A evolução das tecnologias de informação e comunicação que experimentamos nos últimos anos é de fato revolucionária. A demanda cada vez maior por dados exige um número ainda maior de recursos computacionais.No entanto, todas as facilidades trazidas por essas tecnologias implicam também em novas formas de ameaça à segurança da informação. Diversas empresas têm se preocupado em atualizar seus parques tecnológicos. Porém, muitas vezes se esquecendo do fator humano, sempre apontado como o elo mais fraco da segurança da informação. Sabe-se que a informação é algo muito importante para qualquer corporação, pois é fundamental para o seu funcionamento, o que garante competitividade no mercado.

A Engenharia Social

Pelo hábito natural das pessoas confiarem umas nas outras, o poder de persuasão dos atacantes torna-se de grande valia. Considerando os aspectos comportamentais naturais de cada ser humano em uma situação de risco, esse é o ponto chave da engenharia social. Muitas vezes, isso traz tomadas de decisões com base na confiança excessiva, mesmo considerando também o nível de criticidade de cada situação. Dessa forma, a desinformação das pessoas sobre as questões de segurança e o real valor dessas informações acaba por expor as organizações a riscos desnecessários. A segurança da informação é um ponto crucial para a sobrevivência de uma organização. Seu principal foco é a proteção da informação contra diversos tipos de ameaças. Apesar da existência nos dias atuais de diversas proteções como firewalls, criptografia, detectores de intrusões e tantos outros, tudo isso perde o sentido mediante um ataque de engenharia social bem executado. Claro que nesse cenário a importância desses mecanismos em conjunto garante uma boa camada de segurança. Porém, o fator humano tem força suficiente para pôr em risco todo o negócio, ainda mais se não for levada em consideração a segurança em pessoas.

O que é a Engenharia Social?

De acordo com o CISSP Official Guide, engenharia social pode ser definida como tentativas com sucesso ou não, de influenciar pessoas em revelar informações ou agir de uma determinada maneira que resulte em acesso não autorizado a, ou uso não autorizado de, ou liberação não autorizada de um sistema, rede ou dados. De fato, de nada adianta ter altos investimentos em grandes soluções de segurança se não houver a preocupação por parte das empresas em treinar seus funcionários contra este tipo de ataque.

Como ocorre um ataque de Engenharia Social

Existem basicamente dois tipos de ataque: o direto e o indireto. Abaixo, alguns tipos mais comuns entre essas duas categorias:

• Telefone;
• E-mail;
• Spyware;
• Chats;
• Análise do lixo (sim, esse mesmo lixo que temos nas cestas dos escritórios);
• Internet e redes sociais;
• Abordagem pessoal;
• Phishing.

Prevenções e cuidados

Como se pode perceber, a engenharia social não está limitada ao meio digital. Por isso, prevenções e cuidados são ainda mais importantes de serem levados em consideração. Existem alguns cuidados que podemos apontar facilmente:

• Atentar fortemente para as políticas de segurança da informação e sempre que possível orientar e conscientizar os colaboradores quanto ao seu uso;
• Orientar cada colaborador quanto ao real valor das informações pelas quais são responsáveis, classificando assim, o que pode ou não ser divulgado;
• Sempre desconfiar de fatores como promoções, ofertas e preços baixos divulgados na internet;
• Desconfiar ao ser surpreendido por telefonema ou e-mail de pessoas que não conheça e nunca divulgar informações ou contatos a pessoas estranhas;
• Implementação de níveis diferenciados de acesso físico às instalações da corporação;
• Identificação visual e acompanhamento dos visitantes por funcionário;
• Conscientização sobre o manuseio de informações corporativas fora dos perímetros da empresa, bem como discussão de projetos de trabalho em ambientes informais;
• Cuidados com o que se descarta no lixo da empresa, assim como remover evidências visuais de informações sigilosas em qualquer ambiente;
• Monitoramento da utilização dos mecanismos de acesso a áreas críticas da corporação;
• Zelar por senhas pessoais, nomes de usuários e números de acesso;
• Testar a suscetibilidade dos funcionários a ataques de engenharia social, conduzindo uma avaliação de segurança;
• Nunca ter medo de pedir as credenciais de alguém que pareça estar trabalhando para sua corporação;
• Instalar e manter Firewalls, programas antivírus, programas anti-spyware e filtros de e-mail;
• Prestar muita atenção à URL de um site. Sites maliciosos (phishing) geralmente são idênticos a um site legítimo, porém a URL é ligeiramente diferente;
• Não enviar informação sensível através da internet sem antes checar os certificados de segurança do site;
• Não permitir aos colaboradores fazerem downloads de qualquer lugar.

