Engenharia Social: O Elo Fraco na Segurança da TI

Nada melhor do que acordar e dar uma olhadinhas nas tragédias em um site qualquer da internet não é?. Só não esperava por tamanha tragédia envolvendo a área de TI que, cá entre nós, me deu uma sensação de sorte por não trabalhar na C&M Software. Os colegas por lá estão tendo dias tensos.

Resumo do caso

A BMP, uma das instituições afetadas pelo ataque hacker, perdeu R$ 541 milhões após acesso indevido a contas de reserva no Banco Central.
A estimativa é de que pelo menos outras cinco instituições também tenham sido afetadas.
Nesta sexta-feira, a polícia de SP prendeu um suspeito ligado à invasão; investigação aponta uso de engenharia social.
A C&M Software afirmou que seus sistemas não falharam e que colabora com as autoridades.
Ainda não há confirmação oficial sobre o valor total envolvido no ataque, mas fontes da TV Globo estimam que a quantia pode chegar a R$ 800 milhões.

A imagem mostra alguns elementos ligados a superstição: vela, trevo de quatro folhas, um grimório, ramos. — Comecemos com o pé direito

Para não dar sorte ao azar, aviso desde já que este texto não tem por objetivo atacar o Senhor Hacker responsável pelo ataque (se ele invadiu o sistema bancário, nem quero imaginar o que ele poderia fazer com minhas contas) mas sim de chamar a responsabilidade para nós.

O que tenho a ver?

A capacidade de um atacante de comprometer sistemas complexos como os de uma instituição financeira é algo que, embora assustador, denota um nível de habilidade e persistência que merece, no mínimo, um respeito cauteloso. A sofisticação dos ataques modernos exige uma compreensão profunda das vulnerabilidades, sejam elas tecnológicas, processuais ou, mais criticamente, humanas. Em um mundo cada vez mais conectado e baseado na nuvem, com o surgimento de novas arquiteturas como o BaaS (Bank as a Service) e a proliferação de “Tudo as a Service” (dá para fazer um A a Z), a superfície de ataque só cresce exponencialmente. Isso significa não apenas mais portas de entrada para os hackers, mas também uma mudança de paradigma da segurança de “perímetro” para um modelo mais distribuído, tornando o cenário muito mais complexo para os profissionais de TI.

Para contextualizar a “sopa de letrinhas” (clique em cada um):

BaaS:

Bank as a Service: um modelo de negócios onde instituições financeiras oferecem seus serviços e infraestrutura computacional para outras instituições.

IaaS:

Infrastructure as a Service: Você aluga a infraestrutura (servidores, redes, armazenamento) e gerencia o sistema operacional e aplicações. Ex: AWS EC2, Azure VMs.

PaaS:

Platform as a Service: Você aluga uma plataforma completa para desenvolver, executar e gerenciar aplicações sem se preocupar com a infraestrutura subjacente. Ex: AWS Elastic Beanstalk, Azure App Service.

SaaS:

Software as a Service: Você usa um software pronto pela internet, sem gerenciar nada. Ex: Gmail, Salesforce.

XaaS:

Anything as a Service: Um termo guarda-chuva para tudo que é oferecido como serviço via nuvem.

No caso do BaaS, empresas não bancárias, como fintechs, grandes varejistas ou até mesmo startups, podem incorporar serviços financeiros diretamente em seus produtos e ofertas, como pagamentos, contas digitais, empréstimos ou seguros, sem precisar obter uma licença bancária completa. Isso acelera a inovação, democratiza o acesso a serviços financeiros e cria novas fontes de receita (ou fontes de dívidas, dependendo do ângulo). O problema é que, ao expor funcionalidades bancárias através de APIs (Application Programming Interfaces), novas portas de comunicação são abertas para o mundo.

