Quem trabalha com segurança da informação sabe que tal área nem sempre está ligada de forma tão íntima com o mundo cibernético. De fato — hoje em dia, todos nós armazenamos dados utilizando dispositivos computadorizados, o que tornaria tais objetos os principais alvos de criminosos cibernéticos. Porém, jamais devemos nos esquecer de que esses aparelhos são manipulados por algo que veio muito antes do computador, também possui memória e também pode processar dados: o ser humano.
As pessoas são o elo mais fraco da segurança da informação: diferente de um software, cujo comportamento é previsível e não pode fugir daquilo para o qual foi programado, o fator humano é muito mais complexo e obscuro. Vide a disciplina da psicologia em si, que há décadas se especializa em entender a psique do indivíduo sob diferentes perspectivas. E qualquer psicólogo comportamental sabe o quão difícil é condicionar o ser humano para que seu comportamento se torne menos imprevisível e não “saia da linha” com tanta facilidade.
E é por isso que a engenharia social, embora antiga, continua até hoje sendo a técnica mais eficaz utilizada por agentes maliciosos na hora de elaborar golpes para roubar dados corporativos sigilosos. Estamos falando da maliciosa arte de persuadir alguém a agir da forma que queremos, explorando seus sentimentos e emoções para quebrar qualquer condicionamento comportamental pré-existente — trata-se, por exemplo, do coração de qualquer ataque de phishing.
Manipulando o ser humano
Curiosidade, preguiça, medo, ansiedade… Esses são apenas alguns exemplos de emoções que todo ser humano tem e que pode ser explorado por um bom engenheiro social. Um email que lhe promete contar um segredo, desde que você clique em um link; um SMS informando o desligamento imediato de sua conta bancária, a menos que você responda o torpedo informando a senha de seu cartão de crédito; uma ligação que lhe oferece a chance de participar de uma festa privada, desde que você informe todos os seus dados pessoais para a efetivação de um suposto cadastro.
Analisando por fora do mundo corporativo, o golpe do falso sequestro é possivelmente o “case” de engenharia social mais famoso e destrutivo que podemos citar. Habilidoso em contar uma boa história e convencer qualquer cidadão, o criminoso liga para uma vítima aleatória e a faz acreditar que um ente querido foi sequestrado. Sua vida só será poupada e sua liberdade só será devolvida caso uma quantia em dinheiro seja transferida de imediato para a conta bancária do sequestrador.
Agora, dentro do âmbito corporativo, tal ameaça pode se materializar das mais diversas formas possíveis: phishing (emails), smishing (mensagens SMS), vishing (chamadas telefônicas) e até mesmo penetrações físicas no ambiente empresarial, caso o invasor seja habilidoso o suficiente para convencer o porteiro a lhe deixar entrar e todo o resto da equipe a lhe fornecer as informações que ele deseja. O engenheiro social não é necessariamente um programador, mas sim alguém habilidoso em persuadir, enganar, manipular e moldar o comportamento humano ao seu bel prazer, para suas próprias finalidades.
A maior das ameaças?
É insensato ignorar a engenharia social em sua estratégia de segurança da informação. Golpes de phishing e similares já foram responsáveis por causar grandes estragos em corporações de grande porte. Nem mesmo o setor político se vê livre dessa ameaça: lembre-se que, em março de 2016, um email falso enganou John Podesta, até então presidente da campanha presidencial de Hillary Clinton, o que resultou no comprometimento de sua conta e no vazamento de diversas mensagens trocadas entre os membros do Partido Democrata.
Com a chegada da Lei Geral de Proteção de Dados (LGPD), torna-se ainda mais crítica a necessidade de garantir que todo o seu quadro de colaboradores entenda os perigos da engenharia social e saibam identificar um golpe desse naipe. O mais inocente deslize pode resultar em um vazamento de dados que colocará em xeque toda a credibilidade de sua marca — além de, é claro, resultar em sanções e multas como penalidade por parte dos órgãos competentes.
O guia definitivo
Se você quer aprender tudo sobre esse tema e descobrir as melhores formas de treinar sua equipe, vale a pena dar uma olhada no Guia Engenharia Social da Compugraf, um ebook totalmente gratuito e com um material riquíssimo a respeito do assunto. Ao longo de suas 22 páginas, você vai entender todo o conceito da engenharia social, rever o uso da técnica ao longo da história e aprender táticas para educar seus funcionários contra tentativas maliciosas de persuasão. Clique aqui para baixar a sua cópia digital!