O grupo MGM Resorts é composto por mais de trinta hotéis e cassinos espalhados por diversos países.
Vivaldo José Breternitz (*)
Há alguns dias, o grupo revelou ter sofrido um ataque hacker que tornou máquinas caça-níqueis, chaves de quartos e outros dispositivos críticos inoperantes.
Ainda não há informações concretas sobre tamanho dos prejuízos, mas a agência Bloomberg disse que recentemente o grupo Caesars Entertainment, que atua na mesma área, também foi atacado por hackers e pagou para que estes não divulgassem dados de seus clientes.
Quando isso acontece, poderíamos perguntar quais foram os métodos sofisticados empregados para invadir os sistemas desse império que vale bilhões de dólares?
A resposta surpreende: esse ataque foi desfechado com o uso de uma arma que emprega baixíssima tecnologia: a engenharia social, termo que no contexto de segurança da informação, refere-se à manipulação psicológica de pessoas para a execução de ações ou fornecimento de informações confidenciais.
No caso do grupo MGM Resorts, parece ter bastado uma ligação telefônica de dez minutos, enganando um funcionário da área de suporte de uma empresa que presta serviços de tecnologia da informação ao grupo, que acabou fornecendo caminhos e senhas que viabilizaram o ataque.
Parece estranho que um funcionário entregue informações sensíveis a um estranho, mas os atacantes desenvolvem maneiras de enganar as pessoas para que estas se sintam à vontade e acabem confiando no interlocutor, que às vezes passa-se por pessoa conhecida ou simula tratar-se de situação de urgência, fazendo com que a vítima aja de forma praticamente instintiva, sem avaliar corretamente o que está dizendo ao hacker.
Erik Huffman, um pesquisador que estuda a psicologia associada à segurança cibernética, diz que traços de personalidade comuns entre as vítimas de cibercrimes incluem extroversão, empatia e abertura a novas experiências – “quanto mais à vontade você estiver, mais vulnerável se torna”, disse Huffman.
Os ataques de engenharia social acontecem constantemente, vitimando tanto grandes corporações como pessoas comuns. Sabendo que nossa boa índole pode ser nossa maior fraqueza quando confrontados com esse tipo de agressor, pode ser tentador deixar de ser amável para garantir a segurança.
È importante equilibrar nossos instintos sociais com um ceticismo saudável. “Você pode ser prestativo”, disse Huffman, “mas seja cauteloso”.
(*) Doutor em Ciências pela Universidade de São Paulo, é professor da FATEC SP, consultor e diretor do Fórum Brasileiro de Internet das Coisas.