As 8 armadilhas da engenharia social que você deve conhecer e evitar
3 de fevereiro de 2017O pior furto é aquele que não tomamos conhecimento
Por Devair Sebastião Nunes*
Imagine, caro leitor do Crypto ID, que um estranho entre em sua casa e leve o seu computador pessoal embora com todos os seus dados importantes. Dados tais como fotos de seus familiares, de sua movimentação financeira, de seu imposto de renda, e-mails de clientes, fornecedores e da equipe de trabalho.
Com certeza o furto do seu PC teria a possibilidade de lhe causar inúmeros problemas e prontamente você tomaria providências imediatas para minimizar o problema. Você trocaria senhas das contas bancárias, do e-mail, das redes sociais etc. Você seguramente também faria uma Ocorrência Policial. Imagine agora, por outro lado, que esse estranho entre em sua casa e, em vez de levar embora seu PC, fizesse uma cópia de todos os dados que existem nele e saísse sem deixar qualquer traço do que fez. Tanto você quanto eu, na falta de evidências, continuaríamos tocando sua vida como se nada tivesse ocorrido. Numa situação como esta só iriamos tomar conhecimento do problema quando já fosse tarde demais. Quando a conta bancária fosse esvaziada, ou quando os e-mails profissionais fossem vazados para a concorrência ou quando as fotos pessoais fossem distribuídas nas redes sociais. E agora? Neste exato momento em que lê este artigo, você tem certeza de que nenhum dado importante de sua organização ou de sua vida privada não foi copiado indevidamente sem o seu conhecimento?
Em se tratando de informação, o pior furto é aquele que não tomamos conhecimento. O não saber nos deixa sem ação.
Hoje, quando quase todas as nossas informações estão na internet (redes sociais, e-mails, WhatsApp, Dropbox, Google Drive etc.) proteger-se do furto de dados é, em maior ou menor escala, uma obrigação de cada um.
A maioria de nós já ouviu falar que a conta corrente de um colega de trabalho foi “clonada” ou que o PC do amigo foi infectado por vírus e dados importantes foram apagados ou que PCs de determinada organização foram sequestrados e a liberação dos dados só foi feita mediante o pagamento de resgate (Ransomware1). Mas, embora todos tenham conhecimento disso, poucos tomam alguma ação efetiva para evitar o problema, ou o fazem de modo superficial.
Uma das notícias que ganhou grande notoriedade no final da campanha eleitoral dos EUA foi a do “hackeamento” das contas de e-mail da candidata à presidência dos Estados Unidos da América, Sra. Hillary Clinton. Este roubo de informação foi tão sério que estremeceu as relações diplomáticas entre a Rússia e os EUA, gerando, no final de 2016, a expulsão dos EUA de cerca de 35 diplomatas russos acusados de espionagem2 pelo governo de Barack Obama.
Neste caso divulgado pela mídia internacional, o coordenador da campanha de Hillary Clinton, John Podesta recebeu um e-mail falso dando conta que a senha do Gmail estava comprometida e que deveria clicar no link fornecido para trocá-la. Uma técnica conhecida como “Phishing” – engenharia social para obter informações importantes, normalmente via e-mail. Inicialmente o Sr. Podesta desconfiou da mensagem e consultou um técnico, mas, devido a falha de comunicação, o Sr. Podesta acabou clicando no link falso e caindo no golpe. Ao trocar a senha no site ilegítimo o Sr. Podesta acabou por entregá-la aos hackers. Segundo a mídia americana, o FBI tomou conhecimento de que as contas do partido da candidata haviam sido hackeadas, e ligaram várias vezes avisando, mas aquelas ligações legítimas foram tratadas ironicamente como “trote”. O partido só percebeu o problema quando já era tarde demais.
Milhões de dólares são gastos anualmente pelos governos, empresas e pessoas no esforço de proteger informações dos criminosos digitais. A TI – Tecnologia da Informação – diariamente provê aos usuários, grandes e pequenos, novos ferramentais para evitar perda, cópia ilegal e adulteração de dados. Novos algoritmos de detecção de vírus, de criptografia, de firewall etc. são desenvolvidos e melhorados constantemente, mas o outro lado não fica parado e criam também contra contramedidas diariamente. Uma guerra silenciosa e invisível que está sendo travada na Rede Mundial de computadores e até governos são acusados de usar meios ilícitos para fins políticos e econômicos. Hoje já existe tecnologia para evitar que a cópia indevida de arquivos ocorra, como citado na estória hipotética do início deste artigo, mas muitos ainda as desconhecem e ficam mercê das falcatruas. Existem ainda soluções que, além de inibir a cópia de arquivos, alertam sobre a tentativa de cópia não autorizada.
