Horizontes Digitais

Engenharia Social: uma ameaça invisível

Atualmente estamos cercados de ameaças, tanto no mundo virtual quanto no mundo real. Essas ameaças colocam dois pontos em risco: o patrimônio da empresa e a informação. Esta última, foi durante toda a história alvo de pessoas com interesses diversos. Na era da informatização ameaças como vírus, spyrewares e hackers mal intencionados são tão constantes e perigosas que podem, em minutos, fazer empresas perderem muito dinheiro. Entre todas as técnicas de ataques existentes, uma quase não é lembrada ou conhecida, e por esse motivo não vem sendo prevenida: a Engenharia Social.

Engenharia Social é o método de ataque mais eficaz que existe, pois ainda não há Firewall ou Anti-vírus que a detecte. Esse método utiliza, assim como os outros, a confiança equivocada no fornecimento de dados ou execução de ações no sistema. A única diferença entre as ameaças citadas e a Engenharia Social é que nesta os ataques ocorrem no mundo real, contra pessoas e não softwares. Fora do mundo do computador onde o alvo é a informação, que em alguns casos possui valor maior que o próprio patrimônio, a Engenharia Social é conhecida como o famoso estelionato.

Os atacantes sempre utilizam da ingenuidade dos colaboradores, incluindo a sua. Criar mecanismos de segurança é fácil, desde que você conheça as táticas utilizadas e os procedimentos que a sua empresa possui que acabam facilitando o trabalho do atacante. A educação dos colaboradores é a parte principal nesse processo de defesa. No entanto, criar cartilhas de alerta e uma política de distribuição de informações, também ajuda.

Os métodos mais comuns que a Engenharia Social utiliza são e-mails forjados e ligações nas quais as únicas identificações são a voz e o número de origem. Quando o e-mail é usado para ataque, o combate à fraude é pouco eficiente. Por isso, a prática de uso de assinaturas digitais é muito aconselhável. Com a assinatura, seus clientes e colaboradores terão certeza da origem do e-mail recebido. Entretanto, quando o uso de assinaturas não é possível, algumas precauções são necessárias:

- Verificar se as informações enviadas não são comprometedoras (Quando informações sigilosas são enviadas, a entrega pessoal é sempre melhor opção).

- Verificar a identidade dos colabores externos (fornecedores, consultores, etc.) e exigir, da matriz colaboradora, a notificação de mudança de colaboradores.

- Quando é necessário enviar senhas ou registradores, a fragmentação dessa informação é recomendada. Por exemplo, a primeira parte vai no e-mail cadastrado e a segunda no telefone celular.

Os ataques são executados de forma planejada e discreta. Antes do ‘grande’ ataque acontecer, é comum realizar pequenos ataques, até que se tenha acumulado grande quantidade de informações. Os atacantes, muitas vezes, ligam com o pedido de uma senha de servidor ou liberação de acesso no Firewall da empresa, mas a real intenção é acessar documentos nos servidores de e-mail, projetos ou banco de dados. E só você sabe o quanto pode ser prejudicial o vazamento destas informações. Por isso, cuidar da sua informação deve ser critério máximo. Apesar de não ser uma tarefa fácil, evitar esses ataques é necessário.

Abraços.

Fernando Chucre