A Engenharia Social ganhou seu próprio significado no contexto da Segurança da Informação. Você já conhece sua definição?
Em uma organização, os cargos técnicos certamente estão mais protegidos contra ataques hackers do que qualquer outra área.
Mas será que eles também estão imunes contra abordagens sociais?
Segundo o que se entende por Engenharia Social, todos estão vulneráveis a sofrerem com esses tipos de ataque.
Gatilhos que ativam nossa fragilidade
Se por um lado todos possuem e podem desenvolver habilidades cognitivas para duvidar de certas abordagens pessoais, a fragilidade emocional é universal.
Todos possuímos algum assunto, pessoa ou história que nos faz ao menos prestar atenção no que outra pessoa tem a dizer.
Os ataques de Engenharia Social se nutrem das informações coletadas ao longo do processo, e isso significa que quanto mais o cibercriminoso souber, mais forte ele pode voltar em uma próxima tentativa de ataque.
Portanto, a hierarquia pouco importa neste tipo de abordagem, todos devem estar atentos.
Para entendermos melhor o significado da Engenharia Social na Segurança da Informação, iremos abordar os seguintes assuntos:
- Conceituação: O que é Engenharia Social?
- A base da segurança de dados
- Conceituação: O que é Persuasão?
- Como funciona um ataque de Engenharia Social
- Quais os sentimentos explorados pela Engenharia Social
- Quais as consequências dos crimes de Engenharia Social com a chegada da LGPD
Pronto para começar?
O que é Engenharia Social?
A Engenharia Social que conhecemos hoje é utilizada para definir ataques que se utilizem da fragilidade emocional humana para acontecer.
Mas antes de desenvolver a temática, é importante contextualizar o significado de segurança da informação:
É uma série de práticas que visa a proteção de todos os tipos de dados que a empresa armazene.
A base da segurança da informação em 4 pilares:
- Confidencialidade
- Integridade
- Disponibilidade
- Autenticidade
Por esses princípios que o fator humano torna-se uma parte tão importante no processo de segurança de dados.
É difícil imaginar sua eficiência sem pensar na importância das pessoas e em sua vulnerabilidade como alvos.
Por exemplo, sabe aquele modelo novo do iPhone que você viu antes da Apple divulgar?
Provavelmente partiu de um funcionário que foi alvo de um ataque de engenharia social.
Isso pode gerar prejuízos na empresa já que a concorrência terá acesso ao modelo e pode pensar em um lançamento parecido e até prévio ao Iphone, tirando toda a exclusividade do produto.
Mas é a partir de reações simples (como a desatenção) que ataques de diferentes dimensões podem ocorrer.
Não por acaso que diversos produtos no mercado, como os próprios iphones, já são hoje armazenados em locais que poucas pessoas têm acesso.
E se todos podem ser vítimas de ataques de Engenharia Social, isso nunca irá resolver o problema mas, mas pode ajudar na hora de identificar a origem da vulnerabilidade.
E é por este raciocínio que chegamos a Engenharia Social.
É possível separar as ameaças na segurança de dados em duas categorias: tecnológicas e humanas.
A primeira, envolve recursos tecnológicos e por isso exige maiores habilidades do criminoso, já as ameaças humanas – também conhecidas como fator humano, exigem pouco ou nenhuma habilidade tecnológica do infrator.
Não é só para o mal
Embora desde sua origem tenha sido utilizada para fins negativos, as técnicas de Engenharia Social podem e já são incorporadas em muitas situações benéficas.
Traçar o uso de dispositivo de uma pessoa desaparecida, por exemplo, pode auxiliar na busca.
A polícia pode se beneficiar do recurso para muitas investigações.
E empresas podem oferecer treinamentos internos mais realistas ao aplicar nos próprios funcionários ou em processos seletivos, tudo depende dos dados coletados e a finalidade da ação.
Conceituação: O que é Persuasão?
A Engenharia Social na Segurança da Informação tem como finalidade o ato de persuadir. Mas afinal, o que é a persuasão?
O ato de persuadir ocorre quando alguém consegue, através da argumentação, convencer alguém a fazer alguma coisa.
A habilidade recorre a meios emocionais e lógicos para envolver o/os alvos e seu sucesso é baseado na realização, por vontade própria, da ação desejada.
Diferente do senso comum, persuadir e manipular são coisas distintas.
