Engenharia Social: o cibercrime ataca as pessoas

Empresas têm investido em sistemas de defesa para os computadores, mas qualquer pessoa pode ser alvo de ataques e golpes pela internet

As pessoas e principalmente as empresas investem muito dinheiro para melhorar a segurança de seus computadores, sistemas e redes adquirindo antivírus, firewalls e outras ferramentas de proteção. O que muitos desses usuários e corporações ainda não entenderam é que as vulnerabilidades agora estão em outro local, nas pessoas. É a ameaça da engenharia social.
Mas o que é a engenharia social? É uma forma de se obter informações sigilosas ou importantes de empresas e sistemas na qual o atacante utiliza artifícios para enganar e explorar a confiança alheia. O termo ficou conhecido a partir de 1990, através do famoso hacker Kevin Mitnick.
A forma preferida de ação dos atacantes é através de ligações telefônicas para colaboradores, tentando se fazer passar por colegas de trabalho, chefes ou mesmo autoridades externas e com isso conseguir informações privadas. Mas a engenharia social não utiliza apenas o contato telefônico; práticas como à visita a empresa ou o contato informal com funcionários também podem ser adotadas para obter dados sigilosos.
Vamos conhecer alguns dos ataques mais comuns de engenharia social.
Um dos tipos de ataque utiliza mensagens de e-mail nas quais o remetente é supostamente do seu banco e está avisando que o serviço de internet banking está apresentando algum problema. Assim, falam, para corrigi-lo você deve executar o “aplicativo que segue em anexo”. Ao acreditar na mensagem e clicar no anexo, o computador do usuário é infectado por um vírus.
Os boatos que aparecem na internet também podem ser utilizados para que o engenheiro social aplique seus golpes. Acidentes, eventos naturais ou fofocas podem ser o assunto da mensagem portadora do código malicioso.
Outro tipo de ofensiva comum é a ligação de um desconhecido que se diz ser de um call center de uma empresa de TV a cabo, banco ou provedor. Na ligação, o usuário é informado que seu acesso ou sistema estão apresentando algum problema e, então, é solicitada sua senha para corrigi-lo.
Infelizmente muitos usuários caem nesses golpes. Qualquer pessoa ou os colaborador podem ser alvos em potencial, mas os mais visados são as secretárias ou supervisores, pois têm contato direto com os ocupantes de cargos mais altos da corporação, estes sim os verdadeiros objetivos.
E como se proteger? A melhor defesa é a informação. Todos os colaboradores devem estar capacitados para reconhecer tentativas de ataque. Outras práticas importantes são: identificar detalhadamente o interlocutor de uma ligação telefônica e nunca informar sua senha pessoal a outras pessoas.
A proteção também passa por não expor informações pessoais na internet, seja em redes sociais, seja em chats. Isso facilita a engenharia social criminosa, pois essas informações podem ser usadas para que
o atacante conheça sobre você e monte sua estratégia. Então, nada de informar telefones, endereço e empresa na qual trabalha ou qualquer tipo de dado pessoal em
seu perfil.

GILBERTO SUDRÉ é especialista em Segurança da Informação
e perito em Computação Forense