Proteja os participantes do seu fundo de pensão contra a “Engenharia Social”, principalmente os aposentados

Crédito de Imagem: ThinkStock 

São Paulo, SP.

Engenharia Social é uma definição usada em computação. Refere-se aquilo por trás dos métodos que vem sendo adotados por criminosos cibernéticos para levarem suas vítimas a executar determinadas ações envolvendo a violação da segurança, o envio de dinheiro ou o fornecimento de informações confidenciais.

   

Essas ações tendem a ir contra nosso melhor julgamento, desafiando o bom senso. Os golpistas conseguem isso manipulando nossos emoções – boas ou ruins, como raiva, medo e paixão – para nos deixar mais suscetíveis.

É quando paramos de pensar racionalmente e começamos a agir por impulso, sem nos darmos conta do que estamos fazendo. Os criminosos cibernéticos usam os vírus e malwares para hackear nossos computadores e a engenharia social para hackear nossas mentes e emoções.

A engenharia social sempre faz parte de um golpe maior, que se aproveita do fato das vítimas e autores das fraudes nunca se encontrarem face-a-face. O objetivo dos golpistas, normalmente, é levar a vítima a:

• Entregar nome de usuário e senha
• Instalar vírus ou malware no seu dispositivo
• Transferir dinheiro eletronicamente
• Baixar plug-ins, extensões, aplicativos ou softwares maliciosos
• Servir de mula para lavagem de dinheiro ou transferência ilícita de recursos
• Resgatar a poupança para a aposentadoria acumulada em fundos de pensão    

Como funciona a Engenharia Social

Os métodos de engenharia social se apoiam em teorias e princípios do campo da psicologia. No livro  “Principles of Persuasion” (em português, As Armas da Persuasão) Robert Cialdini ensina como fazer qualquer pessoa dizer “sim”.

Para escrever o livro, Cialdini se baseou em sua experiência trabalhando por anos como vendedor de carros antigos, telemarketing e vendas porta-a-porta. 

Seu objetivo era fornecer meios para a área comercial das empresas conhecer verdadeiramente clientes e mercado. Assim, as empresas saberiam a melhor forma de interagir com eles e poderiam definir melhor seus processos de venda, alinhados com produtos e estratégias corporativas.

Ele identificou seis princípios que denominou de “armas de persuasão”. A engenharia social se baseia em conhecimentos desse tipo e usam essas armas para o mal. 

Reciprocidade: se alguém te der um presente, não importa quão pequeno e simples ele for, você se torna mais propenso a responder gentilmente dando em troca outro presente. Os “Hare Krishna”, uma organização religiosa de origem Hindú, floresceu nos anos 70 usando essa técnica para receber doação de fundos. A imagem inicial da seita não era muito favorável, indivíduos com a cabeça totalmente raspada, usando batas coloridas, cantando músicas esquisitas e queimando incenso pediam doações nas esquinas das grandes cidades. Precisando de uma nova estratégia, os Krishnas passaram a abordar as pessoas oferecendo um “presente” para elas. Geralmente uma flor, que a pessoa abordada não podia devolver de jeito nenhum. “Não, queremos que fique com ela, é nosso presente para você”. Uma vez que a vítima, ainda que relutantemente, aceitasse o “presente” o Krishna rapidamente pedia uma contribuição. Por mais de uma década essa foi a maior fonte de receita dos Hare Krishna e ajudou a seita a construir templos, casas, abrir negócios e adquirir propriedades em 321 centros nos EUA e ao redor do mundo. Na serie Neurociência e Previdência que publiquei em 2011, escrevi um post sobre isso.  

