Por que sua empresa deve ser preocupar com a Engenharia Social? Proteja a segurança de TI

Você abre seu e-mail e tem uma mensagem supostamente enviada pelo seu banco. Nela você recebe o aviso de que ocorreu um problema com sua conta digital e, para corrigir, você deve acessar um aplicativo que vem anexado ao e-mail. Ao acessá-lo o estrago está feito e o suposto banco invade seu computador.

Imagine agora que você esteja na sua casa e alguém liga identificando-se como o provedor da internet. Essa pessoa explica que está fazendo manutenção e precisa da sua senha para que possa efetuar melhorias. No mesmo caso do aplicativo que você acessou, ao passar sua senha você acaba dando acesso a alguém para entrar no seu computador.

Esses casos são comuns e é bem provável que algo parecido já tenha acontecido com você ou alguém que você conhece. A esse tipo de ataque damos o nome de Engenharia Social. Neste artigo, mostrarei o que é e por que sua empresa deve ficar de olho neste termo.

O que é Engenharia Social?

A Engenharia Social é a arte de obter acesso a sistemas, dados, prédios, explorando a psicologia humana ao invés de utilizar técnicas de hackeamento. Ou seja, a Engenharia Social não busca encontrar uma vulnerabilidade em um software da sua empresa. Ela busca um meio de, por exemplo, se passar por um funcionário de TI para corrigir um problema, pedindo a senha do usuário.

Como nos exemplos no início deste post, os engenheiros sociais aproveitam o comportamento humano para realizar uma fraude. Nesse caso, mesmo que sua empresa tenha todos os recursos para proteger desde a segurança física do seu prédio, até seu data center ou as implantações na nuvem, ainda assim um engenheiro social poderá induzir alguém a clicar em um link malicioso de um contato no LinkedIn, para citar um exemplo.

Ataques comuns de Engenharia Social

Um dos ataques mais comuns são as tentativas de pishing. Normalmente, é enviado um e-mail, mensagem instantânea, comentário ou mensagem de texto que parece vir de uma empresa, banco, ou instituição confiável:

  • Contendo um link;
  • Contendo um download;
  • Pedindo ajuda ou solicitando que seja feita uma doação para alguma causa;
  • Dizendo que o destinatário é vencedor de algum concurso ou ganhou um prêmio;
  • Comunicando que o nome do destinatário está no Serasa/SPC;
  • Avisando falha de segurança.

Há também a técnica conhecida como Pharming, a qual envenena o servidor DNS redirecionando o tráfego para um site falso. Pharming é muito comum em sites bancários, além disso, a técnica é amplamente utilizada em sistemas corporativos para captura de usuários e senhas.

Para a Engenharia Social o elo mais fraco na cadeia de segurança é o ser humano, que acaba acreditando na história que recebeu. Por mais inacreditável que seja uma história dizendo que tal pessoa ganhou um prêmio, pode ter certeza que existem pessoas que caem em golpes de engenheiros sociais. Aqui citei alguns dos principais que podem afetar uma empresa por meio da internet.

Bom, mas se Engenharia Social é a arte de manipular pessoas a fim de que elas passem informações confidenciais, a pergunta é:

Como proteger a empresa dos engenheiros sociais?

Em primeiro lugar, é importante conscientizar a todos que esses ataques são reais e que atraem muitas vítimas. Para você ter uma ideia, de acordo com uma matéria no G1, 57% das fraudes na América Latina são originárias no Brasil. Diz a reportagem: “os hackers nacionais têm conhecimento de ‘nível técnico’ e, para compensar a falta de sofisticação, são mestres na arte de enganação – a chamada “engenharia social”.

A Engenharia Social e segurança da informação na gestão corporativa é algo que precisa ser debatido em todas as empresas, em todos os setores. Pense o seguinte: se um prédio possui porteiro e câmera de vigilância, mas se por algum motivo a entrada de um suposto funcionário da operadora de TV a cabo for liberada, toda essa segurança não adiantará de nada, certo?

O mesmo ocorre com as organizações: investir em proxy, firewall, antivírus e quaisquer sistemas para detectar invasão não adiantará se algum funcionário clicar em um link enviado por um engenheiro social.

Isso não significa que não se deva investir em segurança de dados. Pelo contrário, a segurança deve ser reforçada para evitar outros tipos de invasão. Assim, além de tomar ações preventivas que visam diminuir os riscos da contaminação ou mesmo da ação de pragas virtuais, é necessário elaborar uma política de segurança de TI com regras específicas quanto à utilização da internet.

A Federação Brasileira de Bancos (Febraban), por exemplo, elaborou uma Cartilha de Redes Sociais. Auditoria em Segurança da Informação é igualmente essencial, e falo sobre isso neste artigo.

O mais importante: Aja agora!

Entendendo a Engenharia Social dá para ter uma noção do quanto estamos vulneráveis hoje em dia. Especialmente sobre as organizações, sabemos o quanto os dados corporativos são valiosos. Por isso, o recomendado é conversar com especialistas na área para procurar manter sua empresa sempre afastada de ataques.

Nós, da Scurra, estamos preparados para ajudar sua organização a se proteger. Entre em contato conosco para saber mais. Caso queira ampliar seu conhecimento sobre segurança da informação, deixo a sugestão de alguns materiais:

Não corra riscos: conheça as principais ameaças de segurança da informação de TI

Sem comentários

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *