O treinamento de conscientização de segurança não está funcionando no nível necessário. A engenharia social, no entanto, está em expansão. Por que o treinamento de conscientização não funciona e como podemos melhorá-lo?

A Engenharia Social é uma técnica utilizada por cibercriminosos para manipular pessoas a fim de obter informações confidenciais, acesso a sistemas ou realizar ações prejudiciais. Em vez de atacar diretamente sistemas de computadores, os engenheiros sociais exploram a psicologia humana, como preconceitos, desejos e medos, para obter vantagens em suas atividades maliciosas.

Essa abordagem está em constante crescimento e pode envolver o uso de phishing, falsas identidades, pretextos ou até mesmo a criação de situações de urgência para induzir vítimas a agir contra seus próprios interesses de segurança.

Neste texto, abordaremos como aprimorar o treinamento de conscientização de segurança em sua empresa para combater essas ameaças proporcionadas pela Engenharia Social.

Conscientização para além do Phishing

Primeiro, devemos separar o treinamento de conscientização de seu foco principal: phishing. O phishing em si não é o problema completo — o problema é o elemento de engenharia social do phishing que o torna bem-sucedido. A verdadeira ameaça é a engenharia social, e focar apenas no phishing significa lidar apenas com um subconjunto do problema.

Estatísticas sobre os efeitos gerais são difíceis de encontrar. A maioria dos números publicados sobre phishing, por exemplo, quantifica o número de ataques e não distingue entre tentativas de phishing e sucessos de phishing. No entanto, uma ideia do efeito total da engenharia social pode ser vista no último relatório do IC3.

O Relatório de Crimes na Internet de 2022 observa 21.832 reclamações de comprometimento de email corporativo (BEC, em inglês) com perdas ajustadas superiores a US$ 2,7 bilhões” (BEC é pura engenharia social). Outros números envolvendo engenharia social incluem: “As reclamações de fraude de investimento aumentaram de US$ 1,45 bilhão em 2021 para US$ 3,31 bilhões em 2022, o que representa 127%;” e “Suporte técnico/ao cliente e representação do governo são responsáveis por mais de US$ 1 bilhão em perdas para as vítimas”. Golpes românticos e fraudes de taxas antecipadas também dependem da engenharia social.

A verdadeira pergunta que precisa ser feita é: por que a engenharia social é tão bem-sucedida e como podemos resolver esse problema? Na discussão a seguir, o phishing pode parecer o tópico principal porque é o foco da maioria das pessoas; mas lembre-se, é a engenharia social que o sustenta.

Opiniões da indústria

As opiniões da indústria sobre a eficácia do treinamento de conscientização existente variam. “O treinamento de conscientização pode ser eficaz para educar os indivíduos sobre os riscos da engenharia social, mas não pode eliminar completamente a ameaça”, comenta Zac Warren, consultor-chefe de segurança EMEA da Tanium.

“A eficácia do treinamento de conscientização geralmente é prejudicada pelo fato de ser difícil cobrir todos os cenários possíveis de engenharia social, e as pessoas ainda podem cair em ataques que não encontraram antes”, acrescenta Craig Jones, vice-presidente de operações de segurança da Ontinue.

Mika Aalto, cofundador e CEO da Hoxhunt, aponta: “Hoje, com o aumento dos ataques BEC, é crucial que a liderança executiva seja treinada em campanhas de phishing direcionadas a pessoas, porque elas estão sob ataque implacável e apenas um movimento errado deles pode ter consequências desastrosas”. Isso deve incluir líderes do departamento financeiro e P&D.

“O treinamento de conscientização de segurança funciona”, diz Thomas Kinsella, cofundador e diretor de atendimento ao cliente da Tines. “Impede 100% das violações? Obviamente não. Mas o problema maior é que as organizações empurram a responsabilidade exclusiva de prevenir uma violação para os funcionários, exigindo treinamento e punindo qualquer um que falhar”.

Isso, ele afirma, é um problema adicional, mas associado. “Os programas de conscientização de segurança às vezes podem ter o efeito oposto do desejado quando culpam ou dão o exemplo de um funcionário que comete um erro. Isso desencoraja os funcionários a assumir seus erros ou mesmo relatar incidentes quando ainda há tempo para impedir um ataque.”