Escassez: O sentimento da perda é mais forte do que o sentimento do ganho. Um gatilho mental é rapidamente acionado quando estamos em posição de perder algo. Com isso, nosso cérebro reage de forma emocional (parte do cérebro límbico) e tenta evitar essa sensação. Por exemplo, quando estamos em uma loja e o vendedor comenta que a blusa que estamos experimentando é a última. Nesse momento, esse gatilho mental foi acionado e você, então, não sabe ao certo o que fazer: se leva a blusa, mesmo sabendo que pode não ficar tão bem em você, afinal é a última blusa ou não a leva e busca outras peças. Se o consumidor não pode ter alguma coisa, ele simplesmente vai querer mais dessa coisa. Há uma frase muito famosa de Samuel Johnson que diz: “elogios, como o ouro e os diamantes, devem seu valor à escassez”. Muitas fraudes cibernéticas fisgam a vitima criando exatamente esse sentimento de perda.  

Autoridade: Ao entrar em um escritório de advocacia para solicitar um orçamento pela primeira vez, são observadas nas paredes várias certificações jurídicas nos quadros da parede. Este cenário torna mais favorável para que você contrate esse advogado. Afinal, por ter tantos certificados e ter feito vários cursos, ele deve ser muito bom e assim posso confiar o meu investimento a ele. Essa percepção foi acionada devido ao gatilho mental da autoridade que esse advogado gerou. Um golpe muito comum começa com um e-mail supostamente enviado por um príncipe da Nigeria querendo enviar seu tesouro para outro pais. A figura do príncipe se encaixa nesse conceito de "autoridade".

Compromisso e coerência: Ninguém gosta de parecer indeciso. Quando dizemos que vamos fazer algo, geralmente tentamos seguir nossa palavra. Os criminosos procuram obter a concordância com algo pequeno e a pessoa acaba se sentindo pressionado a não voltar atrás. Ao comprometer-se publicamente com algo, a pessoa se sente pressionada psicologicamente para se comportar de modo coerente com a missão que foi assumida. Cialdini cita o exemplo de um restaurante que lutava com altos índices, cerca de 30%, de desistência das reservas feitas por telefone. Então, fizeram uma pequena alteração no script de atendimento, incluindo uma simples pergunta ao cliente quando este ligava para fazer a reserva: “você poderia me ligar caso precise mudar a data, horário ou desmarcar essa reserva?” A resposta do outro lado da linha, claro, era “sim”. Com isso, as desistências sem aviso prévio diminuíram para menos de 10%. Isso porque os clientes se comprometiam com o restaurante. Eles precisavam se comportar de acordo com o compromisso que firmaram.

Afeição: Ellen Lee DeGeneres é uma comediante, apresentadora e atriz muito querida do publico norte-americano. Ela é a única pessoa a ter apresentado ate hoje os Óscares, os Prêmios Emmy e os Grammys. Nas mídias sociais rola um vídeo montado por golpistas a partir de trechos de shows de TV da Ellen. Na montagem, ela fala de instituições de caridade que admira e pede para o espectador se inscrever no seu canal do Youtube e partilhar um de seus filmes para ajudar essas instituições e concorrer a um prêmio de milhões de dólares. Claro que não existe prêmio nenhum, mas como a vítima gosta da Ellen acaba se inscrevendo em um site pirata e partilhando o filme, abrindo a porta para instalação de malware. 

Aprovação social: Sabe aquela frase que sua mãe falava muito quando você era criança e queria determinada coisa? “Se todo mundo pular da ponte você vai pular também?”. Pois então, essa frase familiar expressa bem o conceito de consenso. As pessoas são mais inclinadas a responder afirmativamente se acharem que todo mundo está fazendo o mesmo e isso se aplica aos golpes online. Os bandidos geralmente se aproveitam de alguma catástrofe (uma pandemia, por exemplo) para pedir doações para falsas instituições de caridade. Quem não quer dizer para os amigos que é um bom Samaritano?

Dicas de prevenção contra fraudes cibernéticas

Os criminosos cibernéticos buscam os alvos certos e os gatilhos emocionais certos para aplicar seus golpes online. Seguem rápidas dicas dos especialistas para você que é participante ativo ou assistido de um fundo de pensão se proteger dos golpes sofisticados que vem usando a engenharia social.

