Engenharia social: como proteger sua empresa e colaboradores
A engenharia social é, hoje, uma das principais táticas utilizadas por hackers e cibercriminosos para comprometer dados sensíveis e esquemas de cibersegurança das empresas. As técnicas de engenharia social visam ludibriar pessoas para que entreguem dados sensíveis ou tomem ações que enfraqueçam as defesas cibernéticas das empresas sem que percebam.
Porém, existem uma série de boas práticas que, quando adotadas corretamente e em conjunto, permitem a identificação e resposta adequada aos diferentes tipos de ameaças cibernéticas antes que possam causar danos. Nós já falamos aqui no Blog TI para Empresários sobre algumas das principais formas de ataques criminosos digitais, mas vamos relembrá-los rapidamente:
Phishing
O phishing é uma das táticas de engenharia social mais comuns. Consiste no envio de e-mails ou mensagens que parecem ser de uma fonte legítima como bancos ou provedores de serviços de internet e TV a cabo. Em razão da semelhança com um e-mail oficial – ou uma imitação do site verdadeiro – os usuários acabam clicando em links maliciosos ou fornecendo seus dados de login aos criminosos.
Vishing
Semelhante ao phishing mas realizado através de ligações telefônicas (voice phishing), o vishing simula uma ligação legítima de canais oficiais como bancos, agências do governo (ou até mesmo fazendo se passar pelo setor de TI da empresa!) para induzir as vítimas a fornecerem dados sensíveis como logins e senhas.
Baiting
O baiting – do inglês bait “isca” – consiste em oferecer algo de valor à vítima como ofertas imperdíveis com preço muito abaixo do mercado por tempo limitado ou algum tipo de prêmio. A técnica de engenharia social é inserida ao incutir um senso de urgência no usuário, que “vai perder o prêmio” se não “clicar agora” no link malicioso enviado.
Pretexting
O pretexting talvez seja a mais antiga técnica de engenharia social conhecida. É o bom e velho “golpe” onde o criminoso assume uma identidade falsa ou cria uma situação falsa para se passar por funcionário do banco, agente do governo, profissional de TI ou até mesmo chefe do seu chefe para forçar a vítima a fornecer dados sensíveis e informações valiosas.
Spear phishing
Semelhante ao phishing, porém, mais assemelhado à pesca submarina com arpão já que visa um tipo específico de alvo. Nas tentativas de spear phishing os criminosos utilizam dados pessoais da vítima obtidos previamente para tornar a história (pretexting) mais convincente.
Whaling
Mais uma evolução do phishing, o whaling ou “caça às baleias” visa alvos de alto escalão das organizações como executivos, diretores e cargos C-level. Afinal, estes profissionais possuem privilégios de acesso quase ilimitados aos sistemas e dados sensíveis das empresas, fazendo com que este tipo de ataque seja altamente personalizado e particularmente perigoso.
Como prevenir ataques que utilizam engenharia social?
Como vimos acima, existem diversos tipos de golpes cibernéticos que fazem uso das táticas de engenharia social. Porém, é fácil perceber um ponto em comum: ludibriar e induzir. Portanto, saber identificar os padrões deste tipo de ataque pode ser a diferença entre uma defesa bem sucedida ou um prejuízo imenso para o negócio.
Entretanto, identificar estes padrões exige conhecimento. É preciso saber reconhecer as ameaças, as técnicas utilizadas e, principalmente, quais procedimentos adotar ao se deparar com uma tentativa de extração de informações utilizando engenharia social.
1. Conscientização, educação e treinamento
A importância da conscientização é bem simples: ninguém se previne contra algo que não vê como ameaça. Quer um exemplo? Você está passando diante de uma casa. No portão, que está aberto, um aviso: “Cuidado, cão bravo”. Por mais que você ame cães e eles te amem também, você vai ficar vigilante e tratar de sair dali o mais rápido possível antes que o cachorro possivelmente perigoso resolva aparecer.
Para ataques cibernéticos a lógica é a mesma. É preciso que todos os colaboradores da empresa estejam cientes dos riscos que estão à espreita. E que um passo em falso pode colocar todo o esforço coletivo por água abaixo. É necessário que as pessoas, em todos os níveis e setores, saibam identificar as diferentes ameaças e como reagir de modo adequado.
2. Implemente políticas de segurança
“Uma corrente é tão forte quanto o mais fraco de seus elos”, diz o ditado. E na corrente da segurança da informação, os elos mais fracos sempre são as pessoas. Afinal, pessoas cometem erros.
