Engenharia social e vulnerabilidade

 

Ataques de phishing e spear phishing são motivos de preocupação para empresas e usuários

 

 

Segundo as abordagens de Mitnick e Simon e Guilherme Júnior, a engenharia social pode ser definida como um conjunto de práticas utilizadas para a obtenção de informações relevantes ou sigilosas de uma organização ou indivíduo, por meio da persuasão e manipulação com a utilização ou não da tecnologia.

 

Nem mesmo funcionários de grandes empresas estão imunes a este tipo de manipulação. Após uma investigação, o FBI divulgou que a Sony Pictures foi vítima de um ciberataque, em 2014. Ocasião em que milhares de arquivos, dentre eles acordos comerciais, documentos financeiros e informações de funcionários, foram furtados – a empresa norte-americana foi alvo de ataques de spear phishing. Os funcionários foram atraídos por e-mails falsos da Apple. Estima-se que o prejuízo possa ter superado os US$ 100 milhões.

 

Outro caso emblemático é o da varejista Target, em 2013, onde os hackers tiveram acesso a dados de 40 milhões de cartões (crédito e débito), de clientes, por meio de um e-mail de phishing. O furto destes dados desencadeou uma crise na empresa de varejo.

 

Os métodos empregados em ambos os casos são bem próximos. No caso da Sony, o método empregado foi mais aprimorado pois trata-se de spear phishing, onde os fraudadores investigam as suas vítimas o máximo possível, estudando interesses, preferências e rotina. Nestas ações a abordagem utilizada é de forma individual e direcionada a um indivíduo, organização ou empresa específica.

 

Já no ataque de phishing, normalmente são disparados em massa e aparecem como campanhas ou ofertas, outra característica são os links e anexos suspeitos. Segundo pesquisa divulgada pela empresa Kapersky Lab, o Brasil é líder em ataques de phishing. De acordo com o relatório, 22% dos usuários brasileiros foram alvos do esquema, seguido pela Áustria (17%) e a Espanha (17%). Na maioria dos casos os ataques ocorrem por e-mail, entretanto eles têm se popularizado nas redes sociais, SMS, WhatsApp e até mesmo em anúncios no Google.

 

Um fator marcante para a facilitação de ataque de engenharia social é o desenvolvimento de redes sociais (SRS) que aumenta a exposição de informações pessoais na web. Quanto mais informações pessoais o criminoso obtiver de sua vítima, maior a chance de êxito.

 

Importante destacar a necessidade das empresas em se precaver deste tipo de ataque que não deve somente ocorrer adquirindo melhores tecnologias, mas conscientizando os seus funcionários. Como bem enfatizam Mitnick e Simon, o elo mais fraco da segurança é o ser humano, seja por fatores emocionais ou desconhecimento.

 

Sendo assim, oportuno mencionar que, com a entrada em vigor da Lei Geral de Proteção de Dados (LGPD) em agosto de 2020, a qual sujeita as empresas privadas a algumas penalidades em caso de vazamento de dados, é muito importante o trabalho de conscientização, principalmente nas instituições. A questão do preparo humano é essencial, o funcionário ou colaborador que souber identificar um possível ataque poderá evitar eventuais danos à empresa.

 


Referências

MITNICK, Kevin D.; SIMON, William L. Mitnick: A arte de enganar. São Paulo: Pearson Makron Books, 1963.

 

JÚNIOR, Guilherme. Entendendo o que é engenharia social. 2006. Disponível em: <https://www.vivaolinux.com.br/artigo/Entendendo-o-que-e-Engenharia-Social>. Acessado dia 08/12/2019.

 

Sony hackers targeted employees with fake Apple ID e-mails. Disponível em: <https://www.computerworld.com/article/2913805/sony-hackers-targeted-employees-with-fake-apple-id-emails.html> Acessado dia 08/12/2019.

 

Gafety. 7 casos reais e famosos de ataques de engenharia social. Disponível em: <https://gatefy.com/pt-br/postagem/7-casos-reais-de-ataques-de-engenharia-social/> Acessado dia 08/12/2019.

 

Natalie Rose. Brasil é o país que mais recebe ataques phishing em todo o mundo, diz pesquisa. Disponível em: <https://canaltech.com.br/hacker/brasil-e-o-pais-que-mais-recebe-ataques-phishing-em-todo-o-mundo-diz-pesquisa-120376/> Acessado dia 08/12/2019.

Foto_Thiago Martins
thiago@ramojuridico.com

Por Thiago Martins