Engenharia social: como utilizar a técnica a favor da sua empresa. |
Ataques que não podem ser detectados por anti-vírus e se aproveitam de falhas humanas para roubo de dados estão cada vez mais comuns. O especialista em segurança da informação, Paulo Silva, ensina como avaliar a vulnerabilidade das equipes e criar mecanismos para proteger as companhias
Diferente de malwares, que infectam computadores, roubam diversos dados e prejudicam os equipamentos, a engenharia social atua de forma customizada – e muito mais prejudicial. Através de e-mails, contatos via rede social e páginas da internet que parecem “ser feitas para você”, esse tipo de ataque não pode ser detectado por um anti-vírus.
Paulo Silva, especialista em segurança da informação da Tracker Consultoria, explica que a engenharia social se aproveita da vulnerabilidade dos internautas para conseguir dados específicos. “Pode ser um contato via bate-papo ou aquele e-mail da loja que você sempre costuma comprar, do banco em que a pessoa ou empresa tem conta. Parece muito real porque no geral os criminosos fazem uma pesquisa prévia e enviam o conteúdo com informações customizadas, como o nome da vítima, por exemplo”, diz.
O especialista alerta que a engenharia social é muito mais comum do que se imagina e causa danos consideráveis às empresas. “Na correria do dia a dia nem sempre os profissionais conferem se o contato é confiável. Os hackers geralmente são persuasivos e contam com um histórico de movimentações. Por isso é comum que os colaboradores acabem fornecendo dados como conta bancária e senhas de acesso. Como há um levantamento antes do ataque, muitas vezes o criminoso se dirige diretamente à secretária ou ao responsável pelo financeiro”, reforça.
Phishing e contato telefônico como teste de vulnerabilidade
Por conta da preocupação de seus clientes, Paulo criou um método específico para este tipo de ataque. O projeto faz uma análise da equipe e a partir daí são realizados treinamentos para garantir que os colaboradores fiquem mais atentos a esse problema. “O maior desafio dentro da engenharia social é descobrir como ela está ocorrendo. Muita gente só percebe que foi vítima depois de um bom tempo, quando os prejuízos são muito grandes”, conta.
Para identificar pontos de vulnerabilidade, a Tracker Consultoria realiza duas formas de testes de engenharia social. A primeira é o envio de phishing, que são e-mails que parecem confiáveis, mas na verdade ocultam um ataque para roubos de dados. "É quado você recebe aquela mensagem do seu banco, em que seu nome e até mesmo o CPF conferem. Ou então uma news com promoções da loja que costuma comprar. Ao entrar na página, os hackers solicitam informações bancárias, senhas de e-commerce, dados de cartão de crédito e assim realizam o roubo", explica o especialista. O segundo teste é realizado através de contato telefônico personalizado. "Ligamos para alguns colaboradores da empresa simulando um ataque de engenharia social para identificar se existem profisisonais vulneráveis a isso. Essa técnica é muito comum e ocorre de inúmeras maneiras. É aquele ligação que parece ser do seu banco solicitando atualização de senha, da empresa em que comprou recentemente, alegando uma necessidade de alteração no boleto e até mesmo o famoso golpe do sequestro, que leva muita gente a depositar quantias exorbitantes de dinheiro aos criminosos", relata Paulo.
Ele aconselha que treinar as equipes e contar com uma política de segurança com regras em relação ao uso de e-mails pessoais, além de treinamentos periódicos, são as práticas mais certeiras para empresas que querem se proteger da engenharia social. “Os criminosos pesquisam muito antes de atacarem e justamente por isso têm tanto sucesso. Depois que identificamos as falhas, também realizamos testes de intrusão, que verificam possíveis melhorias na estrutura, para evitar ataques via web. Porém são duas frentes que devem andar juntas: TI segura e equipe bem orientada”, conclui.
Sobre o especialista
Paulo Silva é diretor da Tracker, doutor pela Universidade Federal de Santa Catarina e possui mais de 10 anos de experiência em projetos de Gestão de Segurança da Informação e Gestão de Tecnologia da Informação. Já realizou projetos em empresas como Sicoob, Senior Sistemas, Altenburg Têxtil, Fiesc e Fecoagro. Atuou em instituições como Furb, Univali, Senac e Uceff, lecionando em cursos de graduação e pós-graduação.