O que é Engenharia Social? Exemplos e dicas de prevenção

Engenharia social (ES) é a atividade de manipular as pessoas para que elas forneçam informações confidenciais. Os tipos de informação que esses criminosos procuram podem variar. Genericamente, buscam dados que possam trazer algum tipo de ganho, como senhas bancárias, de cartões de crédito etc.

Entretanto, essas atividades não param aí. Apesar de ser uma expressão construída recentemente, podemos relaciona-la às técnicas de espionagem utilizadas há séculos. A engenharia social utiliza técnicas antigas, repaginadas para usar os meios de comunicação atuais como veículos ou a boa e velha inteligência a partir de fontes humanas [HUMINT].

Utilizar-se das fragilidades do sistema perceptivo humano, das nossas emoções e de características de processos básicos  do nosso psiquismo tem sido o objetivo tanto na “arte” do engano quanto no campo do entretenimento.

Há séculos nos divertimos com apresentações de mágicas. Um show de mágica nada mais é do que um exemplo de manipulação dos nossos sentidos e da nossa percepção. E veja quão interessante é para o nosso entretenimento…..

Após uma etapa forte na tentativa de invasão de sistemas eletrônicos para conseguir as informações,  certos criminosos perceberam que pode ser mais fácil invadir esses mesmos sistemas ou até mesmo utilizar técnicas antigas, mas eficazes, para conseguir as informações que desejam diretamente com os humanos.

Nesse contexto, os criminosos usam as abordagens de engenharia social porque geralmente é mais fácil explorar a nossa tendência natural para confiar do que perder esse mesmo tempo para hackear algum sistema. Por exemplo, é muito mais fácil enganar alguém para lhe revelar a sua senha bancária do que tentar invadir o celular atrás dela.

Exemplo de abordagem de engenharia social

Vejamos o grau de dificuldade desse exercício:

• O aluno deveria se aproximar e estabelecer um contato com as duas mulheres;
• Conseguir manter esse contato durante o tempo necessário para cumprir a tarefa do curso;
• Encontrar uma forma de  tornar “natural” a sua curiosidade sobre itens pessoais e protegidos, como o número da identidade e do CPF;
• Elaborar uma forma de que os “alvos” espontaneamente entregassem suas identidades e CPF;
• Cumprir a tarefa em tempo reduzido;
• Sair da cena sem despertar suspeitas.

Penso ser desnecessário comentar sobre o elevado grau de complexidade dessa tarefa.

A solução do aluno foi:

• Estabelecer o contato com as mulheres, apresentando-se como vistante da cidade [despertando o desejo de acolhida];
• Conversar durante um tempo para estabelecer um rapport [vínculo temporário de confiança na comunicação];
• Após isso, chega uma pessoa, perguntando se ele era o famoso numerólogo. Diz para não facilitarem, pois ele é capaz de descobrir os “maiores segredos” pelos números dos documentos de alguém. Que “ele mesmo” já havia visto uma apresentação e ficou “espantado“…. Em seguida, essa pessoa cumprimenta o “numerólogo”, pede licença e sai de cena.
• Diante da curiosidade despertada, o suposto numerólogo dá alguns detalhes sobre a sua capacidade de identificar a “personalidade” pelos números dos documentos de uma pessoa [aguçando ainda mais a curiosidade];
• A partir daí foi só receber os dados, oferecidos espontaneamente pelas vítimas, a identidade e o CPF, fazer algum cálculo falso e falar qualquer coisa….
• Romper o contato sem despertar suspeitas
• A tarefa estava cumprida, sem maiores dificuldades.

