Responda a esta pergunta: de onde vem o maior risco de invasão dentro de um sistema ou banco de dados em uma empresa? Se você está pensando em brechas de firewall, conexões não criptografadas e invasão física de servidores, talvez seja hora de olhar a questão por outro ângulo.
Não que esses pontos de segurança não sejam importantes, mas o maior desafio de TI hoje vem de dentro do próprio escritório.
Neste artigo, vamos conversar um pouco mais sobre o que é engenharia social e descobrir como ter cautela na rotina de trabalho pode ser uma grande medida de proteção. Vamos lá?
Engenharia social e malwares: qual é o tamanho dessa ameaça
Quando assistimos a algum filme de Hollywood sobre hackers e invasões de sistema, dá para entender por que a maioria dos profissionais não entende bem o que precisa fazer para proteger a própria empresa de criminosos virtuais.
Nas histórias, as invasões são sempre planos elaborados e focados em um arquivo valioso dentro do banco de dados, com técnicas muito sofisticadas que driblam sistemas de segurança em uma disputa virtual até conseguirem o que querem.
Na maioria dos casos da vida real, no entanto, basta convencer o usuário a abrir um anexo de e-mail. E só. Nada empolgante o suficiente para um filme de ação, mas essa é a forma mais eficiente de entrar em um sistema sem riscos para o criminoso.
O que hackers descobriram nos últimos anos é que não é preciso bater de frente com um firewall se ele pode enganar um dos usuários com acesso ao sistema e convencê-lo a instalar um código controlado por ele em um ambiente já credenciado.
Um malware é um software que age camuflado em segundo plano e consegue fazer essa ponte entre a rede interna e o computador do criminoso sem ser detectado pelas ferramentas de segurança.
E esse é o tamanho da ameaça que a engenharia social traz. Quando um usuário voluntariamente instala ou executa um programa sem procedência verificada (na maioria das vezes um malware), é muito difícil que o antivírus ou outros sistemas de proteção identifiquem a brecha — já que eles estão focados em monitorar invasões externas.
É por isso que o nome “Cavalo de Troia” se popularizou para esse tipo de código. Mesmo com milhões de reais investidos em segurança, basta um profissional desatento em qualquer departamento para pôr em risco os dados da empresa.
Golpes de engenharia social: os 6 principais para ficar de olho
Uma empresa deve estar sempre investindo em segurança, tanto em hardware quanto em software, mas a principal arma contra a engenharia social é a informação.
Para te ajudar a começar um processo de educação dentro da companhia e para monitorar o uso do sistema pelos profissionais com atenção, nós listamos os 6 principais ataques desse tipo. Acompanhe!
1. Phishing
Esse é o tipo mais comum de engenharia social utilizado hoje por criminosos no mundo todo — principalmente por ser barato e escalável para milhares, milhões de contas.
O termo pode ser traduzido como “pescaria” e usa a velha conhecida (mas ainda eficiente) estratégia do e-mail falso. O hacker cria uma mensagem bem convincente que pode ser de uma loja, instituição financeira ou até do governo.
Em geral, o texto alerta para algum problema financeiro (que chama mais atenção das pessoas) e termina sugerindo uma solução que envolve o download de um anexo.
Nesse arquivo, como você pode imaginar, está o malware que será instalado naquele computador. Muitas vezes o usuário pensa que o problema foi resolvido ou que não concluiu com sucesso os passos e acaba esquecendo do programa, que fica ativo em uma máquina com credencial liberada para o banco de dados da companhia.
2. Spear phishing
Esse ataque é similar ao Phishing comum, mas potencialmente mais perigoso por ser focado em uma empresa ou instituição.
Nesse caso, o criminoso elabora seu e-mail a partir de assuntos e fontes que são comuns ao negócio (o banco que ele usa ou um grande fornecedor), às vezes focado em um departamento específico para garantir que pelo menos um de seus profissionais seja enganado.
3. Baiting
O Baiting é uma tática que já foi mais comum no passado, quando as mídias físicas de armazenamento eram bastante utilizadas. Mas esse tópico ainda precisa de uma atenção da TI da empresa!
Nesse modelo, o criminoso conta com a curiosidade do usuário oferecendo um pendrive como brinde ou “esquecendo” um DVD de um filme popular em um lugar de muita circulação no escritório. Se um dos funcionários morde a isca e tenta descobrir o que tem dentro daquela mídia, acaba instalando um malware sem perceber.
4. Pretexting
O nome desse golpe de engenharia social vem da palavra “pretexto”, que é exatamente o que o criminoso inventa para extrair informações importantes do usuário.
No Pretexting, o hacker pode utilizar vários métodos para convencer o usuário a dar informações sigilosas sobre ele ou a empresa. Pode ser uma pesquisa falsa ou um perfil falso de rede social que crie uma relação de amizade e utilize essa proximidade para extrair algum dado útil para a invasão.
5. Quid pro quo
Essa expressão latina significa “tomar uma coisa por outra” e é a origem da nossa palavra quiproquó. Ou seja: o objetivo é criar uma confusão na cabeça do usuário.
Nesse caso, o criminoso liga para vários números dentro da empresa oferecendo determinado serviço — dizendo que é do suporte de TI e ligou para resolver o problema da pessoa, por exemplo.
Em algum momento, isso será algo que um dos funcionários está esperando de verdade e ele vai acreditar naquele contato. É no processo de “ajudar” o profissional que o hacker consegue dados de credenciais que vão permitir que ele acesse o sistema no futuro.
6. Tailgating
Essa é uma técnica mais antiga do que a própria internet, usada inclusive em edifícios residenciais. A ideia aqui é seguir um dos funcionários de perto até que ele chegue a uma área de acesso controlado eletronicamente. Quando o profissional abre a porta, o criminoso pede para segurar para ele, porque está atrasado.
Esse é um dos exemplos de como a simples desatenção aliada ao carisma de uma pessoa mal-intencionada pode dar até acesso físico aos servidores da empresa. De lá, o hacker provavelmente terá muito tempo e pouco monitoramento para comprometer os dados como quiser.
Proteção de dados: uma responsabilidade de todos os funcionários
Em todos esses casos, a engenharia social é um dos maiores riscos para dados sigilosos em um negócio. Isso porque é um tipo de ataque que passa por cima de investimentos em segurança e dificilmente é notado de imediato.
Ou seja, para um gestor de TI, preparar o sistema não é suficiente — é preciso preparar as pessoas. Se você quer assegurar a confiabilidade do seu banco de dados, é hora de investir em treinamento e comunicação interna.
Alerte todos os departamentos sobre os riscos desses golpes e faça atualizações constantes em termos de uso que contemplem novas formas de ataque que surgem todos os dias.
Afinal, o data center de uma companhia só é tão seguro quanto a precaução das pessoas que o utilizam. Você, como responsável tecnológico, precisa ser o fio condutor dessa transformação em segurança diante de tantas ameaças de engenharia social.
Que tal então começar levantando essa discussão entre os colegas de empresa? Compartilhe este post nas suas redes sociais e marque todo mundo do escritório. Está na hora de blindar o seu sistema e criar uma grande imagem de confiança para o negócio.