Explorar a confiança humana ainda é melhor do que hackear código (e como a confiança zero ajuda nisso)
Quando falamos de engenharia social, é tentador pensar nela como algo novo.
Mas quando conversei com o pesquisador de ameaças Tim Kromphardt no podcast The Segment , ele descreveu algo muito mais simples sobre como esses ataques realmente funcionam.
Os seres humanos seguem rotinas.
Tim comparou a situação a caminhar por um campo. Com o tempo, as pessoas naturalmente seguem o mesmo caminho porque é o mais fácil. Nossos cérebros fazem a mesma coisa com tarefas cotidianas no trabalho. Processamos solicitações, respondemos a e-mails e seguimos processos comerciais familiares sem pensar muito em cada etapa.
Os agentes maliciosos sabem disso e usam exatamente o mesmo processo que as pessoas de confiança utilizam.
Essa constatação revela algo importante sobre o cibercrime moderno. Os ataques mais eficazes não comprometem os sistemas, mas sim seguem os mesmos canais de comunicação que as empresas legítimas já utilizam.
É exatamente por isso que a engenharia social continua tão eficaz, mesmo com o avanço das ferramentas de segurança.
Isso também explica por que a política de Confiança Zero é tão importante. Se os atacantes conseguirem explorar a confiança humana para obter acesso, as organizações devem partir do princípio de que o acesso será concedido ocasionalmente.
O verdadeiro objetivo da arquitetura de segurança, portanto, não é apenas impedir a violação, mas limitar o que acontece em seguida.
A engenharia social ainda funciona porque os seres humanos são previsíveis.
Em cibersegurança, os ataques são frequentemente enquadrados como problemas técnicos. As redes possuem vulnerabilidades que permitem aos atacantes injetar malware e explorar falhas de segurança.
Mas, segundo Tim, as invasões mais bem-sucedidas começam com algo muito mais simples: engenharia social. Isso acontece porque as pessoas se baseiam em padrões e rotinas para processar informações rapidamente.
“Temos maneiras de simplificar as coisas que surgem o tempo todo”, disse Tim. “Seu cérebro segue o mesmo caminho porque é o mais fácil e economiza tempo e energia.”
Os atacantes se aproveitam disso.
Em vez de inventar truques totalmente novos, eles imitam processos legítimos. Eles enviam e-mails de phishing que se parecem com pedidos de compra. Os anexos em PDF assemelham-se a faturas de fornecedores. As chamadas parecem vir do suporte de TI, mas não são de uma fonte legítima.
Esses ataques não danificam os sistemas. Elas seguem o mesmo caminho que a comunicação legítima. É por isso que eles têm sucesso.
“Os agentes maliciosos entram e usam exatamente o mesmo processo que as pessoas de confiança usam”, disse Tim. “Eles esperam que você simplesmente siga a rotina.”
A essência da estratégia dos cibercriminosos reside na exploração da confiança já existente nas operações comerciais normais.
Os agentes maliciosos entram e usam exatamente o mesmo processo que as pessoas de confiança usam.
As táticas não mudaram, mas a escala sim.
Com toda a atenção voltada para a IA (Inteligência Artificial), muitas pessoas presumem que os atacantes estão constantemente inventando novas técnicas.
A pesquisa de Tim sugere o contrário.
“O mecanismo para conquistar a confiança de alguém não mudou muito”, disse ele. “Não existe nenhuma forma nova e inovadora de convencer alguém a fornecer suas informações bancárias.”
As táticas permanecem as mesmas:
- Fingir ser entidades confiáveis
- Construir credibilidade
- Criar senso de urgência ou familiaridade.
- Oriente a vítima durante uma ação rotineira.
O que a tecnologia mudou foi a escala.
A automatização de ataques com IA permite que agentes mal-intencionados enviem milhões de e-mails, testem diferentes iscas e refinem sua abordagem mais rapidamente do que nunca. As ferramentas de IA podem gerar variações de mensagens fraudulentas e automatizar partes de sua infraestrutura.
Mas a etapa final ainda depende da manipulação de seres humanos.
Até mesmo os golpes mais sofisticados acabam convergindo para o mesmo ponto. Os atacantes precisam convencer alguém a confiar neles por tempo suficiente para transferir dinheiro ou credenciais.
Tim descreve isso como uma espécie de funil. “Eles podem usar a criatividade com as iscas”, disse ele. “Mas, no fim das contas, eles ainda precisam obter suas informações.” Portanto, eles ainda precisam construir confiança ou explorar a confiança que já existe.”
Por que mais confiança significa mais perigo em ataques cibernéticos?
Uma das táticas mais perturbadoras que Tim está vendo ganhar popularidade é conhecida como abate de porcos.
O nome soa estranho, mas a estratégia é brutalmente eficaz. O agressor passa meses construindo um relacionamento com a vítima antes de pedir dinheiro.
“A ideia é engordar o porco antes do abate”, disse Tim. “Eles constroem confiança durante meses antes de pedir um grande investimento.”
O agressor pode fingir ter contatado a vítima acidentalmente por meio de mensagem de texto ou redes sociais. A partir daí, a conversa se desenvolve gradualmente. As vítimas recebem mensagens diárias com conversas informais sobre o cotidiano. Os agressores podem até compartilhar fotos ou vídeos para validar ainda mais o relacionamento.
