Migalhas de Peso

Engenharia social a serviço do crime, roubo de dados digitais

A engenharia social utiliza técnicas psicológicas para a manipulação do comportamento. Ela explora a vulnerabilidade e incentiva seus alvos a agirem de acordo com seus interesses.

28/6/2023

Engenharia social é uma técnica empregada por criminosos virtuais para induzir usuários desavisados a enviar dados confidenciais, infectar seus computadores com malware ou abrir links para sites infectados. [1] Além disso, os hackers podem tentar explorar a falta de conhecimento do usuário. Graças à velocidade da tecnologia, muitos clientes e funcionários não percebem o verdadeiro valor dos dados pessoais e não sabem exatamente como proteger essas informações.

Cibercriminosos usam a engenharia social para invadir informações pessoais e de empresas. Uma vez que tenha a senha de um funcionário confiável, ele pode simplesmente fazer o login e procurar informações confidenciais. Com um cartão de acesso ou código para entrar fisicamente em uma instalação, o criminoso pode acessar dados e roubar ativos. 

Enquanto os ataques tradicionais alavancam vulnerabilidades de sistemas baseados em tecnologia, como erros de software e configurações incorretas, os ataques de engenharia social tiram proveito das vulnerabilidades humanas. Usam o engano para fraudar as vítimas, que são direcionadas a realizar ações prejudiciais. 

A maioria desses golpes funcionam porque as vítimas acreditam que se trata de algo verdadeiro. O principal objetivo do criminoso nesse caso, é convencer a vítima a entregar suas informações voluntariamente em vez de usar ameaças ou intimidação forçada. 

É o caso em que uma pessoa de má-fé abusa da ingenuidade ou da confiança de um usuário para persuadi-lo a fornecer informações sensíveis, como números de cartões de crédito, senhas, documentos pessoais, entre outros. 

Essa categoria de fraude ou de crime digital também pode acontecer dentro das empresas. O criminoso começa a ter contato com um colaborador, ou então utiliza artimanhas para induzir essa pessoa a realizar uma ação que favoreça o ataque. 

Tudo é baseado na interação humana e conduzido por criminosos que usam o engano das pessoas para violar os procedimentos de segurança que elas deveriam ter seguido. Assim, os criminosos utilizam a manipulação psicológica para convencer os usuários a cometerem erros de segurança ou divulgarem informações confidenciais. Em 2019, ocorreu com a Toyota Boshoku Corporation, fornecedora de peças automotivas, foi vítima de um ataque de engenharia social e BEC (Business Email Compromise). O dinheiro perdido chega a US$ 37 milhões. Usando persuasão, os invasores persuadiram um executivo financeiro a alterar as informações da conta bancária do destinatário em uma transferência eletrônica.[2]

A Engenharia Social explora emocionalmente as vítimas em potencial, testando diversas iscas até ativar o gatilho que deixa o alvo vulnerável. Geralmente, são aproveitados temas atuais, promoções atrativas ou falsos anúncios de premiações para realizar essa persuasão. 

A importância da internet na sociedade é indiscutível, dessa forma, cria-se leis para blindar seus usuários de atitudes ilícitas. Temos a Lei dos Crimes Cibernéticos, de nº 12.737/2012 (Lei Carolina Dieckmann), A Lei 12.965/2014 chegou para conferir os direitos e deveres dos usuários da rede, Lei 13.709/2018 (LGPD – Lei Geral de Proteção de Dados) Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

Há duas tipificações criminais para ataques de engenharia social. A primeira está dentro do artigo 155, parágrafo 4° e diz respeito ao furto mediante fraude. Contudo, a maioria dos crimes é tipificada como estelionato artigo 171.[3]

Contudo, deve ser destacado que não é suficiente, é preciso que cada um esteja em constante alerta para minimizar as violações que a cada dia se renovam. 

A segurança da informação deve ser analisada sob a ótica do risco, entendido enquanto uma “combinação da probabilidade de um evento e sua consequência”, conforme a norma ISO 27001[4]. Destacam-se dois componentes essenciais nesta análise: o impacto e a probabilidade.

O engenheiro social explora justamente o aspecto que corriqueiramente é renegado para segundo ou até mesmo terceiro nível de prioridade na segurança, qual seja, a conscientização dos vetores humanos no trato e proteção da informação. Controles de acesso físico ou remotos podem ser facilmente contornados com o convencimento de um funcionário despreparado, ou, dependendo da complexidade do ataque, de um parente ou amigo desse funcionário, que pode servir de “credencial” até ele para que então o verdadeiro ataque seja executado.

Quais são os cuidados contra os ataques de engenharia social? 

Em primeiro lugar, para evitar o roubo de dados por meio da engenharia social em sua empresa, seja cauteloso e use o bom senso. Algumas dicas: 

Palavra de ordem é: Desconfie.

______________

1 https://www.kaspersky.com.br/ 

2 https://br.claranet.com/blog/engenharia-social-o-que-e-e-como-se-proteger 

3 https://www.planalto.gov.br/ccivil_03/decreto-lei/del2848compilado.htm 

4 https://www.27001.pt/

Cristina Simões Vieira
Advogada | DPO | LGPD | CPC-A https://www.linkedin.com/in/cristina-vieira/

Veja mais no portal
cadastre-se, comente, saiba mais

Artigos Mais Lidos

A insegurança jurídica provocada pelo julgamento do Tema 1.079 - STJ

22/11/2024

O fim da jornada 6x1 é uma questão de saúde

21/11/2024

ITBI - Divórcio - Não incidência em partilha não onerosa - TJ/SP e PLP 06/23

22/11/2024

Penhora de valores: O que está em jogo no julgamento do STJ sobre o Tema 1.285?

22/11/2024

A revisão da coisa julgada em questões da previdência complementar decididas em recursos repetitivos: Interpretação teleológica do art. 505, I, do CPC com o sistema de precedentes

21/11/2024