Recursos/White Papers

#Brandpost | Saiba mais Patrocinado por

Com engenharia social, funcionários viram risco para a cibersegurança

Ambientes de trabalho fluidos e funcionários remotos fazem do ser humano o elemento mais vulnerável de qualquer sistema de segurança da informação corporativa

Por HP

Publicada em 11 de setembro de 2018 às 14h02

social engineering

Ataques digitais contra empresas e indivíduos estão cada vez mais numerosos e complexos. Anualmente são identificadas entre 5 mil a 7 mil novas ameaças contra segurança de dados, o que dá uma média de 19 riscos potenciais por dia, segundo estimativa do editor da CSO, Roger Grimes. Um número muito difícil de enfrentar se toda a empresa não estiver envolvida. 

Por isso, especialistas em segurança digital são unânimes em dizer que o treinamento corporativo ainda é uma das melhores e mais importantes armas de uma empresa para combater os riscos à segurança de seus dados. Especialmente em um cenário de mudança do ambiente de trabalho que tem funcionários remotos e seus endpoints (notebooks, smartphones) levando dados e senhas para fora dos muros da empresa.

Os cibercriminosos sabem que elemento mais vulnerável de qualquer sistema de segurança da informação é o ser humano. Para explorar essa vulnerabilidade, adotam técnicas de engenharia social que lhes permitem explorar traços comportamentais e psicológicos para atrair a atenção dos funcionários e, através deles, conseguir abrir brechas para entrar nas empresas ou roubar dados.

A engenharia social divide, junto com as brechas de segurança de software, o topo do pódio dos maiores riscos de cibersegurança na maioria das empresas. Além de adotar tecnologia apropriada, criar um framework de segurança e cuidar da governança dos dados, sua empresa precisa adotar o treinamento em políticas de segurança para se defender e defender seus funcionários.

O que é engenharia social?

O termo engenharia social (social engineering) foi usado primeiro na década de 90 pelo famoso hacker Kevin Mitnick, preso nos EUA em 1995, onde cumpriu pena de cinco anos de cadeia. O mesmo Mitnik hoje trabalha com consultoria de cibersegurança e é Chief Hacking Officer da empresa norte-americana KnowBe4, especializada justamente em programas de treinamento corporativo e ferramentas contra engenharia social. 

Essencialmente, a engenharia social é a arte de obter acesso a edifícios, sistemas ou dados usando conhecimento sobre o comportamento humano e a psicologia. Por exemplo, ao invés de gastar tempo procurando uma brecha em um sistema de software, um hacker pode ligar para um funcionário da empresa que quer atacar e, fingindo-se de suporte de TI, convencer o funcionário a lhe fornecer sua senha de acesso. 

the wolf-hp

Sua empresa está em risco?

A engenharia social já se provou um meio eficiente para um criminoso entrar em uma empresa. Uma vez que um hacker tenha conseguido a senha de um funcionário, por exemplo, ele pode navegar livremente pelos servidores de dados da empresa em busca de informação sensível que seja valiosa.

O especialista em segurança João Lucas Melo Brasio, Diretor Executivo da Elytron Security, recomenda que as empresas criem programas de treinamento e que façam com frequência testes aleatórios para verificar a vulnerabilidade dos funcionários a truques de engenharia social. Em um webcast sobre segurança de dados e governança, promovido pela HP em parceria com a CIO, João Lucas exemplifica o risco da curiosidade humana: “fizemos um trabalho de checagem de comportamento de risco em uma empresa cliente distribuindo aleatoriamente pelas mesas dos funcionários dezenas de drives USB sem identificação. Praticamente todos os USBs foram plugados em algum computador”. 

O Brasil não é nem de longe o único a ter comportamento de risco. Chris Nickerson, fundador da consultoria Lares, nos EUA, conta, em entrevista à CSO Online, como é fácil invadir uma empresa usando técnicas de engenharia social. Em um de seus testes, Nickerson usou informação pública disponível em sites de redes sociais e uma camiseta de uma companhia de dispositivos de rede, comprada em uma loja por 4 dólares, para entrar ilegalmente em uma companhia e hackear seus servidores. 

A camisa com o logotipo da companhia de redes ajudou a convencer a recepcionista do prédio e outro funcionário de que Nickerson era um representante técnico da empresa. Uma vez dentro do escritório, Nickerson distribuiu vários drives USB rotulados com nomes sugestivos como “folha de pagamento” ou “estratégia corporativa”, que continham malware e conseguiu hackear a rede da empresa na frente dos funcionários sem ser perturbado. 

A verdade é que as pessoas são ingênuas, descuidadas, curiosas ou simplesmente educadas demais para impedir, por exemplo, que um estranho com uma camisa com logotipo passe pela portaria sem mostrar suas credenciais. Por isso acabam caindo em truques mais elaborados como esses, ou atendem telefonemas de supostos técnicos ou funcionários respondendo a perguntas com dados sensíveis; ou clicam em links de e-mails que simulam ser de colegas ou chefes, que disparam um ataque de malware ou sequestro de computador. Que CEO de empresa vai enviar um email de uma conta pública de Gmail pedindo a um funcionário acesso a um servidor corporativo?

On-line os ataques podem ser a partir de e-mails de phishing com diferentes temas que tem apelo junto ao funcionário, ou via redes sociais, também com a oferta de temas caros ao funcionário-alvo. Um app falso pode capturar dados, assim como uma rede Wi-Fi gratuita em um café ou aeroporto, monitorada por um cibercriminoso, pode ser o ponto de contaminação do notebook de um funcionário remoto.

Como combater a engenharia social?

Atualmente, a melhor defesa contra os ataques de engenharia social são educação dos usuários e várias camadas de defesas tecnológicas para detectar e responder aos ataques que eventualmente passem. Especialmente aqueles direcionados aos endpoints. 

A medida número um é informação, Os funcionários precisam saber que a engenharia social existe e precisam ser treinados contra suas variações e táticas mais comuns.

A recomendação é informar usando narrativas com histórias que exemplificam os riscos ou mesmo treinamentos em formato de games (gamification), como sugere João Lucas. Jogos e quizzes, check-lists, cartazes divertidos, filmes (como as séries The Wolf e The Fixer, criadas pela HP), tudo vale para lembrar aos funcionários que precisam ser desconfiados e que nem sempre as pessoas são o que dizem ser. Ser ligeiramente paranoico e totalmente direcionado pelas regras da empresa quando tratar com e-mails, mensagens, conversas ao telefone ou encontros com estranhos é um excelente conselho, valendo para todos, da recepcionista ao CEO.



Reportagens mais lidas

Acesse a comunidade da CIO

LinkedIn
A partir da comunidade no LinkedIn, a CIO promove a troca de informações entre os líderes de TI. Acesse aqui