Em busca do phishing perfeito que pode enganar até você mesmo

ElevenPaths    15 abril, 2019
Em busca do phishing perfeito que pode enganar até você mesmo

Jogue uma moeda para o alto (sem truques) seis vezes seguidas. Quais das três sequências a seguir você acredita ser mais provável, representando “cara” com um 1 e “coroa” com um 0?

1. 1 0 1 0 1 0 
2. 1 1 1 1 1 1
3. 1 0 1 1 0 1

A maioria das pessoas vai escolher a terceira sequência, 101101, porque parece mais aleatória. As duas primeiras parecem muito ordenadas e não coincidem com nossa ideia de aleatoriedade. Na realidade, as três sequências têm a mesma probabilidade de ocorrer, que é de (1/6)6. Mas como estamos mais acostumados a ver sequências desordenadas que aquelas em ordem (porque, no exemplo, aparecem mais), de alguma maneira a terceira sequência é a que melhor representa nossa imagem de como deve ser a aleatoriedade.

Esse erro de pensamento é chamado de heurística de representatividadeclassificamos um exemplo de acordo com o que representa nosso próprio estereótipo, ou ideia preconcebida, daquele tipo de exemplo. Por exemplo, se você vê uma jovem usando saia de couro, cores escuras e pulseira de “espinhos”, normalmente assumirá que ela gosta mais de música heavy metal do que um executivo engravatado.

Record que uma heurística é um atalho de pensamento: no lugar de responder a uma pergunta complicada, respondemos àquela mais simples, que seja parecida com a primeira, de maneira automática. No exemplo da moeda, ao invés de responde à pergunta “qual a probabilidade de cada sequência”, nos perguntamos “qual a sequência parece mais aleatória”. O uso de heurística de representatividade é o reflexo da presunção implícita de que similares estão sempre juntos. Pensamos de maneira errada que um membro de uma categoria deveria parecer-se com o estereótipo daquela categoria, que um efeito deveria parecer com sua causa.

Como ocorre com todas as heurísticas, a quantidade de ocorrências serve muito bem como ponto de comparação: se um esportista é magro e tem mais de dois metros de altura, é mais provável que ele jogue basquete do que futebol. Ao mesmo tempo, se um homem viaja com uma maleta em forma de guitarra, é mais provável que transporte dentro dela uma guitarra que uma metralhadora. E, se você recebe uma carta do seu chefe, é mais provável que o remetente tenha sido o próprio chefe, não um cibercriminosos fazendo um ataque phishing.

Mas não é sempre assim.

Se você ouve ruídos de casos, não espere zebras
Marcos é um jovem espanhol de uns 30 anos, que usa óculos, meio desajeitado, veste camisetas pretas com desenhos de filmes e séries geeks e usa Linux. Para você, oque é mais provável?

A. Trabalha como programador na ElevenPaths em Madri?
B. Trabalha como repositor em um supermercado?

Carregados pela heurística da representatividade, somos tentados a escolher a alternativa “A” como a mais provável. No entanto, na Espanha, existem muito, mas muito mais pessoas trabalhando em um supermercado do que na sede da ElevenPaths, por isso, ainda que haja uma proporção maior de amantes de Linux entre os empregados da ElevenPaths do que entre repositores, o número total será sendo muito inferior ao de “linuxeiros” em supermercados.

O problema é que um estereótipo muito forte está impedindo que a gente analise outras informações, como por exemplo a taxa base da questão, ou seja, o conhecimento da frequência relativa de um subconjunto em relação ao total. Quanto mais um indivíduo se parece com a população geral, mais vamos ignorar a taxa base.

Nas escolas europeias de medicina se fala muito o ditado “se você ouve barulho de casos, não espere por zebras”, ou seja, na hora de diagnosticar uma enfermidade é preciso pensar primeiro nas causas mais prováveis, ao invés daquelas mais exóticas. Ao avaliar a probabilidade de um sucesso, podemos ignorar a taxa base.

