A importância do fator humano na cibersegurança 

Atualmente , dezenas de vulnerabilidades são descobertas (média de 50 por dia em 2021), e os atacantes encontram novas e engenhosas maneiras de explorá-las. É óbvio que, do setor de cibersegurança, é necessário igualar os esforços para evitar que esses ataques tenham êxito.  

Essa corrida tecnológica tem levado a inúmeros avanços e desenvolvimentos na infraestrutura tecnológica de empresas e instituições, mas não podemos esquecer um fator crítico: pessoas, sistemas com centenas de vulnerabilidades conhecidas desde o início dos tempos, em sua maioria não corrigidas. 

De acordo com dados coletados pelo Proofpoint, 20% dos usuários teriam interagido com e-mails contendo arquivos maliciosos, e outros 12% teriam acessado os links fornecidos nesses e-mails. Várias fontes indicam que o percentual de vazamentos de informações produzidos pelos funcionários varia entre 88% e 95%. Ignorar esse fator humano na cibersegurança representa um grande risco para as organizações. 

Por que isso acontece? 

Embora existam infinitas causas e motivações por que uma ação humana pode desencadear um incidente de segurança, de um informante que compartilha intencionalmente informações da empresa, a um erro acidental que deixa as informações expostas, o foco deste artigo são os casos em que há uma intencionalidade por parte de um invasor,  mas não por parte da vítima. Os exemplos mais comuns desse tipo de caso são:  campanhas de phishing, vishing (por telefone) ou smishing (por SMS). 

As técnicas empregadas nesses tipos de ataques não mudaram muito ao longo do tempo. Os mesmos métodos que Frank Abagnale Jr. usou nos anos 60 ou Kevin Mitnick entre os anos 80 e 90 para realizar as fraudes que os tornaram famosos, são tão eficazes hoje. Alguns deles, como os criados por Cialdinni, ainda são usados em marketing e comunicação, e até discutimos eles anteriormente no blog. 

O conjunto de técnicas e procedimentos utilizados para tentar motivar o usuário a realizar alguma ação em favor dos cibercriminosos é conhecido como Engenharia Social.  Embora também seja chamado por outros nomes mais artísticos, como «manipulação mental» ou «hacking humano», nada mais é do que uma aplicação de persuasão ou mudança de atitude. 

Nesse contexto, a psicologia propõe a Probabilidade do Modelo de Elaboração (ELM). O nível de elaboração de uma pessoa é baseado em dois fatores: sua capacidade para entender a mensagem, e sua motivação para fazê-lo.  Para ser honesto, lendo o e-mail na segunda de manhã antes do primeiro café, não temos nenhum dos dois. 

As mudanças de atitude produzidas em um assunto em alta elaboração são processadas pelo chamado «caminho central», e são mais profundas e duradouras ao longo do tempo, mas requerem argumentos mais fortes para entrar em vigor. Felizmente para os cibercriminosos, basta que dure os segundos necessários para que as vítimas sigam um link ou inserem suas credenciais, para que a vítima não precise prestar muita atenção. 

Essa combinação de fatores faz de um funcionário sob o efeito de fatores como cansaço, estresse ou sono a vítima perfeita da engenharia social. O que não significa necessariamente que, se estamos em perfeitas condições, não podemos ser vítimas das mesmas técnicas, mas isso nos torna extremamente vulneráveis. 

O que podemos fazer quanto a isso? 

Deixando de lado o componente puramente tecnológico, e focando no humano, tanto as empresas quanto os usuários podem tomar medidas para tentar reduzir o sucesso dessas técnicas de engenharia social, como a realização de campanhas de conscientização e treinamento na detecção de mensagens e atividades fraudulentas ou oferecer formas de report para que os usuários possam alertar em caso de detecção, entre outros. 

Como usuários, também em um nível pessoal, é importante estar atento  à nossa pegada digital: as informações disponíveis sobre nós mesmos no ciberespaço podem ser usadas para direcionar com mais precisão ataques que empregam engenharia social. 

Nas palavras do criptógrafo e especialista em segurança de computadores Bruce Schneier: «Se você acredita que a tecnologia pode resolver seus problemas de segurança, você não entende os problemas, nem entende a tecnologia.»