Estamos todo habituados a olhar para as notícias de tecnologia que normalmente nos apresentam “gadgets”. Quando o tema é Segurança Informática ficamos sem perceber em concreto o que acontece ou o que aconteceu. A culpa não é certamente do leitor, mas sim de uma inexplicável incapacidade dos media em mostrar em “português” o que está a acontecer em “bits”.
Num momento em que a crise Europa-Rússia escala, o primeiríssimo plano de ação foi a desestabilização tecnológica pois esta é mais fundamental do que possa parecer e, para adensar este meu raciocínio, basta olhar para a história tecnológica contemporânea de Portugal e localizar o seu famigerado volume de ações Simplex para perceber o impacto de tudo isto parar de funcionar por causa de um ataque.
É com este avançar de ligações informáticas que se consegue agilizar uma nação e trazer a mesma para o século XXI, mas será que estamos prontos como sociedade para ser uma nação digital? A resposta é direta e clara: não. E porquê? Passemos à clarificação!
Há um investimento muito grande na segurança ativa da informática, isto é, antivírus, programas para repelir espiões e piratas, paredes de segurança entre as empresas, casas, pessoas e a internet e todo um mundo de coisas que piscam e brilham e nos colocam de facto mais seguros. Acontece que não há o hábito de investir na formação tecnológica do cidadão, seja com formação de base ou cursos gratuitos para que as pessoas de média e maior idade possam ficar atualizadas com a temática e depois o problema aparece, e aparece feroz. E que problema é este? Preparem-se para o palavrão: Engenharia Social.
Mas ao certo o que é isto da Engenharia Social? É uma técnica que pessoas como eu estudam e atacam e que outros usam e aproveitam para nos atacar a todos. Usam para nos enganar e levar a um famigerado click em qualquer coisa que ultrapasse todas as outras coisas que piscam e brilham, deitando por terra o custo enormíssimo dessas luzes e em última instância, do saldo da nossa carteira.
A Engenharia Social é o estudar aprofundado da forma como o ser humano pensa e age, aplicando manobras de sedução, ilusão, coação, medo, entre tantas outras, para levar a que as pessoas incautamente facultem acessos a recursos digitais, muitos desses filhos do Simplex, outros da evolução bancária, permitindo que o pirata se instale no nosso computador ou telemóvel e se as coisas complicarem, na nossa conta à ordem.
Claro que o alvo não são só as pessoas no seu ambiento privado, é certamente e com todo maior interesse criar esta ligação quando elas estão sentadas à mesa de trabalho, dentro de uma empresa que gasta avultados milhares de euros por ano para manter a porta digital fechada. Aqui, neste cenário, quando não há forma de entrar nas redes ou servidores da organização, o alvo é certamente o colaborador que poderá encontrar uma PEN USB caída na entrada da empresa e que contém um PDF a dizer “Curriculum Vitae” do CEO. É com um simples click que adveio da curiosidade que se abre a porta a toda a espécie de ataques que vão parar ao coração da empresa. Este ataque é mortal e vai impactar todos os que lá trabalham, os seus clientes e a atividade em si.
A engenharia Social tem este condão, de usar técnicas da psicologia para nos despertar as mais interessantes reações e essas, as que vêm do coração e da mente, não há chip que as pare ou lhes faça frente.
É exatamente a jogar com a curiosidade, com a solidão das pessoas, com o desejo de conseguirem dinheiro rápido, com ofertas de vouchers ou imagens nunca antes vistas de uma celebridade, que as vítimas caem neste conto do vigário sem suspeitar de nada e garantem ao pirata um acesso direto à sua vida pessoal e acreditem, os históricos do PC e do telemóvel possuem segredos imensos da nossa vida, a começar com as passwords e a acabar com os sites em que estas permitem entrar.
Agora, em jeito de saída e despedida da minha pessoa, fiquemos atentos às indulgências que repentinamente a internet nos dá, como preços extremamente baixos de bens e serviços que sabemos serem muito mais altos. Não há almoços grátis e provavelmente já está na mira deste amigo do alheio.
Será que a Engenharia Social fica apenas por aqui? Não, não fica. Muitas vezes, e quando as pessoas possuem uma profissão de relevo ou trabalham numa empresa proeminente, o atacante está tão perto delas que parece um filme de cinema, mas se pensarmos um pouco, como é que a PEN USB foi parar ao chão da entrada da empresa?
Docente, especialista em ciberegurança, keynote speaker em TED & IEEE Security.
Investigador vencedor do INNCYBER INNOVATION Cybersecurity 2021