Por fim, o atacante apresenta uma oportunidade de investimento. Inicialmente, a vítima investe pequenas quantias e obtém retornos. O atacante pode até permitir que eles retirem pequenos lucros para reforçar a credibilidade.
Em seguida, vem o verdadeiro pedido.
Eles dirão que existe uma grande oportunidade em que a vítima poderia dobrar ou triplicar seus lucros. “As pessoas acabam investindo todas as suas economias”, disse Tim.
Em um dos casos que ele estudou, um executivo da área de tecnologia perdeu sete milhões de dólares. O golpe teve sucesso não por causa de uma falha técnica, mas porque o atacante conquistou a confiança dos outros.
Por que pessoas inteligentes ainda caem em golpes?
Quando essas histórias vêm à tona, a primeira reação costuma ser de incredulidade. Como alguém pode acreditar nisso?
Mas Tim explicou que a psicologia por trás desses golpes é mais complexa do que parece. As pessoas não tomam decisões em condições perfeitas. Eles estão ocupados, distraídos e sob pressão — ou simplesmente em busca de uma conexão genuína.
Para Tim, isso destaca algo que muitas discussões sobre segurança ignoram. A engenharia social costuma funcionar porque os atacantes visam as necessidades humanas em vez das vulnerabilidades técnicas.
“Muitas pessoas hoje em dia estão buscando mais conexão”, disse ele. “As redes sociais distanciaram as pessoas dos relacionamentos tradicionais.”
Quando alguém parece amigável, acessível ou bem-sucedido, a confiança se estabelece rapidamente. E, uma vez estabelecida a confiança, o ceticismo desaparece. É exatamente com isso que os atacantes contam.
A realidade oculta das operações de fraude modernas
Outro mito sobre os cibercriminosos é que eles são hackers altamente sofisticados.
Às vezes são, mas muitas operações de fraude se parecem mais com centrais de atendimento telefônico corporativas. Eles elaboraram roteiros de conversas e definiram fluxos de trabalho. Muitos chegam a exigir métricas de desempenho dos golpistas.
Com base na pesquisa de Tim, essas operações de fraude estruturadas refinam seus roteiros constantemente. Às vezes, o objetivo é simplesmente coletar informações. Outras vezes, trata-se de identificar contas de laranjas ou canais de pagamento usados para movimentar dinheiro roubado.
Mas o processo subjacente permanece notavelmente consistente. Os golpistas querem convencer alguém a confiar neles para depois monetizar essa confiança.
Por que a conscientização sobre segurança por si só não é suficiente
O treinamento de conscientização em segurança tornou-se parte integrante da defesa corporativa.
Embora a conscientização sobre segurança seja fundamental, depender exclusivamente do comportamento do usuário cria um fardo impossível.
Como Tim salientou, os seres humanos não foram feitos para viver em constante estado de suspeita. “Não podemos simplesmente presumir que as pessoas sempre tomarão a decisão certa ou agirão perfeitamente”, disse ele. “Até mesmo funcionários bem treinados podem cometer erros.”
É por isso que o conceito de Zero Trust deve ir além da autenticação e da identidade. As organizações devem partir do princípio de que a confiança humana será ocasionalmente explorada.
A questão que se coloca é o que acontece a seguir. Um atacante pode se mover livremente pelo ambiente, ou seus próximos movimentos são limitados?
Não podemos simplesmente presumir que as pessoas sempre tomarão a decisão certa ou agirão de forma perfeita. Até mesmo funcionários bem treinados podem cometer erros.
A estratégia Zero Trust deve levar em conta o comportamento humano.
É aqui que a estratégia Zero Trust se torna essencial.
Não impedirá todos os golpes, mas pode limitar os danos quando a confiança for inevitavelmente abusada.
Se um invasor obtiver acesso a credenciais, a um dispositivo comprometido ou a uma conexão remota, uma estratégia de Confiança Zero, construída sobre os fundamentos de segmentação e visibilidade, pode impedir que essa vantagem inicial se transforme em uma violação completa.
O princípio da Confiança Zero reconhece uma verdade simples: os seres humanos sempre confiarão em outros seres humanos.
Os atacantes sabem disso, portanto os defensores devem projetar arquiteturas que partam do pressuposto de que a confiança pode falhar.
A estratégia Zero Trust ajuda a resolver os desafios de cibersegurança que estão por vir.
A tecnologia continuará evoluindo. A IA automatizará os golpes. A infraestrutura se tornará mais complexa. Os relacionamentos digitais substituirão os físicos.
Mas o problema fundamental permanece inalterado: o cibercrime ainda se resume à manipulação da confiança.
O fato é que a resiliência arquitetônica é o que mais importa atualmente. O manual de táticas dos cibercriminosos de hoje não se baseia na exploração de softwares, mas sim na exploração de nós.
Essa realidade deve reformular a maneira como as organizações pensam sobre segurança cibernética e deve direcioná-las para uma estratégia de segurança Zero Trust como prioridade máxima.
Ouça o episódio completo de The Segment: A Zero Trust Leadership Podcast em Podcasts da Apple, Spotify, ou nosso site.
%20(1).webp)
%20(1).webp)
%20(1).webp)
.webp)
