Engenharia social é a técnicade manipulação que explora o erro humano para obter informações privadas ou objetos de valor, a exemplo de uma chamada telefônica solicitando determinadas informações pessoais, senhas ou outras informações confidenciais. É utilizada por criminosos para atacar as pessoas com o poder da persuasão e obter informações com a finalidade de ganhar acesso a sistemas e computadores sem autorização. De maneira informal, podemos dizer que é a “malandragem”, onde o indivíduo finge ser outra pessoa para coletar as informações desejadas.

E, com a popularização do acesso à internet e digitalização de processos após o início da pandemia da Covid-19, os cibercrimes também cresceram. Segundo o Relatório de Inteligência de Ameaças Globais de 2021, os ataques aumentaram 300% desde 2020. E, nesse novo cenário, os criminosos se especializam cada vez mais e aperfeiçoam seus métodos de ataques e tipos de ransomware.

Em junho, a Microsoft emitiu um alerta sobre um grupo de cibercrime chamado BazaCall, que utiliza call centers para induzir os usuários a instalar um poderoso malware. Desde fevereiro de 2021, vem sendo observado um padrão incomum de atividade de call centers, que envolve mais de uma pessoa, todas seguindo um roteiro, o que demonstra a sofisticação e organização do grupo criminoso.

O golpe é estruturado em etapas e uma das técnicas que vem sendo utilizada é o call spoofing, por meio da qual os cibercriminosos conseguem falsificar a origem da chamada, fazendo com que a rede telefônica não identifique corretamente o originador que, neste caso, é uma estação diferente da de origem.

Os criminosos têm lançado mão cada vez mais de chamadas virtuais para ter acesso às contas dos clientes através da engenharia social. Esse tipo de ataque mostra que somente tecnologias não são suficientes para ter uma operação completamente segura.

A campanha, com alto nível de sofisticação, utiliza falsos avisos de cobrança de serviços, não solicitados, para induzir as vítimas a entrar em contato através do telefone, onde criminosos que se passam por atendentes, orientando as vítimas a instalarem o software backdoor BazaLoader, que fornece acesso backdoor a um host Windows infectado. As infecções, geralmente, seguem um padrão distinto de atividade.

Grande parte do problema nesse golpe e uma das características mais relevantes da engenharia social é o fator humano, pois, geralmente, o contato por call center faz com que as vítimas tenham confiança, acreditando no suposto profissionalismo das ligações. Outra tática adotada pelo grupo criminoso, que contribui para a velocidade das ações, é o fato de evitarem o envio de links de phishing diretamente por e-mail, ou seja, de sistemas de detecção comuns.

Através da engenharia social, os criminosos exploram o erro humano para obter o que desejam. Esse tipo de ataque comprova que o combate não é possível, utilizando-se apenas de tecnologias e ferramentas atuais como firewalls e antivírus, pois não são suficientes para impedir vazamentos e ter uma operação completamente segura, comprovando ainda que o fator humano é imprescindível para a segurança. Portanto, é necessário capacitar e conscientizar as pessoas, minimizando assim os riscos e as ameaças, cada vez mais sofisticadas e estratégicas.

Algumas medidas a serem tomadas para diminuir a eficácia dos ataques são melhorar os processos de autenticação e solicitar a identificação completa ao suposto operador. Além dessas medidas, pode ser necessária uma intervenção profissional apta a responder este tipo de ameaça de forma eficaz.

Por André Prevedel, chief technology officer da Neo