Emoções – O Exploit Humano

Um Exploit (em português explorar, significando “usar algo para sua própria vantagem”) é um pedaço de software, de dados ou uma sequência de comandos. O objetivo é se beneficiar de um defeito, falha ou vulnerabilidade a fim de causar comportamento acidental ou imprevisto em um software ou hardware (normalmente computadorizado).

Mas somente máquinas possuem vulnerabilidades? Na verdade não, no âmbito da engenharia social, o maior exploit que um atacante possui são as emoções. Apesar de ser o que nos define como humanos, emoções podem ser também falhas que, se exploradas corretamente, incitam decisões e ações contraditórias à lógica.

Todos sabemos que não devemos compartilhar as nossas senhas, mas vamos imaginar o seguinte:

  1. Um suposto técnico de TI da empresa liga após o expediente para informar sobre um problema na rede que vai impossibilitar de acessar os arquivos no dia seguinte;
  2. Vamos supor também que se depende destes arquivos para uma importante apresentação no dia seguinte e, levando isso em consideração, a necessidade é exclamada ao técnico;
  3. Preocupado com a necessidade específica, o técnico diz ter uma solução alternativa, mas vai precisar do seu usuário e senha para concluir a operação.

Nessa situação, você entregaria suas credenciais? Em um contexto de leitura, pode ser que não, mas você ficaria surpreso com o número de pessoas que no dia a dia acabam por colaborar com o atacante. Isto porque a preocupação de não ter acesso aos arquivos para a importante apresentação do dia seguinte teria sobrescrito a importância de averiguar se a pessoa com quem está falando é realmente um técnico certificado da empresa onde trabalha. 

Isso é a Engenharia Social, usando as emoções para driblar uma verificação necessária. Esse mesmo conceito é utilizado em diversas situações nas quais, se uma averiguação não for feita, o atacante terá acesso a informações preciosas do usuário. Esse golpe é muito comum e pode ser realizado via e-mail, ligação, SMS ou por Websites, mas não exclui também invasões físicas. Com um bom pretexto (história/motivo para estar ali), o atacante pode se passar por um entregador, técnico ou funcionário da empresa, tendo acesso a salas e dispositivos que não deveria.

Como tudo acontece?

Entrando um pouco na área de neurologia, vamos entender porque podemos tomar uma decisão logicamente ruim sem perceber, e verificar esse status quando já é tarde demais.

Sabemos que partes diferentes do nosso cérebro trabalham decisões lógicas e decisões emocionais. Temos uma resposta mais rápida para um estímulo emocional e isso é um traço ancestral de defesa, todos os humanos possuem para chegar em uma solução rápida em situações de perigo. 

O processo acontece da seguinte forma:

  1. O estímulo é criado através dos órgãos sensoriais (visão, audição, etc) e enviado ao Tálamo que serve como um dos controladores dessa informação, decidindo para onde será enviado;
  2. Ao julgar o estímulo como uma ameaça ou perigo, a fim de economizar tempo e energia na reação, o Tálamo envia a informação diretamente para as Amígdalas, ao invés de enviar para o Neocórtex processar conscientemente;
  3. As Amígdalas baseada nessa informação recebida, terá a reação mais próxima de padrões passados e/ou rotineiros.

É assim que você aprende, por exemplo, a posicionar as mãos para absorver uma queda ao tropeçar. Ao sentir seu corpo cair, o estímulo sensorial vai direto para as Amígdalas, que irão rapidamente responder a reação muscular de posição das mãos. Se você tivesse que pensar a posição exata das mãos ao cair, não daria tempo. Baseado nessa premissa, o cérebro usa seus recursos a fim de garantir segurança, ainda que não a mais precisa, porém da maneira mais rápida possível.

As Emoções

Não se limitando a semântica da palavra e incluindo os sentimentos mais conhecidos, nas próximas postagens desta série vamos focar em quatro emoções: Felicidade, Curiosidade, Medo e Raiva. A seguir uma visão base de cada uma delas:

Felicidade é um bom sentimento que geralmente estará acompanhado de esperança, sorte, surpresa, reconhecimento, recompensa, entre outros. Ataques usam ela através de bônus, promoções, vencedor de sorteio, loteria, às vezes até um simples elogio pode terminar em um bom resultado para o atacante. Esta emoção é a mais difícil de se induzir.

Curiosidade está cravado no ser humano e não precisa de muito para instigar esse sentimento. Geralmente estará acompanhado de polêmica, intimidade, ambição, medo, raiva, felicidade, entre outros. É um excelente complemento para as outras emoções, sempre usando da descoberta de algo novo para incitar a ação da vítima. Porém o caminho até essa descoberta, que quase sempre será falsa, pode revelar todos os seus segredos!

Medo é um dos nossos instintos mais primitivos e é muito usado em assuntos de Segurança e Responsabilidade. Essa emoção traz riscos ao conforto e sua suposta consequência são mudanças não premeditadas que geram stress. Golpes que usam esta emoção estão relacionados à antivírus, responsabilidades financeiras, corporativas ou de saúde, ou até mesmo fake news!

Raiva é uma das emoções mais intensas que se pode sentir e, por isso, é a que cega com facilidade a vítima. Ela geralmente estará acompanhada de frustração, repreensão, insatisfação, injustiça, destruição, entre outros gatilhos. Golpes que trazem a punição por uma violação, que não foi causada pela vítima, são os mais efetivos nesse âmbito.

Acompanhe nossas redes sociais, Facebook e LinkedIn, para receber o conteúdo do El Pescador em primeira mão.

Referências bibliográficas

MITNICK, Kevin; SIMON, William. The Art of Intrusion: The Real Stories Behind the Exploits of Hackers, Intruders, and Deceivers. Indianapolis: Wiley, 2005.

HADNAGY, Christopher. Unmasking the Social Engineer: The Human Element of Security. Indianapolis: Wiley, 2014. 

Luiz Carlos Chieregato Jr

Analista de Segurança do El Pescador


Leave a Reply

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

*