O filme “Os Vigaristas” inclui uma cena em que o personagem principal, interpretado por Nicolas Cage, tem o seguinte diálogo com a atriz Alison Lohman:
Lohman: Você não parece ser um cara mau.
Cage: Por isso que sou bom nisso.
O diálogo captura a verdadeira essência de todos os jogos de confiança, sejam no mundo digital ou no real – a vida de um ladrão (e muito mais fácil quando sonega convencer alguém a baixar a guarda com um artifício inteligente). No jargão dos hackers, isso se chama engenharia social.
A engenharia social busca invadir a mente humana, algo que, de muitas formas, é muito mais fácil do que encontrar uma nova vulnerabilidade em um software para acessar sua empresa. Essas vulnerabilidades, chamadas de dia zero, podem custar milhares de dólares no submundo dos hackers – dinheiro que pode ser economizado ao convencer alguém à instalar um programa antivírus em seu PC. Afinal, você não precisa arrombar a porta quando é possível convencer alguém a deixar você entrar em casa.
Mas o que colabora para um bom ataque de engenharia social? O principal fator é a isca, que pode ser um post chamativo do Facebook sobre alguma celebridade ou até e-mails cuja linha de assunto se refere aos negócios da sua empresa. Um dos ataques que mais chamou atenção durante o ano passado foi o ataque à RSA, que começou quando um funcionário abriu um e-mail cujo assunto era ‘Plano de Recrutamento 2011’. Quando o colaborador abriu o arquivo em anexo, desencadeou uma série de eventos que levou ao comprometimento dos dados. Hackear um sistema requer conhecimento das vulnerabilidades de programação, enquanto hackear a mente humana requer um tipo diferente de conhecimento: quais tipos de e-mails ou links a vítima está mais propensa a clicar?
Uma forma de conseguir essa informação é agrupar as pessoas de acordo com suas profissões e interesses, e talvez a melhor fonte de dados nesse sentido são as redes sociais. Uma olhada no perfil do LinkedIn pode revelar o histórico profissional e os cargos de determinada pessoa; uma espiada nas contas do Facebook pode revelar seus amigos e hobbies. As redes sociais implementaram várias medidas nos últimos anos para aprimorar os controles de privacidade, mas muitos usuários não usam esses controles ou os usam de maneira inadequada, ‘adicionando’ pessoas que não conhecem de verdade. Uma pesquisa mostrou que um perfil falso no Facebook conseguiu uma média de 726 ‘amigos’ – cinco vezes mais do que muitos dos usuários típicos do site.
Mas também é possível invadir a mente humana de outras formas. A técnica preferida dos hackers, por exemplo, é a otimização de sites (SEO). O objetivo do SEO é melhorar a posição de seu site em portais de buscas, como o Google. Nas mãos certas, isso é totalmente legítimo, porém em mãos erradas isso pode aumentar a probabilidade de uma pessoa visitar um site malicioso. Também existem métodos muito menos técnicos, como a tradicional conversa por telefone para convencer a pessoa a baixar a guarda.
Recentemente, a Check Point patrocinou um estudo realizado pela Dimensional Research que mostrou que 43% dos 853 profissionais de TI que participaram da pesquisa foram alvos de esquemas de engenharia social. A pesquisa também revelou que funcionários novos são os mais suscetíveis a ataques, com 60% classificando as contratações recentes como “alto risco” para a engenharia social. Infelizmente, o treinamento não parece ser suficiente para conter as ameaças; apenas 26% dos participantes participam de treinamentos contínuos e 34% afirma que não fazem nada para educar seus funcionários. A boa notícia é que as tendências estão mudando e mais empresas estão informando seus funcionários das ameaças de segurança – e das técnicas de engenharia social que podem enfrentar.
A educação é um elemento essencial para se defender contra ataques, porém o processo começa com políticas apropriadas para proteger seus dados. Isso inclui controlar quem tem acesso a quais informações, e também estabelecer políticas obrigatórias que podem ser fiscalizadas e fomentam as operações da empresa. Depois, os funcionários devem receber treinamento sobre essas políticas e seus conhecimentos avaliados. A chave para tudo isso é compartilhar informações sobre os ataques detectados para informar os funcionários dos meios de ataque. Muitas vezes basta uma boa dose de cautela: ao receber algum e-mail pedindo informações confidenciais, verifique o suposto remetente para certificar-se da sua legitimidade.
Essa estrutura deve contar com redes e terminais protegidos pelas melhores práticas e pelos updates de segurança mais recentes, porém para evitar a invasão da mente humana, precisamos mais de uma mudança de atitude, e não só de armas tecnológicas. Se existe um antivírus para a mente humana, é o conhecimento mais atual das políticas corporativas e de como os hackers selecionam suas vítimas. A inclusão desse tipo de informação em um programa de treinamento pode ser a diferença entre uma falha de dados e uma noite calma no escritório.
08 de junho de 2012Tomer Teller
Nenhum comentário:
Postar um comentário