Engenharia Social: manipulação e riscos para negócios recorrentes

Negócios com pagamento recorrente precisam gerenciar constantemente o envio de boletos e o pagamento com cartão de crédito. Se essa cobrança não for feita por meio de uma plataforma segura, como um ERP recorrente, os riscos de cair em golpes de Engenharia Social são grandes, principalmente se o seu cliente não estiver bem informado sobre essas práticas.

Para começar, vamos fazer um exercício de imaginação e simular o que é a Engenharia Social em boletos de cobrança. No meio da sua caixa de mensagens aparece um e-mail com o assunto: “Olá, fulano. Seu boleto está pronto para ser pago!”. Lá dentro, está anexado um arquivo que aparenta ser um .pdf. Obviamente, você irá baixá-lo.

Só que, em vez de um .pdf, com os dados para pagar o boleto, na verdade, é um arquivo executável (.exe, .bat ou .cpc maquiado). Ao clicar para abri-lo, ele executa um malware (programa malicioso) em seu computador que pode causar danos tanto a você quanto à empresa em que você trabalha. 

Outro golpe de boleto é quando o engenheiro social substitui os dados para pagamento. Desta maneira, ao pagar o boleto, o valor vai para a conta do fraudador e não para o real destinatário.

Mas não é tão simples assim. A Engenharia Social tem “evoluído” rapidamente e criado golpes mais sofisticados. Se você tem clientes que pagam mensalidade, vamos mostrar a você um guia para entender o que é Engenharia Social e como orientá-los a se protegerem.

O que é engenharia social?

Pode parecer algo novo, mas engenharia social é uma prática muito mais antiga que a própria popularização da internet. Basicamente, a definição seria: utilizar de influência, manipulação e táticas psicológicas para conseguir vantagem de alguém ou de alguma empresa. Normalmente, a pessoa que realiza o golpe tem o interesse em obter informações confidenciais ou dados pessoais.

Relacionam a prática ao digital por conta do tempo que passamos em frente a computadores, notebooks e smartphones – e consequentemente aos riscos que estamos expostos. Entretanto, por estar ligada a persuasão e contato pessoal, ela transcende esse ambiente.

Como a Engenharia Social se popularizou?

Kevin Mitnick, hacker norte-americano, foi um dos principais motivos da prática ter ganhado fama mundial. Ele começou a utilizar a engenharia social quando tinha apenas 12 anos, fraudando bilhetes de ônibus para conseguir viajar gratuitamente.

Tudo o que ele fez para conseguir acesso a informações confidenciais de grandes empresas e setores do governo norte-americano está em seu livro A arte de enganar.

A farra acabou em 1995. Ele foi preso e condenado a cinco anos de prisão e três em liberdade condicional. O “deslize” dele foi o de invadir o computador de Tsutomu Shimomura, um expert em segurança da informação. Ele rastreou Kevin e ajudou a capturá-lo. Tsutomu e John Markoff, jornalista do The New York Times, escreveram como foi esse processo no livro Takedown.

Após ser solto, Kevin se redimiu. Ele criou uma empresa de segurança da informação e passou a realizar palestras em todo mundo falando sobre a importância do tema. Inclusive, ele veio ao Brasil na edição de 2010 da Campus Party, evento organizado pelo Google. Na época, ele comemorava 10 anos da liberação da cadeia.

Como a engenharia social é aplicada fora da internet

Sem o acesso a internet, os golpes são aplicados via telefone ou contato pessoal. Por exemplo, o engenheiro social liga para alguém fingindo autoridade – tendo um cargo na mesma empresa que ela trabalha ou que presta serviço a ela. Como o contato é apenas por voz e a qualidade da ligação não é das melhores, não é difícil aplicar o golpe. Assim, é fácil conseguir dados confidenciais das empresas ou da pessoa.

Outra maneira de conseguir informações é literalmente fingir que faz parte do quadro de funcionários. O golpista chega na portaria e finge ter esquecido o crachá e o responsável por liberar a entrada, confiando na boa índole dele, o deixa adentrar no prédio. Isso funciona mais com empresas grandes em que o segurança não conhece o rosto de cada membro da equipe.  

