Este trabalho tem por finalidade conceituar a engenharia social, a partir de estudos realizados sobre a matéria, e demonstrar possíveis fragilidades existentes no contexto da segurança pública, que podem servir de alerta para um incremento da cultura de proteção.

Conforme MITNICK; SIMON (2003):

“A engenharia social usa a influência e a persuasão para enganar as pessoas e convencê-las de que o engenheiro social é alguém que na verdade ele não é, ou pela manipulação”.

Foi feita uma revisão narrativa a partir da base de dados Scielo e do buscador Google Scholar. O trabalho não teve a pretensão de esgotar o assunto, mas de colaborar com a discussão e fomento da cultura de segurança, que deve permear as organizações que lidam diariamente com a segurança pública.

Palavras-chave: Engenharia Social; Ameaça; Segurança Pública; Cultura de Segurança; Contrainteligência.

Introdução

Reconhecer vulnerabilidades e não desprezá-las não é tarefa fácil aos operadores da segurança pública, principalmente quando não se tem uma cultura de segurança  sedimentada na organização. A partir da pandemia da Covid-19 verificamos um avanço tecnológico que há muito não se via. O que era feito de maneira presencial, como a abertura de uma conta em um banco, passou a ser quase que em sua totalidade virtual, assim como cobranças, atendimento médico, feitura de cadastros dos mais diversos seguimentos e o home office, inaugurou uma era ainda mais tecnológica e virtual.

Isso não quer dizer que antes essas ações e serviços não poderiam ser feitos de maneira virtual, mas a necessidade impôs que as pessoas, que ainda eram alheias às novas tecnologias, se obrigassem a ingressar nesse mundo para poderem ser atendidas.

A cada momento em que a tecnologia avança, novas formas de cometimento de crimes são criadas. A sociedade se reinventa e o crime não fica para trás. Neste aspecto, a engenharia social entra como uma das formas de praticar crimes, vitimando diversas pessoas.

Assim como a sociedade carece de conscientização sobre o perigo de se tornar alvo da engenharia social, os órgãos que atuam na segurança pública e seus servidores precisam ter consciência de como os engenheiros sociais operam, e os caminhos percorridos por estes, para coletar as informações que necessitam para os mais variados crimes. Já se sabe que instituições públicas e privadas são alvo constante de ações de engenharia social (PNPC, 2021).

Neste estudo serão abordados conceitos e mecanismos de atuação dos engenheiros sociais, bem como possíveis fragilidades existentes no contexto da segurança pública que podem servir de recepção da atuação desses criminosos. A finalidade, portanto, é realizar uma revisão narrativa sobre a matéria, bem como abordar assuntos necessários para a conscientização dos profissionais que laboram na segurança pública.

Referencial Teórico

Engenharia Social

A engenharia social, embora seja bastante antiga, tem a sua origem em segurança da informação a partir do hacker Kevin Mitnick, hoje mundialmente conhecido, mas que teve uma popularização maior a partir da edição do livro A Arte de Enganar, Ataques de Hackers: Controlando o Fator Humano na Segurança da Informação (2003).

Para Mitnick e Simon (2003) a engenharia social “usa a influência e a persuasão para enganar as pessoas e convencê-las de que o engenheiro social é alguém que na verdade ele não é, ou pela manipulação”. O autor ainda acrescenta que o engenheiro social pode colher essas informações com ou sem o uso da tecnologia.

Segundo o Programa de Proteção do Conhecimento Sensível (PNPC), desenvolvido pela Agência Brasileira de Inteligência (ABIN), a engenharia social é um método que utiliza a enganação, manipulação ou explora a confiança das pessoas de forma não violenta, para que alguém realize voluntariamente ações que prejudicam a si, como divulgar informações pessoais ou fazer a transferência de valores para desconhecidos (PNPC, 2021).

Ainda, a engenharia social pode ser compreendida como a “aplicação de conhecimentos empíricos e científicos de um modo sociável de acordo com as necessidades humanas para obter informações (como dados pessoais e contas bancárias)” (ROSA, 2012).

O engenheiro social pode ser qualquer pessoa que queira buscar as informações, inclusive serviços de inteligência estrangeiros e hackers amadores (PNPC, 2021). O engenheiro social é aquele que conquista a confiança da vítima para ter as informações que precisa (Mitnick; Simon, 2003).

