As ações e o comportamento dos colaboradores são um fator determinante para a segurança da informação das organizações. A pandemia causou uma intensificação de ataques de ransomware e phishing, além de uma série de scams que utilizavam como tema a COVID-19. Segundo um estudo da Gallagher de 2020, cerca de 60% das falhas de segurança são causadas por erro humano.
Muitos destes ataques, como o incidente que comprometeu as ferramentas administrativas do Twitter de Julho de 2020, tiveram origem em práticas de social engineering, e poderiam ter sido evitados com uma maior educação dos colaboradores, ou com a implementação de uma forte cultura de segurança da informação.
Social engineering é a manipulação psicológica com o objetivo de obter informações confidenciais ou de levar a vítima a realizar determinadas ações, depois utilizadas por cibercriminosos para obter acessos privilegiados ou iniciar ataques subsequentes. As vulnerabilidades exploradas neste caso são as distorções de julgamento das vítimas, que acabam por tomar ações precipitadas, sem verificar a identidade de quem solicita ou da autenticidade do pedido.
Num ataque de vishing (phishing por telefone) por exemplo, o criminoso pode apresentar-se como algum colaborador do suporte técnico e pedir, com senso de urgência, que se insira algum comando no seu PC. Neste caso, a pressão faz com que a vítima tome uma ação precipitada, sem verificar as credenciais do suposto colaborador, ficando vulnerável ao roubo de dados ou à invasão do seu sistema informático.
No caso do spear phishing, os emails podem ser altamente personalizados e enviados para poucas pessoas selecionadas, enquanto no phishing em massa, são enviados sem personalização para o maior número de pessoas possível.
De acordo com a Sophos, 41% das organizações sofrem tentativas de phishing diariamente, e mais de três quartos (77%) pelo menos uma vez por mês. É, pois, muito importante saber detetar estes ataques.
É ainda possível que os criminosos utilizem alguma informação pessoal obtida através das redes sociais para personalizar o email e torná-lo convincente.
O spear phishing, tendo uma mensagem mais personalizada, tende a ser mais difícil de se identificar. Estes ataques geralmente são direcionados para executivos C-level (CEO, CTO, CFO), dado o acesso que têm a informação crítica.
A melhor forma de prevenção que os administradores têm contra o phishing é fazendo simulações e dando formação, de forma que os colaboradores aprendam a identificar possíveis ataques. Além dessas ações, também se recomenda que haja proteção dentro das plataformas de email.
Os ataques de pretexting (pretexto) ocorrem quando os criminosos criam algum cenário fictício ou “desculpa” para aumentar a probabilidade de a vítima divulgar informações confidenciais, sendo parte importante dos ataques de vishing.
Por exemplo, a vítima recebe um telefonema de alguém que diz ser um gestor ou alguma autoridade (impersonation). Sob a desculpa de que está a prepar uma surpresa especial para um colaborador, é pedido acesso a algum sistema ou informações, supostamente do conhecimento da vítima.
Para evitar este tipo de ataque, o primeiro passo é assumir que ele sempre é uma possibilidade, e, com isso em mente, confirmar a identidade do nosso interlocutor antes de passar a informação solicitada.
A técnica conhecida como baiting consiste em explorar a curiosidade humana, a partir de dispositivos físicos como pen-drives, CDs e DVDs, para infetar o sistema do colaborador.
Imagine-se a seguinte situação. Um colaborador encontrou uma pen-drive na sua caixa de correio ou no chão perto do seu carro. Com a curiosidade de saber do que se tratava, esse colaborador conectou o dispositivo ao PC da sua empresa e abriu um ficheiro desconhecido, que parecia uma música, que estava nele.
Neste caso, o colaborador tinha sido vítima num esquema de baiting e tinha comprometido a segurança da sua organização, por exemplo, com um ataque de ransomware oculto nesse ficheiro.
É, pois, manifesta a necessidade de estar atento para não se deixar levar pela curiosidade. Na ocorrência de algum evento estranho, a primeira atitude a ter é informar o departamento responsável.
Como já se disse, é necessário cultivar uma cultura de segurança da informação dentro das organizações, para sensibilizar os colaboradores de que eles podem e devem participar ativamente no processo.
As medidas de prevenção, como por exemplo a utilização de software de segurança não são suficientes, se os colaboradores não forem sensibilizados para as preocupações com social engineering. Muitas vezes a vulnerabilidade está no mundo físico, e os ataques são iniciados das mais variadas formas, como um simples telefonema, cujas consequências o mais evoluído software pode não impedir.
Portanto, as formas mais eficazes de combate ao social engineering são simulações, educação (formações) e criação de protocolos de segurança para informações sensíveis. Colaboradores atentos e informados estão mais preparados para agir caso notem algo suspeito.
Abrace a transformação digital com a Eurotux.