Se você já assistiu ao filme “O Homem que mudou o mundo”, vai lembra como Billy Beane cria uma equipe de baseball extraordinário recrutando jogadores com excelentes estatísticas de acerto no rebate, mas que tinham sido descartados por outros técnicos por não possuir o estereótipo do grande rebatedor. Diante da surpresa de outros clubes, Beane obteve resultados excelentes com baixíssimo custo, tudo porque foi o único que não sucumbiu à ilusão da representatividade.

Mais uma vez, a heurística nos faz esquecer o (pouco) que sabemos sobre probabilidade e estatística e nos faz tomar decisões com consequências que são, normalmente, desastrosas, como o exemplo a seguir. 

Se alguma coisa é mais plausível, não significa que seja mais provável
Sérgio tem 35 anos, estudou informática e, desde a adolescência, gostou muito de hacking e de programação. Ao longo de sua carreira, trabalhou dois anos em uma empresa de antivírus e, depois disso, três anos como um pentester em uma empresa internacional dedicada a segurança da informação, onde se tornou gerente de departamento. Na sequência, Sérgio fez um mestrado em Gestão de Risco e Fraude, escreveu seu trabalho de conclusão de curso sobre a Teoria dos Jogos aplicada à detecção de malware. Com esse histórico, oque você acha mais provável?

A. Sérgio trabalho em um grande banco
B. Sérgio trabalha em um grande banco, mas na unidade de cibersegurança, onde dirige uma equipe de resposta à incidentes digitais

Apresentei esse problema a dezenas de classes em que leciono e a totalidade dos meus alunos escolhe sempre a mesma resposta: B. Infelizmente, essa resposta é equivocada e eu suponho que a essa altura do post você já deve saber o porquê. Os empregados das unidades de cibersegurança de um banco são um subconjunto muito pequeno de todos os empregados da empresa, é matematicamente impossível que a probabilidade de ocorrência de um subconjunto seja maior que a probabilidade de um conjunto completo.

Por exemplo, é mais provável sacar de um deck de baralho uma carta de copas ou um ás do que sacar um ás de copas. Se você escolheu a opção B, foi vítima de outro erro de pensamento muito comum e conectado ao anterior, a falácia da conjunção.

É óbvio que a probabilidade de que os eventos ocorram em juntos (em conjunção) é sempre menor ou igual do que a probabilidade de cada um ocorrer em separado.

• Quando mostramos a história do sérvio antes de fazer a pergunta, triunfa a intuição e esta dá uma resposta equivocada
• Por outro lado, quando faço diretamente a pergunta, sem contar previamente a história do Sérvio, ninguém escolhe a opção B, ao contrário, todo escolhe a alternativa A. Sem uma histórica plausível, ganha a lógica.

Cada novo detalhe adicionado ao cenário, reduz o total de probabilidades desse mesmo cenário, além de aumentar a representatividade e, portanto, a aparente probabilidade. Que paradoxo! Quanto mais plausível e com mais detalhe nos “pintam” um cenário, menor probabilidade ele tem de acontecer, no entanto mais provável achamos que ele seja possível.

Bom, as histórias mais coerentes não são as mais prováveis, mas são as mais plausíveis. Nós confundimos coerência, plausibilidade e probabilidade. Os resultados mais representativos se combinam com a descrição da personalidade para produzir as histórias mais coerentes.

Esse erro de juízo é especialmente perigoso quando elaboramos cenários hipotéticos para fazer prognósticos e previsões. Considere os seguintes cenários e avalie sua probabilidade:
A. Durante as próximas eleições, se espera um ataque cibernético massivo no Twitter contra políticos brasileiros, capaz de tomar o controle de mais de 100 contas.
B. Durante as próximas eleições, se espera que um mesmo que foi expulso de um dos partidos políticos e que possui contatos com grupos hacktivistas realize uma represália, um ataque massivo no Twitter contra os membros do seu partido, capaz de sequestrar mais de 100 contas.

O segundo cenário propõe uma história muito mais vívida e emocionante, ou seja, mais plausível, ainda que sua probabilidade seja muito menor. Realmente, o segundo cenário está contido no primeiro: os políticos de um único partido constituem um subconjunto dentro do conjunto de todos os partidos políticos existentes. Assim, adicionar mais detalhes a um cenário o torna mais persuasivo, mas ao mesmo tempo o torna menos provável. É uma armadilha comum tentar estimar cenários.

