Engenharia Social: como aspectos psicológicos podem se relacionar com golpes e fraudes

Em um mundo cada vez mais digital e interconectado, tem se observado o aumento de golpes e fraudes financeiras que se utilizam de técnicas cada vez mais sofisticadas de um campo denominado “engenharia social”. Diferente dos ataques cibernéticos que exploram falhas técnicas, a engenharia social se aproveita das vulnerabilidades humanas, mais especificamente de determinados aspectos psicológicos. Assim, ao longo deste artigo será exposto o que se tem compreendido por “engenharia social”, alguns aspectos psicológicos explorados por golpistas, ou “engenheiros sociais”, e como podemos nos proteger.

O que é Engenharia Social?

Embora muitas vezes associada a intenções maliciosas, a engenharia social existe há muito tempo e, em sua essência, trata-se da construção e alavancagem de influência para persuadir os outros a agirem conforme desejado. Contudo, a engenharia social tem se tornado uma estratégia de manipulação psicológica comumente usada por criminosos, no contexto de segurança da informação, para induzir as pessoas ao erro e enganá-las através de narrativas convincentes. Explorando vulnerabilidades humanas, como o medo de perder uma oportunidade ou a urgência de resolver um problema, essa estratégia pode levar a vítima a revelar informações pessoais ou a tomar ações prejudiciais.

Os ataques de engenharia social podem ocorrer através de diversos meios, incluindo telefonemas, e-mails (phishing), redes sociais e interações presenciais, e possuem quatro etapas em seu ciclo de ataque: (1) Coleta/pesquisa de informações sobre a vítima; (2) Estabelecimento de relacionamento ou interação com a vítima; (3) Exploração da vítima; (4) Desvinculação/fuga. Deste modo, os engenheiros sociais costumam coletar informações disponíveis na internet sobre suas vítimas para criar abordagens personalizadas e utilizar uma variedade de técnicas psicológicas para alcançar seus objetivos e, por fim, romper toda a comunicação com o alvo e a exclusão de provas. 

Quem são as principais vítimas?

De acordo com a Federação Brasileira de Bancos (Febraban), pessoas mais vulneráveis, como idosos, indivíduos com dificuldades tecnológicas ou aqueles com problemas financeiros, são os alvos preferidos dos golpistas. A vulnerabilidade emocional e a falta de conhecimento sobre tecnologias modernas aumentam significativamente o risco de se tornar uma vítima.

Quais são os principais aspectos psicológicos relacionados à Engenharia Social?

Na perspectiva de especialistas, para uma verdadeira análise do que está por trás do sucesso dos ataques de engenharia social se deve considerar os estudos do fator humano e das influências psicológicas. A nossa suscetibilidade à engenharia social não se deve a um único fator, mas a múltiplos fatores psicológicos que influenciam a nossa tomada de decisão, dentre elas, comum a todos os seres humanos, estão os vieses cognitivos (leia aqui vieses cognitivos e golpes financeiros).

Além disso, o psicólogo comportamental Robert Cialdini propôs 7 princípios fundamentais de influência psicológica que são comumente usados em ataques de engenharia social, e frequentemente usados em combinação, são eles:

-Reciprocidade: a regra da reciprocidade, se trata de uma tendência humana de querer retribuir favores, pois as pessoas não gostam de se sentir em dívida com outras. Um criminoso pode fazer um pequeno favor para a vítima, levando-a a sentir-se obrigada a retribuir, muitas vezes fornecendo informações ou realizando ações desejadas pelo golpista.

-Compromisso/consistência: indivíduos gostam de ser consistentes com o que disseram ou fizeram anteriormente, e gostam de manter um comportamento consistente. Quando se trata de engenharia social, se aceitarmos uma solicitação de conexão, raramente romperemos a conexão, sendo provável, ainda, que se tenha interação com ela.