Por isso, implementar e assegurar o cumprimento de processos e políticas de seguranças estritas pode fazer a diferença. Políticas como o uso de senhas fortes, gerenciadores de senhas robustos, autenticação de dois fatores e a proibição de compartilhamento de dados sensíveis por telefone ou e-mail adicionam camadas adicionais de proteção à organização.
3. Sempre alerta
A vigilância e observação constante às boas práticas aprendidas nos treinamentos é vital para o sucesso das políticas de segurança da informação. Afinal, de nada adianta o investimento em softwares e treinamentos se as mudanças não forem incorporadas à rotina do negócio e à vida pessoal dos colaboradores.
Afinal, os riscos cibernéticos não permeiam somente o âmbito corporativo. Qualquer usuário de internet está sujeito a clicar inadvertidamente em links maliciosos, em casa ou no trabalho. Por isso, encoraje seus colaboradores a permanecerem sempre atentos aos sites que acessam e aos links que clicam. Basta seguir as orientações do treinamento e evitar conscientemente momentos de desatenção e tudo ficará bem.
4. Use a tecnologia a seu favor
Proteger os sistemas é tão importante quanto proteger os usuários. Por isso, investir em boas defesas tecnológicas sempre traz um ótimo retorno sobre investimento, já que os prejuízos superam centenas de vezes os custos iniciais de implementação.
Sistemas antiphishing, filtros de e-mail, antivírus corporativos robustos, gerenciadores de senhas e gerenciamento remoto de dispositivos são sempre adições bem vindas à segurança da informação.
5. Torne obrigatório o uso de autenticação de dois fatores (2FA)
A Autenticação em 2 Fatores (2FA, Two Factor Authentication) é um processo de autenticação e verificação de identificação que adiciona mais uma etapa à verificação de identidade e concessão de acesso ao ambiente de nuvem da empresa.
O primeiro fator – e o mais comum – é o uso de senhas, PIN ou Frase Secreta. O segundo fator de autenticação é inserido quando o usuário precisa incluir mais alguma informação além da senha para poder concluir o seu login.
Pode ser um dispositivo como um pendrive, um token numérico ou até mesmo uma confirmação de login no celular do usuário, que vai solicitar a confirmação da identidade da pessoa após a inserção da senha. Pode ser também um código enviado para um local a que só este usuário tem acesso como e-mail ou SMS. O segundo fator de autenticação pode ser uma característica física do usuário, como impressão digital, reconhecimento facial ou escaneamento de íris ou retina, por exemplo.
Em resumo, a autenticação em dois fatores baseia-se em utilizar duas destas três características:
- Algo que você sabe: senha, frase secreta, etc;
- Algo que você tem: celular, token pendrive, cartão magnético, etc;
- Uma característica física: impressão digital, reconhecimento facial, escaneamento de retina ou íris.
6. Utilize plataformas de gestão de segurança
Existem diversas plataformas de gestão de segurança de TI. Em geral, cada uma delas fornece dados e proteções específicos para diferentes áreas da TI do negócio. O importante, neste caso, é ressaltar que as plataformas de gestão de segurança oferecem um painel de controle para acompanhamento das métricas de ameaças de diversos tipos e gravidades.
Plataformas como o Acronis, que oferecem detecção de endpoints e backups locais ou em nuvem. Ou como a Sophos, que implementa um robusto firewall corporativo, monitora as atividades de antivírus e gerencia ameaças. Ou ainda os painéis de controle do Microsoft 365 for Business ou Google Workspace com suas ferramentas de controle de dispositivos, identidades e acessos.
O mercado oferece diversas opções de plataformas para a gestão de segurança da informação das empresas. O importante é definir junto a sua equipe de TI os investimentos prioritários de acordo com o Planejamento Estratégico de TI e de previsão de crescimento da infraestrutura de TI da empresa a fim de contratar as ferramentas corretas que atendam às necessidades imediatas e futuras do negócio.
7. Promova a cultura de segurança da informação na empresa
De nada adianta a realização de altos investimentos nos mais modernos softwares, hardwares, treinamentos e políticas de segurança se os colaboradores da empresa não levarem a segurança da informação à sério, em todos os níveis. O comprometimento com a cultura de segurança deve ser disseminado e reforçado de cima para baixo na hierarquia para que efetivamente funcione.
Afinal, líderes e gestores precisam implementar e assegurar o cumprimento das políticas e processos de segurança da informação. E a melhor maneira de alcançar estes objetivos é através do exemplo positivo das lideranças, desde os cargos executivos C-level passando pelas gerências até os setores operacionais.
