Psicologia e Computação: Como essa Interação Cria Ambientes Digitais mais Seguros
A proteção contínua de sistemas críticos, de redes corporativas e de informações importantes contra indivíduos mal-intencionados é fundamental para garantir a segurança, a confidencialidade, a integridade e a disponibilidade dos dados e das pessoas no ciberespaço. Ainda assim, os sistemas e as redes em geral estão sujeitos a diversos tipos de falhas, inclusive as falhas humanas, aproveitadas por atacantes. Além disso, eles se aproveitam das dificuldades de interação dos usuários com os dispositivos computacionais, e as suas vulnerabilidades cognitivas, reações emocionais e não racionais (Hoepers, 2024). O aspecto humano, muitas vezes considerado o elo mais fraco, é utilizado como uma vantagem pelos cibercriminosos. Entretanto, ao observar e procurar entender os processos mentais dos atacantes, se desenvolvem novos e promissores caminhos para ampliar e aprimorar as técnicas de defesa já existentes e, assim, impedir a concretização de ataques.
Nessa perspectiva, percebe-se que as ameaças cibernéticas extrapolaram questões meramente técnicas, estando entrelaçadas e sendo influenciadas pelos comportamentos e pelas motivações dos indivíduos, dos grupos e das nações que perpetraram esses atos (Rich, 2024). Isso é visualizado, por exemplo, quando um atacante com traço de personalidade de risco-aversão demonstra preferência por ataque a alvos com baixas recompensas, mas com alta probabilidade de sucesso (Geer, 2023). Assim, a crescente sofisticação das atividades cibercriminosas impõe uma perspectiva que não se limita às técnicas de defesas tradicionais existentes na computação, mas que também compreende de maneira abrangente o comportamento dos cibercriminosos.
As medidas de cibersegurança contemporânea, como processo de intervenção dessas ameaças, enfrentam uma transformação paradigmática (Geer, 2023). Particularmente, as estratégias tradicionais, baseadas em metodologias técnicas, como os firewalls em redes de computadores, apresentam desafios significativos na predição precisa dessas ameaças. Muitas dessas dificuldades advém exatamente dos agentes de defesa se limitarem aos métodos que não levam em conta, por exemplo, no escopo da psicologia, as motivações, as emoções e os pensamentos dos criminosos. Como confirmação dessa transformação, aos poucos as abordagens tradicionais, essencialmente reativas, estão sendo complementadas e aprimoradas por uma estrutura que prioriza a análise psicológica e a reação proativa e adaptativa (Rich, 2024).
Uma ilustração da relevância dessa transformação é representada no exemplo da personalidade de risco-aversão, mencionado acima, em que é possível prever as ações do cibercriminoso devido a um padrão comportamental desenvolvido. Essa predição permite que os ciberdefensores apresentem a esses sujeitos, como medida proativa de segurança, alguma informação que possa impedir ou atenuar o ataque, ao lidar, a título de exemplo, com a motivação do atacante. Nesse caso, sugere-se a distração dos delinquentes risco-aversivos com recompensas baixas, o que os manterá longe de ativos de alto valor (Geer, 2023).
Logo, surge a necessidade imperativa de investigar, de propor e de desenvolver novos paradigmas e tecnologias de cibersegurança que possibilitem a integração da análise comportamental e da resposta adaptativa, às técnicas tradicionais. Essa nova cultura promove um ecossistema transdisciplinar de defesa mais resiliente e eficaz. Nessa perspectiva, uma das técnicas em potencial é o perfilamento cibercriminal (Cybercriminal profiling), que se entende como a técnica que une conhecimentos psicológicos, criminológicos e computacionais para a construção de um padrão comportamental de um indivíduo, que viabiliza a análise de suas características e a definição de seus próximos passos prováveis (Martineau, 2023).
Como base da construção de um padrão comportamental, o modelo de personalidade HEXACO se apresenta como uma ferramenta valiosa, em razão de sua capacidade de capturar um espectro amplo de dimensões da personalidade e de prover os meios de melhor estudar as tendências do comportamento criminoso (Rolison, 2013). O HEXACO descreve seis dimensões da personalidade, unindo a extroversão, a conscienciosidade e a abertura à experiência, com a emocionalidade, amabilidade e honestidade-humildade. Portanto, teoriza-se que a avaliação das facetas – que se mantêm estáveis e constantes – desse modelo pode gerar insights valiosos sobre os estados emocionais e os comportamentos futuros dos agressores, o que contribui na previsão e na prevenção proativa de ameaças cibernéticas.
De acordo com Gabrys (2023), um dos autores que têm estudado os aspectos psicológicos de invasores, o uso das vulnerabilidades cognitivas em favor da segurança se apresenta como um primeiro passo a inferência dos estados emocionais dos agressores via informações disponíveis aos defensores, como, por exemplo, os dados de tráfego de rede. Assim, a análise da interação do atacante no sistema é promissora para gerar uma avaliação sobre o estado do invasor, o que irá garantir a vantagem da abordagem transdisciplinar entre Cibersegurança e Psicologia. Com esse objetivo, os modelos que capturam padrões de comportamento do invasor, como o desenvolvido por Gabrys, fornecem os meios para que estratégias defensivas sejam personalizadas ao promover interações na rede que alterem as percepções dos atacantes e, consequentemente, suas reações.