Pois a persuasão ocorre somente quando tentamos entender o que é necessário para convencer alguém a fazer alguma coisa.
Existe também o conceito de manipulação psicológica, que pode ser confundido com o ato de persuadir.
Mas assim como no caso da manipulação, trata-se de um processo diferente em que a influência social é maior e tem como objetivo a mudança de comportamentos.
É muito semelhante ao conceito de Engenharia Social na psicologia, utilizando-se de percepções com táticas indiretas, que na maioria dos vezes pode envolver informações convenientes, enganosas ou dissimuladas.
Outra habilidade semelhante mas que pode ser diferenciada do ato de persuadir, é o convencimento.
É possível convencer pessoas em relação a uma ideia, mas somente a persuasão resulta em uma ação voluntária, de modo que a pessoa acredite que aquilo parte de sua própria vontade.
Também conhecida como “Teoria da Persuasão” ou “ Teoria Empírico-experimental”, os primeiros registros da persuasão como estudo vêm dos anos 40.
E desde os primórdios tratou da busca em estudar a relação entre estímulo e resposta.
Hoje é um tema amplamente estudado em cursos como administração (para negociação) e comunicação.
A persuasão na engenharia social é a grande protagonista, o sucesso da maioria dos ataques é relacionado a habilidade do criminoso em persuadir.
Como funciona um Ataque de Engenharia Social na Segurança da Informação
Os ataque de Engenharia Social funcionam no sistema de tentativa e erro, mas diferente de outras ofensivas, ele retorna cada vez mais forte.
Isso porque o ciclo de atuação da Engenharia Social é baseado no seguinte ciclo:
Coleta de informações, planejamento de ataques, aquisição das ferramentas necessárias, ataque, uso das informações coletadas (para tornar-se próximo do verídico)
Em outras palavras, novas tentativas de ataques serão sempre mais convincentes por serem mais “inteligentes” com os dados coletados na tentativa anterior.
Sentimentos explorados pela Engenharia Social na Segurança da Informação
A Engenharia Social explora emocionalmente suas vítimas, testado diversas iscas até ativar o gatilho que vulnerabiliza o alvo.
Ela também pode se aproveitar de temas atuais, promoções boas demais para serem verdade ou falsos anúncios de premiações.
Por alguns ataques exigirem pouco ou nenhum conhecimento técnico, a engenharia social também pode acontecer sem a necessidade de dispositivos eletrônicos, a abordagem no caso é conhecida como no-tech hacking.
Quando a vítima se dá conta da comunicação suspeita, o criminoso pode já ter colhido as informações necessárias para uma tentativa de ataque.
E o processo, na maioria dos casos, pode envolver um ou mais dos sentimentos a seguir:
Curiosidade
Quase todo ataque de engenharia social inicia a partir da curiosidade do alvo. No caso de phishing, por exemplo, é o benefício imperdível que ele poderá adquirir naquele momento, se seguir as instruções.
Após a surpresa inicial, o usuário certamente vai ter curiosidade para entender melhor do que se trata a mensagem recebida. E para validar sua opinião, ele pode acabar clicando em algum link malicioso ou preenchendo algum formulário.
Preguiça
Por que um funcionário iria digitar as senhas manualmente toda vez que forem acessar alguma coisa?
Ou até mesmo optar voluntariamente pela autenticação de dois fatores se tudo pode ser preenchido automaticamente?
Com atalhos nos tornamos, na maioria das vezes, mais vulneráveis.
É importante que todos sejam conscientizados não apenas sobre as medidas a serem tomadas na rotina dentro da empresa, mas também, a importância de cada uma delas.
Solidariedade
Ajudar um colega de trabalho é uma prática simples e naturalmente aplicada em um ambiente saudável.
Mas não só isso.
Como já dizia um velho ditado “Quando a esmola é demais, o santo desconfia”.
E o engenheiro social utiliza muito bem o recurso ao criar campanhas de doações falsas, descontos imperdíveis que serão revertidos em prol de alguma causa, etc.
É importante despertar nos funcionários o entendimento da importância de se questionar tudo com o que interagem ao longo do dia.
Até mesmo na voluntária ajuda alheia.
Vaidade
O modelo mais recente de um smartphone ou o luxo de realizar alguma atividade são características que envolvem a vaidade da vítima.
Funcionários podem ser seduzidos por uma oferta de empréstimo, compra ou até mesmo um novo emprego.