Aqui te damos outro exemplo:

A. A Telefônica vai sofrer um ataque cibernético
B. A Telefônica vai sofrer um ataque cibernético em grande escala desde a Coreia do Norte, orientado a interromper as comunicações de grande parte do país e causar o caos.

Agora que você já sabe como eliminar os vieses de análise, sabemos que o cenário A é mais provável. Convido você a propor os dois aos seus amigos e verá que a maioria elege a opção B.

Em busca do malware perfeito
Como um cibercriminosos pode se aproveitar da heurística da representatividade? Ele vai explorar nossa tendência em acreditar em um cenário mais rico em detalhes representativos do que outros que possui menos detalhes. Se uma história contém detalhe que “tem que estar ali”, tendemos a acreditar nela mais do que se a mesma não tivesse os mesmos detalhes. Matematicamente, no entanto, quanto mais detalhes incorporamos em uma história, menor a probabilidade de essa mesma história ser verdadeira comparada àquela com menos detalhes.

Por exemplo, o criminoso poderia chamar uma vítima com a intenção de imitar o gerente de segurança, explicando que trabalha no CPD da companhia e que está fazendo a ligação porque recebeu alertas de comportamento anormal na rede, com origem no computador da vítima. Por isso, ele precisa se conectar de maneira remota para fazer testes de segurança e das credenciais de acesso desse usuário para iniciar uma seção e verificar o que está acontecendo.

Já que todos esses detalhes encaixam com nossa imagem estereotipada da rotina de trabalho de um administrador de segurança, é mais provável que a vítima revele suas credenciais. Preste atenção como, de acordo com a teoria da probabilidade, esse segundo cenário é muito mais provável que o primeiro, mas muito mais plausível!

A presença de informações plausíveis provavelmente aumenta nossa credibilidade naquilo que é implausível. Em outras palavras, para explorar a representatividade e a conjunção em uma petição implausível, precisamos de tantas afirmações e detalhes quanto seja possível, enriquecendo a histórica. Quanto mais plausíveis sejam as primeiras afirmações, mais fácil será fazer com que a vítima acredite no argumento, ainda que ele seja implausível.

Podemos presenciar essa estratégia em:

• Ataques de engenharia social por telefone, e-mail ou em pessoal, que buscam enganar uma pessoa na própria organização com o fim de obter informação sensível da vítima• Ataques que utilizam dispositivos físicos infectados, como unidades USB, perfeitamente etiquetados e deixados em lugares insólitos, para que a vítima os encontre e sinta-se tentada em conecta-los• Mensagens de phishing com textos muito bem redigidos que oferecem vários detalhes plausíveis antes de solicitar que se clique em um link que, normalmente, levará a uma página que pode até ser familiar no início do acesso. Esses ataques estão tão dirigidos a um tipo de pessoa que podem ser encaixados na categoria de spear phishing• Janelas falsas de alerta de vírus simulando ser de antivírus instalados no equipamento que solicitar a execução de uma varredura para limpar uma suposta infecção ou ameaça

Autodefesa contra ataques e a heurística de representatividade
Resumindo, para você evitar ser arrastado pela heurística de representatividade, precisamos lembras as seguintes medidas, algumas inspiradas na obra “Irracionalidade”:
• Se um cenário demanda o cumprimento de uma condição adicional, não importa o quanto plausível pareça a condição, o cenário será menos provável, não mais
• Não julgue unicamente pela aparência. Se algo está mais próximo de X do que de Y, é mais provável que ele seja Y se, no total, há mais Ys do que Xs. Tente se informar sobre a taxa base!
• É sempre menos provável que uma declaração que tenha dois ou mais dados seja verdadeira do que a que contenha somente um desses dados, por mais verossímeis que eles sejam
• Não acredite que uma hipótese seja verdadeira apenas porque parte dela é verdadeira
• Uma história muito plausível não significa que seja muito provável

Quando você tiver que tomar uma decisão em segurança, evite os contos e faça as contas!

Gonzalo Álvarez Marañón
@gonalvmar
Inovação e laboratório na ElevenPaths
www.elevenpaths.com

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *