Engenharia Social – a mente humana ao serviço da cibersegurança

O contexto a que estamos expostos, com o surgimento da pandemia por covid-19, poderá ter implicado “um aumento no número de atividades ilícitas online”, referentes ao ano de 2020, segundo o CNCS(1). Destacam-se ciberameaças como o phishing, a par da engenharia social, que surge como vetor catalisador das ferramentas a que os cibercriminosos recorrem.

Segundo o autor Christopher Hadnagy, a engenharia social é “qualquer ato que influencie alguém a executar uma ação que pode ou não ser do seu máximo interesse”. Sabe-se que a engenharia social é uma das tendências nos ciberataques(2), mas a forma como as organizações têm abordado o tema pode não ser suficiente, dado que este assunto poderá ocultar um problema maior – uma causa subjacente a todos os sintomas visíveis.

A definição de engenharia social dá-nos algumas pistas: influência e tomada de decisão, e acrescento ainda o tema da consciência. E porquê? Segundo os autores Daniel Goleman e Richard Davidson, no livro Traços Alterados, a forma como se experiência a realidade implica a simples “consciência de uma coisa, que a nossa consciência vulgar nos dá” e “o conhecimento de que se está consciente dessa coisa – reconhecendo a própria consciência, sem (…) outras reações emocionais”.

Os cibercriminosos usam princípios de persuasão, como escassez ou reciprocidade, e recorrem a triggers emocionais, ou até mesmo à programação neurolinguística, a fim de influenciar a tomada de decisão das suas vítimas. O sucesso de um ataque de engenharia social é determinado pela resistência a essa manipulação, mas, não estando conscientes, as vítimas executam as ações solicitadas.

Poderia dizer-se, talvez, que o pensamento consciente é um antídoto eficaz para os ataques de engenharia social – quanto mais conscientes estivermos, mais nos apercebemos de que estamos a ser manipulados, e isso é indesejável para os atacantes. A consciência torna-se, nesta visão, uma ferramenta para lidar com este tipo de ataques. Talvez se possa até afirmar que uma mente à deriva representa uma ameaça para a cibersegurança das organizações.

Em contrapartida, um conjunto de mentes treinadas, e que se entreajudem para estarem mais atentas, pode revelar-se um ativo valioso. De salientar, por fim, que existe, de um modo geral, uma distância entre as políticas de segurança implementadas e o comportamento efetivo das pessoas nas organizações. Assim, é relevante passarmos de modelos tradicionais de awareness em cibersegurança para modelos mais disruptivos, recorrendo à psicologia e neurociência. Este é um caminho de responsabilidade conjunta: das pessoas, das organizações e da sociedade. E, nas palavras do Dr. Gabor Maté, “não há responsabilidade sem consciência – total consciência”.

(1) - Centro Nacional de Cibersegurança – Relatório de Riscos e Conflitos 2021

(2) - Centro Nacional de Cibersegurança – Relatório de Riscos e Conflitos 2021