Mas, instalar uma “parafernália” tecnológica e as vezes dispendiosa, não irá resolver o problema todo se o usuário clicar num link ou baixar um software malicioso ou, ainda, compartilhar a senha. Os usuários finais, são na verdade o elo mais fraco na batalha contra as maldades digitais. Para se ter uma ideia de como é grave não treinar as pessoas, segundo dados da SplashData, empresa de segurança da informação Estadunidense3 , em 2015 as senhas mais utilizadas foram: “123456” e “password” (senha na língua inglesa). Verifica-se, portanto, que em muitas organizações não há sequer uma política de troca periódica de senhas e que colaboradores podem trabalhar durante anos sem nunca as trocar. Há casos, inclusive, em que as senhas são compartilhadas por todos os colaboradores de um setor e é até mesmo escritas em listas presas no quadro de avisos para que quem quiser as utilize! É necessário investir em treinamento constante para fortalecer esse elo, os usuários.
As principais ações de engenharia social, via e-mail, que todos deveriam conhecer e compartilhar com seus colegas e familiares, porque constantemente pessoas despreparadas caem nessas armadilhas.
- Mensagem da Justiça dando conta que a pessoa está sendo acusado de um crime. Clique no link tal para saber mais sobre o processo e…
- Mensagem dizendo que o destinatário da mensagem está sendo protestado pelo SERASA. Clique no link tal para saber mais sobre sua conta em atraso e…
- Mensagem de um(a) estranho(a) pedindo ajuda para recuperar uma fortuna ao qual ele(a) não tem acesso, mas que o destinatário da mensagem “ajudando” irá receber uma parte no montante. Deve fornecer os dados de conta bancária para isso!
- Mensagem dando conta que o destinatário receberá um prêmio num concurso no qual nunca participou…
- Mensagem do departamento de trânsito comunicando de multa com alto valor. Clique para saber e…
- Mensagem de que o computador está infectado com vírus tal, clique no link para eliminar e …
- Mensagem dando aviso de que a conta no Banco XXX precisa ter os dados de segurança atualizado. Clique no link para atualizar e…
- Mensagem com promoções imperdíveis e com preço irrisório. Acesso link e…
Existem ainda outras formas de engenharia social que não se utilizam de meios digitais para obter informações relevantes tais como ligações telefônicas, convites para festas badaladas inexistentes, conversas despretensiosas em bares ou restaurantes etc. O filme “Prenda-me se for capaz” de Steven Spielberg, 2002, conta de forma divertida como Frank Abagnale Jr., na década de 60 nos EUA roubou milhões.
Concluindo: tratar adequadamente o tema exige que a administração da empresa reconheça as existências de ameaças e realize treinamentos específicos para que os colaboradores possam conhecer os golpes de engenharia social e saibam evitá-los bem como preparar a organização para evitar a perda de dados. A contratação ou a manutenção de uma equipe interna especializada no assunto é altamente recomendável.
Leitura recomendada
Cartilha de Segurança para Internet do CERT.BR – Centro de Estudos, Resposta e Tratamento de incidentes de Segurança no Brasil disponível em: http://cartilha.cert.br.
Referências:
1: Altieres Rohr – G1, Praga ‘sequestra’ computador e pede US$ 3 mil de resgate no Brasil, Acesso em:03 jan 2017, Disponível em:
http://g1.globo.com/tecnologia/noticia/2013/07/praga-sequestra-computador-e-pede-us-3-mil-de-resgate-no-brasil.html
2: Evan Perez e Daniella Diaz – CNN, White House announces retaliation against Russia: Sanctions, ejecting diplomats, Acesso em: 03 jan 2017, Disponível em:
http://edition.cnn.com/2016/12/29/politics/russia-sanctions-announced-by-white-house/index.html
3: Jamie Condliffe – GIZMODO, The 25 Most Popular Passwords of 2015: We’re All Such Idiots, Acesso em: 03 jan 2017, Disponível em:
http://gizmodo.com/the-25-most-popular-passwords-of-2015-were-all-such-id-1753591514
* Devair Sebastião Nunes | Servidor Público Federal na Secretária Especial de Informática do Senado Federal – PRODASEN – Graduado em Processamento de Dados pela FATEC-SP e pós graduado em Marketing Digital pela UNISEB e Gestão de TI pela UNB.