Fases de uma abordagem de ES

Em 2013, escrevi sobre as fases de um golpe. Vale a pena fazermos um resumo, mas recomendo que você dê uma olhada nas postagens completas, pois isso vai te ajudar a entender melhor como eles ocorrem:

Fases de um golpe [qualquer um]

Apliquemos o que aprendemos na série Radiografia dos Golpes ao caso acima:

1. A Promessa – foi feito o contato inicial, apresentando-se como visitante da cidade, com a finalidade de explorar a empatia com forasteiros e a hospitalidade. Foi realizada a conexão com a fase da fidelização por meio da chegada de um fã “desconhecido”.
2. A Fidelização – foi realizada pela história contada pelo “fã desconhecido”, igualmente aluno do mesmo curso, que ajudou diante da promessa de ser ajudado em sua tarefa. A manipulação ocorreu por meio de sugestões que atiçaram a curiosidade sobre alguém ser capaz de conseguir identificar a “personalidade” de alguém pela numeração dos seus documentos. Nesse momento, não há razão para as vítimas não acreditarem que estão diante de um numerólogo famoso, já que alguém “sem conexão” deu um testemunho de suas habilidades.
3. O Truque – Cumpridas as duas etapas anteriores, essa foi a parte mais fácil da abordagem, uma vez que as próprias vítimas entregaram espontaneamente a informação sobre as suas identidades. Foi só fazer uma encenação e falar qualquer coisa…. A tarefa estava cumprida.

Dicas de prevenção à engenharia social

Para não tornar a postagem muito teórica, vamos aplicar algumas dicas ao caso concreto tratado acima e fazer um exercício intelectual acerca dos possíveis efeitos dessas medidas à abordagem de engenharia social:

• • É importante levantar alguns indicadores e ter isso como padrão para qualquer conversação que seja estabelecida com estranhos [principalmente aquelas que “parecem” ter sido por nós iniciadas]. Durante a conversa procure levantar [nosso numerólogo se apresentou como novo na cidade]: (a) estava viajando sozinho ou acompanhado? (b) qual o propósito da visita? (c) tentou evitar alguma pergunta durante a conversa? (c) sua história parece consistente? (d) observe sua reação ao perguntar um sobrenome [que não interessa muito, é só para observar a reação];

• • Essas informações foram aqui inseridas em forma de itens e resumidas. É nossa tarefa, para o sucesso da nossa própria proteção, disfarça-las durante a conversação para que o suposto “engenheiro social” não perceba que está sendo alvo de uma avaliação. ou para observar as suas reações caso seja “macaco velho” e perceba que já está sofrendo uma avaliação.

• • Vejamos a utilidade dessas questões no caso concreto:
    • • O fato de ele responder se estava viajando sozinho ou acompanhado e o propósito [itens a e b] dará oportunidade para observar as suas reações se outra pessoa vier a interagir [as vítimas não sabiam se isso viria a ocorrer]. Nessa hora, será possível levantar indicadores sobre o seu conhecimento anterior, principalmente por meio da linguagem corporal e pelas expressões faciais;
      • O desconforto ao responder perguntas mais específicas [itens c e d] pode indicar que a pessoa procura ocultar alguma informação que a identifique, o que sempre é um péssimo indicador.

• • Quando da aparição da segunda pessoa: mais questionamentos poderiam ter sido feitos dentro do contexto disfarçado de uma “conversa descontraída“. Por exemplo: (a) onde e quando a pessoa havia visto a apresentação do numerólogo [oportunidade para a observação de surpresa e carga cognitiva]; (b) pedir para contar como foi a experiência [oportunidade para colher detalhes, como por exemplo algum que seja possível de verificar discretamente pela Internet, ao celular]

• • Observar as suas próprias emoções no sentido de perceber se a conversa pode ter o propósito disfarçado de manipular pelo(a):

• • Esses são os principais “gatihos” [palavra horrível e batida, mas vou usar aqui pra encurtar] utilizados na comunicação persuasiva. Se isso houvesse sido feito, as vítimas perceberiam que a abordagem se baseava em dois pilares: hospitalidade e curiosidade.

Você pode achar que é enjoado e chato ficar atento o tempo todo, mas acredite: depois que entra no “piloto automático“, você nem percebe que está fazendo esse tipo de avaliação sumária. É para a sua própria proteção!

Ficamos por aqui. deixe seu comentário ou dúvida

Uma boa leitura e até a próxima

Sergio Senna