É pensando na própria fragilidade que todos devem ser conscientizados sobre separar o que precisam do que podem ter em um outro momento. pois a engenharia social utiliza muito bem a vaidade ao seduzir as vítimas a partir do consumo.
Ansiedade
Em uma realidade em que o problema de grandes cidades e muitos ambientes corporativos é a ansiedade, a engenharia social aproveita-se muito do fato.
Tudo deve ser feito rapidamente, as ofertas são irrecusáveis e a sensação de urgência torna-se protagonista a ponto de muitos não atentarem-se ao que chega a eles.
É neste momento que as maiores vítimas são pegas, na pressa do momento, pois não são capazes de criar suspeitas sobre a situação.
Engenharia Social na Segurança da Informação e a ascensão das Fake News
A maioria dos golpes de engenharia social possuem o objetivo de obtenção de dados pessoais.
Mas nos últimos anos, o mundo se deparou com uma nova utilidade por trás dessa lógica: a manipulação de informações.
Tudo começou quando o atual presidente dos Estados Unidos, Donald Trump, acusou um grande veículo de comunicação americana de espalhar “notícias falsas”, durante sua campanha.
Desde então a prática, que já era reconhecida como Hoaxing, ganhou um novo nome: Fake News.
Através de redes sociais, muitas pessoas deixaram de consumir informações imparciais ao participar de grupos que possuam interesses semelhantes, o que abre espaço para perspectivas unilaterais e que muitas vezes não representam a verdade.
Como resposta a isso, grandes empresas como Google e redes sociais como o Facebook passaram a criar políticas específicas para minimizar os danos que foram fortificados graças as suas soluções.
O que apesar de positivo, não impede que as pessoas se envolvam somente em grupos de seu interesse e muito menos impede o compartilhamento de informações distorcidas.
Por questões de segurança, serviços como o WhatsApp possuem conversas criptografadas, o que garante a privacidade mas impede que as empresas identifiquem a origem de muitas das notícias espalhadas.
Quais as consequências dos crimes de Engenharia Social com a chegada da LGPD
Após todos os escândalos envolvendo grandes corporações e o vazamento de dados, diversos países criaram medidas para que a responsabilidade das ocorrências seja maior para empresas de forma a aumentar sua responsabilidade sobre a segurança da informação.
Enquanto a lei de referência é a europeia, conhecida como General Data Protection Regulation (GDPR), o Brasil trabalhou em sua própria versão, a Lei Geral de Proteção de Dados (LGPD), que busca regulamentar o uso de dados no meio corporativo no país.
A LGPD regulamentará qualquer atividade offline ou online que envolva a utilização de dados pessoais e irá responsabilizar as empresas envolvidas no processo.
A LGPD irá abranger qualquer informação que possa servir para identificar alguém.
Além disso, a LGPD também menciona os dados sensíveis, que diferente da documentação, refere-se a questões íntimas, como:
- Status de Saúde
- Vida Sexual
- Dados Genéticos
- Dados Biométricos
- Opinião Política
- Origem Étnica
- Religião
- Participação em sindicatos ou organizações não governamentais
Dentre outras informações que expõem aspectos íntimos da pessoa física.
Tudo muito relevante para um ataque de engenharia social, pois o criminoso pode aproximar-se da vítima por afinidade.
Quando a LGPD entrar em vigor, o não cumprimento resultará em processos administrativos e legais, podendo chegar a multas de até R$ 50 milhões.
A alto custo da multa é importante pois assim será muito mais vantajoso adequar-se a Lei do que pagar eventuais multas a longo prazo.
O objetivo por trás da proposta é a transparência da operação de empresas públicas e privadas, solicitando a permissão e o consentimento dos usuários para que seus dados sejam armazenados para devidos fins.
A penalidade financeira da LGPD irá variar de acordo com a gravidade da infração, sendo que as de não conformidade podem custar até 2% do faturamento da empresa, limitando-se ao máximo de R$50 milhões.
Saiba mais sobre Engenharia Social
Não subestime a Engenharia Social
Esperamos que tenha ficado claro a importância de estudar a Engenharia Social na Segurança da Informação.
Empresas que agem preventivamente a esse tipo de ataque tornam-se menos vulneráveis a ela, e isso é uma ótima condição para qualquer corporação.
Sendo a conscientização uma ótima arma contra os ataque.
Ainda restam dúvidas? Converse com um de nossos especialistas e descubra como começar a se proteger ainda hoje.