E por mais que os profissionais de TI se esforcem para garantir que a segurança dessas APIs seja super robusta, e que o Shared Responsibility Model na nuvem seja bem compreendido (onde o provedor de nuvem garante a segurança da nuvem, mas o cliente é responsável pela segurança na nuvem), quem você acha que é o alvo preferencial para entregar a chave ou conceder acesso indevido por uma dessas novas “portas”? Exato, o humano. Além disso, a integração com múltiplos parceiros em um ecossistema BaaS aumenta o risco de supply chain attacks, onde uma vulnerabilidade em um dos parceiros pode comprometer toda a cadeia.

O Verdadeiro Elo Fraco: o que aparece diante do espelho

As invasões que realmente causam estrago frequentemente empregam táticas de engenharia social como um vetor inicial de ataque, explorando o “elo mais fraco” na cadeia de segurança: a gente mesmo. Os atacantes, sabendo da robustez dos firewalls, criptograficas e as soluções cuidadosamente pensadas, buscam a entrada mais fácil que pode ser facilmente aberta por você com um clique errado, pela abertura de um anexo malicioso ou uma informação cedida por engano.

A eficácia da engenharia social reside na exploração de vieses cognitivos e da natureza humana, como a confiança, a curiosidade, o senso de urgência, a autoridade ou até mesmo o medo. Os atacantes exploram nossa tendência natural a confiar, a nossa curiosidade por algo “novo” ou “urgente”, a nossa aversão a perder oportunidades ou a enfrentar consequências negativas, e até mesmo a nossa obediência a figuras de autoridade (mesmo que falsas). É por isso que, por mais tecnologia que se tenha, o “firewall humano” – ou seja, a consciência e o comportamento dos usuários – é a linha de defesa mais crítica.

Exemplos clássicos incluem:

Phising:

E-mails falsos que induzem ao erro, geralmente imitando instituições legítimas para roubar credenciais.

Smishing:

Phishing via SMS, fingindo ser o banco, operadora de celular ou serviço de entrega.

Vishing (Voice Phishing):

Golpes por telefone, onde o atacante se passa por um representante de banco, suporte técnico ou governo para obter informações sensíveis.

Pretexting:

Criação de um cenário fabricado e convincente para enganar a vítima a revelar informações ou realizar ações.

Baiting:

Oferecer algo atraente (como um “pen drive” infectado deixado em um estacionamento) para que a vítima o utilize e, assim, comprometa seu sistema.

Quid Pro Quo:

Oferecer um “serviço” (como suporte técnico gratuito) em troca de informações ou acesso.

Impersonation:

Atacantes se passando por colegas de trabalho, gerentes ou fornecedores para obter acesso ou informações.

Até mesmo uma pesquisa de opinião por telefone com perguntas aparentemente inofensivas, mas que fazem você revelar tudo que eles precisam para saber que sua senha é Pacoca&taubate0911.

Note que, embora a senha obedeça regras e boas práticas de tamanho e caracteres, ela foi formada a partir do nome da doguinha, cidade de nascimento e aniversário da mãe. Essas informações, aparentemente inocentes, podem ser coletadas de diversas fontes, como redes sociais, vazamentos de dados anteriores ou até mesmo conversas casuais.

Veja que a exploração da confiança e da urgência são pilares dessas táticas. Por isso, a conscientização e o treinamento contínuo em segurança (que envolvem processos e ações) são tão cruciais quanto as defesas tecnológicas. Dê uma olhadinha no conceito de “Zero Trust”

Zero Trust:

Políticas onde a confiança não é presumida (“never trust, always verify”). Isso significa que cada usuário, dispositivo e aplicação deve ser autenticado e autorizado continuamente, independentemente de estar dentro ou fora da rede corporativa. O Zero Trust exige granularidade no controle de acesso, micro-segmentação de redes e monitoramento constante, adicionando camadas de segurança com nomes técnicos chatos que vou poupá-los para, esperançosamente, lerem o texto até o final e compartilharem com o tio do zap.

A Metáfora Perfeita: Vampiros e o “Convite”

Se você já assistiu alguns episódios de “The Vampire Diaries” provavelmente viu que os vampiros não conseguem entrar nas casas das pessoas pois as casas já são entregues com firewall, built-in. A única forma de conseguir acesso é por meio de um convite do dono da casa. Sabendo disso, os vampiros vão atrás desse convite fingindo ser alguém (o técnico da internet) ou só usando o charme mesmo. O feitiço do firewall funciona, mas não adianta se abrirmos a porta e estendermos um tapete vermelho para o invasor.