A criação de uma percepção equivocada nos ciberatacantes intencionalmente induzida por outra(s) entidade(s) é chamada de deception (enganação) (Whaley, 2008). Essa técnica envolve, entre outros meios, o uso de honeypots ou de sistemas visando distraí-los e/ou enganá-los. Portanto, efeitos como estresse emocional negativo podem ser gerados no atacante e prejudicar a sua tomada de decisão no momento do ataque (Climek et al., 2015; Ormrod, 2014 apud Wymbs et al., 2024). Em um estudo de Ferguson-Walter et al. (2021), o Tularosa Study, eles demonstram que a presença de deception é efetiva para impedir ataques e obteve o melhor resultado e maior impacto no comportamento dos atacantes que sabiam da presença da técnica.
Assim, a busca pela compreensão do padrão comportamental de invasores – construído pela detecção das dimensões da personalidade – e dos seus respectivos estados emocionais, bem como a alteração desses estados por meio de mudanças de percepções se mostram um caminho promissor na personalização das técnicas de deception atuais, garantindo a segurança no ciberespaço. Tais informações reforçam uma relação, que se planeja tornar consciente, entre a mudança de estado e a mudança desejada na atitude do invasor (Gabrys, 2023). Com isso, as investigações dessas questões se tornam relevantes ao desenvolvimento de uma nova cultura da cibersegurança – agora preventiva e proativa.
Para estimular e promover o estudo, a pesquisa e o desenvolvimento de estratégias proativas para aprimorar as ferramentas de cibersegurança e a proteção dos usuários, a partir do estudo da personalidade e dos padrões comportamentais dos atacantes e suas atuações no ciberespaço, o projeto CPCS (Ciberpsicologia e Cibersegurança) envolve estudantes de Piscologia e de Computação da UFMG. Dada a necessidade de mudança para uma cultura proativa de estratégias defensivas, o projeto busca colocar em prática a transdisciplinaridade entre as áreas da Computação e da Psicologia.
Esta matéria foi escrita por Sofia Carneiro A. Silva e Evelyn Laura Alves de Souza Costa, alunas do curso de Psicologia da UFMG, e pelo Prof. Aldri Luiz dos Santos do Departamento de Ciência da Computação da UFMG.
Referência bibliográfica:
Jonathan James Rolison, Yaniv Hanoch & Michaela Gummerum (2013) Characteristics of offenders: the HEXACO model of personality as a framework for studying offenders’ personality, The Journal of Forensic Psychiatry & Psychology, 24:1, 71-82, DOI: 10.1080/14789949.2012.752024
Weulen Kranenbarg, Marleen & Van Gelder, Jean-Louis & Barends, Ard & de Vries, Reinout. (2022). Is there a cybercriminal personality? Comparing cyber offenders and offline offenders on HEXACO personality domains and their underlying facets. Computers in Human Behavior. 140. 107576. 10.1016/j.chb.2022.107576.
Martineau, M.; Spiridon, E.; Aiken, M. A Comprehensive Framework for Cyber Behavioral Analysis Based on a Systematic Review of Cyber Profiling Literature. Forensic Sci. 2023, 3, 452–477. https://doi.org/10.3390/forensicsci3030032
David Geer. 2023. Using Psychology to Bolster Cybersecurity. Commun. ACM 66, 10 (October 2023), 15–17. https://doi.org/10.1145/3613253
Barton Whaley. Toward a general theory of deception. Journal of Strategic Studies, 5(1):178–192, 2008.
Hoepers, C. (2024). A Importância dos Fatores Humanos para a Cibersegurança. Computação Brasil, (52), 61–66. https://doi.org/10.5753/compbr.2024.52.4604
Gabrys, R.; Venkatesh, A.; Silva, D.; Bilinski, M.; Major, M.; Mauger, J.; Muhleman, D.; Ferguson-Walter, K. (2023) Emotional State Classification and Related Behaviors Among Cyber Attackers. Hawaii International Conference on System Sciences 2023 (HICSS-56). https://hdl.handle.net/10125/102735
Wymbs, N., Major, M.; Gabrys, R.; Ferguson-Walter, K. (2024). Physiological Response to Cyber and Psychological Deception. Hawaii International Conference on System Sciences 2024 (HICSS-57). https://hdl.handle.net/10125/106494
Ferguson-Walter, K. J., Major, M. M., Johnson, C. K., & Muhleman, D. H. (2021). Examining the Efficacy of Decoy-based and Psychological Cyber Deception. In 30th USENIX security symposium (USENIX Security 21) (pp. 1127-1144).
Rich, M.S.; Aiken, M.P. An Interdisciplinary Approach to Enhancing Cyber Threat Prediction Utilizing Forensic Cyberpsychology and Digital Forensics. Forensic Sci. 2024, 4, 110–151. https://doi.org/10.3390/forensicsci4010008