de ataques de engenharia social descritos no tópico anterior são só exemplos. Há várias modalidades que não foram citadas – e tantas outras sendo criadas. A boa notícia é que, com alguns cuidados simples, o problema pode ser prevenido. Vamos a eles:

- Desconfie de ofertas muito generosas. Uma pessoa que não te conhece não tem nenhuma razão para te oferecer uma grande recompensa. Isso vale inclusive para "investimentos imperdíveis", com altas taxas de retorno por mês. Quando uma abordagem é muito vantajosa, lembre-se da máxima "quando a esmola é demais, o santo desconfia";

- Limite ao máximo a quantidade de informações sobre você nas redes sociais. Pessoas mal-intencionadas podem usar esses dados para traçar o seu perfil e, assim, elaborar formas convincentes de te abordar;

- Ao receber notificações de dívidas, intimações judiciais, compras não reconhecidas ou de qualquer outro assunto que cause preocupação, mantenha a calma. Não clique imediatamente no link indicado ou responda à mensagem. Na dúvida, entre em contato com a empresa citada na mensagem a partir de seus canais oficiais ou procure ajuda de alguém de confiança, como um parente ou um advogado;

- Em contatos para relacionamento afetivo ou amoroso, desconfie de abordagens excessivamente sedutoras. Se o relacionamento não evoluir para formas mais íntimas de contato, como telefonemas ou chamadas de vídeo, novamente, desconfie: a pessoa do outro pode estar tentando preservar a sua própria identidade, o que nunca é bom sinal. Tome ainda mais cuidado se a conversa resultar em pedido de dinheiro, não importa a finalidade. Nessas circunstâncias, são grandes as chances de um golpe estar em curso;

- Ao receber contato de empresas e órgãos públicos nas redes sociais, verifique se o perfil tem selo de verificação ou se é listado no site oficial da organização. Na dúvida, não passe nenhuma informação e entre em contato por telefone, chat no site oficial ou, dependendo da circunstância e se possível, busque atendimento presencial;

- Se um parente, amigo ou conhecido entrar em contato com você pedindo dinheiro ou favores estranhos, antes de ajudar, tente checar a identidade da pessoa. Você pode fazer isso entrando em contato com ela por outro meio ou fazendo uma pergunta que só ela saberia responder, por exemplo. Esse contato é importante, pois essa pessoa pode ter tido seu celular roubado ou seu perfil em uma rede social invadido;

- De modo geral, desconfie de toda e qualquer abordagem que envolva pedidos de informações pessoais ou dinheiro, principalmente se o contato partir de pessoas ou organizações que você não conhece ou tem pouco relacionamento. Na dúvida, opte por resolver o suposto assunto pendente de modo presencial ou por meio de um canal que você já tenha usado antes.

As orientações de segurança dos artigos abaixo também podem ser úteis para prevenir ataques de engenharia social:

Caso você seja vítima de alguma das abordagens listadas neste texto, não tenha vergonha: procure auxílio de especialistas (como advogados e contadores) e, se for o caso, procure a polícia para registrar um boletim de ocorrência.

Publicado em 03_12_2021.

Emerson Alecrim Autor: Emerson Alecrim
Graduado em ciência da computação, produz conteúdo sobre tecnologia desde 2001. É especializado em temas como TI, dispositivos móveis, internet e negócios.
Canais para contato (exceto dúvidas técnicas): TwitterLinkedIn