Por Allan Costa, Co-CEO da ISH Tecnologia
Há alguns anos, para a maioria de nós, receber um e-mail ou mensagem suspeita, de um remetente com quem você nunca teve contato, já levantava uma série de suspeitas. Como essa pessoa conseguiu minhas informações? Quais são suas intenções? Devo confiar no que ela diz? A quem denunciar?
Já hoje em dia, isso se tornou, infelizmente, parte do nosso cotidiano. Recebemos diariamente notificações sobre supostas multas em documentos oficiais, ofertas boas demais para serem ignoradas de um produto que estávamos buscando, ou um parente que retoma contato depois de anos, em uma emergência financeira. Reconhecemos a tentativa de golpe, e ignoramos de imediato – ainda que ataques desse tipo representem um risco real, e que não pode ser ignorado, para boa parte da população com menos conhecimento do meio digital.
E então entra em cena a evolução das tecnologias que permitem fraudes desse tipo, bem como a inventividade dos criminosos que as aplicam. Um e-mail com erros de português ou o link para comprovar uma compra de um cartão que você sequer tem dão lugar a uma mensagem de áudio ou vídeo se passando por seu familiar, pedindo socorro – vendo ou ouvindo o que parece uma imitação praticamente perfeita do seu parente, você seria capaz de ignorar o risco?
Leia também: Agentes de IA marcarão presença nos debates do IT Forum Praia do Forte 2025
Este é apenas um exemplo que ilustra como é complexa a luta contra a engenharia social no contexto atual. No caso acima, os deepfakes – que se tornaram populares em vídeos de tom humorístico, mas que também são armas perigosíssimas para forjar sequestros ou destruir a reputação de figuras públicas. Além disso, com a massificação do uso das IAs, são ataques que podem ser disparados em velocidades difíceis de acompanhar; se você está de fato esperando o contato de um órgão público, por exemplo, e chegam outros tantos se passando por ele, as chances de você cair na isca aumentam consideravelmente.
A tecnologia é só uma peça desse quebra-cabeça. No fim do dia, ainda são seres humanos que clicam onde não deviam, e por isso que os criminosos também apostam na psicologia e na manipulação emocional para que seus golpes tenham mais chances de sucesso. Temos os gatilhos “clássicos”, como induzir as vítimas a sensações de medo ou urgência, por exemplo: pense nas diversas ameaças de cair na malha fina ou ter seus dados bloqueados caso não pague uma taxa que você ou seus conhecidos já receberam.
Mas a confiança também pode ser manipulada: quando o fraudador se passa por alguém de respeito, como um executivo do alto escalão da sua empresa, te induzindo a baixar algum arquivo. Psicologicamente, por um fenômeno conhecido como efeito auréola, tendemos a dar mais confiança a esse tipo de comunicação.
Esse quebra-cabeça está nos custando, em todas as instâncias, muito caro. De acordo com um relatório da IBM, o custo global médio de um vazamento de dados foi de 4,8 milhões de dólares no ano passado – um recorde histórico. Além disso, os phishings, que colocamos no holofote aqui, são o segundo vetor de ataque mais comum (atrás apenas do roubo de credenciais), gerando 15% das invasões, num custo médio de 4,76 milhões.
Uma postura desconfiada é só o primeiro passo para ter alguma chance de responder a esse problema. É preciso também contar com um reforço substancial da tecnologia: monitorar o tráfego de dados, treinar IAs para reconhecer tráfego anormal de dados e/ou tentativas de exfiltrar dados sensíveis e, dentro dos limites éticos, determinar perfis de maior risco dentro do time de colaboradores.
A evolução da engenharia social não dá sinais de desaceleração, o que faz com que nossa única resposta possível seja fazer o mesmo: um progresso não só tecnológico, como também educacional.
Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!