Embora a maior parte do pensamento da indústria seja que o treinamento de conscientização funciona, até certo ponto, John Bambenek, diretor de Threat Hunting da Netenrich, é severo com toda a abordagem. “Fundamentalmente, o treinamento de conscientização de segurança não resolve o problema da cibersegurança porque é realmente uma ferramenta dos advogados. ‘Veja, nós temos treinamento de conscientização; então, não é nossa culpa.’ Se protege contra a responsabilidade, é ‘bem-sucedido’ na mente de quem o implementa.”

O problema real, ele sugere, é como um dos principais tópicos da Estratégia Nacional de Segurança Cibernética – a responsabilidade é colocada muito no usuário final, e não no próprio setor de segurança cibernética.

“A conscientização sobre segurança”, continua ele, “é o equivalente digital a dar Tylenol a alguém com um ferimento à bala. Pode fazer você se sentir um pouco melhor, mas não resolve o problema real.” Disse John Bambenek, diretor de Threat Hunting da Netenrich.

O elemento psicológico da engenharia social

Possivelmente nos concentramos muito no “o quê” em vez do “porquê”: o que dá certo para o atacante, e não por que dá certo. O ‘o que’ pode ser um e-mail de phishing. O “porquê” seria “engenharia social”. A pergunta “Por que o treinamento de conscientização falha?” pode ser reformulada como “Por que a engenharia social é bem-sucedida?”

Bec McKeown, fundadora e psicóloga da Mind Science, oferece a causa subjacente. “O cérebro é um processador de informações de capacidade limitada”, explica ela. “Ele só pode lidar com um certo número de coisas a qualquer momento. Então, ele filtra as informações e nos faz pegar atalhos para lidar com o grande volume de informações que temos diante de nós.”

Nosso foco está no que estiver em alta no momento. Isso geralmente é concluir nosso trabalho da maneira mais eficiente possível. A filtragem geralmente é subconsciente para nos permitir manter o foco. Ele gira em torno de nossos próprios preconceitos subconscientes, incluindo preconceitos, preferências, ambições, esperanças e medos, etc. Os engenheiros sociais entendem isso.

“Eles geralmente lançam ataques quando nossos processadores limitados têm preocupações adicionais, como o fim de semana, um feriado ou o início de uma pandemia”, continua McKeown. “Neste ponto, nossos processadores limitados já estão sobrecarregados com informações e nossos vieses são intensificados.”

O invasor usa vieses extremos, como ganância, medo e necessidade de pressa, como gatilhos de engenharia social. As vítimas estão mais preocupadas em terminar o trabalho e sair para as festas de final de semana do que em analisar o último e-mail. A vítima está em modo de resposta ao invés de analítico. Inconscientemente, não é função do usuário se preocupar com a segurança cibernética – esse é o trabalho da equipe de segurança cibernética.

“Ao trabalhar em um ambiente de trabalho controlado e contido”, diz Ian Glover, MD da Inspired2 e ex-presidente da CREST, “há uma suposição de que a instituição cuidará de mim. A instituição impedirá que as pessoas entrem no prédio para me roubar, protegerá meus bens pessoais que levo para o trabalho, estará disponível para me ajudar se eu tiver algum problema e fornecerá tecnologia que ajudará a interromper os ataques”. Tudo isso limita a quantidade de consciência das ameaças de segurança cibernética, que se tornam prontamente excluídos de nossos cérebros de “processador de informações de capacidade limitada”.

É essa combinação de sobrecarga de informações, viés pessoal e a diminuição subconsciente da segurança cibernética como “não é problema meu” que permite ao engenheiro social usar o tempo e os gatilhos para violar as defesas humanas.

Existem basicamente dois tipos de engenharia social: pulverizar e rezar (que é puramente um jogo de números) e mirar com lança (que é uma habilidade). O treinamento de conscientização geralmente é considerado bem-sucedido se puder reduzir a suscetibilidade do usuário de 30% para 5%. Mas mesmo com esse sucesso, se um invasor spray & pray enviar 1.000 ataques por e-mail, 50 serão bem-sucedidos.

A tática de Spear-Targeting envolve pesquisar o alvo para entender vieses específicos. Isso pode ser feito facilmente por meio da mídia social e da presença on-line do alvo. O resultado é um invasor que sabe exatamente qual gatilho de viés puxar para capturar o alvo com um alto grau de sucesso. A mira de lança por um atacante com bons recursos, com tempo e habilidade, quase sempre terá sucesso.

Trabalho remoto

O trabalho remoto adiciona uma vantagem adicional à questão da engenharia social, embora nem todos acreditem que seja prejudicial. Warren acredita que aumenta o risco: “O trabalho remoto aumentou o problema da engenharia social porque criou novas vulnerabilidades e desafios para as organizações. Com o trabalho remoto, é mais provável que os funcionários usem dispositivos pessoais ou trabalhem fora de redes seguras, o que pode aumentar o risco de ataques de engenharia social”, diz ele.

