Artigo Ten-Cel PM Ricardo Gonçalves: Segurança Cibernética: Engenharia Social
Olá pessoas!
O período carnavalesco para nós, policiais, é momento de muito empenho e tive que pausar a publicação dos artigos.
Mas estamos de volta para falar sobre algo que muitas vezes é ignorado por muitos, mas os cibercriminosos estão cada vez mais especializados: A Engenharia Social.
Ao longo dos últimos anos pessoas e empresas perceberam a necessidade de investirem em soluções de segurança para seus sistemas e redes, adquirindo antivírus, firewalls e várias outras ferramentas de proteção.
No entanto, é importantíssimo salientar que as vulnerabilidades na atualidade estão migrando para outro elo do sistema, as pessoas. À medida que os sistemas e as máquinas se tornaram mais seguras o elo frágil passou a ser o usuário. E para acessar o usuário os cibercriminosos utilizam a Engenharia Social.
Mas, o que é a Engenharia Social?
Pode ser definida como uma forma de se obter informações sigilosas ou importantes de empresas, sistemas ou pessoas na qual o atacante utiliza artifícios para enganar e explorar a confiança alheia. O termo ficou conhecido a partir de 1990, através do famoso hacker Kevin Mitnick que se orgulhava por contornar barreiras de segurança de empresas apenas com o uso da palavra. Bastava, para isso, estudar o alvo que serviria de porta de entrada, e, posteriormente, utilizar esse conhecimento aliado a técnicas de manipulação verbal. Ele conseguiu muitas coisas manipulando pessoas e não códigos de sistemas.
Se você assistiu ao filme “Prenda-me se for capaz” já sabe do que se trata a Engenharia Social.
O cibercriminoso, utilizando-se da estratégia de engenharia social, de maneira geral, entrará em contato fornecendo alguma informação legítima sobre algo que faça sentido para o alvo para então tentar conseguir que forneça a informação que ele quer, ou que faça algo que ele necessita.
De acordo com a Norton Life Lock, muito se discute sobre as vulnerabilidades de softwares, porém as emoções são consideradas a versão dessas vulnerabilidades para as pessoas, podem ser manipuladas por diversas formas de gatilhos mentais.
Provavelmente você já ouviu a recomendação de não fornecer seus dados por telefone, certo? Mas imagine, alguém te liga afirmando ser o auxiliar do seu gerente bancário e diz que há uma inconsistência no seu cadastro e sua conta pode ser bloqueada e lhe solicita a “confirmação” de alguns dados. Muitos “confirmaram” os dados necessários para fazer um empréstimo bancário, a instalação de TV por assinatura, etc. Esse é um exemplo clássico de utilização de engenharia social para a aplicação de golpes, não necessariamente cibernéticos.
Na esfera cibernética a clonagem do WhatsApp é o exemplo mais atual, inclusive se você buscar nos artigos anteriores verá um detalhando esse assunto.
A partir da ideia geral do que é a Engenharia Social e de como ela se processa, faz sentido falar sobre como se prevenir à esse tipo de modus operandi dos criminosos virtuais.
O primeiro cuidado que se deve ter é a limitação das informações disponíveis, sem nenhum tipo de proteção, tanto na internet como fora dela, que possam servir de ponto de ancoragem para um início de contato do cibercriminoso.
Especialmente em mídias sociais, cuidados devem ser tomados em relação ao nível de privacidade que as redes estão configuradas. Manter perfis em redes sociais e aplicações de comunicação abertos consiste em uma vulnerabilidade importante, pois através de uma rápida pesquisa é possível descobrir muitas informações sensíveis sobre o alvo do ataque.
Ainda falando de redes sociais e aplicações de comunicação, um estudo, que o link está no final deste artigo, mostra que 90% das pessoas que recebem um convite de amizade o aceitam, fazendo com que o perfil aceito tenha acesso à todas as informações pessoais disponibilizadas e todas as publicações que fizer no futuro.
Não estou dizendo que você deve ou não aceitar pedidos de amizade, mas verificar quem é a pessoa, verificar se não há indícios de ser um perfil falso, de onde eventualmente vocês se conhecem, é o mínimo que deve ser feito.
As posturas básicas que devem ser adotadas se referem à desconfiar do que está fora do padrão e se certificar acerca da situação. Estas posturas podem e devem ser aplicadas em todas as esferas vida cotidiana, quer seja em um ambiente conectado ou fora dele.
Espero ter ajudado e coloquem nos comentários quais assuntos vocês gostariam ou desejam conhecer um pouco mais que eu selecionarei aqueles que forem mais mencionados e escreverei na próxima quinzena.
Ricardo Gonçalves é Tenente-Coronel da Polícia Militar de Minas Gerais e associado desde novembro de 2000
Atualmente ele chefia o Grupo de Combate ao Crime Cibernético da PMMG