A maioria das fraudes, golpes e outras modalidades de transações ilícitas que prejudicam empresas e pessoas físicas que utilizam os sistemas financeiros é consequência de uma mesma tática: engenharia social. A Federação Brasileira de Bancos (Febraban) reportou, ao anunciar um selo de prevenção a fraudes, que esse tipo de estratégia é utilizado em 70% dos ataques. Mesmo que o alvo da engenharia social seja o usuário, Fernando Bryan Frizzarin, especialista em cibersegurança da BluePex® Cybersecurity, explica como as empresas podem se proteger.
A engenharia social consiste num conjunto de práticas e técnicas utilizadas para manipular as pessoas com o objetivo de obter-se informações confidenciais e, por consequência, acesso a sistemas computadorizados ou ações que visam o ganho financeiro. Com os sistemas de segurança adequadamente dimensionados, como firewalls com as funcionalidades críticas em funcionamento e com capacidade aderente ao ambiente, antivírus sempre atualizado, com as proteções ativas e devidamente monitorado, componentes de controle e proteção instalados e com a comunicação ativa, é muito difícil invadir sistemas, senão praticamente impossível. “Dessa forma, ao invés de explorar vulnerabilidades em programas ou equipamentos, quem vale-se de engenharia social explora a natureza humana, buscando criar vínculos de confiança, medo, ansiedade e a ingenuidade para alcançar seus objetivos”, explicou o especialista.
Para isso, os cibercriminosos recorrem a diferentes métodos como o “phishing” (e-mails ou mensagens falsas que solicitam informações); “pretexting” (criação de histórias, informações ou notícias falsas para obter dados pessoais); engenharia reversa (análises de dados abertos em redes sociais para, por exemplo, criação de perfis falsos); manipulação psicológica e engenharia social off-line (quando há acesso a instalações físicas, ou seja, o invasor atua pessoalmente no alvo). Fernando cita que é necessário estar ciente dessas ameaças e técnicas para adotar posturas e práticas de segurança, como a verificação cuidadosa de toda comunicação, que envolve e-mail, telefonemas e mensagens. As empresas também devem estar atentas, pois o elo mais fraco de toda segurança digital são as pessoas. “Além dos equipamentos e sistemas de controle e segurança, elas devem promover treinamentos e conscientizações para seus funcionários”, completou Fernando.
O especialista detalhou quais os dados mais visados pelos fraudadores e informou que, no geral, eles escolhem suas vítimas com objetivo específico de obter lucro financeiro de forma rápida. “Os mais visados são login e senha; informações financeiras, e aqui entram números de cartão de créditos e o código de verificação, conta bancária, documentos e endereços; dados pessoais, profissionais e de empresas; informações de saúde; além de segredos comerciais e propriedade intelectual”.
A escolha da vítima também pode acontecer a partir de dados vazados de empresas privadas ou públicas. Com esses dados, o criminoso pode escolher e estudar suas vítimas a partir de dados sensíveis que não deveriam ser públicos, como endereços de e-mail, endereços físicos, dados de documentação e até, dependendo do vazamento, particularidades de saúde e financeiras.
COMO AS EMPRESAS PODEM SE PROTEGER
Às empresas, Fernando orienta começar com a implantação efetiva de segurança cibernética. “O ideal é apoiar-se em um framework, que é um conjunto de práticas e ferramentas adequadas para essa implantação. A BluePex® Cybersecurity possui um framework prático, baseado em seus mais de 20 anos experiência no mercado de cibersegurança, inclusive possuindo o selo EED – Empresa Estratégica de Defesa – concedido pelo Ministério da Defesa do Brasil, para ajudar as empresas a se protegerem”, descreveu.
O especialista recomenda ainda: conscientização e treinamento dos funcionários; implementação de políticas de segurança; estabelecimento de procedimentos para verificação de identidade; aprimoramento da segurança de e-mails, como filtros de spam e para bloquear mensagens suspeitas; adoção de controles de acessos a informações sensíveis e sistemas críticos; monitoramento de redes e sistemas para detecção de atividades suspeitas; atualização constante de sistemas operacionais e softwares, sobretudo quando há correções de segurança para mitigar possíveis vulnerabilidades; backup de dados regularmente; estabelecimento de política para uso seguro de mídias sociais; plano para resposta rápida a incidentes e implantação de auditorias de segurança.
Também é importante, de acordo com Fernando, que as empresas implementem outros tipos de barreiras que dificultarão a ação dos invasores, mesmo quando os alvos forem pessoas. Entre as recomendações, estão a autenticação de dois fatores, que adiciona uma camada extra de segurança. Mesmo que um terceiro tenha as credenciais de login, ele precisaria de um segundo fator para acessar a conta. “Outra alternativa é a solução de segurança de endpoint que possua também a funcionalidade de antivírus e possa detectar e bloquear vírus, malware, ransomware e outras ameaças que possam ser distribuídas por meio de ataques de engenharia social. Sempre monitore o comportamento do usuário para identificar atividades incomuns, como a detecção de tentativas de acesso não autorizado ou mudanças abruptas nos padrões de uso”, finalizou.