Engenharia social: o que é e como não ser vítima?

Quando falamos sobre crime cibernético, logo imaginamos um exército de criminosos escrevendo códigos maliciosos em uma salinha escura e bebendo quantidades absurdas de energético. Essa visão hollywoodiana, porém, não costuma ser fiel à realidade. Na maioria das vezes, um meliante digital consegue roubar dados ou infectar um PC com um vírus usando um truque que é mais velho do que a própria computação: a engenharia social.

• GoDaddy cai em golpe de engenharia social e prejudica cliente e usuários
• Golpes de phishing fizeram 208 vítimas por minuto no Brasil em junho desse ano
• Semana do Brasil: golpistas já estão aplicando ofertas falsas; fique de olho

A engenharia social não está diretamente ligada à tecnologia. Trata-se da arte de manipular os sentimentos e as emoções humanas, no intuito de convencer alguém a adotar um comportamento ou tomar uma atitude que lhe convém. Obviamente, em grande parte do tempo, esse comportamento ou atitude acaba sendo prejudicial para a vítima e benéfica para o manipulador.

Quer um exemplo clássico? O golpe do falso sequestro nada mais é do que uma engenharia social — aproveitando-se do desespero da vítima de ter um de seus entes queridos, supostamente sequestrado por criminosos, os golpistas conseguem convencê-la a ceder uma quantia de dinheiro.

O "engenheiro social" é, acima de tudo, o especialista em manipular a mente humana. Medo, curiosidade, ganância — tudo isso pode ser usado para “cegar” um indivíduo. Na prática, isso se traduz a e-mails maliciosos com falsas promoções de smartphones topo de linha a R$ 300 (ganância) ou uma intimação fictícia de um tribunal lhe convocando emergencialmente para uma audiência, sob pena de ser detido por descumprir a ordem judicial (medo).

Como identificar?

Como já explicamos, a engenharia social, em si, não é um golpe, mas sim uma técnica de persuasão que pode ser aplicada nos mais diferentes tipos de esquemas na internet (e até fora dela). Falando especificamente de phishing (prática de "pescar" incautos com mensagens maliciosas), você consegue identificá-la pelos seguintes itens:

• Evoca sensação de medo: as mensagens causam pavor na vítima, usando motes que perturbem sua paz. Exemplos: notificações judiciais, registros de boletins de ocorrência, ameaças de extorsão, etc.;
• Evoca sensação de urgência: orientam a vítima a adotar o comportamento inseguro o mais rápido possível. Exemplos: confirmação de dados bancários dentro de poucas horas antes que sua conta seja bloqueada;
• Usa e abusa da curiosidade: os criminosos seduzem os internautas fazendo-os acreditam que vão saber de algo exclusivo. Exemplo: supostas fotografias íntimas de um conhecido ou até mesmo familiar, segredos obscuros de colegas de trabalho, etc.;
• Se aproveita da ganância: como citado anteriormente, os estelionatários também oferecem falsas vantagens para ludibriar os desavisados. Exemplos: falsas promoções de e-commerces, períodos de teste grátis de plataformas pagas, cupons de desconto para apps de delivery, etc.

Estratégias similares são usadas via telefone (vishing) e SMS (smishing) — alguém pode te ligar lhe convidando para uma suposta festa de gala e pedir para que você confirme um código enviado via mensagem de texto. Tal código, na verdade, poderia ser o de autenticação do WhatsApp, e seria usado pelo golpista para sequestrar seu perfil no mensageiro.

Visto que a engenharia social não é algo necessariamente atrelado a alguma tecnologia, não existe um app ou um software pronto para proteger você contra essa técnica. O jeito é ficar de olho nessas características supracitadas e desconfiar, por exemplo, de intimações judiciais para processos que desconhece e boletos de cobrança de compras que não fez.

Você já foi alertado sobre uma promoção imperdível naquele e-commerce? Visite a loja manualmente em vez de clicar no link, que possivelmente é malicioso. Prestando atenção em pequenos detalhes, você consegue identificar uma engenharia social e se ver livre de golpes na web.