Engenharia Social Reversa: Quando a vĂtima procura o criminoso
Por mais que o imaginário popular veja a figura do hacker como alguĂ©m ativo e agressivo que adora invadir sistemas para obter vantagens para si mesmo, nĂŁo Ă© exatamente esse o cenário quando falamos sobre engenharia social reversa. O que Ă© Engenharia Social? Aprenda a identificar e se proteger de golpes "Precisa de ajuda?" Novo malware tem atĂ© vĂdeo tutorial para te guiar no golpe Diferente da engenharia social social comum, quando o cibercriminoso aborda a vĂtima diretamente, o modo reverso da coisa traz o invasor em uma postura mais passiva e paciente. Nesse caso, ele monta um cenário propĂcio para que o alvo inicie o primeiro contato, buscando ajuda para um problema criado pelo hacker. Dessa forma, o usuário, que nĂŁo sabe que está caindo em um golpe, se sente mais Ă vontade para confiar no invasor, sendo que o criminoso consegue explorar essa relação prĂ©-estabelecida para passar a imagem de que está “salvando” a vĂtima ao invĂ©s de prejudicá-la. -Entre no Canal do WhatsApp do Canaltech e fique por dentro das Ăşltimas notĂcias sobre tecnologia, lançamentos, dicas e tutoriais incrĂveis.- TrĂade da armadilha: sabotagem, publicidade e assistĂŞncia A engenharia social reversa, assim como a tradicional, aposta na psicologia humana para manipular as emoções da vĂtima, criando uma sensação de confiança e dependĂŞncia que pode ser tĂŁo danosa quanto o modo mais “agressivo”. A engenharia social reversa manipula a vĂtima para que ela entre em contato primeiro (Imagem: Reprodução/CCM). Basicamente, a engenharia social reversa se desenrola em trĂŞs atos. O primeiro deles diz respeito Ă criação ou percepção do problema, quando o cibercriminoso elabora um tipo de necessidade para fisgar a vĂtima, como um alerta falso de vĂrus ou um bloqueio de conta. Já o segundo ato Ă© a propaganda da solução, influenciando o alvo a entrar em contato com o invasor. Geralmente, o criminoso deixa um cartĂŁo para visita tĂ©cnica, um nĂşmero para entrar em contato ou usa a reputação de um especialista em tecnologia, por exemplo, para que a resolução do problema esteja visĂvel para a vĂtima. Desesperada para resolver a situação, a pessoa vai atrás da ajuda, iniciando o contato com o criminoso sem saber que está caindo diretamente em uma armadilha. É assim que começa o terceiro ato, quando o alvo Ă© fisgado pelo hacker, que solicita acesso remoto ou credenciais sensĂveis para “ajudá-lo”. Cenário corporativo e o "tĂ©cnico amigo" A engenharia social reversa afeta o usuário comum de diversas maneiras, mas o estrago pode ser ainda maior no ambiente corporativo. Imagine que um hacker consegue obter acesso a um escritĂłrio, seja fĂsico ou virtualmente. Ele pode desconectar cabos ou criar falhas de software que provocam um impacto negativo no trabalho do funcionário que, estressado com o problema, decide ligar para o nĂşmero que encontra em um cartĂŁo de visita em cima da mesa. O ambiente corporativo pode virar palco do golpe do falso suporte de TI (Imagem: Reprodução/Compugraf). Do outro lado da linha, o funcionário se depara com uma pessoa prestativa que diz ser uma especialista em tecnologia e que demonstra estar apta para ajudá-lo com a situação. Ansioso para resolver o problema rapidamente para nĂŁo ser cobrado pelos chefes, o colaborador nĂŁo percebe que quem está por trás da voz paciente Ă©, na verdade, um cibercriminoso que aproveita esse senso de urgĂŞncia para aplicar o famoso golpe do falso suporte de TI. Ao pedir senhas administrativas e solicitar o acesso remoto, o hacker consegue instalar malwares no dispositivo fingindo que tudo nĂŁo passa de um simples diagnĂłstico para identificar o problema. Aproveitando a confiança prĂ©-estabelecida, o criminoso passa a ter em mĂŁos informações sensĂveis sem precisar usar tĂ©cnicas agressivas. Afinal, a vĂtima que iniciou o contato e concedeu os dados por “vontade prĂłpria”. Psicologia da autoridade VocĂŞ pode atĂ© estar pensando: “como alguĂ©m cai tĂŁo facilmente num golpe sem nem ao menos suspeitar do que está acontecendo?”