Você já se perguntou como os golpistas conseguem manipular as pessoas, a ponto de persuadi-las a compartilhar suas senhas de acesso? Isso quando não fazem pior, e convencem a vítima a realizar transações financeiras em segundos. Não é só a lábia que garante o sucesso dos fraudadores, existe um esquema muito maior para guiar a ação criminosa. Estamos falando da engenharia social.
Assim como as fraudes, não é de hoje que esse tipo de abordagem existe e é explorado para tirar alguma vantagem da população, seja ela financeira ou não.
O que mudou com a evolução digital foi o modus operandi dos criminosos. Desde a chegada do PIX, novas modalidades de engenharia social surgiram adaptadas às vantagens e fragilidades desse método.
Neste post, vamos entender melhor como funciona essa técnica, descobrir o que está por trás do uso de engenharia social no PIX, quais são as táticas mais comuns e como identificar uma situação de risco. Vem com a gente!
O que é engenharia social?
A engenharia social é uma técnica de manipulação usada para persuadir indivíduos a fornecer informações confidenciais ou realizar algum tipo de ação que seja benéfica para o criminoso.
Diferentemente dos métodos tradicionais de hacking, que se concentram nas vulnerabilidades dos sistemas e softwares, esse tipo de ataque tem como alvo o elemento humano. Ele explora a confiança, a curiosidade e o subconsciente para gerar um senso de urgência ou sedução, capaz de convencer uma pessoa a passar senhas de acesso, dados pessoais ou até concluir uma transferência em nome do fraudador.
“No passado, o foco era na fraude documental, como em cheques ou falsificações de assinaturas, mas agora esse cenário se move para a engenharia social e o alvo são as pessoas.” Adriano Volpini, diretor da Comissão Executiva de Prevenção a Fraudes da Febraban.
Esses ataques podem assumir diversas formas, mas todos têm um mesmo objetivo: enganar a vítima. E o que torna a engenharia social tão eficaz é justamente essa exploração de aspectos fundamentais do comportamento humano.
Quem não se sensibiliza com o pedido de ajuda de um familiar? Ou se sente interessado por uma oportunidade de lucro imperdível? Quem nunca clicou em um link apenas por pura curiosidade? É na irracionalidade e sensibilidade humana que os golpistas usam a engenharia social para faturar.
Como funciona essa abordagem?
Se compararmos a engenharia social com um vazamento de dados ou com o uso de um malware, podemos perceber que, além do foco ser diferente, a abordagem também é muito mais sutil e às vezes até indetectável no primeiro instante.
Geralmente, esses ataques se baseiam no contato direto entre o invasor e o usuário. E, na maioria das vezes, a vítima entrega voluntariamente as informações ou faz a transferência sem avaliar o risco dessa interação.
A aproximação dos criminosos, normalmente, segue etapas bem-definidas. Primeiro, o fraudador estuda sua vítima em potencial para avaliar o comportamento do indivíduo e qualquer “brecha” que ele possa demonstrar. Depois, cria um plano para ganhar a confiança da pessoa e realizar sua abordagem, seja através de uma ligação, de uma mensagem, um email ou até presencialmente.
Lembrando que, aqui, o foco está no erro humano, na falta de informação, na espontaneidade ou irracionalidade que aquele alvo possa demonstrar no momento que interage com o criminoso. Ele, por sua vez, não precisa ser um grande especialista em fraudes para conseguir seu objetivo. Basta ter uma boa compreensão sobre o comportamento das pessoas e habilidade suficiente para sustentar a manipulação do começo ao fim.
PIX: o alvo favorito dos golpistas
Com mais de 150 milhões de brasileiros cadastrados e um volume transacional diário que já ultrapassou a casa dos 140 milhões, não tem como negar que o PIX é um prato cheio para explorar as táticas de engenharia social. Por mês, circulam mais de R$1,3 trilhão pelo sistema.
Não é à toa que em 2020, ano em que o PIX foi lançado, o Brasil tenha apresentado um aumento de 200% no número de ataques de engenharia social. Fomos, inclusive, o segundo país da América Latina com maior incidência desse tipo de estratégia fraudulenta.
“Hoje, 70% dos golpes feitos no mundo digital estão relacionados à engenharia social. Esse é o motor da fraude no Brasil.” Adriano Volpini.
E motivos para os criminosos investirem nesse método de pagamento não faltam. O PIX é muito mais ágil que o TED e o boleto; é mais acessível que o cartão de crédito; está disponível a qualquer hora e em qualquer lugar; é fácil de cadastrar; não tem custo nenhum para a vítima, o que pode tornar o comportamento mais impulsivo; e ainda é uma novidade para muita gente.
A criação do PIX também está associada ao processo de bancarização da população brasileira. A partir desse modelo de transação instantânea e gratuita, muitas regiões antes marginalizadas economicamente puderam participar dessa mudança de comportamento. O que não acompanhou essa transformação foi o acesso à informação, um dos desafios que podem justificar porque este público é um dos principais alvos dos fraudadores.