A segurança da informação é um projeto coletivo, cujo sucesso depende da colaboração de todos, sem exceções.
8. Desenvolva um plano de resposta a incidentes de segurança
Embora existam boas práticas que norteiam o processo, cada empresa desenvolve políticas personalizadas de resposta a incidentes de segurança de acordo com suas necessidades. Desde os mais completos como o PCN – Plano de Continuidade do Negócio – que é ativado para mitigar desastres que paralisem a operação e orienta a retomada dos serviços até a normalidade, até um simples procedimento de como agir diante de um e-mail potencialmente suspeito ou uma ligação telefônica estranha.
O importante no plano de resposta a incidentes de segurança é que cada colaborador conheça os procedimentos e saiba qual ação tomar caso haja suspeitas de violação de segurança. Isso exige, logicamente, que haja uma robusta cultura de segurança na organização e que todos estejam com o treinamento e conhecimentos nivelados de forma horizontal.
9. Mantenha sistemas e softwares atualizados
Sistemas e softwares são atualizados constantemente pelos fabricantes a fim de sanar possíveis brechas de segurança que possam ser exploradas por cibercriminosos. Porém isso exige, é claro, que estes produtos sejam originais, licenciados e devidamente regularizados para que possam receber as devidas atualizações de segurança. Ou seja, equipamentos e programas comprados na loja, com uma chave de registro oficial para uso irrestrito.
Empresas que utilizam softwares “pirata” baixados da internet correm sérios riscos de violação de segurança por conta de códigos maliciosos que podem ser inseridos nos programas pelos hackers que “disponibilizam os programas gratuitamente”. Como sabemos, não existe almoço grátis, então o preço de utilizar softwares pirateados na organização é o aumento exponencial dos riscos de segurança e potenciais vulnerabilidades escondidas que podem levar a roubo ou sequestro de dados e até à paralisação completa da organização.
Além disso, cada vez mais empresas de software estão montando forças-tarefa multinacionais de fiscalização para identificar, rastrear, fiscalizar e cobrar pesadas multas por violação de copyright de programas protegidos pelas leis de propriedade intelectual internacional.
10. Implemente uma rotina sólida de backups recorrentes e redundantes
Nós já falamos em um webinar da Rastek que “o backup é a última linha de defesa” contra violações de segurança. Afinal, o backup é uma cópia de segurança dos dados sob controle da empresa que pode – e deve – ser restaurado caso os sistemas originais sejam comprometidos.
Uma regra simples e altamente efetiva é o que chamamos de Backup 3-2-1:
- Possuir 3 backups
- Backups armazenados em 2 destinos diferentes
- Possuir pelo menos 1 backup fisicamente fora da empresa
A lógica é a mesma da sabedoria popular: jamais armazene todos os ovos em uma única cesta. Manter várias cópias redundantes de backup seguindo a regra 3-2-1 garante que a sua organização possua cópias de segurança à disposição para serem restauradas mesmo diante de desastres de grande magnitude como ransomwares, incêndios, enchente, roubo físico de equipamentos, etc.
11. Monitoramento constante e auditorias periódicas
Tão importante quanto as outras dicas acima é o acompanhamento constante de todos estes fronts. Afinal, a Segurança da Informação é uma batalha em constante evolução, onde hackers e cibercriminosos desenvolvem novas técnicas e ameaças todos os dias.
Por isso, para manter a saúde das defesas da sua organização é necessário que haja um monitoramento constante das atividades de segurança, de preferência em tempo real. Afinal, como já dissemos acima, nós humanos cometemos erros, geralmente por desatenção.
O monitoramento em tempo real e uma resposta rápida a uma possível violação de segurança pode fazer a diferença entre uma defesa bem sucedida ou mais um caso de vazamento de dados para engrossar as estatísticas de golpes digitais bem sucedidos.
Segurança da Informação como Serviço
A Rastek Soluções oferece uma modalidade de terceirização da Segurança da Informação como Serviço, a fim de aplicar toda a expertise adquirida no mercado de TI onde atuamos desde 2008. Possuímos larga experiência em todas as rotinas descritas acima, do planejamento à execução, bem como cases de recuperação de ransomware com sucesso, recuperação de dados e sistemas e, é claro, análise de vulnerabilidades e manutenções corretivas e preventivas.
Se a sua empresa está em busca de um parceiro sólido para realizar a gestão da Segurança da Informação da organização, basta preencher o formulário abaixo e aguardar o contato de nossa equipe!
Leia também:
Diferenças entre Privacidade, Proteção de Dados e Segurança da Informação
Deixe uma resposta