A psicologia do phishing: o perigo por trás de alguns e-mails

25 Agosto, 2020
Você já recebeu uma mensagem suspeita perguntando ou fazendo você acreditar que precisava fazer algo com urgência? Provavelmente é um phishing, um tipo comum de fraude. Saiba mais detalhes a seguir.
 

Com o surgimento das novas tecnologias e, especificamente, o desenvolvimento da Internet, tudo ao nosso redor se adaptou a esse formato. Assim, também surgiram os atos criminosos nesse meio. Os ataques cibernéticos são bastante comuns e assumiram várias formas: spywareadware, worms ou cavalos de Troia. Outro dos ataques cibernéticos mais comuns é o phishing, que consiste em roubar informações através do e-mail.

Esse tipo de ataque é muito perigoso, pois os cibercriminosos se apresentam como pessoas ou empresas que exigem uma ação do usuário. Entre elas, abrir um arquivo malicioso ou preencher uma série de dados – bancários ou pessoais -, o que supostamente será benéfico para o “alvo”. Além disso, é um método capaz de infectar muitas pessoas muito rapidamente. Estima-se que em 2019 houve mais de nove milhões de ataques desse tipo.

Embora a priori possa parecer fácil identificar esses golpes, o que realmente é em muitos casos, os criminosos sabem o que fazer para que os usuários caiam em suas redes. Com seus métodos, eles brincam com as emoções das pessoas e com os processos psicológicos básicos, conseguindo em inúmeras ocasiões que a sua estratégia não seja identificada como uma fraude.

Hacker usando notebook
 

A engenharia social do phishing

Os cibercriminosos projetam seus golpes com base no conhecimento da sociologia e da psicologia social. Geralmente, todos os seus truques são configurados para brincar com quatro emoções: ganância, curiosidade, tristeza e medo. A combinação dessas emoções nos faz reagir quase instintivamente.

Portanto, ao brincar com esses quatro aspectos e levar em consideração outros comportamentos sociais, os criminosos cibernéticos do phishing geraram várias táticas para conseguir que forneçamos informações valiosas.

A seguir, serão descritos os três principais comportamentos que foram levados em consideração para nos atacar. No entanto, isso dependerá das características pessoais de cada um e da capacidade de diferenciar os sinais que podem servir como alarmes.

Respeito pela autoridade

Geralmente, as pessoas tendem a seguir ordens ou instruções, sem duvidar, de alguém que tenha um certo prestígio ou poder. Ou seja, esse viés cognitivo as faz ignorar suas próprias opiniões e as possíveis consequências por um momento e atender, principalmente por medo, às ordens dadas por essa entidade superior.

Essa representação de autoridade pode ser um chefe, uma grande organização estatal ou até mesmo uma empresa com algum prestígio. Assim, para o phishing, os criminosos costumam usar contas que parecem ser corporativas ou de grandes empresas, solicitando uma ação que possa parecer pertinente. Dessa forma, o destinatário do e-mail considerará, à primeira vista, que o que ele lê é real e oferece uma sensação de segurança.

 

Um exemplo dessa estratégia são os golpes realizados em nome da Agência Tributária, solicitando que um link seja acessado com a falsa promessa de obter reembolso de impostos. Ou, um e-mail de um gerente sênior da empresa solicitando a abertura de um arquivo para um novo projeto.

O senso de urgência

Essa técnica de manipulação tem sido amplamente usada em outras áreas além do phishing, como o marketing. Basicamente, consiste em criar uma situação de emergência que coloca o usuário na situação de ter que agir rapidamente. Quando essa estratégia é usada, o medo costuma ser o protagonista.

O e-mail recebido alerta a pessoa com uma mensagem de perigo. Por exemplo, “você tem um vírus no seu computador” ou “alguém tentou acessar a sua conta pessoal”. Outra variação é gerar a necessidade de ser o primeiro (“Somente as 50 primeiras pessoas inscritas receberão o prêmio”). Nesse momento, o medo de perder a oportunidade pode nos fazer comprar ou aceitar a proposta sem considerar outras opções.

Em outras palavras, eles provocam um medo que leva a tomar uma decisão mal considerada, rápida e irracional, ignorando aspectos da mensagem que podem ser fundamentais. Além disso, palavras grandes em vermelho costumam ser incluídas para intensificar essa sensação de perigo. O problema é que, mesmo que haja suspeitas de que seja uma farsa, você ainda pode cair na armadilha.

Ações automáticas

Existem muitas ações que realizamos automaticamente, sem estarmos totalmente cientes. Como geralmente são resultado da experiência e da repetição, ativamos um piloto automático e não prestamos atenção. Por exemplo, clicar em um botão vermelho grande que diz “clique aqui” versus um botão que passa despercebido.

 

Nesse sentido, os criminosos do phishing aproveitam essa automatização para nos fazer cair na armadilha. Isso pode ser feito ao pedir para você reenviar um e-mail que aparentemente não foi enviado. Ou nos dar a falsa opção de não receber mais e-mails dessa empresa. No entanto, na verdade, nenhuma das ações disponíveis é real.

Esse tipo de estratégia é eficaz e perigosa, pois são ações aparentemente inocentes às quais estamos acostumados. Eles brincam com isso, sabendo que, quando confrontados com esse tipo de tarefa, nossa atenção diminui e inconscientemente selecionamos apenas informações impressionantes. Ou seja, ignoramos os detalhes e tomamos decisões sem uma análise mais detalhada.

Cuidado com o Phishing

Como evitar o phishing?

Existem pessoas que sabem como detectar esse tipo de fraude melhor do que outras, mas todos somos vítimas em potencial. Portanto, para tentar não ser enganado, é necessário estar ciente da possibilidade de perigo. Assim, todo e-mail recebido deve ser lido de maneira mais consciente. Se o remetente não for conhecido, tente descobrir se a conta de e-mail é real.

Acima de tudo, devemos tentar não reagir muito rapidamente e parar para pensar nas consequências. Ou seja, reserve um momento para pensar a respeito do que foi recebido no seu e-mail e tentar detectar sinais que possam ser suspeitos. Além disso, é importante notificar as autoridades para que esse tipo de fraude não cause danos a outras pessoas.