Glover não tem tanta certeza. Ele acredita que o efeito inverso de assumir a proteção da ‘instituição’ será aplicado. “Assim que essas premissas de proteção e ajuda são retiradas, há um sentimento de maior responsabilidade pessoal”, sugere.

Bruce Snell, diretor de marketing técnico e de produtos da Qwiet AI, acrescenta: “O trabalho remoto aumentou a quantidade de comunicação diária nas organizações, tornando muito mais fácil verificar rapidamente a validade de uma solicitação que no passado poderia não ter sido verificada”.

Mas Andy Patel, pesquisador da WithSecure, aponta que esse aumento na comunicação também aumenta o risco. “Trabalhadores remotos normalmente dependem fortemente de métodos de comunicação digital como e-mail, bate-papo e videochamadas”, diz ele, “o que pode tornar mais fácil para os engenheiros sociais se passarem por contatos e fornecer conteúdo malicioso”.

Ele também levanta o problema separado: “Funcionários remotos que têm acesso limitado ao suporte de TI ou recursos de segurança podem ser menos propensos a identificar, relatar ou mitigar tentativas de engenharia social”. Isso pode ser agravado quando as empresas são forçadas a comprometer as políticas de segurança. “Oferecer um equilíbrio entre segurança e usabilidade pode levar a situações em que os usuários possam instalar coisas ruins em seus laptops da empresa.”

Chris Crummey, diretor de serviços cibernéticos executivos e de diretoria da Sygnia, continua com este tema: “Às vezes, os funcionários precisam encontrar maneiras menos seguras de realizar seu trabalho. Por exemplo, o funcionário usando um compartilhamento de arquivo não autorizado para enviar um relatório a um cliente.”

Há um problema adicional. Os trabalhadores remotos geralmente não são bons em separar vida e trabalho – e passam muito tempo trabalhando. Isso pode levar a um “processador de informações de capacidade limitada” cansado, que pode se tornar ainda mais suscetível à engenharia social.

IA e engenharia social

Até agora, discutimos as razões por trás do sucesso da engenharia social. O perigo é que isso piore muito rapidamente – por causa da inteligência artificial (IA). A IA será usada para aumentar a qualidade e a quantidade de ataques de engenharia social. Também pode auxiliar a tecnologia na detecção de ataques, mas não alterará a suscetibilidade do usuário à engenharia social.

Nos últimos anos, nossa preocupação se concentrou na tecnologia deepfake. “À medida que a voz e o vídeo deepfake se tornam mais acessíveis e convincentes”, comenta Al Berg, CISO da Tassat, “os invasores usarão isso a seu favor. Já estamos vendo o uso de tecnologia de voz deepfake sendo usada em ‘golpes de sequestro virtual’ e eu ficaria surpreso se ela ainda não tivesse sido usada para acionar pagamentos fraudulentos e transferências de fundos”.

Mas, diz Patel, “deepfakes ainda são muito caros de criar. Assim, seu uso, mesmo em ataques direcionados, provavelmente permanecerá mínimo. Imagens e vídeos sintéticos estão começando a se tornar mais sofisticados e fáceis de criar. Essas técnicas podem eventualmente ser usadas, mas apenas em ataques sofisticados e altamente direcionados”.

A ameaça imediata vem da crescente disponibilidade de grandes modelos de linguagem tipificados pelo transformador generativo pré-treinado – o elemento GPT do ChatGPT lançado em novembro de 2022.

“A WithSecure publicou recentemente uma pesquisa sobre o uso de modelos de linguagem grandes para criar conteúdo de engenharia social. Esses modelos são muito capazes de fazer isso, e as técnicas que ilustramos podem ser usadas para coisas como spearphishing”, continuou ele. “Outra possibilidade interessante é que os modelos de linguagem possam ser usados para alimentar chatbots ou para automatizar a formação de conexões com possíveis vítimas em conversas de e-mail mais longas, antes que o adversário entre em ação.”

Uma visão do futuro pode ser encontrada na publicação de Como usar o ChatGPT (em vendas) de Alfie Marsh, especialista em entrada no mercado e fundador da Rocket GTM. Isso demonstra o dimensionamento assistido por IA para mensagens personalizadas. Ele usa uma extensão gratuita do Google Sheets chamada Cargo (descrita como ‘O complemento openAI para vendas e profissionais de marketing’) que faz interface com o ChatGPT.