. A resposta está justamente na psicologia da mente humana, que tende a se “submeter” quando se depara com figuras de autoridade. Cibercriminosos manipulam a psicologia humana para emplacar golpes (Imagem: Reprodução/AFD). Quando vocĂŞ procura um mĂ©dico, um advogado ou especialista em algum assunto, sua mente automaticamente assume que essas pessoas possuem um conhecimento que vocĂŞ nĂŁo possui. Isso te coloca em uma posição de submissĂŁo intelectual que, no caso de um golpe, estabelece uma relação de confiança difĂcil de ser quebrada. Diante desse cenário, psicologicamente falando, Ă© muito difĂcil para que a vĂtima suspeite de que está caindo em um golpe, já que, alĂ©m dela mesma ter ido atrás da ajuda, a posição de autoridade passada pelo hacker que finge ser especialista serve como um tipo de “salvação”. A pessoa se sente aliviada de encontrar alguĂ©m que vai resolver o problema, impedindo que ela identifique sinais básicos de um golpe, como a solicitação de senhas, por exemplo. Golpe no usuário domĂ©stico Saindo do âmbito empresarial, o usuário comum tambĂ©m pode ser influenciado negativamente a iniciar um contato que o direciona para uma fraude. Nesse caso, existem duas práticas usadas por criminosos para fisgar a atenção da vĂtima: scareware e SEO poisoning (envenenamento de SEO). Começando pelo scareware, esse tipo de software faz com que o alvo o instale acreditando ser uma espĂ©cie de antivĂrus gratuito, mas que faz o oposto. Uma vez instalado, o programa simula infecções para exigir um valor pela remoção do malware, que nem existe realmente. Já o envenenamento de SEO ocorre quando hackers compram anĂşncios no Google para que sites falsos de suporte apareçam antes dos oficiais. Assim, se alguĂ©m pesquisar por “suporte Microsoft”, por exemplo, existe a possibilidade do usuário entrar em um link malicioso acreditando ser o verdadeiro. Usuários comuns podem cair em golpes de engenharia social reversa num piscar de olhos (Imagem: Reprodução/PUC-Rio). Independentemente da tĂ©cnica utilizada, Ă© importante frisar que, em todos os casos, a vĂtima está no “comando” das ações, buscando ativamente por ferramentas que irĂŁo comprometĂŞ-la pelo medo e a urgĂŞncia vindos de um problema. Confiança zero Apesar de parecer coisa de fim do mundo, Ă© mais do que possĂvel vencer a engenharia social reversa. Afinal, a iniciativa do contato nĂŁo Ă© garantia de que o golpe definitivamente acontecerá. Tudo depende de uma sĂ©rie de fatores que podem ser revertidos, caso o usuário utilize o conceito básico de zero trust, ou confiança zero. O que significa "Zero Trust" (Confiança Zero)? Seja vocĂŞ um usuário comum ou esteja no universo corporativo, Ă© fundamental ter em mente a verificação constante de informações que chegam atĂ© vocĂŞ. É aqui que o zero trust entra com um princĂpio básico de “nunca confiar, sempre verificar”. Na prática, isso quer dizer que nenhum usuário ou dispositivo Ă© confiável por padrĂŁo, com cada oportunidade de acesso sendo vista como uma ameaça em potencial. É justamente por isso que especialistas reforçam a importância de verificar e autenticar seus acessos constantemente, atĂ© mesmo na relação de confiança estabelecida em uma rede corporativa. A melhor defesa, entĂŁo, Ă© sempre desconfiar. No caso de um erro suspeito que te motive a ir atrás de um suporte tĂ©cnico, Ă© imprescindĂvel verificar nos canais oficiais a veracidade daquele contato, ao invĂ©s de sair ligando para o primeiro nĂşmero que vocĂŞ ver. AlĂ©m disso, vale lembrar que conveniĂŞncia excessiva e ajudas fáceis sĂŁo dois sinais que podem acender o alerta para golpes, já que os cibercriminosos sĂŁo mestres na arte de manipular a mente humana, usando disfarces para pegar os desavisados. Leia tambĂ©m: O que Ă© phishing e como se proteger? Phishing com IA: como se proteger dos golpes digitais mais sofisticados Golpe da Tarefa dispara 75% e vira principal ameaça no Brasil; conheça Leia a matĂ©ria no Canaltech.