Você sabe o que é Engenharia Social? Entenda e saiba como proteger seus dados e os da sua empresa
Se você já está familiarizado com tecnologia há algum tempo, com certeza já ouviu falar da importância da segurança da informação nos dias de hoje. O modo como os sites armazenam os dados pessoais de seus frequentadores; antivírus e outras ferramentas capazes de combater roubo de informações; os plug-ins adblocks para bloquear propagandas indesejadas, cujos links levam a sites mal-intencionados. Estes são alguns exemplos que poderíamos tratar no universo da segurança da informação. No entanto, o objetivo deste texto é alertar sobre a importância de estarmos atentos ao elo mais fraco desta grande equação: as pessoas.
Para iniciarmos o estabelecimento da relação das pessoas com a segurança da informação, vamos a uma rápida pergunta: Você domina os conceitos de Engenharia Social? Se a sua resposta para esta pergunta é “não”, então você e a sua empresa têm fortes chances de sofrerem problemas com segurança da informação.
A Engenharia Social e seus métodos
A Engenharia Social é uma ciência que estuda o comportamento humano para identificar métodos que induzam determinadas pessoas, consideradas alvos, a compartilharem informações sigilosas, sejam elas de cunho pessoal ou profissional. A prática da Engenharia Social está baseada na exploração das relações de confiança entre as pessoas, onde se busca obter as informações persuadindo os alvos e abusando da ingenuidade dos mesmos.
O engenheiro social é a pessoa que faz a utilização das técnicas de engenharia social para obter informações confidenciais, que podem ser utilizadas para diversos fins. Ele é uma pessoa simpática e carismática, possui uma boa dicção, é criativa e dinâmica, altamente persuasiva, consegue ganhar a confiança das pessoas de forma simples e metodológica, através do seu “bom papo”.
Para conseguir chegar ao seu objetivo, que é o de conseguir informações relevantes, o engenheiro social pode se utilizar de diversos métodos. São alguns deles:
Pessoalmente: esta abordagem do engenheiro social é pouco comum, pois requer que o mesmo se passe por alguém que, na verdade, não é, devendo ele possuir muita informação sobre o seu alvo. Para que o engenheiro social consiga persuadir a vítima ele deve ser muito bom em atuação, já que estará personificando uma personagem ou estará se passando por outra pessoa.
Telefone: uma prática muito difundida pelos engenheiros sociais é a utilização do telefone. Por meio dele, o engenheiro faz contato com o seu alvo, simula representar uma empresa de telefonia, por exemplo, informa que precisa confirmar alguns dados pessoais do assinante para uma atualização de cadastro. Este tipo de contato telefônico geralmente é utilizado para levantar as primeiras informações necessárias para que o engenheiro planeje todo o seu plano de ataque.
Ouvidos atentos: muitas pessoas não se conscientizam que em determinados locais não se pode conversar sobre determinados assuntos. Muitas vezes, uma conversa entre duas pessoas sobre algum assunto restrito, seja de cunho pessoal ou profissional, pode dar ao engenheiro social (que neste caso é uma terceira pessoa, que não participa ativamente da conversa, mas está, na verdade, escutando-a à uma distância considerável) informações muito importantes.
Lixo: um engenheiro social pode encontrar muitas informações relevantes no lixo (tanto de uma pessoa quanto de uma empresa). Anotações de telefones, endereços, nomes, datas e até senhas muitas vezes são encontradas em papéis e bilhetes jogados no lixo sem o devido cuidado.
Engenharia social reversa: técnica apoiada pelo lema de “sabotar, avisar e apoiar”. Baseia-se no fato de criar uma situação onde a vítima necessite de ajuda. O engenheiro social oferece ajuda à sua vítima para lidar com o seu problema, ganhando, assim, sua confiança. Depois disso, o engenheiro social aplica o seu golpe, ou seja, consegue as informações que deseja com sua vítima. Após conseguir as informações, o engenheiro social resolve o problema causado por ele mesmo e sai de cena com informações valiosas e relevantes, sem nenhuma suspeita por parte da sua vítima.
Internet: existem vários métodos associados ao uso da Internet que são utilizados pelos engenheiros sociais para obter informações sobre um alvo. Alguns exemplos são: e-mail (envio de e-mails falsos com notícias sobre pessoas famosas, outros com táticas do tipo “responda o questionário e ganhe um brinde” – todos e-mails atrelados à alguma tática de recolher informações sigilosas); chats e mensageiros eletrônicos (através destes é muito fácil o engenheiro social se passar por alguém que na verdade não é – o poder de persuasão do mesmo pode ser muito bem explorada durante conversas on-line); spyware (softwares capazes de coletar informações sigilosas dos usuários de um computador e enviá-las para pessoa que o desenvolveu); redes sociais (grande fonte de informação sobre um indivíduo poder ser justamente seu perfil em uma rede social como Instagram, Facebook e Twitter – as pessoas não se dão conta da importância das informações que muitas vezes deixam disponíveis para outros usuários verem).
As pessoas: o elo mais fraco
Por mais que uma empresa invista em equipamentos e softwares que possam melhorar a garantia de segurança dos dados que trafegam por sua rede e pela internet; por mais que um usuário doméstico mantenha atualizado o banco de dados de vacinas de vírus do seu antivírus e instale ferramentas anti-spyware; o engenheiro social ainda assim pode obter sucesso em suas investidas, tanto em um funcionário de uma empresa como em um simples usuário doméstico.
Ou seja, não importa se o usuário ou uma empresa possuem as melhores ferramentas de proteção existentes, se as pessoas não estiverem devidamente treinadas e preparadas para lidar com a investida de potenciais engenheiros sociais, a segurança das informações poderá sempre ser comprometida. Isso se dá pelo fato de que o fator humano é o elo mais fraco de toda a cadeia de proteção das informações.
Para se ter uma ideia do despreparo que uma pessoa possa ter ao lidar com uma informação altamente confidencial, basta lembrá-la de que certa informação que será repassada a ela deve ser mantida em total e absoluto sigilo, ou seja, esta informação é um segredo. Se esta pessoa for abordada futuramente por um engenheiro social experiente e perspicaz, que passe a ela confiança e venha a criar um certo vínculo de amizade, este segredo poderá ser facilmente compartilhado durante uma conversa, pelo simples fato de que a pessoa, que se tornou vítima, quer se mostrar alguém interessante falando sobre algo que é considerado muito importante.
E como se prevenir da Engenharia Social?
O combate é baseado em treinamento e conscientização.
O treinamento é focado no repasse do conhecimento sobre o que é a Engenharia Social, principalmente, em relação aos métodos utilizados pelos engenheiros.
A conscientização é um processo contínuo. Não basta apenas treinar uma pessoa nos conceitos. É necessário garantir que a pessoa tenha a noção exata do impacto que é compartilhar uma informação sigilosa com alguém que não é de sua total confiança.
E qual é o primeiro passo que você pode dar para combater a Engenharia Social no seu círculo familiar, de amigos e na sua empresa? Compartilhe as informações desse artigo e fomente a busca por mais informações sobre este tema.
Saiba mais sobre privacidade e segurança de informações na internet.
Por Felipe Nascimento, Analista de Suporte da Senior.
