Passo 4. Atenção aos sinais de burla

As ações e o comportamento dos colaboradores são um fator determinante para a segurança da informação das organizações. A pandemia causou uma intensificação de ataques de ransomware e phishing, além de uma série de scams que utilizavam como tema a COVID-19. Segundo um estudo da Gallagher de 2020, cerca de 60% das falhas de segurança são causadas por erro humano.

Muitos destes ataques, como o incidente que comprometeu as ferramentas administrativas do Twitter de Julho de 2020, tiveram origem em práticas de social engineering, e poderiam ter sido evitados com uma maior educação dos colaboradores, ou com a implementação de uma forte cultura de segurança da informação.

O que é social engineering?

Social engineering é a manipulação psicológica com o objetivo de obter informações confidenciais ou de levar a vítima a realizar determinadas ações, depois utilizadas por cibercriminosos para obter acessos privilegiados ou iniciar ataques subsequentes. As vulnerabilidades exploradas neste caso são as distorções de julgamento das vítimas, que acabam por tomar ações precipitadas, sem verificar a identidade de quem solicita ou da autenticidade do pedido.

Num ataque de vishing (phishing por telefone) por exemplo, o criminoso pode apresentar-se como algum colaborador do suporte técnico e pedir, com senso de urgência, que se insira algum comando no seu PC. Neste caso, a pressão faz com que a vítima tome uma ação precipitada, sem verificar as credenciais do suposto colaborador, ficando vulnerável ao roubo de dados ou à invasão do seu sistema informático.

Quais são os principais tipos de social engineering?

Vishing – também conhecido como voice phishing (por telefone), é utilizado para obter informações como emails de colaboradores e credenciais, ou como forma de reconhecimento da superfície de ataque da organização;
Phishing – técnica para obtenção de credenciais ou de dados de cartões de crédito, geralmente via email (em nome de um banco ou outro serviço). É solicitado que seja feito o login numa página réplica falsa de uma instituição e que regista (contra vontade do utilizador) os dados inseridos. Podemos ainda distinguir spear phishing, quando os emails são cuidadosamente personalizados e enviados para poucas pessoas selecionadas, enquanto no phishing em massa, são enviados sem personalização para o maior número de pessoas possível.
Smishing – é quando o mesmo golpe é realizado via SMS;
Impersonation – é quando o criminoso finge ser outra pessoa para ter acesso a determinado sistema informático, prédio ou informação.

No caso do spear phishing, os emails podem ser altamente personalizados e enviados para poucas pessoas selecionadas, enquanto no phishing em massa, são enviados sem personalização para o maior número de pessoas possível.

Como detetar ataques de Phishing?

De acordo com a Sophos, 41% das organizações sofrem tentativas de phishing diariamente, e mais de três quartos (77%) pelo menos uma vez por mês. É, pois, muito importante saber detetar estes ataques.

Esteja atento a sinais como:

Erros ortográficos e má gramática;
Senso de urgência, por exemplo faturas vencidas e/ou interrupção de serviços;
Promessas de recompensa em dinheiro;
Consequências graves, caso não faça o que pedem;
Palavras fortes e enervantes (como “A sua conta foi violada!”);
Saudações genéricas (Ex.: “Caro cliente”); e
Solicitação de dados e informações pessoais e organizacionais sensíveis.

É ainda possível que os criminosos utilizem alguma informação pessoal obtida através das redes sociais para personalizar o email e torná-lo convincente.

O spear phishing, tendo uma mensagem mais personalizada, tende a ser mais difícil de se identificar. Estes ataques geralmente são direcionados para executivos C-level (CEO, CTO, CFO), dado o acesso que têm a informação crítica.

A melhor forma de prevenção que os administradores têm contra o phishing é fazendo simulações e dando formação, de forma que os colaboradores aprendam a identificar possíveis ataques. Além dessas ações, também se recomenda que haja proteção dentro das plataformas de email.

Atenção a possíveis ataques de pretexting

Os ataques de pretexting (pretexto) ocorrem quando os criminosos criam algum cenário fictício ou “desculpa” para aumentar a probabilidade de a vítima divulgar informações confidenciais, sendo parte importante dos ataques de vishing.

Por exemplo, a vítima recebe um telefonema de alguém que diz ser um gestor ou alguma autoridade (impersonation). Sob a desculpa de que está a prepar uma surpresa especial para um colaborador, é pedido acesso a algum sistema ou informações, supostamente do conhecimento da vítima.

Para evitar este tipo de ataque, o primeiro passo é assumir que ele sempre é uma possibilidade, e, com isso em mente, confirmar a identidade do nosso interlocutor antes de passar a informação solicitada.

Não morder o isco!

A técnica conhecida como baiting consiste em explorar a curiosidade humana, a partir de dispositivos físicos como pen-drives, CDs e DVDs, para infetar o sistema do colaborador.

Imagine-se a seguinte situação. Um colaborador encontrou uma pen-drive na sua caixa de correio ou no chão perto do seu carro. Com a curiosidade de saber do que se tratava, esse colaborador conectou o dispositivo ao PC da sua empresa e abriu um ficheiro desconhecido, que parecia uma música, que estava nele.

Neste caso, o colaborador tinha sido vítima num esquema de baiting e tinha comprometido a segurança da sua organização, por exemplo, com um ataque de ransomware oculto nesse ficheiro.

É, pois, manifesta a necessidade de estar atento para não se deixar levar pela curiosidade. Na ocorrência de algum evento estranho, a primeira atitude a ter é informar o departamento responsável.

Métodos de prevenção

Como já se disse, é necessário cultivar uma cultura de segurança da informação dentro das organizações, para sensibilizar os colaboradores de que eles podem e devem participar ativamente no processo.

As medidas de prevenção, como por exemplo a utilização de software de segurança não são suficientes, se os colaboradores não forem sensibilizados para as preocupações com social engineering. Muitas vezes a vulnerabilidade está no mundo físico, e os ataques são iniciados das mais variadas formas, como um simples telefonema, cujas consequências o mais evoluído software pode não impedir.

Portanto, as formas mais eficazes de combate ao social engineering são simulações, educação (formações) e criação de protocolos de segurança para informações sensíveis. Colaboradores atentos e informados estão mais preparados para agir caso notem algo suspeito.