Conforme Zager (2002), citado por De Souza Pereira et al (2022), existem quatro tipos de engenheiros sociais, são eles:

• Casual: composto com um grupo grande, motivado ao ataque por curiosidade e o desafio de invadir sistemas;
• Político: tomam ação por uma causa, utilizando suas habilidades com o intuito de divulgar esta causa ou prejudicar entes que representam o oposto de sua causa;
• Criminoso: elaborado por profissionais no crime;
• Interno: este é caracterizado por serem funcionários ou terceiros de uma organização, são os mais perigosos devido ao seu acesso padrão a informações da empresa.

Para Mitnick e Simon (2003) existem duas especialidades, um que é o grifter, que faz falcatruas e engana as pessoas para tirar o seu dinheiro e outro, o engenheiro social, que usa a influência e persuasão contra empresas, visando suas informações.

Mecanismos da Engenharia Social

Importante considerar que qualquer meio de comunicação pode ser o vetor para ação do engenheiro social, a exemplo do telefone, email, redes sociais, pessoalmente (PNPC, 2021). Da mesma forma, é fundamental que se compreenda que os ataques de engenharia social podem ser diretos, quando há o contato direto do engenheiro social com a vítima e o indireto, que acontece através de malwares ou outras ferramentas como vírus, e-mails falsos, etc.

Em se tratando de técnica de engenharia social, pode-se citar a entrevista. Para a Doutrina Nacional de Inteligência de Segurança Pública a entrevista é uma conversação mantida, com propósitos definidos, planejada e controlada pelo entrevistador (DNISP, 2015). Ela é uma técnica de engenharia social que busca informações que as pessoas não estão dispostas a fornecer, mas a manipulação do engenheiro social envolve a vítima e sem perceber ela passa a informação sem ao menos ter sido perguntada (PNPC, 2021).

Uma outra forma de utilizar a engenharia social é através do Pishing, que pode ser feito a partir do envio de um e-mail genérico que engana a vítima. É como fazer uma pescaria, a mensagem é enviada a um grande número de pessoas e mesmo que poucas pessoas caiam na “rede”, o número de vítimas será suficiente para o criminoso ter sucesso no seu intento (PNPC, 2021). Além do Pishing ser utilizado por correio eletrônico, pode ser aplicado por telefone ou mensagens, através de links maliciosos (DE SOUZA PEREIRA; VICENTINI; RIZZO, 2022).

Também, há o Spearphishing, que seria como uma pesca de arpão, pois é direcionada. Normalmente um e-mail de spearphishing utiliza os métodos da engenharia social, através de o um assunto que seja atrativo e informações específicas sobre o alvo e a instituição (PNPC, 2021).

Da mesma maneira o furto de identidade, por intermédio da criação de contas de e-mail ou perfis de redes sociais falsas, alteração de campos de e-mail e clonagem de cartões de crédito, um golpista pode se passar por outra pessoa, enviando mensagens ou praticando ações para obter algum tipo de vantagem ou informação sigilosa.

Há diversas outras formas de utilização da engenharia social, muitas ainda serão criadas, por isso a conscientização sobre a segurança da informação deve ser fomentada a todo momento.

Engenharia Social e Segurança Pública – Vulnerabilidades

Os profissionais de segurança pública, caso não mantenham uma conduta adequada sobre o que falar, com quem falar, onde falar, em que altura falar, podem ser alvos fáceis de técnicas de engenharia social, uma vez que os agentes vinculados à segurança pública, além do trabalho que exercem, mantém uma vida social. Nestes momentos, fora do ambiente de trabalho, muitos são entrevistados sem ao menos preocupar-se com o conteúdo do que falam. Há diversas técnicas para evitar a ação de uma entrevista, mas há medidas simples de serem seguidas, a exemplo da desconfiança sobre os motivos que levaram alguém a fazer determinadas perguntas ou afirmações e se a pessoa é de fato quem diz que é. Neste caso, imprescindível o cuidado com questionamentos através de telefone ou meios similares, a exemplo dos aplicativos de mensageria.