Conscientização

Não podemos falar em prevenção sem antes atentar para a palavra conscientização. Algumas autoridades recomendam que 40% do orçamento geral para segurança da empresa seja aplicado no treinamento da conscientização (MITNICK, 20043, p. 195). Mesmo assim, a realidade é ainda de gastos mal equacionados com segurança de TI. Ainda assim, além de treinamento, todas as outras formas de prevenção devem ser implementadas. O treinamento em segurança deve ter um objetivo significativamente maior do que simplesmente impor regras. O programa de treinamento deve reconhecer a forte tentação dos empregados sob pressão de fazer seus trabalhos e de ignorar suas responsabilidades de segurança. Assim, o conhecimento das táticas da engenharia social e de como se defender dos ataques é de suma importância. Porém, não servirá de nada se o treinamento não se concentrar na motivação dos empregados para que usem o conhecimento.

Abaixo, listamos 8 métodos de conscientização em termos de ataques de engenharia social:

1. Demonstração dos métodos da engenharia social por meio da dramatização;
2. Exame de relatórios da mídia sobre ataques recentes em outras empresas pelas quais poderiam ter evitado o prejuízo;
3. Vídeos demonstrando em forma de detalhes questões de segurança da informação e métodos de respostas a incidentes bem-sucedidos;
4. Palestras e cursos (online ou material escrito) que demonstrem a veiculação sobre o mal que a empresa e os empregados podem sofrer se não tiverem bons hábitos de segurança em seus ambientes de trabalho;
5. Deve haver a preocupação em, ao logo do tempo, prolongar a renovação desses treinamentos de forma atualizada;
6. Em caso mudança de posição dos empregados dentro da organização, deve haver um treinamento em segurança adaptado as suas novas responsabilidades;
7. Descrição para os envolvidos nos processos da organização sobre o modo como os atacantes usam as habilidades da engenharia social para enganar as pessoas, bem como seus métodos de atingir seus objetivos;
8. Treinamento no reconhecimento de um provável ataque de engenharia social, bem como procedimento de tratamento de uma solicitação suspeita.

Impactos da Engenharia Social

É extremamente difícil dimensionar o impacto de uma invasão, seja ela interna ou externa. O roubo das informações já é um prejuízo, mas é o seu uso que irá determinar o impacto real. Por diversas vezes, não se sabe que fim levou aquela informação ou como ela será explorada. Na maioria das vezes, uma empresa não sabe quando um engenheiro social roubou as suas informações. Uma das maiores dificuldades nesse cenário é de que muitos ataques não são notados, nem relatados. Dessa forma, a segurança na internet depende de diversas ações para a sua melhoria. A educação dos usuários em relação aos riscos da internet torna-se a principal forma de defesa para esse tipo de ameaça.

Conclusão

Sem dúvidas, o tratamento da informação exige da corporação uma gestão apropriada e devidamente dimensionada. Sua base deve ser os aspectos da preservação desse importantíssimo patrimônio, tendo em vista as diversas ameaças existentes. Hoje já podemos dizer que as empresas se preocupam bastante com as melhores tecnologias para proteger seus ambientes. Porém, se o fator humano ficar em segundo plano, todo o investimento feito será perdido, gerando grandes prejuízos à corporação. Sabe-se que antes da tecnologia, segurança da informação tem muito a ver com processos e pessoas.

No entanto, tecnologia é um caminho sem volta.

Dessa forma, admite-se que somos vulneráveis e todos estamos sujeitos a falhas. Porém, isto não justifica os erros que podem (e devem) ser evitados. Políticas de segurança, conscientização e treinamento contínuo de seus colaboradores são fundamentais para que a sua empresa esteja preparada em casos de ataque de engenharia social. As pessoas precisam ter noção dos riscos, das ameaças e do real valor da informação pelas quais são responsáveis. Nenhuma organização está a salvo das ameaças que permeiam o meio tecnológico. Um plano de contingência em casos de eventuais ataques é de extrema importância. Somente assim, com foco nas pessoas, é que podemos nos prevenir em alguma medida, dos perigos da engenharia social. Este artigo foi feito por Adriano Severiano Albuquerque. É Supervisor de TI na operação TRF - 5ª Região.