1. Ative seu filtro de spam, diversas engenharias sociais acontecem por e-mail, bloquear spam que chega na sua caixa de entrada pode cortar muito mal pela raiz.
2. Desative as “macros”, isso impedirá que os malwares  contidos nos anexos que acompanham e-mails maliciosos sejam baixados automaticamente e infectem seu computador. Quando alguém te enviar um anexo por e-mail e seu sistema solicitar para ativar as macros, clique em “não”. Mesmo que você  conheça o remetente. Nesse caso, verifique com seu conhecido e confirme a legitimidade da mensagem antes de abrir o anexo.
3. Não responda mensagens suspeitas, mesmo que seja para tirar sarro dos bandidos. Ao responder aos golpistas você demonstra que seu e-mail ou numero de celular são validos e eles continuarão enviando ameaças. Apenas bloqueie o remetente.
4. Use autenticação multifator, assim mesmo que sua senha e nome de usuário sejam comprometidos, os bandidos não serão capazes de contornar os outros fatores de segurança.
5. Instale um bom programa de segurança cibernética contra malware, vírus e ransomware no seu computador e dispositivos moveis como tablete e celular. Erros acontecem, assim, caso você clique em algum link criminoso ou abra um anexo malicioso, seu programa de proteção cibernética deverá ser capaz de reconhecer a ameaça e impedir que se instale no seu dispositivo, causando  prejuízos.
6. Aprenda a identificar e-mails de “phishing”, os golpistas são talentosos e gastam horas falsificando e-mails para parecerem autenticos. Com uma rápida verificação o participante de um plano de previdência complementar consegue identificar a falsificação.

•   Endereço eletrônico do remetente: clique em cima do nome do e-mail do remetente para enxergar se o domínio de Internet bate com o da empresa que ele diz representar. Por exemplo: e-mails do Itaú sempre terminam com @itau.com.br e emails da Bradesco Seguros são enviados por exemplo@bradescoseguros.com.br
•   O remetente parece não te conhecer: E-mails legítimos enviados por empresas e pessoas conhecidas são endereçadas à você. Os e-mails maliciosos geralmente usam saudações genéricas como “Prezado Cliente”, ou “Caro amigo” ao invés de te tratar pelo nome.
•   Desconfie de links com URL incomuns. Passe levemente o cursor sobre o URL, sem clicá-lo. Se parecer suspeito, abra o browser (navegador) e dê uma olhada no website para verificar se o endereço eletrônico bate com aquele no link. O mesmo vale para botões que te pedem para clicar.
•   Erros de digitação, gramática ou sintaxe ruim. O e-mail parece ter sido traduzido com o “Google Translate”? Grande chance de ter sido mesmo. Os criminosos cibernéticos estão em todo canto e muitas vezes em países que não falam o Português.
•   Ofertas muito boas para serem verdade. Muitas fraudes começam pedindo pequenos valores em dinheiro e prometendo grandes somas na sequência. Não se engane, negócio da China só é feito mesmo na China.

Os crimes cibernéticos aumentaram exponencialmente ao longo da crise do COVID-19. Se eu fosse um conselheiro independente atuando no seu fundo de pensão, esse assunto estaria no tipo das prioridades que eu abordaria nas reuniões virtuais do conselho deliberativo. 

Grande abraço,

Eder.

-->

Fonte: Adaptado do artigo “Social Engeneering” publicado na newsletter da Malwarebytes – (https://bit.ly/2zg0fm8) e do artigo “As Armas da Persuasão: o que esse livro pode te ensinar sobre vendas”, escrito por Mike Cavalcante.

Fundos de Pensão: O COVID-19 não é a única ameaça invisível atacando os mais vulneráveis

Credito de Imagem: http://olhardigital.com.br

De São Paulo, SP.

Com dados pessoais de milhares de participantes em seus cadastros, pagamentos anuais de bilhões de reais em benefícios e administrando contas de previdência complementar cujos saldos individuais somam milhões de reais, a segurança cibernética dos fundos de pensão deveria estar no topo das prioridades dos conselhos deliberativos.

