Engenharia… Social

Engenharia – en.ge.nha.ri.a – sf (engenho+aria) 1 Arte de aplicar os conhecimentos científicos à invenção, aperfeiçoamento ou utilização da técnica industrial em todas as suas determinações.”

E assim prossegue o dicionário Michaelis, enumerando, também, os ramos existentes nesta arte: agrícola, civil, de minas, elétrica, estatística, genética etc.

Mas e o que seria a engenharia social, de que tanto se fala e que, aliás, adquiriu uma conotação indesejável?

O que deveria ser apenas conceito dentro das ciências políticas passou a ser, já há muitos anos, sinônimo de uma atividade maligna, espalhada através da internet (na maioria das vezes replicada por usuários incautos), designando a arte da manipulação das pessoas, através de medo, insegurança, compaixão ou outros sentimentos, de modo a fazê-las baixar a guarda e render-se ao que solicita a mensagem. O propósito final? Muitos… No caso particular dos e-mails, o autor pode querer:

  • Ver sua criação circulando pelo mundo (tão cheia de idiossincrasias a natureza humana…)
  • Espalhar insegurança através de alarmes falsos
  • Tentar destruir reputações
  • Destruir ou obter dados contidos nos equipamentos dos destinatários (de forma direta ou através da instalação de um programa que os obtenha de maneira subreptícia)
  • Instalar um programa no equipamento do usuário que transforme sua máquina num zumbi a espalhar e-mails de propaganda (o chamado “spam”)

Uma das facetas da engenharia social são os hoaxes – palavra inglesa que designa trotes ou alarmes falsos – que têm estado presentes na internet desde 1988, através das chamadas correntes de e-mail, cujo conteúdo é redigido de modo a ser tão cativante que provoque no leitor o desejo de disseminá-lo a todos seus contatos, que nem se dão conta de estarem apenas favorecendo seus criadores.

Se antigamente as cartas-corrente eram usadas para se criar uma pirâmide financeira, hoje os e-mails expandiram esta finalidade e podem:

  • Continuar a tentar angariar dinheiro que o incauto destinatário da mensagem nunca verá multiplicado ou mesmo restituído (como as diversas mensagens de pretensos herdeiros de ditadores que não podem sacar pessoalmente tais quantias e que o elegem para fazê-lo; o exemplo mais comum é o chamado Nigerian scam).
  • Acenar com a oferta de ganho financeiro para quem repassa os e-mails. Por exemplo, no famoso hoax dizendo que Intel, AOL e Microsoft pagariam determinada quantia a quem repassasse o tal e-mail? Alguém pode realmente crer que seja tecnicamente possível à Microsoft acompanhar quem repassou o e-mail e para quantos destinatários o fez?
  • Solicitar o reenvio para que uma criança que está morrendo de câncer possa receber o objeto de seu último desejo (por exemplo, o famoso e-mail sobre Rachel Arlington, que pretensamente arrecadaria dinheiro para operar a pretensa menina de uma pretensa doença).
  • Pedir a divulgação da foto de uma criança ou jovem “desaparecido” e de dados dos seus familiares (o que, no caso de os dados estarem corretos e a informação ser falsa, gera pesados transtornos a tal família – o que leva à suposição de se que só se pode tratar de obra de algum desafeto). Em alguns casos, o desaparecimento é real, porém, a notícia fica ecoando por anos a fio após a solução do caso.
  • Narrar um episódio edificante que teria acontecido com alguma personalidade ou pessoa comum, pretensamente trazendo uma lição de vida (por exemplo, que Mel Gibson seria o próprio homem de rosto desfigurado que teria inspirado o filme “O Homem Sem Face”).
  • Divulgar o aparecimento de um vírus altamente destrutivo, que apagará o conteúdo de seu computador se você apenas mencionar seu nome ou se abrir um e-mail vindo de alguém chamado, por exemplo, Simon Ashton.
  • Avisar sobre pretensas doenças adquiridas de forma inocente, como “Leptospirose: urina de rato em lata de refrigerante mata amiga da família“, às vezes citando nominalmente casos de vítimas que teriam morrido – mas que continuam bem vivas…
  • Avisar sobre senhas de cartão de banco vencidas, problemas no SERASA, com o título de eleitor, CPF etc. Há casos até mais assustadores, como “E-mails maliciosos trazem até CPF da vítima“.

  • Divulgar que uma personalidade ou empresa teria emitido afirmações racistas (como foi o caso de Tommy Hilfiger). Nessas circunstâncias, somente se poderia creditar tal e-mail a pessoas que desejariam destruir reputações.

Mesmo que alguns aparentemente não apresentem maiores consequências, estes e-mails geram despesa, não somente pelo tráfego que consomem na rede, mas pelo tempo que consomem de leitura e processamento. Por exemplo, imaginando 100 milhões de destinatários consumindo cada um minuto na leitura do e-mail e trabalhando à base de R$ 60 a hora, ou R$ 1 o minuto. Este único e-mail teria custado 100 milhões de pessoas * 1 minuto * R$ 1/minuto, ou seja, R$ 100 milhões! Uma grande perda de produtividade, provavelmente algo comparável ao custo do tempo perdido no trânsito.

