Brain Hack: Quando a confiança se torna uma vulnerabilidade

A Cibersegurança já não se limita a proteger apenas sistemas e dados. Atualmente, o fator humano é também uma vulnerabilidade, sendo cada vez mais o alvo preferido dos atacantes, necessitando de proteção não apenas por parte dos especialistas da área, mas por todos nós, enquanto sociedade.

De acordo com o relatório de Resposta a Incidentes da Palo Alto lançado em Fevereiro de 2025, os atacantes exploram várias frentes para aceder a dados ou sistemas sensíveis de uma empresa. No Top 3, em 2º lugar, encontra-se a frente humana, com 65% de casos registados, segundo as estatísticas. A exploração do fator humano, influenciando alguém a realizar uma ação ou a revelar dados, mesmo que não seja algo do seu interesse, é conhecida como Engenharia Social. No século XXI, é raro o cidadão que nunca recebeu um email, uma mensagem de texto ou uma chamada fraudulenta - Phishing, Smishing e Vishing, respetivamente. É importante notar que aqui falamos de Engenharia Social aplicada à Cibersegurança, embora esta possa ser aplicada a outras áreas, como Vendas e Marketing.

A Engenharia Social explora várias características humanas além da confiança, como a vergonha, o medo e a curiosidade. No final do dia, não são exploradas vulnerabilidades técnicas, mas sim vulnerabilidades psicológicas, com consequências potencialmente catastróficas para as empresas, incluindo perda de dinheiro e reputação. Os atacantes têm diversas motivações, como dinheiro, fama e reconhecimento. Se houver um atalho, uma vulnerabilidade que exige menos tempo para explorar e oferece o mesmo tipo de acesso, eles irão escolhê-la. Porquê gastar horas ou dias a explorar uma vulnerabilidade técnica quando se pode obter o mesmo tipo de acesso após alguns minutos numa chamada de Vishing?

Além das campanhas em massa (e.g. Mass- Phishing), as campanhas mais focadas num alvo (e.g. Spear-Phishing), seja uma organização ou um indivíduo, envolvem uma investigação prévia. Esta investigação, conhecida como OSINT (Open-Source Intelligence), envolve não só Dorking - utilização de queries avançadas em browsers (e.g. Google) para localizar informação que pode não ser facilmente acessível através da pesquisa convencional - mas também redes sociais e outras ferramentas criadas para o efeito. Quanto mais exaustiva for a investigação, mais bem construída e credível será a campanha.

Em termos de campanhas, as mais bem-sucedidas para os atacantes envolvem temas como benefícios, prémios, encomendas, investimentos, bónus e salário. Já os nossos antepassados diziam: "Quando a esmola é grande, o pobre desconfia".

Para aumentar a credibilidade e sucesso dos ataques de Engenharia Social, nos últimos anos foi adicionado um novo ingrediente à equação: a Inteligência Artificial. O uso de Deepfakes, seja por imagem ou áudio, permite utilizar vozes e imagens familiares ao alvo.

Existem já várias ferramentas no mercado que permitem que qualquer cidadão comum (não apenas pessoas com conhecimento técnico) consiga clonar a voz de outra pessoa ou falsificar uma imagem ou vídeo, pagando apenas uma quantia simbólica. O denominado “AI Slop” inunda as nossas redes sociais diariamente, tornando cada vez mais complexo para o ser humano identificar se o que está a ouvir ou ver é real ou gerado por Inteligência Artificial.

Algumas das campanhas de Engenharia Social que recorrem ao uso de Inteligência Artificial, em Portugal, ainda nos permitem distinguir que não são reais, mas sim fabricadas. Contudo, num futuro próximo, será quase impossível distinguir o que é real do que é falso. E nessa altura, o que fazemos? Devemos confiar? Ou devemos, primeiramente, duvidar e confirmar?

Apenas ao questionarmos conseguimos verificar se uma chamada, email ou mensagem de texto provém de uma fonte legítima. No caso dos emails, existem várias maneiras de confirmar a sua autenticidade, como analisar os cabeçalhos, o corpo do email - incluindo a forma como é escrito (verificando erros ortográficos ou outras pistas que indiquem que poderá ser Phishing, como urgência, links suspeitos ou maliciosos e intimidação para realizar uma ação dentro de um prazo estipulado), a assinatura do email e o remetente. Contudo, atualmente é comum o uso de técnicas de Spoofing, onde, devido a configurações incorretas nos registos de autenticação de email (SPF, DKIM e DMARC), é possível usar um domínio legítimo como máscara para enviar emails que parecem autênticos. Em casos de mensagens de texto, deveremos verificar o ID do remetente (caso não haja spoofing), a presença de links suspeitos ou maliciosos e a forma como a mensagem é escrita, de maneira semelhante à análise de emails referida anteriormente.

Finalmente, no caso de chamadas telefónicas, é importante confiar no nosso sexto sentido e também prestar atenção ao que nos é solicitado. Se o pedido for incomum ou parecer estranho, devemos desligar e ligar para o número oficial da empresa que supostamente nos contactou. Se houver suspeita de Spoofing, onde um número real (caller ID) é utilizado como máscara, é aconselhável desligar e ligar novamente para confirmar a origem da chamada. É crucial lembrar que o Spoofing é apenas uma máscara, não garantindo que o contacto foi realmente feito a partir de uma fonte legítima.

No futuro, as técnicas de Spoofing e o uso de Inteligência Artificial serão dois grandes aliados para o sucesso de ataques de Engenharia Social. É de extrema importância educar regularmente e de forma contínua não apenas os colaboradores das empresas, mas também o cidadão comum, incluindo familiares e amigos, sobre temas relacionados com a Engenharia Social. Hoje, mais do que nunca, é crucial lembrar que a moeda atual não é o Euro, mas sim a nossa informação.