Alertas de especialistas em países como Inglaterra - que valem igualmente para o Brasil - mostram que os criminosos cibernéticos elegeram como alvo a poupança e as informações pessoais de milhares de aposentados e participantes de planos de previdência complementar, um setor historicamente atrasado em segurança digital que está sendo obrigado a se adaptar a novas tecnologias durante essa pandemia.

A crise do novo coronavirus pode finalmente expor varias deficiências de um setor que tem mantido carinho especial por formulários em papel e atendimento presencial em plena era digital, na medida em que os sofisticados crimes cibernéticos colocam seu foco em conselheiros, gestores e participantes de fundos de pensão indistintamente.

Brasil é um dos países menos preparados para ataques cibernéticos

Um estudo realizado pela Comparitech ranqueou os países com ambientes digitais mais seguros e aqueles menos seguros utilizando sete categorias. Foram 76 países analisados pelo estudo, dos quais 16 foram acrescentados em 2020. 

As categorias, com pesos iguais, consideradas para ranquear os países foram as seguintes:

• % de celulares infectados com malware – software desenhado para obter acesso não autorizado e destruir ou corromper o sistema do aparelho;

• % de computadores infectados com malware (mesma definição acima);

• Nº de ataques de malwares financeiros – programas maliciosos criados para roubar dinheiro usando os dados bancários da conta do usuário mantidos no seu computador;

• % de todos os ataques Telnet - que é um protocolo de rede de Internet ou de redes locais, usado para comunicação bidirecional em texto - originados no país a partir de um IP único do dispositivo usado nos ataques. Essa é uma técnica usado por criminosos cibernéticos para levar o usuário a baixar uma serie de tipos de malware;

• % de usuários atacados por mineradores de criptomoedas – software desenvolvido para assumir o controle do computador do usuário e usar seus recursos para minerar criptomoedas (sem sua permissão);

• País mais bem preparado contra os ataques cibernéticos – baseado no ranking do Global Cibersecurity Index; e

• País com a legislação mais atualizada – os países receberam um ponto se tinham legislação e meio ponto se estavam discutindo alguma, nas seguintes áreas: estratégia nacional, militar, conteúdo, privacidade, infraestrutura crítica, comercio e criminal. 

Nenhum país ficou no topo em todas as categorias o que indica que todos tem espaço para melhorar em alguma área. Seja a legislação de segurança cibernética ou proteger melhor os usuários contra os ataques à seus computadores e celulares, existe um longo caminho pela frente para todo mundo.

O desafio é que a tecnologia cria a cada dia novas soluções sujeitas a ataques cibernéticos deixando os criminosos sempre um passo na frente. Por exemplo, desde 2019 cresceram os ataques de mineradores de criptomoedas.

Veja no mapa e na tabela abaixo a posição comparativa do Brasil - note que o ranking é invertido, ou seja, o país menos preparado para ataques cibernéticos é ranqueado como 1 e o mais preparado como 76.

Os resultados completos da pesquisa podem ser acessados por esse link aqui.

A exposição dos fundos de pensão ao risco

"Por terceirizarem muitos de seus serviços, nem sempre há visibilidade do nível de proteção dos fundos de pensão conta ataques cibernéticos", diz Jim Gee, Lider do Grupo de Trabalho de Crimes Cibernéticos e Fraudes da Associação de Normas de Administração de Fundos de Pensão do Reino Unido e Líder Nacional da Prática de Serviços Forenses da Crowe UK LLP (uma firma de auditoria na área).

A introdução repentina de softwares e aplicativos nas novas rotinas de trabalho dos fundos de pensão deverão apenas ressaltar as vulnerabilidades que sempre foram alvo dos criminosos digitais.

Nos três últimos meses de 2019 o Centro Nacional de Segurança Cibernética em Londres reportou quase três ataques por dia contra dados pessoais no Reino Unido – foram 258 no total – nos setores de seguro, crédito e finanças.

