Engenharia social: não tem sistema antifraude que combata

Essa sempre foi e deverá ser ainda uma das grandes preocupações dos gestores de segurança do produto dos mais variados seguimentos de negócios e empresas, principalmente no meio financeiro: a engenharia social. - engenharia social: não tem sistema antifraude que combata.

As empresas estão investindo e apostando muito na inteligência artificial para combater as tentativas de fraudes, cada vez mais sofisticadas, que também utilizam a mesma tecnologia ultimamente. Porém, ações de “fraudadores humanos” estão conseguindo burlar esses sistemas através de estratégias que envolvem processos e procedimentos que dependem do humano, por mais que as máquinas desempenhem muito bem, às vezes melhores que uma pessoa, algumas tarefas, até pouco tempo atrás, essencialmente humanas.

Se você já leu o conteúdo que disponibilizei com o título “Dígito verificador dos números de RG: tem gente que ainda verifica isso?”, já entendeu que a fraude se divide basicamente em três tarefas: o ator (fraudador), a gráfica de documentos falsos e o roubo de dados. Neste último é muito empregada a engenharia social para invadir os bancos de dados e roubá-los, com o objetivo de cometer as fraudes.

Não se engane! As coisas não são como nos filmes, que nos mostram criminosos exageradamente sofisticados que utilizam sistemas poderosíssimos que “travam uma batalha com outros sistemas” até conseguir invadi-los. A coisa é bem mais simples. Eles só precisam que um usuário comum e desatento, ou desinformado, que aceite baixar um anexo de um e-mail desconhecido, por exemplo, para instalar um software espião. Este programa pode não ser detectado por um antivírus ou pelo firewall da rede. Então, pode ocorrer o roubo de dados.

Existem várias técnicas utilizadas pelos golpistas, entre elas:

Phishing - Pescaria através de e-mail bem convincente solicitando que você abra um anexo que, na verdade, é um malware que será instalado no seu computador e ficará ativo em uma máquina com credencial liberada para o banco de dados da empresa e dará acesso à sua rede.

Spear phishing - Similar ao Phishing, é focado em uma empresa ou instituição, a qual é elaborado um e-mail, a partir de assuntos e fontes comuns ao negócio (o banco utilizado ou um grande fornecedor), que pode ser focado em um departamento específico para garantir que ao menos um de seus integrantes seja enganado.

Baiting - É oferecido ou “esquecido” um pendrive, por exemplo, em um lugar de muita circulação no escritório, onde um dos funcionários “morde a isca”, tentando descobrir o que tem naquela mídia, instalando um malware sem perceber.

Pretexting - O hacker pode utilizar várias formas, ou vários pretextos, para convencer o usuário a fornecer informações sigilosas sobre si ou a empresa, através de uma pesquisa falsa ou um perfil falso de rede social, ou ainda uma identificação falsa da própria companhia, criando uma relação de amizade ou falsa hierarquia para extrair algum dado útil para a invasão.

Quid pro quo – Expressão em latim que significa “tomar uma coisa por outra” e é a origem da nossa palavra quiproquó. O objetivo é criar certa confusão na cabeça do usuário, o criminoso liga para vários telefones dentro da empresa, identificando-se como suporte interno de TI, para resolver o problema da pessoa, por exemplo, e, em algum momento, irá coincidir com algum funcionário que realmente fez a solicitação passando, então, dados de credenciais que permitirão algum acesso ao sistema no futuro.

Tailgating - A ideia é o criminoso pedir para um funcionário segurar a porta de acesso restrito, porque está atrasado, por exemplo, e, com muito carisma mal-intencionado, além da simples desatenção do colaborador às regras de segurança, pode ser dado acesso físico até aos servidores da empresa, de onde o hacker terá muito tempo para comprometer os dados.

Claro que vou abordar esse assunto mais voltado a fraudes no sistema financeiro, especificamente direcionadas aos clientes dessas instituições, geralmente com o intuito de adquirir vantagens financeiras. Então, vamos para o grupo dos fraudadores ou atores que cometem a fraude mais diretamente, mesmo que seja por meio digital.

Engenharia Social pode ser um conjunto de estratégias e técnicas com o objetivo de adquirir informações sigilosas e relevantes, através da obtenção e exploração da confiança de pessoas, utilizando-se de muita persuasão e de abordagens investigativas, até conseguir acessos a locais físicos ou a sistemas informatizados.

Quando o golpista chega numa pessoa, entrega um “presente de verdade” e pede para tirar uma foto desse “ganhador” e de seu documento de identificação, mas, na verdade, está com um aplicativo do banco aberto, pronto para fazer um financiamento, por exemplo, não há sistema que detecte isso.

Me lembro que, por volta do ano de 2013, num grande banco, começou a ocorrer uma fraude a qual uma pessoa, através de um contato telefônico, se identificava como um técnico do setor de TI e solicitava que o usuário concedesse permissão, através de um programa já instalado na sua máquina, para que fosse feita uma “atualização” de forma remota. O falso técnico pedia para a vítima desligar o monitor por alguns minutos e, enquanto isso, este acessava o portal do banco, que já estava aberto com o login daquele usuário, para aprovar dezenas de propostas de crédito sem validação.

Mais recentemente, no início deste ano de 2022, fraudadores ligaram para clientes de um determinado banco, de posse de uma lista, claro, já sabendo que a vítima estava pagando as mensalidades de um empréstimo, oferecendo portabilidade para outro banco com juros menores. Tudo feito pelo Whatsapp, envio das fotos de documentos e selfie, envio de dados, etc. Aprovado o novo empréstimo pelo outro banco, o fraudador solicitava que o cliente transferisse o valor para uma outra conta, para que “fosse feita a portabilidade”. A vítima, além de não reduzir os juros, acabou com novo empréstimo no seu nome, somando ao anterior.

Como um sistema pode detectar e barrar ataques como esses?

Na verdade, além de criar e adquirir sistemas para combater esses ataques, é necessário investir em informação para pessoas. Não resolve muito investir na aquisição de um portão forte e alto num condomínio, por exemplo, com abertura em duas fases, com câmeras e tudo mais, se o condômino abrir ao primeiro pedido “simpático” e carismático que receber. Investir em processos e conscientização é a forma mais segura contra a engenharia social, sem deixar os sistemas de lado, claro, mas a união dessas duas frentes, sistemas de segurança e processos, é a chave para o aumento eficaz da barreira contra esse tipo de fraude.

Esteira de Análise Completa

A Mesa de Análise Antifraude da HS Prevent está aqui para garantir a segurança do bem mais visado atualmente: dados pessoais. Nossos clientes, grandes ou pequenos, podem personalizar a análise de acordo com suas políticas internas, tudo de forma remota e fácil. Nossa abordagem única não é apenas o que nos diferencia, mas também o que nos faz uma empresa de SSP