*Por Julie Oliveira
Diariamente, empresas sofrem diversas tentativas de ataques onde pessoas mal-intencionadas utilizam diferentes técnicas para se aproveitar de vulnerabilidades internas para extrair dados e informações relevantes. Muitas vezes, essas vulnerabilidades são identificadas em sistemas e controles digitais dentro da empresa, porém, também é preciso focar nas vulnerabilidades geradas pelo elo mais frágil da Segurança da Informação, o ser humano. Afinal, não importa quantos controles de segurança lógica e física a empresa aplique, se seus funcionários, terceiros e parceiros não forem conscientizados sobre o assunto, esses controles podem facilmente ser burlados por meio de técnicas de Engenharia Social.
Engenharia Social
As ameaças cibernéticas mais comuns e, consequentemente, mais discutidas, são as que exploram vulnerabilidades de sistemas para se infiltrar em redes e roubar dados de usuários. Porém, não estamos limitados apenas a ameaças que se aproveitam de falhas sistêmicas, afinal, erros humanos podem acontecer e comprometer informações. E é a partir desse princípio que a Engenharia Social se forma.
A Engenharia Social consiste em um conjunto de técnicas aplicadas para obter acesso às informações confidenciais e valiosas de pessoas ou empresas. Geralmente essas técnicas baseiam-se na persuasão de pessoas, aproveitando-se da ingenuidade ou confiança destes, obtendo informações úteis que possibilitem acesso não autorizado ou atuação em diversos crimes.
No caso de empresas, a engenharia social aproveita-se de um funcionário sem conhecimento sobre o assunto ou descontente com a empresa, que poderá fornecer informações sigilosas para qualquer um que consiga enganá-lo ou, muitas vezes, sem nem precisar se dar este trabalho.
Tipos de Ataques
Existem vários tipos de ataques de engenharia social, utilizando diversas técnicas para induzir as pessoas a algum erro. Podemos citar alguns a seguir:
- Quid pro quo: Com nome referente a uma expressão com significado de “tomar uma coisa por outra”, baseia-se na técnica de oferecer, geralmente, um prêmio por algo em troca, como CPF ou outros dados pessoais. Desta forma a pessoa é convencida de que ganhou algo e que para liberação do prêmio, precisa compartilhar seus dados.
- Phishing: O tipo de ataque mais comum, que consiste em enviar e-mails passando-se por pessoas ou instituições e convencendo o destinatário a acessar links, fornecer informações sigilosas sobre si ou instalar malwares em seus equipamentos.
- Bait (isca): A isca é uma técnica que se baseia na criação de uma armadilha, utilizando, por exemplo, um pen drive com malware Uma vítima encontra o dispositivo e, curioso para ver o que está no pen drive, conecta em sua máquina e compromete o seu sistema após ser infectado.
- Pretextos: São histórias contadas para enganar suas vítimas, geralmente utilizando-se de informações reais obtidas por diversas formas, apelam para a ingenuidade e confiança das pessoas para realizarem o ataque.
Dentro das empresas, ainda podemos listar alguns comportamentos praticados pelos funcionários que tendem a facilitar o acesso às informações sigilosas da empresa, como dito no tópico anterior, sem nem precisarem se dar o trabalho de enganar os funcionários. Esses comportamentos são:
- Conversas, referentes a empresa ou o trabalho realizado, em locais públicos como transporte, praças de alimentação etc. Dependendo das informações compartilhadas nessas conversas, qualquer pessoa próxima poderá ouvir e, caso possua intenção, utilizá-las contra a empresa;
- Informações sobre a empresa ou funcionários em redes sociais. Muitos funcionários tendem a compartilhar informações em suas redes sociais sobre onde trabalham, o que fazem, onde estão etc. Essas informações nas mãos de alguém mal-intencionado podem ser utilizadas para formar um contexto para conseguirem enganar e convencer pessoas, obtendo acesso indevido a algum ambiente físico ou lógico da empresa;
- Por fim, mas não menos importante, o famoso crachá na mesa da praça de alimentação para guardar lugar. Ao deixar um item de liberação de acesso ao dispor de centenas de pessoas desconhecidas, sem o seu monitoramento, permite que qualquer um furte o crachá e consiga acesso ao ambiente da empresa, passando por todos os controles de segurança físico implantados.
Como se proteger
Visando a proteção das informações confidenciais da empresa, dentro e fora da empresa, é necessário investir em conscientização. Conforme dito anteriormente, a principal vulnerabilidade explorada neste tipo de ataque é o fator humano. Portanto, é de extrema importância que todos os colaboradores, terceiros e parceiros da empresa sejam treinados e conscientizados em assuntos de Segurança da Informação e Privacidade de dados, incluindo boas práticas para proteção das informações, diretrizes a serem seguidas na identificação de ameaças, testes para garantir que o conhecimento foi fixado e aplicação de simuladores de ataques no ambiente organizacional, garantindo que os funcionários não serão afetados em um ataque real.
Conclusões
Conforme apresentado neste artigo, podemos concluir que por mais que as empresas invistam em controles para segurança lógica e física, é de extrema importância que invistam em conscientização constante de seus colaboradores, afinal, falhas humanas não podem ser sempre protegidas por controles lógicos e físicos de segurança. Especialmente em ataques de engenharia social, precisamos que o próprio colaborador se atente às ameaças a sua volta e impeça que um ataque ocorra dentro de sua empresa. Porém, é importante lembrar que as técnicas de Engenharia Social, por mais que sejam utilizadas com más intenções, também podem ser utilizadas como apoio na identificação de vulnerabilidades presentes na empresa, possibilitando a mitigação de riscos antes mesmo de sofrerem algum ataque. Gostaria de saber mais sobre este serviço? Entre em contato.
— Julie Oliveira é SR GRC and Information Security Consultant at [SAFEWAY
Como podemos ajudar?
A SAFEWAY é uma empresa de consultoria em Segurança da Informação reconhecida pelos seus clientes por oferecer soluções de alto valor agregado por meio de projetos que atendam integralmente às necessidades do negócio. Em 14 anos de experiência, acumulamos diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte as 100 maiores empresas do Brasil.
Hoje por meio de 25 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas. Possuímos tanto a habilidade técnica quanto a experiência necessária para auxiliar sua empresa no processo de estruturação de controles e preparação do ambiente para implantação de SGSI, SGS ou SGCN e, consequentemente, certificação de operações, serviços ou empresas as normas ISO27001, ISO20000 ou ISO22301.
