Skip navigation

Tag Archives: engenharia social

O Colaborador é uma ameaça de Segurança da Informação que não pode ser protegida com Tecnologia.

As ameaças baseadas na abordagem de engenharia social estão crescendo dia a dia. O que é engenharia social? Se você não sabe a resposta, talvez seja melhor pedir tempo no seu jogo de Segurança de TI.

Um novo tipo de ameaça à Segurança da Informação surgiu e tem crescido ao longo do tempo; um tipo de ameaça que firewalls, senhas ou tokens não podem deter. Esta ameaça denomina-se Engenharia Social. É um tipo de fraude onde os praticantes tentam obter informações de um usuário ou acesso não autorizado a um computador através de mentiras, fatos inverídicos ou sem origem comprovada, truques ou qualquer tipo de procedimento para enganar um usuário. No universo da Segurança da Informação, são os colaboradores – e não a tecnologia – que representam a maior vulnerabilidade corporativa para a Engenharia Social.

Um relatório apresentado pela Research Dimensional descrevendo a ameaça da Engenharia Social contra a Segurança da Informação indica que 48 por cento das empresas já sofreram ataques de engenharia social. O mesmo relatório, aponta que 34 por cento dos entrevistados, ainda não educaram ou informaram – hoje – seus colaboradores sobre tais perigos. Uma alternativa seria contratar um Engenheiro Social para trabalhar ao seu lado, porém esta idéia nem sempre é viável. Sua melhor alternativa é pensar como os fraudadores e manter seus colaboradores, o elo mais fraco da corrente de Segurança da Informação, informados e atualizados sobre o assunto.

Eu poderia te perguntar quem veio primeiro: foi o hacker ou a necessidade de detê-lo? No caso da Engenharia Social, não é uma questão da galinha ou do ovo. Aqui, não há causalidade. Se você conseguir pensar como um engenheiro social, está a meio caminho para conseguir um cargo na área de Segurança da Informação.

É possível combater fogo com fogo?

Acredito que se depender apenas do trabalho diário dos Gerentes de TI para combater hackers que tentam acessar dados de forma não autorizada ou ilegal, é entrar em campo com um time de segunda divisão para tentar vencer um campeonato mundial. Nesta batalha é necessária uma abordagem não convencional. O ideal seria contratar um incendiário para combater incêndios. Seria como em Segurança da Informação confiar naqueles que sabem como nos enganar. Talvez, considerando a ameaça Engenharia Social, esta seja mesmo a melhor arma.

Os profissionais de TI seguem as receitas, atuam pelo by the book. Estudam, aprendem, certificam-se, e executam todos os testes recomendados. Do outro lado da mesa encontramos os hackers e os engenheiros sociais que não seguem nem respeitam as regras. Quer saber? Você pode planejar tudo o que desejar para ter um ambiente sob controle, mas no fim do jogo estará lutando para sobreviver no caos.

O Perigo: Sabendo ou não, sua estrutura de TI está em Risco.

Em agosto do ano passado, durante a DefCon, a maior convenção mundial de hackers, ficou demonstrado que as empresas de grande porte não são apenas vulneráveis, mas são alvos fáceis. Os frequentadores da convenção que participaram de um jogo de hacking baseado em engenharia social, acharam a tarefa tão fácil quanto simplesmente pegar o telefone e ligar pra casa. Em um dos casos, fingindo ser um administrador de TI, a necessidade de obter determinada informação foi elaborada de tal forma que se tornou atraente o suficiente para um funcionário da empresa contatada compartilhá-la de bom grado com o hackers do outro lado da linha.

Fato: desde que há seres humanos, tem havido estratégias de engenharia social destinadas a engana-los. Ouvi historias de homens que conseguiram vender o Pão de Açucar e o Cristo Redentor para turistas mais ingênuos. Outros têm drenado contas bancárias com esquemas os mais diversos. O que é mais chocante é que esses fraudadores encontram pessoas que acreditam em suas historias. Assim, aí na sua empresa onde você é o Security Officer, quando um novo colaborador receber um telefonema de alguém dizendo ser de TI, certifique-se que ele sabe o protocolo.

Por falar em colaboradores, lembre-se: eles sempre serão o elo mais fraco da corrente.

Colaboradores mal treinados e mal informados tornam-se uma responsabilidade enorme para a Segurança da Informação, mas mantendo-os educados sobre os riscos envolvidos na engenharia social pode te colocar de volta no controle desta situação. Se você souber que os engenheiros sociais procuram por fraquezas na proteção das informações da empresa, poderá se manter um passo à frente do caos. De acordo com o Network World, cada funcionário é um alvo possível. 80 por cento das pessoas enganadas não são aqueles analistas deTI que possuem acesso a todos os dados sensíveis, eles são os colaboradores usuários regulares.

Nos dias de hoje, os dispositivos moveis aliados às mídias sociais torna extremamente difícil manter um colaborador sob controle das informações que ele compartilha. Os engenheiros sociais sabem exatamente o valor que esta informação representa num ataque. Esta informação está disponível de graça, pode ser acessada sem custos e, muitas vezes, se tornam estratégicas na elaboração de um ataque.

Os profissionais da Segurança da Informação que compreenderem este risco, podem oferecer informação e treinamento adequado para os colaboradores, que representam a maior ameaça para a empresa. Abaixo compartilho cinco sugestões que o CSO deve oferecer aos colaboradores:

. Eduque seus colaboradores: mante-los informados é faze-los entender seu papel nesta ameaça;

. Sugira impor mais rigor no uso de mídias sociais no que diz respeito ao compartilhamento de informações profissionais;

. Proiba o uso de email profissional para fins pessoais;

. Mantenha uma Política de Segurança Corporativa que contenha descrição das expectativas da empresa em relação das melhores praticas de Segurança da Informação que os colaboradores devem seguir;

. Mantenha um programa contínuo de educação dos colaboradores em Segurança da Informação.

Você pode ser o herói da Segurança da Informação

Sua missão é proteger a empresa e suas informações contra os ataques perpetrados pelos engenheiros sociais. Seja bem sucedido e você está a um passo de uma promoção. O mais importante é:

  1. Saiba que existem ameaças lá fora, esperando uma falha para atacarem. Os engenheiros sociais estão justamente esperando por um deslize seu;
  2. Pense como o inimigo (estude, aprenda, eduque-se);
  3. E o mais importante, eduque continuamente os colaboradores. Eles são sua primeira linha de defesa.

Se não puder contratar o incendiário, terá de contar com os colaboradores mesmo.

Agora me responda: Quais são seus planos para reduzir as ameaças de um ataque por engenharia social na sua empresa?