“Na minha visão, a engenharia social é o que tem maior foco atualmente. Com o PIX isso ficou muito nítido. O fato do sistema ainda ser visto como uma novidade influencia muito no conhecimento da população. Muitas pessoas ainda não sabem como o PIX opera, como se cadastrar ou onde é seguro criar a chave de acesso. E os criminosos se aproveitam dessa falta de informação.” Beatriz Lima, CDO da Data Rudder.
Os ataques de engenharia social mais comuns
Antes de saber como identificar o comportamento suspeito dos criminosos e se proteger, é importante se aprofundar nas diferentes táticas de engenharia social que fazem parte desse perfil de ataque. Aqui listamos as mais conhecidas, principalmente levando em consideração o PIX como um foco dos fraudadores.
Phishing
O phishing, sem dúvida, é uma das técnicas mais antigas e conhecidas dentro da engenharia social. Presente desde os primórdios da era digital, essa abordagem vem evoluindo e ganhando novos formatos.
A estratégia envolve a criação de mensagens convincentes simulando fontes legítimas, como empresas ou prestadores de serviço confiáveis. Seja por SMS, email ou telefone, essa abordagem direciona a vítima a fornecer suas informações confidenciais de senha e dados bancários, em sites fraudulentos que imitam perfeitamente os reais.
Um estudo sobre spear phishing, a modalidade utilizada quando existe um alvo específico para o golpe, mostra que uma empresa de porte médio recebe mais de 700 ataques desse tipo por ano. Os CEOs, um dos principais targets, recebem cerca de 57 mensagens de spear phishing nesse período.
Para entender melhor como funciona essa tática e seus diferentes formatos, é só conferir o nosso post sobre phishing aqui no blog. Explicamos tudo sobre o assunto.
Clonagem do WhatsApp
A clonagem de WhatsApp é uma das técnicas mais elaboradas de engenharia social, já que depende muito da inocência e falta de informação da vítima. Geralmente, ela tem como alvo pessoas idosas, que podem não ter tanta familiaridade com a tecnologia.
Nesse tipo de ataque, os invasores se passam por uma empresa conhecida pelo usuário e solicitam o código de autenticação do aplicativo. Sem saber do que se trata, a pessoa passa os números para o fraudador, oferecendo livre acesso à rede de mensagens.
É dessa forma que os criminosos acessam toda a lista de contatos da vítima e começam a mandar mensagens falsas, pedindo por ajuda financeira. Como o número é o original, é comum que as pessoas contactadas não desconfiem de imediato, possibilitando que a transferência seja concluída.
Perfil falso nas redes sociais
Essa tática é muito parecida com a anterior, mas ainda mais simples. Nela, o golpista não precisa persuadir um usuário para roubar seu acesso. Tudo que ele precisa são informações básicas como nome, email e foto para criar um perfil falso.
Com isso, o criminoso entra em contato com pessoas conhecidas e inventa uma desculpa para pedir o PIX. No caso do WhatsApp, por exemplo, o papo é sempre o mesmo: a pessoa mudou de número e resolveu avisar.
No decorrer da conversa, ela aproveita para contar uma história triste, uma emergência financeira ou pedir ajuda para enviar uma transferência em uma chave específica.
Se a vítima faz o PIX antes de checar a história, já é tarde demais. Quando ela percebe a fraude, o contato já sumiu e o dinheiro já foi transferido para outras contas laranja.
“Central de atendimento”
Essa modalidade de engenharia social é muito comum pelo telefone. Quem nunca recebeu uma ligação do banco ou da operadora de celular? Por mais que ele pareça real, muitas vezes esse contato vem de uma “central” falsa, que simula o atendimento para roubar os dados pessoais da vítima.
Em casos mais graves, a pessoa pode ser induzida no momento da ligação a fazer uma transferência para pagar uma “conta vencida”, uma “multa” ou uma “taxa de serviço pendente”.
É por isso que é importante lembrar: as instituições financeiras nunca entram em contato com os seus clientes para solicitar os dados bancários da conta. O cadastramento da chave PIX também não acontece dessa maneira, nem precisa de um “teste” para avaliar o funcionamento do sistema.
Falso agendamento
Essa é para pegar os desatentos. Um dos recursos que tornam o PIX ainda mais prático é o agendamento de transferências. Mas até nisso os golpistas encontraram uma maneira de fraudar.
Essa tática de engenharia social funciona da seguinte maneira: a vítima recebe uma mensagem de um contato desconhecido com a foto de um comprovante de pagamento. Imediatamente, a pessoa que enviou a imagem pede desculpas pelo “engano” e solicita que o PIX seja devolvido.
Sem entender o que está acontecendo ou avaliar o comprovante por completo, o indivíduo deposita o valor para a chave fraudulenta. Com o dinheiro na conta, o criminoso cancela o agendamento e lucra com o golpe.
“Falha” no PIX
Outra prática que veio a calhar para os fraudadores é o compartilhamento de fake news. A “falha no PIX” é um ótimo exemplo disso. Se aproveitando da falta de conhecimento de algumas pessoas, eles criam mensagens sobre um suposto problema no sistema que pode reverter positivamente para os usuários.
