Nas últimas três décadas, a rápida evolução da tecnologia transformou radicalmente a nossa compreensão de segurança e privacidade. Há 30 anos, o conceito de credenciais de acesso mal existia, as chaves de casa eram a nossa principal referência, e o sistema de segurança implementado eram apenas umas portas trancadas.
Com a crescente digitalização este conceito continua a ser válido, mas, no entanto, insuficiente. A segurança abrange agora não apenas o físico, mas também o mundo digital, exigindo, cada vez mais, uma nova abordagem para garantir a nossa segurança e privacidade.
A transição da nossa existência para o universo digital ocorreu de forma rápida e exponencial. Como resultado, os nossos níveis de interação com o meio, com as plataformas e com os produtos frequentemente refletem comportamentos e hábitos que eram viáveis no mundo físico, mas que estão desajustados a uma realidade digital.
Existe uma confiança nas comunicações digitais semelhante à confiança no mundo real. Se alguém está a falar connosco, é porque nos conhece; se nos envia um email, é porque tem o nosso contacto; se tem o nosso contacto, é porque tem legitimidade para isso.
Todos nós já nos deparámos com o clássico golpe do “Príncipe da Nigéria”, de quem somos “amigos” próximos, e que anda muito aflito, há́ anos, porque não consegue uma transferência bancária milionária e precisa da nossa ajuda. Estes emails, que existem desde os primórdios da internet, continuam a funcionar. O facto de apresentarem um conteúdo e discurso evidentemente falsos não é uma falha, mas sim desenho. Um dos objetivos destes esquemas é filtrar desde logo quem não é suficientemente “ingénuo” para seguir em frente com o processo. Assim, conseguem identificar rapidamente aqueles que respondem ao email, revelando uma predisposição e curiosidade que podem ser exploradas.
Um dos métodos de ataque mais simples e frequentes nos ciberataques é baseado na engenharia social. Não é necessário recorrer a equipamentos específicos ou aplicar medidas técnicas complexas para aceder a um sistema, quando é muito mais simples pedir a informação necessária ou aceder utilizando um acesso legítimo. A engenharia social procura explorar um dos elos mais fracos na cadeia de segurança de qualquer sistema: o ser humano.
Segundo um relatório de 2023 da Verizon sobre Data Breach, 74% de todas as violações de dados incluíram algum elemento humano, resultado de erros, uso indevido de privilégios, utilização de credenciais roubadas ou engenharia social.
A engenharia social explora um conjunto de características intrínsecas à natureza humana (como confiança, empatia, ingenuidade, reciprocidade, autoridade, validação social, entre outras) para manipular as vítimas, levando-as a partilhar voluntariamente informação sensível (como documentos, credenciais, etc.), permitir acesso indevido a áreas restritas, executar ações que exijam privilégios de acesso ou qualquer outra ação que o atacante não conseguiria realizar de forma autónoma e independente.
Muitas dessas técnicas baseiam-se na exploração de comportamentos ou relações existentes no mundo real para obter legitimidade no contexto digital. Com o avanço exponencial da inteligência artificial, já existem sistemas automatizados que conseguem, de forma simples e automática, filtrar informações para identificar relações de confiança e/ou autoridade (por exemplo, hierarquia entre pessoas numa empresa a partir dos perfis públicos do LinkedIn). Posteriormente, podem gerar comunicações, recolher informação e manter conversas que cada vez mais se assemelham a uma interação com outro ser humano, ganhando assim a confiança e legitimidade perante a vítima. Mas vamos ainda mais longe: além disso, já somos capazes de gerar vídeos, imagens e sintetizar áudio de forma a que o atacante possa ter uma aparência, comportamento e modo de falar semelhantes aos de outro ser humano.
Estamos num nível de evolução tecnológica em que o clássico email do “Príncipe da Nigéria” pode agora ser uma chamada de vídeo com interação em tempo real, indistinguível de uma videochamada genuína. Enquanto costumávamos identificar e ignorar facilmente emails de phishing devido à sua má redação, formatação defeituosa e erros ortográficos, esta nova geração de conteúdo gerado por IA oferece um nível de realismo que carrega consigo uma legitimidade intrínseca, sendo já explorada com sucesso.
Como tal, esta evolução e mudança de paradigma do lado tecnológico deverá refletir-se de forma proporcional e significativa no lado do utilizador. Não podemos apenas implementar e depender de medidas técnicas para manter os sistemas e a informação segura; é crucial transformar o humano num elemento de segurança em vez de um ponto de falha. Isso significa cada vez mais recorrer a fatores físicos para garantir que somos quem afirmamos ser e que estamos a comunicar com quem deveríamos estar. A chave para isso, somos nós.
Artigo escrito por Samuel Fernandes, CTO da WYperformance, e publicado originalmente na Marketeer