Home Noticias Fraudes financeiras: maioria é por meio de engenharia social

Fraudes financeiras: maioria é por meio de engenharia social

por admin

A maioria das fraudes, golpes e outras modalidades de transações ilícitas que prejudicam empresas e pessoas físicas que utilizam os sistemas financeiros é consequência de uma mesma tática: engenharia social. A Federação Brasileira de Bancos (Febraban) reportou, ao anunciar um selo de prevenção a fraudes, que esse tipo de estratégia é utilizado em 70% dos ataques. Mesmo que o alvo da engenharia social seja o usuário, Fernando Bryan Frizzarin, especialista em cibersegurança da BluePex® Cybersecurity, explica como as empresas podem se proteger.

A engenharia social consiste num conjunto de práticas e técnicas utilizadas para manipular as pessoas com o objetivo de obter-se informações confidenciais e, por consequência, acesso a sistemas computadorizados ou ações que visam o ganho financeiro. Com os sistemas de segurança adequadamente dimensionados, como firewalls com as funcionalidades críticas em funcionamento e com capacidade aderente ao ambiente, antivírus sempre atualizado, com as proteções ativas e devidamente monitorado, componentes de controle e proteção instalados e com a comunicação ativa, é muito difícil invadir sistemas, senão praticamente impossível. “Dessa forma, ao invés de explorar vulnerabilidades em programas ou equipamentos, quem vale-se de engenharia social explora a natureza humana, buscando criar vínculos de confiança, medo, ansiedade e a ingenuidade para alcançar seus objetivos”, explicou o especialista.

Para isso, os cibercriminosos recorrem a diferentes métodos como o “phishing” (e-mails ou mensagens falsas que solicitam informações); “pretexting” (criação de histórias, informações ou notícias falsas para obter dados pessoais); engenharia reversa (análises de dados abertos em redes sociais para, por exemplo, criação de perfis falsos); manipulação psicológica e engenharia social off-line (quando há acesso a instalações físicas, ou seja, o invasor atua pessoalmente no alvo). Fernando cita que é necessário estar ciente dessas ameaças e técnicas para adotar posturas e práticas de segurança, como a verificação cuidadosa de toda comunicação, que envolve e-mail, telefonemas e mensagens. As empresas também devem estar atentas, pois o elo mais fraco de toda segurança digital são as pessoas. “Além dos equipamentos e sistemas de controle e segurança, elas devem promover treinamentos e conscientizações para seus funcionários”, completou Fernando.

O especialista detalhou quais os dados mais visados pelos fraudadores e informou que, no geral, eles escolhem suas vítimas com objetivo específico de obter lucro financeiro de forma rápida. “Os mais visados são login e senha; informações financeiras, e aqui entram números de cartão de créditos e o código de verificação, conta bancária, documentos e endereços; dados pessoais, profissionais e de empresas; informações de saúde; além de segredos comerciais e propriedade intelectual”.

A escolha da vítima também pode acontecer a partir de dados vazados de empresas privadas ou públicas. Com esses dados, o criminoso pode escolher e estudar suas vítimas a partir de dados sensíveis que não deveriam ser públicos, como endereços de e-mail, endereços físicos, dados de documentação e até, dependendo do vazamento, particularidades de saúde e financeiras.

 

COMO AS EMPRESAS PODEM SE PROTEGER

Às empresas, Fernando orienta começar com a implantação efetiva de segurança cibernética. “O ideal é apoiar-se em um framework, que é um conjunto de práticas e ferramentas adequadas para essa implantação. A BluePex® Cybersecurity possui um framework prático, baseado em seus mais de 20 anos experiência no mercado de cibersegurança, inclusive possuindo o selo EED – Empresa Estratégica de Defesa – concedido pelo Ministério da Defesa do Brasil, para ajudar as empresas a se protegerem”, descreveu.

O especialista recomenda ainda: conscientização e treinamento dos funcionários; implementação de políticas de segurança; estabelecimento de procedimentos para verificação de identidade; aprimoramento da segurança de e-mails, como filtros de spam e para bloquear mensagens suspeitas; adoção de controles de acessos a informações sensíveis e sistemas críticos; monitoramento de redes e sistemas para detecção de atividades suspeitas; atualização constante de sistemas operacionais e softwares, sobretudo quando há correções de segurança para mitigar possíveis vulnerabilidades; backup de dados regularmente; estabelecimento de política para uso seguro de mídias sociais; plano para resposta rápida a incidentes e implantação de auditorias de segurança.

Também é importante, de acordo com Fernando, que as empresas implementem outros tipos de barreiras que dificultarão a ação dos invasores, mesmo quando os alvos forem pessoas. Entre as recomendações, estão a autenticação de dois fatores, que adiciona uma camada extra de segurança. Mesmo que um terceiro tenha as credenciais de login, ele precisaria de um segundo fator para acessar a conta. “Outra alternativa é a solução de segurança de endpoint que possua também a funcionalidade de antivírus e possa detectar e bloquear vírus, malware, ransomware e outras ameaças que possam ser distribuídas por meio de ataques de engenharia social. Sempre monitore o comportamento do usuário para identificar atividades incomuns, como a detecção de tentativas de acesso não autorizado ou mudanças abruptas nos padrões de uso”, finalizou.

 

Você também pode gostar

Deixe um Comentário

Ao navegar neste site, você aceita os cookies que usamos para melhorar sua experiência. Aceito Mais informações