A It Show apresenta uma visão detalhada sobre o que chamou de Jogo da Confiança, uma evolução da engenharia social que migra do envio massivo de e-mails para campanhas de curto prazo para uma abordagem de spear phishing de longa duração. Ao cultivar uma relação de confiança com a vítima, os atacantes transformam a percepção de legitimidade em uma vantagem estratégica para invasões com alto impacto, como o Business Email Compromise (BEC) ou a implantação direcionada de ransomware.
Fase 1 – Reconhecimento e Abordagem Inicial: o atacante seleciona o alvo, rastreia informações públicas (OSINT) sobre a empresa, estrutura organizacional e parceiros, e inicia contato com um pretexto crível — muitas vezes simulando um novo fornecedor ou parceiro estratégico. O objetivo é estabelecer um pretexto sólido que minimize desconfianças logo no primeiro contato.
Fase 2 – Cultivo e Construção da Confiança: esta é a etapa mais longa, que pode durar semanas ou meses. A comunicação é cuidadosamente normalizada, com discussões sobre contratos, prazos e atualizações de status, criando uma linha de normalidade. Táticas de engenharia social como a Escala de Pequenos Pedidos, o Espelhamento de Informações e a Normalização do Contato são aplicadas para reduzir a percepção de risco.
Fase 3 – Exploração (Turn): quando a confiança está consolidada, o atacante executa a ação maliciosa. No caso de fraudes financeiras (BEC), o atacante pode anunciar mudanças nos dados de pagamento e anexar faturas falsas; para implantação de ransomware, pode enviar documentos aparentemente cruciais contendo macros maliciosas ou links para payloads, cuja abertura é facilitada pela relação já estabelecida.
Para enfrentar essa ameaça, recomenda-se uma abordagem multifacetada de defesa. Treinamento contínuo de conscientização, simulações que reflitam a construção de confiança ao longo do tempo, verificação fora de banda para alterações sensíveis e controles técnicos avançados (filtragem de e-mail com IA, banners de alerta para mensagens externas, restrição de macros, EDR e o Princípio do Mínimo Privilégio) são pilares essenciais. Além disso, a adoção de um robusto programa de Gestão de Risco de Terceiros (TPRM) ajuda a identificar e mitigar vetores de infiltração oriundos de parceiros externos.
Em conclusão, o Jogo da Confiança representa uma evolução perigosa da engenharia social, que utiliza a própria natureza das interações humanas para contornar defesas tecnológicas. A chave da defesa está em transformar o conceito de confiança em uma prática de “confie, mas verifique”, aliando treinamento humano, processos de verificação e controles técnicos para reduzir a probabilidade de vitimização. Siga o Itshow no LinkedIn e assine a News para não perder as próximas informações sobre TI, Telecom e Cibersegurança.
