Como a informação tornou-se um dos ativos mais valiosos das organizações atualmente, surgem formas cada vez mais elaboradas para se conseguir obter dados sigilosos através de fraudes. Os golpes estão cada vez mais sofisticados e difíceis de serem descobertos, com técnicas preparadas para atrair até mesmo os indivíduos mais atentos.
Segundo o relatório Fortinet Threat Intelligence Insider Latin America de 2020, a COVID-19 teve um impacto considerável no aumento às ameaças de cibersegurança, visto a necessidade de adoção de trabalho remoto e o uso de dispositivos domésticos. O relatório também informa que o Brasil sofreu mais de 3,4 bilhões de tentativas de ataques cibernéticos entre janeiro e setembro de 2020. E não são apenas as grandes corporações que estão sujeitas a tais problemas, o relatório da Verizon 2020 DBIR aponta que 28% das vítimas de violação de dados foram pequenas e médias empresas (PMEs).
Mas, o que seria a engenharia social? Basicamente, é um mecanismo de obtenção de informações por meio da exploração de falhas humanas, através do ganho de confiança e manipulação psicológica para se alcançar um objetivo. É uma falha de difícil controle e mapeamento. Segundo o relatório de Verizon de 2020, dos ataques relacionados a violação de dados, 22% estão ligados a engenharia social, sendo que 96% das ameaças relacionadas a engenharia social começam por phishing.
Como primeiro passo, as empresas, devem já adotar medidas preventivas relacionadas às camadas de proteção da segurança da informação: antivírus, firewall, backup. Mas, e quando apenas isso não é o suficiente? O sistema de proteção pode ser o mais complexo, mas irá falhar caso um usuário interno acabe permitindo a exposição indevida, seja no meio digital ou fora dele. E a engenharia social explora essa lacuna na segurança da informação. Abaixo estão algumas formas mais comuns de tentativas desse tipo de ataque.
- Ligações suspeitas
Conhecida como vishing, criminosos usam o telefone para conseguir seus objetivos. Portanto, ao atender ligações, não responda perguntas em aberto. Questione antes de passar informações e avalie se a pessoa está preparada para responder aos seus questionamentos.
Exemplo de uma ligação: “- Alô, prima. Tudo bem? Está lembrada do seu primo que não vem te ver a tempos? Adivinha quem é?”. Pela gentileza e simpatia da outra pessoa ao telefone, quem recebeu a ligação acaba falando o nome de algum conhecido, e a partir daí o engenheiro social através de persuasão pode roubar dados ou mesmos conseguir dinheiro através de extorsão.
Também é muito comum estes criminosos ligarem para números corporativos – geralmente divulgados no próprio site das empresas – falando que são de bancos ou operadoras de telefonia e informando que tem algum boleto em aberto, clonagem de cartão ou chip, entre tantas outras situações. A melhor solução é pedir para que esta pessoa retorne depois a ligação e logo em seguida ligar no canal oficial dessa empresa para confirmar se realmente a informação procede. E na maioria das vezes a confirmação é de que é um golpe. Ou seja, não aceite prontamente as informações dessa ligação como verdade, confira antes.
- E-mails e links suspeitos
Conhecida como phishing, basicamente são e-mails com links suspeitos que roubam dados confidenciais, geralmente informações bancárias por exemplo. Também é muito comum o envio de boletos suspeitos. É sempre importante verificar quem enviou o boleto, analisar o código de barras, quem é de fato o Cedente e se o código de barras não informa na verdade o código de um boleto de uma conta de pagamentos ao invés da conta oficial da empresa que se possui o contrato. É importante lembrar que esses cibercriminosos usam nomes de empresas famosas para aplicar o golpe, e por isso é muito comum que eles funcionem, visto que a maioria das pessoas geralmente possuem algum tipo de conta ou cadastro com estas corporações.
- Bloqueie seu dispositivo e não compartilhe suas senhas
Nunca deixe seu dispositivo desbloqueado. Mesmo que saia para tomar um cafezinho rápido e volte em cinco minutos, o estrago pode ser enorme. O importante é não deixar brechas que possam ser exploradas por pessoas mal-intencionadas em momentos de distração. E lembre-se, não compartilhe suas senhas, guarde a sete chaves. A autenticação com multifator também pode reforçar a segurança nestes casos.
- Acessos limitados a entrada USB de computadores e notebooks
Um dispositivo com a entrada USB livre para qualquer pessoa inserir um pendrive ou outro dispositivo de armazenamento de dados pode representar um perigo, pela facilidade em conseguir salvar os dados confidenciais nesses aparelhos externos sem que ninguém perceba. A solução deve ser solicitar a equipe de TI que mantenham as entradas dos notebooks e computadores limitadas para evitar este tipo de situação.
É crucial que as empresas orientem seus funcionários a proteger as informações que são confidenciais e sensíveis a empresa. Umas das medidas que as empresas podem adotar para mitigais tais riscos é criar uma política rígida de segurança da informação com regras, documentação de políticas e procedimentos para que os colaboradores estejam mais atentos. Além de capacitá-los a trabalharem com a prevenção a possíveis ataques de engenharia social por meio da conscientização e alinhamento. Ou seja, atenuando as ameaças internas que podem ocorrer por mero descuido.
Portanto, fique atento e tenha cuidado redobrado. Além de investir nas camadas de proteção avançadas de endpoint, que atualmente já pode ser considerado algo básico e extremamente necessário, invista também em treinamento e conscientização da sua equipe. Todo cuidado é pouco quando se trata de segurança da informação.
Dicas levantadas com base no artigo: SEGURANÇA DA INFORMAÇÃO VS. ENGENHARIA SOCIAL – COMO SE PROTEGER PARA NÃO SER MAIS UMA VÍTIMA
Autora: Victoria Barbosa – Analista Administrativa da Integratto