A foto mostra um vampiro com olhos vermelhos, sorridente, charmoso, que tenta transmitir um ar de pessoa gentil e boa para ganhar confiança da vítima. — Hey,você não teria um colírio na sua casa para meu olho que amanheceu avermelhado?

Essa analogia é a cara da engenharia social. Nossos sistemas digitais – computadores, redes, contas bancárias – possuem suas próprias barreiras de segurança (firewalls, criptografia, sistemas de autenticação, sistemas de detecção de intrusão). Eles são os “feitiços default” que nos protegem. Mas o “Senhor Hacker”, agindo como um vampiro esperto, não vai tentar derrubar a parede com força bruta. Ele vai te manipular para que você, o dono da casa, estenda o convite. Um clique no link errado, uma informação compartilhada por telefone, um acesso concedido em uma página falsa, a instalação de um software malicioso disfarçado de atualização… e pronto. A porta está aberta, e todas as defesas tecnológicas se tornam irrelevantes porque você, sem querer, as desativou ao conceder o acesso.

Conclusão: Não Seja o Dono da Casa Ingênuo

Então, a moral da história é clara: por mais que a tecnologia avance a passos largos, os criminosos também e o ponto mais vulnerável continua sendo o fator humano.

A melhor defesa contra esses “vampiros sociais” não está só nos códigos, mas na sua cabeça e nas suas ações. A vigilância e a educação contínua dos usuários são, e sempre serão, a primeira linha de defesa contra os ataques mais sofisticados. Criar uma cultura de segurança robusta, onde cada indivíduo entende seu papel e responsabilidade na proteção dos ativos, é tão vital quanto qualquer solução tecnológica. O melhor antivírus é um usuário bem informado e como eu costumo dizer “SE ESTÁ NA INTERNET, É MENTIRA ATÉ QUE SE PROVE O CONTRÁRIO“

a foto mostra um senhor segurando um celular. Ele demonstra espanto com tudo que recebe pois acredita que tudo é verdade.

Adote sempre as seguintes práticas:

Verifique a Fonte:

Sempre desconfie de e-mails, mensagens ou ligações inesperadas, mesmo que pareçam vir de fontes legítimas. Confirme a identidade do remetente por um canal alternativo (ligando para o número oficial, por exemplo).

Não Clique em Links Suspeitos:

Links em e-mails ou mensagens podem levar a sites falsos. Digite o endereço do site diretamente no navegador, em vez de clicar em links de e-mails ou mensagens, especialmente se pedirem credenciais.

Use Senhas Fortes e Únicas:

Combine letras maiúsculas e minúsculas, números e símbolos. Evite informações pessoais óbvias. Use um gerenciador de senhas para criar e armazenar senhas complexas e únicas para cada serviço.

Habilite MFA (Autenticação Multifator):

Sempre que possível, ative a autenticação de dois ou mais fatores. Isso adiciona uma camada extra de segurança, exigindo uma segunda forma de verificação (como um código enviado ao seu celular) mesmo que sua senha seja comprometida.

Mantenha Softwares Atualizados:

Mantenha seu sistema operacional, navegadores e todos os softwares e aplicativos atualizados. As atualizações frequentemente incluem correções para vulnerabilidades de segurança conhecidas que podem ser exploradas por atacantes.

Pense Antes de Agir:

Se algo parece bom demais para ser verdade, se sentir pressão ou urgência incomum para tomar uma decisão, ou se a mensagem contiver erros de português ou formatação estranha, pare e reflita. Desconfie de ofertas irresistíveis ou ameaças.

Reporte Atividades Suspeitas:

Se você suspeitar que foi alvo de um ataque de engenharia social ou notar algo incomum, reporte imediatamente à equipe de segurança da sua empresa ou à instituição financeira envolvida.