Só há um assunto sobre o qual hackers compreendam mais do que tecnologia: comportamento humano.
Kevin Mitnick relata vários exemplos disso nos livros que publicou. Considerado pelo New York Times como o hacker mais procurado de todo o ciberespaço, ele conta no livro “A Ghost in the Wires” (2011, Captain Swing) como conseguiu ser bem-sucedido em um de seus primeiros ataques de engenharia social e ter acesso à informação de que precisava: perguntando.
O plano era obter acesso aos arquivos do sistema do Departamento de Veículos Motorizados da Califórnia – DMV, uma agência estadual que gerencia registros de veículos e carteiras de motoristas nos Estados Unidos. Mitnick descobriu que o DMV tinha uma linha policial para solicitação de informações de motoristas. Quando os policiais ligavam, precisavam passar por um segundo nível de segurança e dizer seu “código de solicitante”.
Mitnick ligou para a delegacia de Van Nuys LAPD, afirmou ser do DMV e disse que estava compilando um novo banco de dados. Então perguntou ao policial que o atendeu: “O seu código de solicitante é 36472?”. O policial respondeu: “Não, é 62883”.
Mais algumas ligações, e ele estava pronto para conseguir o número da carteira de motorista, o endereço residencial, a placa do carro e detalhes sobre o registro do carro de qualquer pessoa no estado da Califórnia.
O que um dos hackers mais conhecidos do mundo da segurança estava fazendo é o que hoje conhecemos por vishing, um tipo de phishing que, em vez ocorrer por mensagem digital, é aplicado por voz.
Décadas se passaram, mas pouca coisa mudou: de 80 a 95% de todos os ataques cibernéticos hoje começam com um phishing. O dado é de 2023, de um relatório da Comcast Business, que extrai dados de 23,5 bilhões de ataques cibernéticos, abrangendo 500 tipos de ameaças e 900 vulnerabilidades de infraestrutura e software em 2022.
Ou seja, phishing é o ataque mais usado porque ainda funciona.
A tecnologia avançou, mas as pessoas continuam as mesmas
Continuamos caindo em golpes de phishing porque envolve engenharia social. Ou seja, táticas de psicologia humana que ajudam o criminoso a obter acesso a dados sensíveis, como senhas, números de cartão de crédito e informações bancárias.
Em tempos de Black Friday, a criação de mensagens e sites falsos, que se disfarçam de comunicações legítimas, dispara. Promoções imperdíveis, compras vantajosas e, portanto, links irresistíveis. Isso faz com que as pessoas ajam rapidamente sem questionar a autenticidade da mensagem e as incentiva a realizar ações específicas, como clicar em links e descarregar anexos.
A essência do phishing está na persuasão. Para deixar as mensagens mais convincentes, os hackers mal-intencionados utilizam comunicações com tom de urgência e se passam por empresas legítimas, serviços online, bancos ou até mesmo colegas de trabalho, inserindo logotipos, nomes de domínio e informações de contato que se assemelham aos reais.
Nesta Black Friday, queremos ajudar você a entender um pouco melhor a psicologia por trás do erro humano. Para que, compreendendo melhor algumas engrenagens por trás do comportamento dos seres humanos, você consiga evitar descuidos que transformam as pessoas em vítimas de ataques.
Por que erros e descuidos acontecem?
Segundo um estudo conjunto da Universidade de Stanford e a Tessian, chamado “Entendendo os erros humanos que comprometem a cibersegurança das empresas”, um em cada quatro funcionários (26%) disse ter caído em um golpe de phishing no trabalho nos últimos 12 meses.
Os outros 74% não sabem se caíram ou não.
Além disso, mais de metade dos colaboradores (51%) afirmaram que cometem erros no trabalho quando estão cansados e o restante afirmou que comete erros no trabalho quando estão distraídos. Especialistas de Stanford comentam que os ambientes híbridos em que convivemos hoje impactam a carga cognitiva das pessoas – sua capacidade de prestar atenção enquanto fazem centenas de coisas ao mesmo tempo.
Quando a carga cognitiva está sobrecarregada, é que os erros acontecem. O que gera impacto na segurança.
Se estiver cansado ou distraído, não clique
Estresse, preocupação e pressão podem piorar a segurança cibernética das pessoas. E os cibercriminosos sabem disso: a maioria dos ataques de phishing são enviados durante o final da tarde, entre 14h e 18h, quando as pessoas estão mais propensas ao cansaço e à distração.
Um fator que potencializa o cenário é que os ataques de phishing estão mais difíceis de se detectar. Quando questionados sobre por que caíram em golpes de phishing nos últimos 12 meses, 54% dos funcionários disseram que foi porque o e-mail parecia legítimo. O restante afirmou que era porque o e-mail parecia ter vindo de um executivo sênior da empresa.
Um dos principais fatores que influenciam nesses casos é a prova social que invoca autoridade. Como seres humanos, respeitamos a autoridade, por isso, se um cibercriminoso se passar por um executivo sênior da empresa ou por uma grande marca do varejo, isso aumenta a probabilidade de o ataque funcionar.
Adicione cansaço, pressão e distração à equação. E você terá um ataque bem-sucedido.
O criminoso sabe mais sobre seu alvo do que o alvo sabe sobre o atacante
Os ataques estão se tornando mais sofisticados porque agora há muita informação sobre nós online. O criminoso sabe mais sobre seu alvo do que o alvo sabe sobre o atacante. E vai usar a nossa desinformação para criar ataques mais direcionados e fazer com que seus alvos confiem no que estão vendo, provocando a atenção das pessoas por meio de ganância, atratividade, confiança e medo.
É a (inevitável) natureza humana. Então, como não cair em golpes?
A abordagem à segurança se torna mais poderosa se for mais humana. Porque é apoiando as pessoas a evitarem tomadas de decisão impulsivas e a corrigirem erros em tempo, antes que se transformem em incidentes de segurança, que fazemos dos seres humanos o elo mais forte da cadeia.
Com tempo, conscientização e cultura, os comportamentos evoluem e os níveis de risco diminuem. Sugestão: Ainda mais se as equipes de segurança das empresas tiverem soluções inteligentes, que detectam ameaças automaticamente e alertam as empresas em tempo real, o que também pode elevar a proteção das pessoas e organizações. E não só isso: soluções que ajudem a identificar padrões comportamentais mais arriscados e a adaptar o treinamento e as políticas de segurança para as áreas e equipes que precisam de mais proteção.
Compreender como fatores como o estresse impactam o comportamento é muito importante para melhorar a segurança cibernética. Uma abordagem de segurança que prioriza o ser humano pode apoiar as pessoas e ajudá-las a proteger dados e sistemas de que precisam para realizar seu trabalho.