Os cibercriminosos usam psicologia – os profissionais de segurança cibernética também deveriam

Os crimes cibernéticos mais bem-sucedidos aproveitam as fraquezas humanas conhecidas. Não é hora de pararmos de ficar empolgados com os bandidos? Aqui estão cinco etapas que os profissionais de segurança cibernética podem seguir agora.

Como o comportamento humano afeta a segurança cibernética é um tema quente. Por exemplo, os cibercriminosos estão usando a pandemia do COVID-19 como forma de enganar as pessoas. Os golpes estão funcionando porque os cibercriminosos estão aproveitando as fraquezas humanas conhecidas.

Brenda K. Wiederhold, presidente do Centro Médico de Realidade Virtual e psicóloga clínica licenciada, escreve em seu trabalho de pesquisa O papel da psicologia no aprimoramento da segurança cibernética: “Os indivíduos estão em desvantagem psicológica quando confrontados com o crime cibernético. Muitas vezes, eles não recebem informações suficientes para tomar decisões ideais em situações sensíveis à privacidade.”

Wiederhold sugere que a falta de informação distorce o risco versus recompensa em favor do cibercriminoso, acrescentando: “Mesmo nos casos em que informações suficientes estão disponíveis, os indivíduos, atraídos por perspectivas de gratificação imediata e sob a influência do viés de otimismo (um viés que faz com que alguém acreditar que são menos propensos a experimentar um evento negativo), tendem a ser vítimas de descontos hiperbólicos e atribuem valores de risco mais baixos às decisões de privacidade.”

O desconto hiperbólico refere-se a como as pessoas que tomam decisões dão mais prioridade aos benefícios imediatos sobre os ganhos de longo prazo. Nossa percepção não linear do tempo e a incapacidade de considerar os resultados de longo prazo de uma ação ao fazer uma escolha são os culpados.

VEJO: Engenharia social: uma folha de dicas para profissionais de negócios (PDF grátis) (TechRepublic)

Um exemplo bem conhecido é perguntar a alguém se ele prefere US$ 50 agora ou US$ 100 em um ano. A maioria escolhe os $50. Se a escolha mudar para US$ 50 em cinco anos ou US$ 100 em seis anos, quase todo mundo escolhe os US$ 100.

Essa propensão é algo que os cibercriminosos estão cientes e usam a seu favor.

Em uma nota positiva, Wiederhold sugere: “Usando sua compreensão do comportamento humano no ciberespaço, os psicólogos podem introduzir mudanças culturais e comportamentais em direção a uma maior segurança nos níveis individual e coletivo”.

Wiederhold oferece o seguinte conselho:

• Compreender a economia comportamental que governa a percepção de risco e recompensa das pessoas: Um primeiro o importante seria identificar situações sociais nas quais os indivíduos demonstram uma maior tendência a descontar o risco de compartilhar informações privadas. “Um estudo descobriu que as pessoas são mais propensas a revelar informações pessoais e confidenciais em ambientes menos formais, como conversas casuais ou em redes sociais.”
• Identificar padrões de atividades criminosas e maliciosas: Wiederhold quer que as partes responsáveis ​​prestem atenção ao comportamento que pode afetar negativamente a segurança cibernética. Se um problema for encontrado, ela sugere o desenvolvimento de sistemas de segurança – internos ou por meio de um provedor de serviços – capazes de detectar tais atividades, levando em consideração a distorção psicológica que influencia as decisões de privacidade.
• Aconselhar legisladores e grupos de direção sobre o impacto psicológico e social do cibercrime: Muitos crimes cibernéticos não têm o mesmo peso que os crimes não virtuais comparáveis. “Um estudo em 64 países identificou que a legislação fragmentada (ou seja, a variação da legislação entre os países) é um dos principais fatores que dificultam o combate ao cibercrime”, disse ela.
• Aumentar a conscientização pública sobre os riscos de segurança cibernética: Wiederhold quer envolver os usuários – essa é a única maneira de ajustar sua percepção e, posteriormente, seu comportamento em relação à privacidade. Ela disse: “É essencial que os psicólogos alcancem além dos laboratórios e jornais para se comunicar com o público através da mídia convencional e redes sociais”.
• Compreender o impacto do cibercrime no comportamento das vítimas em todas as fases da vitimização: O trabalho de pesquisa Frames of Fraud: A Qualitative Analysis of the Structure andProcess of Vitimization on the Internet, diz que as vítimas de crimes cibernéticos (interações fraudulentas) am por três estágios semelhantes aos associados aos ritos de agem: preliminar (separação), liminar (transição ) e pós-liminar (incorporação).

Outra perspectiva sobre como ajudar a prevenir ataques cibernéticos vem de uma citação do depoimento da psicóloga do fator humano Anita D’Amico perante um subcomitê do Congresso:

“Como pesquisadores e educadores, devemos abordar os diversos papéis que nós humanos desempenhamos na segurança cibernética, além de apenas o profissional de segurança que istra firewalls, ajusta sistemas de detecção de intrusão e monitora redes. Também devemos educar o desenvolvedor de software, advogado, formulador de políticas e todos nós usuários que somos cúmplices involuntários do invasor.”

Para saber mais sobre esse tópico, leia estes artigos da TechRepublic escritos por mim: Engenharia social: como a psicologia e os funcionários podem fazer parte da solução, 6 táticas de persuasão usadas em ataques de engenharia social e Como entender a ciência cognitiva pode fortalecer os elos fracos da segurança cibernética.