“Ao invés de escrever um prompt por e-mail”, diz Marsh, “você pode escrever um modelo de prompt que enviará milhares de e-mails personalizados em segundos, graças às variáveis personalizadas”.

Considere esse processo nas mãos de um engenheiro social com tempo e recursos para pesquisar alvos e seus gatilhos. Ele poderia evoluir para uma metodologia de pulverização eficaz e segmentação por lança, permitindo a reutilização simplesmente alterando o e-mail de saída do Cargo. E este ainda é o início da IA na engenharia social.

Abordagens para uma solução

Se a abordagem atual de combate à engenharia social não está funcionando, enquanto a ameaça aumenta, precisamos tentar algo diferente. A definição de insanidade de Einstein é fazer a mesma coisa repetidamente e esperar resultados diferentes.

O principal problema é que estamos treinando pessoas para reconhecer ataques, como phishing, sem lidar com seus preconceitos pessoais (ou seja, seu comportamento pessoal). Os trainees podem ter o conhecimento para reconhecer o phishing, mas seus preconceitos na forma de padrões de comportamento subconsciente ainda os impedem de fazer a coisa certa.

A conscientização sobre segurança deve ser acompanhada de treinamento comportamental. “Tenha uma abordagem em camadas para o treinamento”, diz Crummey. “Não pare na conscientização – o nível que você deseja atingir é a ‘mudança de comportamento’.”

A mudança de comportamento é muito mais difícil do que o simples reconhecimento. “O que as pessoas não percebem é”, diz McKeown, “que psicologicamente não há ligação direta entre consciência e mudança de comportamento. A maioria das pessoas acredita que, se você conscientizar as pessoas, elas farão algo a respeito. Isso não é verdade.”

As pessoas simplesmente reagem mais aos seus preconceitos subconscientes do que ao seu conhecimento consciente. Criar um novo viés “bom” em vez de tentar derrotar preconceitos “negativos” de longa data pode ser o caminho a seguir. É quase como a visão comum da memória muscular – uma boa resposta automática, ou hábito, que não requer pensamento consciente.

Conseguir isso levou ao conceito de cutucar. “Trata-se de formular o treinamento de segurança cibernética de uma forma que tente capturar a atenção dos usuários de forma mais eficaz”, diz McKeown.

David Metcalfe, especialista em ciência comportamental da PA, escreveu sobre o assunto. “A resposta está na ciência comportamental. Ao introduzir engenhosos “cyber nudges”, as empresas são capazes de superar os maus hábitos dos funcionários. Esses nudges são recursos de design projetados em ambientes digitais para incentivar indiretamente bons hábitos cibernéticos em todos os níveis da organização. Eles aproveitam insights comportamentais para impulsionar a conformidade sem afetar as atividades funcionais ou a produtividade.”

Ele fornece um exemplo simples relacionado ao phishing. “Ao incorporar um pequeno ‘aborrecimento’ na experiência do usuário, como usar um pop-up para fazer as pessoas considerarem se um link ou anexo é de uma fonte confiável, as pessoas param e pensam em vez de agir de acordo com seu primeiro instinto. Como resultado, eles se tornam melhores na identificação de e-mails maliciosos.” Este é um exemplo simples que não funcionaria sozinho – hábitos inatos logo levariam os usuários a ignorar o pop-up. Mas é indicativo da abordagem de direcionar os usuários para melhores hábitos comportamentais.

A segurança cibernética deve se tornar uma segunda natureza para todos os funcionários, seja no trabalho ou em casa. Por enquanto, os usuários são ensinados principalmente a rejeitar e-mails reconhecendo erros de digitação, erros gramaticais e origens desconhecidas. Este é o ‘o quê’ de um e-mail de phishing. Mas os usuários precisam entender melhor o “porquê” e o “como” e o efeito de um ataque de engenharia social. Evitar a engenharia social deve ser parte do trabalho, e não uma adição irritante ao trabalho.

No momento, um ataque de engenharia social é um estouro de buffer gerado por um ataque de negação de serviço contra o processador de informações de capacidade limitada da psique. Temos defesas para ataques semelhantes contra nossos sistemas de tecnologia – agora devemos aprender a defender e ativar positivamente nossos recursos humanos para o mesmo efeito. O conceito vai muito além da consciência de phishing. Ele pode ser usado sempre que houver uma ameaça potencial à segurança cibernética da empresa.

Para saber mais, clique aqui.