Também chamado de robô do PIX, os golpistas usam a engenharia social para convencer a população que algumas chaves estão devolvendo em dobro o dinheiro transferido. Para testar a veracidade da notícia, a vítima deposita valores pequenos, que são devolvidos corretamente.
Confiante que irá lucrar com a falha, ela começa a transferir valores cada vez maiores, até que para de receber. O criminoso fica com o dinheiro e a vítima não tem nenhum vestígio de onde o depósito foi parar.
Como identificar a ação dos golpistas
A engenharia social está muito relacionada à interpretação comportamental, não só das pessoas que são afetadas pelos golpes, mas também dos fraudadores. Por ser uma abordagem que envolve interação humana, é possível identificar alguns sinais suspeitos que podem levantar um alerta sobre a abordagem. Aqui vão três indícios importantes para levar em consideração:
Senso de urgência
Uma parte fundamental para o sucesso da engenharia social é despertar o senso de urgência na vítima para desencadear uma ação inconsciente. Mas, por outro lado, o fraudador também quer que o contato se resolva rapidamente, então ele também tem pressa.
E isso pode ser notado na maneira com que o assunto financeiro é abordado. Se é algo urgente, é melhor tratar em uma ligação ou, preferencialmente, em uma chamada de vídeo.
Intensidade
A manipulação é a essência da engenharia social. Para conseguirem o que querem, os golpistas vão utilizar recursos para despertar emoções intensas na vítima, como medo, curiosidade, raiva, culpa, alegria e entusiasmo. Tudo em nível máximo.
Portanto, é importante avaliar a mensagem antes de tomar qualquer atitude. Se é uma cobrança grave do banco, é fundamental usar um canal oficial para falar com seu gerente. Em uma emergência familiar, uma ligação resolve. Agora, se for uma oportunidade incrível, desconfie.
Persistência
Por fim, tem a persistência. Tudo o que um golpista quer é que sua tática dê certo, por isso, ele vai insistir o quanto for necessário para que a pessoa atenda seus pedidos. Esse comportamento intrusivo para criar pressão psicológica definitivamente não é o tipo de atitude que uma instituição séria teria, por exemplo.
Por que a engenharia social é perigosa?
Além do impacto emocional que essa modalidade de fraude causa nas vítimas, gerando insegurança e vulnerabilidade, a engenharia social também mexe com a confiança que esses usuários têm com o PIX e com outros métodos de pagamento. O que pode prejudicar o avanço digital da economia e a recepção que o público tem sobre essas mudanças.
Falando em números, a engenharia social pode ser um risco considerável quando o alvo são as empresas. E não só pela reputação. A IBM traz em seu relatório “Custo de uma violação de dados em 2022” que esse tipo de ataque gera uma despesa de US$4 milhões.
Um relatório de 2021 feito pela Verizon, operadora de telefonia americana, também mostra como a engenharia social está associada ao vazamento de dados. Segundo a empresa, dos incidentes de segurança relacionados a esse tipo de abordagem, 47% resultaram na divulgação das informações, seja de credenciais de login (63%) ou de identificação pessoal dos usuários (24%).
Como os usuários podem se proteger?
Com todas essas informações em mãos, já é possível ter mais desconfiança para lidar com interações suspeitas. Mas também existem outras práticas importantes para evitar que os seus clientes sejam as próximas vítimas. São essas:
– Não clique em links desconhecidos em SMS, email ou WhatsApp;
– Verifique sempre o email remetente e atente-se a erros de ortografia ou digitação;
– Se receber uma ligação atípica, use outro aparelho para ligar no canal oficial da empresa;
– Nunca entregue seu cartão de crédito ou chave de acesso para um desconhecido;
– Não passe dados sensíveis por mensagem ou telefone;
– Não utilize informações pessoais como senha em sites e aplicativos;
– Confira os dados de pagamento antes de finalizar o PIX;
– Verifique os selos de autenticação em sites de e-commerce;
– Use o cartão virtual para fazer compras online;
– Nunca use um computador público para informar dados pessoais;
– Desconfie de oportunidades imperdíveis de lugares desconhecidos.
E como fica a segurança das instituições financeiras?
Apesar de não acompanhar o dia a dia do usuário e estar ao lado dele no exato momento em que o criminoso faz a abordagem, as instituições financeiras desempenham um papel crucial na proteção de seus clientes contra ataques de engenharia social.
Utilizando um sistema antifraude baseado em dados, as empresas conseguem definir padrões de comportamento que podem apontar quando acontece uma movimentação atípica na conta, seja pelo valor, pelo horário ou pelo tipo de chave de transferência.
No caso das transações instantâneas, por exemplo, o DeLorean Antifraude PIX da Data Rudder oferece análises específicas para essa modalidade de transferência.
Um recurso importante é a criação de safe zones, que determinam quais são os locais seguros para o usuário transitar e fazer seus pagamentos. Então, se o cliente demonstra um comportamento fora do padrão, o sistema pode encaminhar a transação para análise ou reprovação, evitando que o PIX seja concluído.
Para entender melhor como as plataformas de analytics funcionam em casos de engenharia social, leia a matéria sobre o uso da inteligência artificial no combate às fraudes PIX.