Quando se fala em segurança digital, é quase que automática a associação com a prevenção de invasões feita por hackers. Porém, o elo mais fraco não são as máquinas e sim os próprios usuários.
São eles que acabam permitindo que os criminosos tenham acessos a informações confidenciais ou deixam o caminho aberto para infectar computadores. A esse tipo de ataque deu-se o nome de engenharia social. E por mais que pareça ingênua a ideia de que os usuários são mais vulneráveis que as máquinas, isso ainda é bem comum.
“Devido à falta de conhecimento, curiosidade, tentação e do desafio, o usuário é realmente o elo mais fraco da segurança da informação. O atacante está cada vez mais fortalecido, à frente, munido de informações privilegiadas e ferramentas de inteligência para tomada rápida de decisões tornando o método de engenharia social convincente e eficiente para o sucesso do ataque”, explica Fábio Ciarini, que é Coordenador de Segurança da Informação na Ticket.
Para Diego Macêdo, Especialista em Segurança da Informação na Embratel, os criminosos preferem usar os usuários para efetuar seus ataques não somente pela curiosidade e falta de conhecimento, como Fábio citou, mas também por gatilhos emocionais, que impedem a pessoa de pensar com mais clareza a respeito do que está sendo pedido para ele.
“As pessoas estão sempre buscando algo que as motive, como entretenimento, recompensa e reconhecimento. Por isso, quando recebem, acabam cedendo informações para alguém desconhecido. Outras técnicas comportamentais que também podem ser usadas estão relacionadas ao medo, culpa, agitação, intimidação ou persuasão. Os atacantes sempre buscam usar estes gatilhos em um momento inesperado e as pessoas não tem tempo hábil de avaliar cuidadosamente o que está sendo solicitado ou informado. Assim, acabam entregando informações valiosas para o indivíduo desconhecido”.
Apesar de termos usado aqui muito o termo “usuário”, este não é a vítima mais comum de um ataque baseado em engenharia social. Apesar de, segundo Diego, eles serem as maiores fontes de vazamento de informação, por estarem constantemente responsáveis pela manipulação, processamento e gerenciamento desses dados, outros perfis também costumam ser visados também, como recepcionistas e executivos.
“Recepcionistas veem muita gente entrar e sair dos escritórios e ouvem muitas conversas. Sua função é ser útil aos que chegam e não estão focados na segurança do ambiente, logo são alvos mais fáceis. Já os executivos são um outro tipo de alvo pois eles não estão focados em segurança, pois sua atenção está nos processos de negócios, vendas e finanças", disse.
E por mais surpreendente que seja, há ainda um quarto perfil que o especialista em segurança da informação aponta como vulnerável. Apesar de trabalharem diretamente com a tecnologia e, em teoria, deveriam estar mais alertas, são os funcionários do help desk: “eles possuem muita informação sobre a infraestrutura da empresa, logo solicitar uma ajuda para eles perguntando algo sobre as tecnologias permitidas ou não na empresa, podem dar uma diretriz para o atacante”, afirma Diego.
Importante citar também que a engenharia social não está baseada apenas nos criminosos entrando em contato diretamente com a vítima. Sim, muita gente ainda cai naqueles emails falsos solicitando senha. O Spear Phishing é o modelo clássico do email “mal intencionado” que estimula alguém a clicar em algo que pode tanto roubar dados quanto instalar um malware no computador da vítima.
Diego Macêdo listou também outras quatro técnicas que são bem comuns para atingir os usuários. São os seguintes:
Vishing - A prática de extrair informações ou tentar influenciar uma vítima a executar uma ação pelo telefone;
Shoulder Surfing (espiar sobre os ombros) – Este tipo de ataque ocorre quando uma das partes é capaz de olhar sobre o ombro de outro ou espionar a tela do outro. Isso é comum em ambientes de todos os tipos;
Eavesdropping – Isso envolve em ouvir conversas, vídeos, telefonemas, e-mails e outras comunicações com a intenção de reunir informações que um atacante não seria autorizado a ter;
Dumpster Diving – Um atacante pode ser capaz de coletar informações sensíveis ou importantes de cestos de lixo e outros pontos de coleta e usá-lo para realizar um ataque. Na prática, essas informações devem ser trituradas, queimadas ou destruídas para evitar que sejam interceptadas por um atacante.
Cabe à empresa oferecer treinamentos que ajudem seus funcionários a terem mais cuidado e atenção com seus dados (tanto profissionais quanto pessoais). Fábio, da Ticket, recomenda que as empresas ofereçam "um programa de conscientização, campanhas, disseminação de avisos e treinamento periódico para fortalecer sempre seus funcionários".
Já Diego aponta que é papel da corporação oferecer o uso de diversas tecnologias, políticas administrativas e medidas físicas usadas para impedir ataques de engenharia social:
“Porém a prevenção continua a ser atribuída aos seres humanos. A palavra chave é a conscientização em segurança da informação dos usuários. É preciso participar dos treinamentos, ter cuidado ao acessar, manipular ou falar sobre informações confidenciais e estar atento com o que é publicado de informações pessoais nas redes sociais”, afirma.