-Prova social: os seres humanos têm uma tendência natural a seguir o comportamento de outros, especialmente em situações de incertezas. Engenheiros sociais podem criar cenários onde a vítima sente que a ação solicitada é um comportamento normal e aceitável, muitas vezes alegando que "todos estão fazendo isso" ou que é "procedimento padrão".

-Autoridade: se trata da ideia de que as pessoas concordem com especialistas confiáveis ou figuras hierárquicas superiores. Os engenheiros sociais frequentemente se apresentam como figuras de autoridade ou como pessoas de instituições oficiais para ganhar a confiança da vítima. Eles podem se passar por técnicos de suporte, policiais ou até mesmo colegas de trabalho. Uma vez que a vítima confia no golpista, ela é mais propensa a obedecer a solicitações e fornecer informações sensíveis.

-Simpatia: a simpatia é uma ferramenta poderosa na manipulação humana, uma vez que os indivíduos preferem dizer sim a quem gostam. Engenheiros sociais muitas vezes se apresentam de maneira amigável e prestativa para ganhar a simpatia da vítima e aumentar as chances do golpe ser bem sucedido.

-Escassez: Quando as pessoas acreditam que as coisas estão em falta, é mais provável que sintam necessidade de as ter, deste modo, a percepção de escassez pode levar as pessoas a tomar decisões impulsivas. Engenheiros sociais podem alegar que uma oferta é válida por tempo limitado ou que uma ação deve ser realizada imediatamente para evitar a perda de uma oportunidade. Esse tipo de pressão pode fazer com que as vítimas ajam sem a devida consideração ou por impulsividade.

-Unidade: Ficamos próximos de pessoas que identificamos como semelhantes a nós. E, não se trata de uma relação por semelhanças, mas por identidades partilhadas e a necessidade de pertencer. Quando pertencemos, ou sentimos que pertencemos, a um grupo, é provável que fiquemos mais suscetíveis a tentativas de persuasão.

Na prática, durante o ciclo de ataque, o agressor decidirá qual viés cognitivo e/ou abordagem psicológica terá mais sucesso com a vítima durante a fase do estabelecimento de relacionamento.

Como se proteger de ataques de engenharia social?

A Agência Brasileira de Inteligência (ABIN) orienta as seguintes ações para se proteger deste tipo de ataque:

1) Desconfie de ações e solicitação de informações sensíveis.

2) Verifique e exija comprovação de identidade.

3) Não abra links, anexos ou documentos de forma automática ou por hábito, faça uma pausa cognitiva e verifique se de fato é um link ou documento que deva ser aberto.

4) Limite informações sobre você em meios de fácil acesso ou redes sociais.

5) Delimite a priori quais são as informações sobre você ou sobre sua instituição que não podem ser compartilhadas.

6) Alerte a sua organização e o setor de segurança ao desconfiar de ter sido vítima de uma ação de engenharia social.

Concluímos este artigo com a reflexão de Barry Coatesworth, especialista em segurança cibernética e principal referência utilizada na elaboração deste trabalho: “Como a maioria das pessoas confia por natureza, é preciso mais do que software de antivírus e educação para se proteger contra phishing e outros ataques de mídia social. Você também precisa estar vigilante, cauteloso e ciente das táticas psicológicas que estão sendo usadas contra você” (tradução nossa).

Deste modo, em última análise, a combinação de conscientização e prudência pode ajudar a reduzir significativamente o sucesso desses ataques e tornar mais seguro sua vida financeira.

Referência bibliográficas:

ABIN. Engenharia Social. Guia para Proteção de Conhecimentos Sensíveis. 2021.

FEBRABAN. Por que tantas pessoas caem em golpes financeiros? - Meu Bolso em Dia. 2022. Disponível em: https://meubolsoemdia.com.br/Materias/porque-cair-em-golpe

Cialdini, R.B. Influence: The Psychology of Persuasion, Harper Business, Manhattan, NY. 2021.

Coatesworth, B. The psychology of social engineering. Cyber Security: A Peer-Reviewed Journal. Vol. 6, 3 261–274. 2023.