Até mesmo o órgão de fiscalização dos fundos de pensão ingleses foi alvo de mais de 343.000 ataques por e-mail em 2019, um aumento de 148% em relação ao ano anterior (dados do Brasil, indisponíveis).

Apesar das estatísticas não serem abertas por segmento naqueles setores, entre os mais vulneráveis estão os fundos de pensão, que apesar de manterem saldos individuais muito maiores do que os das contas bancárias, investem muito menos em segurança cibernética.

Administração e participantes, os alvos das fraudes e golpes

Os alvos mais visados no caso dos fundos de pensão são as empresas terceirizadas, responsáveis por armazenar vastas quantidades de dados pessoais dos participantes, que normalmente transitam de forma digital.

É difícil para o conselho deliberativo assegurar que os dados do fundo de pensão estejam sendo tratados de forma apropriada porque em muitos casos os prestadores de serviço usam suas unidades em países do exterior, como a Índia, onde o “lockdown” está mantendo quase todo mundo em casa.

Sem o cuidado necessário, as consequências podem ser sérias para gestores, participantes de fundos de pensão e conselhos, que podem ser responsabilizados por violações dos dados. “Eu não ficaria surpreso” se um gestor (de fundo de pensão) for comprometido por um ataque cibernético em breve”, diz Oliver Topping – Consultor sênior de um escritório de advocacia chamado Sackers.

Apesar de suas poupanças para a aposentadoria e seus dados pessoais contarem com uma segurança precária nos fundos de pensão que a administram, alguns dos ataques mais maliciosos tem ocorrido na caixa de entrada de e-mails dos próprios participantes.

Apenas no mês passado a policia da cidade de Londres reportou um aumento de 400% nas fraudes relacionadas ao COVID-19. Isso levou autoridades e reguladores de planos de previdência complementar a emitirem um aviso conjunto sobre a ameaça crescente representada por criminosos.

Os bandidos vêm explorando o medo dos participantes, principalmente os mais idosos, com a turbulência dos mercados financeiros para enganá-los e fazê-los resgatar suas poupanças previdenciárias.

"Com pessoas vulneráveis sendo perseguidas por fraudadores para transferirem seus saldos de previdência, os conselhos deliberativos deveriam estar fazendo muito mais para educa-los”, opina James Walsh, sócio de outra firma de advocacia chamada Fieldfisher. “Cada um desses planos deveria estar pensando no quê poderia estar fazendo para proteger seus participantes dessas fraudes e golpes que vem acontecendo durante essa crise”, completa ele.

Lições do COVID-19 para os fundos de pensão

Muitas das evidências dos ataques cibernéticos podem passar desapercebidas por semanas e até meses, só emergindo depois de passada a pandemia.

Nesse meio tempo, muitos conselhos deliberativos perceberam a vantagem de se fazer reuniões virtuais rápidas e por vídeo conferências ao invés de se trancarem em uma sala e ficarem discutindo por sete horas seguidas.

Talvez o COVID-19 venha a ser um ponto de inflexão trazendo aquela inspiração (ainda que tardia) que os fundos de pensão tanto precisavam para rever suas práticas operacionais numa era em que todos estão sendo forçados a se modernizar e o setor de fundos de pensão, certamente não é exceção.   

Nesses tempos de COVID-19, as reuniões dos conselhos são realizadas de forma totalmente virtual e dados confidenciais, bem como mensagens sensíveis, trafegam a todo momento pela Internet, dispositivos moveis e pela nuvem. 

Mais do que nunca, a segurança cibernética é uma prioridade hoje. O conselho deliberativo do seu fundo de pensão, alguma vez, já discutiu especificamente esse assunto em uma reunião? 

  

Grande abraço,

Eder.


Fonte: Adaptado do artigo "Does lockdown shift leave pensions exposed to cyber crime?", escrito por Oliver Telling