O Pishing e o Spearpishing já são conhecidos da segurança pública, uma vez que, com o vazamento constante de dados e contas de e-mail corporativo, os engenheiros sociais já encaminham e-mails aos órgãos de segurança pública. Neste caso, deve se evitar abrir e-mails por hábito antes de se fazer uma checagem do endereço eletrônico (PNPC, 2021).

Importante que os servidores vinculados à segurança pública sempre estejam cientes do que podem e do que não podem compartilhar sobre o trabalho e sua vida pessoal, familiares, moradia, locais frequentados, que usualmente são colocados em redes sociais abertas.

A segurança pública no país tem avançado em diversos aspectos, mas o avanço tecnológico é bastante expressivo, o que aumenta a responsabilidade pela segurança da informação que transita no meio eletrônico. Há de se ter consciência da proteção no meio eletrônico contra diversas ameaças existentes. A norma ISO/IEC 27002:2007 aborda técnicas para o incremento da segurança, conceitos, avaliação de riscos, etc.

Mas, além de normas e equipamentos de segurança, é primordial que os servidores tenham consciência de que podem ser alvos de engenheiros sociais e, tendo essa consciência, precisam internalizar uma cultura de segurança de forma que fiquem protegidos e consigam proteger o órgão em que atuam das ameaças à segurança pública e a seus servidores.

Considerações Finais

Procurou-se com esse trabalho abordar de maneira breve a engenharia social e a possível utilização desta em detrimento da segurança pública, seus órgãos e servidores. Para tanto, foram abordados diversos conceitos e interrelações destes com o trabalho realizado pelos servidores vinculados à segurança pública.

Os assuntos referentes à cultura de segurança precisam ser constantemente debatidos na seara da segurança pública, sendo indispensável a preocupação constante com o tema. Isso porque, o ser humano é passível de erros e a engenharia social pode explorar a vulnerabilidade do indivíduo, que pode agir de forma emocional e vazar informações da organização em que atua (DE SOUZA PEREIRA; VICENTINI; RIZZO, 2022).

Embora seja importante a aquisição de equipamentos e novas tecnologias que tragam uma maior proteção aos ativos institucionais, um órgão pode apresentar vulnerabilidades e ser o destinatário da engenharia social, já que o elo mais fraco é o servidor, caso não seja detentor de conhecimentos que o façam ser uma barreira de proteção ao órgão em que atua.

Por fim, é importante destacar que a temática merece um estudo permanente, inclusive através de pesquisas, com a aplicação de metodologia científica, que consiga demonstrar o nível de conhecimento dos servidores acerca das medidas de segurança que devem ser adotadas no dia a dia do trabalho da segurança pública. Não são achados muitos estudos que relacionem a engenharia social como uma ameaça à segurança pública e a seus servidores. Da mesma maneira, não são encontrados estudos que apresentem métodos específicos de conscientização dos servidores sobre a cultura de proteção.

Como já referido, o assunto não se encerra neste estudo, pois este detém um caráter meramente exemplificativo, que apela para uma permanente conscientização sobre a cultura de segurança nas organizações de segurança pública.

Por Simone Viana Chaves Moreira, Delegada de Polícia Civil RS

Referências

BRASIL. Agência Brasileira de Inteligência (ABIN). Programa Nacional de Proteção ao Conhecimento Sensível, 2021.

BRASIL. Doutrina Nacional de Inteligência de Segurança Pública, 2015.

DE SOUSA, Angélica Silva; DE OLIVEIRA, Guilherme Saramago; ALVES, Laís Hilário. A pesquisa bibliográfica: princípios e fundamentos. Cadernos da FUCAMP, v. 20, n. 43, 2021.

DE SOUZA PEREIRA, Lucas Avanci; VICENTINE, Augusto Luciano; RIZO, Andre Castro. Impactos da Engenharia Social na Segurança da Informação. Revista Brasileira em Tecnologia da Informação, v. 4, n. 1, 2022.

MITNICK, Kevin D.; SIMON, William L. A arte de enganar. São Paulo, 2003.

ROSA, Adriano Carlos. Engenharia Social: o elo mais frágil da segurança nas empresas. Revista Brasileira de Contabilidade e Gestão, v. 1, n. 2, p. 29-40, 2012.