» Fator humano Todos já nascemos com aquele impulso natural de explorarmos tudo aquilo que nos cerca. E por que não explorarmos o elo mais fraco da segurança: o fator humano? O cientista mais respeitado do mundo no século XX, Albert Einstein, disse certa vez: "Apenas duas coisas são infinitas: o universo e a estupidez humana. E eu não tenho certeza se isso é verdadeiro para o primeiro". O sucesso no ataque de engenharia social ocorre geralmente quando os alvos são as pessoas ingênuas ou aquelas que simplesmente desconhecem as melhores práticas de segurança. Mas afinal, o que é engenharia social? De acordo com a cartilha de segurança do CERT.br (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil), a engenharia social é "um método de ataque onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações". É necessário investir na conscientização dos colaboradores da organização sobre este tema. Desta forma, destaca-se a necessidade do importante documento denominado Política Corporativa de Segurança da Informação. Pouca ou nenhuma segurança deixa as organizações vulneráveis. Entretanto, em exagero, atrapalha a condução e o crescimento das atividades de negócio. Não há como garantir a Segurança da Informação nas organizações somente investindo em equipamentos e recursos de Tecnologia da Informação, como firewalls, sistemas de detecção de intrusos, antivírus etc. Todos (colaboradores e executivos) devem ter em mente que as informações por eles manuseadas têm valor e podem causar grandes prejuízos para a organização em que trabalham, tendo até seus empregos ameaçados devido a impossibilidade da organização realizar seus negócios e se perpetuar no tempo. Quais são os tipos de ataque - No local de trabalho: Acesso a informação restrita (lista de ramais, organogramas etc) por pessoal não autorizado. Em diversas organizações, este tipo de informação fica exposto em locais por onde transitam as pessoas, funcionários ou não. - Por telefone: Contato efetuado por um sujeito que diz ser da área de Help-Desk informando que a estação de trabalho do usuário-alvo necessita de uma atualização de software, de forma que ela fique em conformidade com as demais da organização e mais segura (patch de emergência). Sem validar se o sujeito é quem realmente diz ser, o pobre usuário procede rigorosamente ao processo de instalação de algum tipo de programa malicioso (spyware, malware, vírus etc) sem que o usuário tenha conhecimento de que a ação está ocorrendo. - Lixo: Vasculhar o lixo de uma organização para encontrar informações descartadas que possuem valor ou que forneçam dicas de ferramentas que podem ser utilizadas em um ataque de engenharia social, tais como números de telefone, ramais, organogramas, relação de clientes, cargos etc. - On-line: Envio de e-mail publicitário, oferecendo brindes para que o usuário participe de sorteios, solicitando os dados pessoais e profissionais. Conseqüentemente, o invasor terá a sua disposição quase tudo o que é necessário para um ataque, sem grande esforço. - Inversa: De posse da lista de ramais ou organograma, o invasor adquire conhecimento para poder se passar por uma pessoa de autoridade. Numa ligação telefônica ele se identifica, por exemplo, como um gerente ou diretor e pede as informações desejadas. Nunca pense que para realizar este tipo de ataque são necessárias mentiras complexas previamente preparadas. A maioria dos ataques é direta e simples, apenas pedindo a informação! Mensagem aos executivos: formas de prevenção As armas que têm demonstrado serem mais eficazes para evitar os ataques de engenharia social são, sem qualquer sombra de dúvida, o treinamento, a conscientização e a capacitação dos colaboradores. Deve-se treinar seu pessoal para não julgar um livro apenas pela capa, pois o fato de alguém estar bem vestido e penteado, não faz dela uma pessoa confiável. Veja as principais formas de prevenção: - Implementar formalmente uma Política Corporativa de Segurança da Informação. Quando possível, efetuar palestras junto aos colaboradores para demonstrar a todos que você está comprometido a seguir o documento; - Classificar as informações de forma a esclarecer para cada colaborador sobre o que pode ser divulgado e o que não pode; - Desconfiar de grandes promoções, preços baixos e das ofertas veiculadas na Internet; - Desconfiar sempre que for surpreendido por um telefonema de alguém que não conheça. Nunca divulgar nada e pedir um número de retorno para verificar se a ligação é verdadeira; - Conscientizar os colaboradores a respeito do tema, realizando palestras e treinamentos onde o assunto seja abordado, estando na maioria das vezes, presente. Penalidades É muito difícil punir os responsáveis por este tipo de ataque, pois desses "delitos" nem podem ser considerados crimes. Entretanto, é possível combatê-los com uma legislação que os definam bem. Considerações finais A grande maioria dos incidentes tem a intervenção humana, seja de forma acidental ou não. Segurança tem a ver com pessoas e processos, antes de ter a ver com tecnologia. Conseqüentemente, de nada valerão os milhões investidos em Tecnologia da Informação (TI) se o fator humano for deixado em segundo plano. Quanto melhor preparados os funcionários de uma organização, mais segura ela será. Fonte: Modulo Security News No.397
|