Existiam também os que literalmente procuram no lixo da empresa por alguns dados que sejam interessantes. Muitas vezes, seja por falta de atenção ou tempo, os documentos confidenciais não são devidamente despejados – esquecem de passar no picotador, por exemplo. Isso é uma farra para os engenheiros sociais.

E esses engenheiros não param de “inovar”. Um dos últimos golpes é um engenheiro social ligar para uma pessoa se passando por atendente de banco. Ele liga dizendo que uma compra de valor alto foi feita com o cartão de crédito. A pessoa diz que a compra não existe e o “atendente” responde que irá direcionar a ligação para o “setor de cartões”. Um “novo atendente” então diz que o cliente precisará trocar o cartão e solicita a ele que digite a senha e o número no teclado do telefone. É aí que a pessoa é pega. Um programa malicioso está “enxergando” tudo o que está sendo digitado.

Com a tecnologia, mais golpes surgiram

Você já viu o exemplo dos boletos de cobrança por e-mail. Agora vamos a outro exercício de imaginação. Você está descendo sua caixa de e-mails cheia de mensagens como “Não perca esse desconto”, “50% off em toda a loja!”, “Pagamento efetuado com sucesso!”, uma chama a sua atenção: “Sua conta corrente está bloqueada!”.

A mensagem tem todos os requisitos para ser real: o texto está bem escrito, a pessoa conhece os seus dados e inclusive é assinada por alguém que aparenta ser um membro da instituição bancária. Não existem motivos aparentes para duvidar.

No final, existe um link que te leva para uma página externa. Novamente, nada a duvidar. Ela é do mesmo padrão de todas as páginas do seu banco. Lá pede para você informar seus dados cadastrais: CPF e senha bancária. Você preenche os dados, afinal, você quer desbloquear a sua conta.

Entretanto, o seu problema vai começar aí. A mensagem era falsa, não era alguém do seu banco e sim alguém se passando por ele. A página era falsa, estava apenas querendo se passar pelo seu banco. Você acabou passando os seus dados para alguém que dará um uso malicioso para eles.

Quais os riscos de cair nas mãos de engenheiros sociais?

Lembra do arquivo malicioso que comentei no início do artigo? Então, após ativá-lo, ele vai atuar em segundo plano, sem que você ao menos o perceba. Assim, ele vai te prejudicar de várias formas. Aqui vão dois exemplos:

• Captar os dados que você digitar dali para frente e transmitir para o sistema do engenheiro social – pronto para fazer o uso que quiser deles.
• Toda a vez que o computador for gerar um boleto, o malware (programa malicioso) vai capturá-lo e modificar seus dados com as informações do fraudador. Assim, quando for pago, o dinheiro não irá para a conta de destino inicial e sim uma outra para beneficiar o engenheiro social.

Viu o estrago que pode causar? Por isso, a primeira recomendação é orientar o seu cliente a pagar o boleto dentro do seu ERP e nunca anexado no e-mail.

Nos sistemas da Superlógica, por exemplo, o cliente vai receber uma mensagem personalizada com valor e data de vencimento do boleto e um botão para acessar um ambiente seguro.

Ao clicar no botão, ele entra no ambiente seguro da sua empresa, que está configurado no ERP Superlógica. Veja o exemplo abaixo:  

Ele também pode acessar a área do cliente para pagar o boleto com login e senha.

Como não ser afetado pela engenharia social?

• Saiba muito bem quem entra e quem sai da sua empresa;
• Classifique as informações para que os funcionários saibam o que é público e o que é confidencial;
• Duvide de qualquer oferta oferecida pela internet;
• Não divulgue seus dados para algum desconhecido via telefone. Primeiramente certifique-se de que a pessoa é realmente confiável para tal;
• Proteja as informações da sua empresa
• Nunca compartilhe senhas de acesso;
• Eduque seus funcionários sobre a importância da proteção de dados pessoais e da empresa;
• Sempre desconfie de e-mails com remetentes que você não conhece;
• Verifique o link de qualquer site que acessar e confirme que é oficial;
• Grandes empresas, sejam bancárias ou de outro tipo, não pedem seus dados confidenciais ou cadastrais por e-mail ou ligações telefônicas. Por isso não os forneça em hipótese alguma!