Estas mesmas técnicas de engenharia social podem trazer ameaças de efeitos mais danosos, como demonstram os famosos casos do vírus “Klez“, que causou prejuízos da ordem de US$ 14 bilhões. Neste caso, não se tratava de ameaça falsa, mas efetivamente de um malware (malicious software, tais como vírus, worms, spywares e cavalos de Troia) que vinha anexo a um e-mail e que, através de técnicas de convencimento, levava o usuário a abrir tal anexo, que afetava negativamente o sistema operacional e ainda se replicava utilizando os catálogos de endereços de e-mails existentes na máquina infectada.

Exemplo mais recente, que aproveita a onda de sucesso dos filmes de Harry Potter: “O novo filme do Harry Potter, que chega aos cinemas amanhã, já circula na web para download (apenas os primeiros 36 minutos), porém crackers já se aproveitam da situação para espalhar golpes pela rede… Os golpes são distribuídos em blogs e redes sociais trazendo comentários falsos como ‘Minha esposa e eu assistimos ao filme aqui. É perfeito!’, e são concluídos quando o internauta responde a uma pesquisa. ‘Ao buscar pelo download gratuito do filme, muitos usuários acabam fornecendo seus dados pessoais para poder ter acesso ao filme.'”

Outros e-mails de conteúdo falso trazem avisos dirigidos especificamente ao destinatário da mensagem, tais como problemas com título de eleitor, cartão de senhas ou token do banco vencidos, problemas na Serasa ou com o CPF do destinatário.

Há, ainda, casos registrados nos quais a mensagem maliciosa já vem com nome e CPF do destinatário, que foram “garimpados” na internet.

Hoaxes normalmente podem ser reconhecidos por um conjunto de características típicas:

  • Texto colorido, recheado de letras grandes
  • Avisos de urgência, pedidos de atenção ou equivalentes
  • O tradicional pedido para que a mensagem seja repassada a todos seus contatos – oras, se ela fosse realmente importante, seria necessário fazer tal solicitação?
  • Tecnicalidades pretensiosas, mencionando informações ou fatos que o leitor comum não tem como checar facilmente
  • Menções a datas inespecíficas de quando o pretenso evento teria ocorrido (“sexta-feira passada…”)
  • Menções a organizações, empresas ou pessoas de renome, normalmente de forma vaga (“A McAfee afirma que…”) ou talvez até com pretensos meios de contato com elas, mas que provavelmente o usuário não irá conferir…

O recomendável é se fazer uma averiguação com o remetente e/ou em algum dos sites abaixo (cujos hyperlinks foram utilizados nos exemplos ao longo deste texto), além dos sites de tradicionais fabricantes de antivírus:

http://www.e-farsas.com
http://www.quatrocantos.com/LENDAS/INDEX.HTM ou, mais especificamente: http://www.quatrocantos.com/pesquisa_quatrocantos_2.htm
http://www.urbanlegends.about.com
http://www.snopes.com
http://www.truthorfiction.com
http://www.scambusters.org
http://www.hoax-slayer.com/
http://www.breakthechain.org/about.html

Também é recomendável a leitura das cartilhas disponíveis em http://www.serasaexperian.com.br/guiainternet/.

E, claro, o leitor não deve se esquecer de que muitos dos antivírus que são oferecidos gratuitamente em sites (ou por e-mail) são eles próprios mecanismos de introdução de vírus – nada mais engenhoso do que a própria vacina oferecida causar ela mesma uma doença… Mais uma prova de que a engenharia social encontra mil maneiras para burlar nossa vigilância.

Afinal, a internet trouxe muitas facilidades – mas, atreladas a elas, mora o perigo; e cabe a cada um fazer sua parte para evitá-lo e para evitar sua disseminação.

 

Sugestão de leitura sobre a engenharia social em ação para o “seqüestro” de contas de e-mail: “E-mail, Identity, & Semantics


Anúncios

Sobre Roberto Blatt

Sou formado em Engenharia Eletrônica pela Escola Politécnica da Universidade de São Paulo (POLI-USP), tenho M.S. in Computer Systems and Information Technology pela Washington International University e MBA em Administração de Empresas pela FGV. Tenho mais de 25 anos de experiência profissional na área Administrativa Financeira, desenvolvidos em empresas nacionais e multinacionais dos segmentos automotivo, eletroeletrônico e serviços, vivenciando inclusive o start-up, dentro dos aspectos administrativos e financeiros e tendo atuado na gestão de equipes das áreas Administrativa, RH e Pessoal, TI, Financeira, Comunicação e Compras. Professor no Pós-Admn da FGV em Liderança & Inovação e Gestão de Pessoas. Para acessar meu blog com comentários e críticas sobre cinema, cliquem aqui ou, para artigos sobre Administração, Tecnologi a eresenhas de livros, em aqui .
Esse post foi publicado em Gestão de Pessoas e marcado , . Guardar link permanente.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s