Por Rita Maria Nunes, Country Manager TAB Portugal
Caro empresário, vamos falar de engenharia social? Se não está familiarizado com o termo que, na verdade, é uma séria armadilha para o seu negócio, então preste atenção até porque está a afetar, cada vez mais, as PME’s. Mas vamos por partes. Desde logo, pela explicação de que a engenharia social é uma abordagem de hacking na qual os cibercriminosos tentam explorar a natureza humana, a psicologia, a curiosidade e a ignorância para manipular pessoas inocentes de modo a que estas cliquem em algo prejudicial. E em que medida isto pode afetar a sua empresa? De várias formas já que a emboscada é montada e o utilizador abre um documento incorporado com um código malicioso ou introduz, por exemplo, os dados de login da conta bancária da empresa. E os danos, esses, são quase impossíveis de parar.
Pegando no mesmo exemplo, um vírus espalha-se pela rede. Uma conta financeira é esvaziada. Toda a organização é paralisada devido ao ransomware. Não importa como é que a ciberameaça se manifesta, é sempre uma notícia muito má. E, na maioria das vezes, é algo que poderia ter sido evitado. Como? Com um maior compromisso, com formação e sensibilização para uma cultura de segurança na organização.
Aprofundar o conhecimento sobre engenharia social
Os cibercriminosos utilizam uma série de táticas de engenharia social como pretextos, phishing, iscos e tailgating (quando alguém tenta entrar numa área restrita sem acesso autorizado), para levar os utilizadores a fornecerem informações confidenciais e concederem acessos não autorizados. Estes ataques usam, na sua maioria, manipulação psicológica, exploração de autoridade e apelos emocionais para enganar alvos inocentes como os colaboradores de uma empresa.
A engenharia social é uma ameaça traiçoeira e, ao contrário do que possa imaginar, crescente para as PME’s. Os malfeitores presumem que os negócios mais pequenos são alvos mais fáceis de atacar do que as grandes companhias, presumivelmente devido ao facto de terem menos recursos de TI ou uma maior falta de segurança em geral. Para além disso, uma empresa pode ter todas as firewalls e softwares antivírus instaladas, mas se um trabalhador partilhar o seu login e senha com um grupo de hackers de qualquer parte do mundo, a partir daí, as coisas mudam totalmente de figura.
Segundo estatísticas recentes de cibersegurança indicadas pela StrongDM:
- Os colaboradores de PME’s sofrem mais ataques de engenharia social (+350%) do que os de empresas maiores;
- Apenas 17% das pequenas empresas encriptam os seus dados;
- Apesar de 80% dos ataques de hackers em 2020 estarem relacionados com credenciais de login ou passwords, apenas 20% das PME’s implementarem uma autenticação de dois ou mais fatores;
É óbvio que uma forte segurança técnica no negócio e em todos os seus sistemas é essencial, mas educar os colaboradores para esta realidade e ameaça da engenharia social e dos ataques de phishing é igualmente importante.
O que é exatamente um ataque de phishing?
É uma das formas mais comuns de engenharia social. É quando um hacker (ou malfeitor) inicia uma comunicação, fingindo ser um banco ou uma outra entidade credível. Através desse mecanismo tentam manipular o utilizador a fornecer os dados de login para obter acesso a contas financeiras ou a sistemas internos. As tentativas de phishing podem ocorrer através de e-mails, mensagens de texto ou chamadas telefónicas fraudulentas. Embora os hackers estejam a ficar cada vez mais talentosos e criativos, com e-mails de aparência muito realista e mensagens bem elaboradas (em boa parte, graças à ajuda da inteligência artificial), ainda existem muitos sinais de alerta comuns, particularmente no nível de urgência insistente que é solicitado na ação do hacker.
A arte traiçoeira de usar pretextos e iscos
Os hackers usam pretextos, no sentido de fabricarem histórias com o objetivo de enganarem os trabalhadores para que estes exponham informações confidenciais ou realizem determinado tipo de ações. Podem fazer-se passar por líderes da empresa, responsáveis da equipa de RH ou TI, e até mesmo fornecedores para explorarem a confiança e manipularem estes profissionais de modo a que partilhem informações confidenciais ou façam transferências de dinheiro para contas fraudulentas sob o pretexto de um pagamento perdido ou de uma conta em atraso.
Um isco pode acontecer quando os hackers tentam atrair utilizadores com ofertas ou oportunidades incríveis. Assim que a vítima morde o isco ao interagir com o conteúdo malicioso, as suas ações comprometem imediatamente a segurança da rede e dos dados.
Como combater a engenharia social?
É importante que todas empresas, independentemente do seu tamanho, tenham uma estratégia abrangente de cibersegurança que inclua formação e sensibilização para todos os elementos da empresa.
Quer a opção passe por um programa de formação fornecido por terceiros ou pelo reforço de boas práticas de cibersegurança, há táticas simples e inteligentes que podem ajudar a mitigar os perigos que a natureza humana representa para a segurança geral de uma empresa:
- Ensinar os colaboradores a perceberem o fenómeno da engenharia social e reconheceram quais os sinais de alerta que devem observar;
- Salientar a importância de se ter um maior ceticismo e necessidade de verificação interna quando for solicitado algo fora do normal;
- Implementar a autenticação de dois (ou mais) fatores para reduzir o risco de acessos não autorizados;
- Aplicar uma política de senhas fortes, com mudanças regulares de senhas e requisitos de complexidade no registo das mesmas;
- Desenvolver um plano de resposta a incidentes que mapeie as etapas essenciais para contenção e recuperação no caso de um ataque de engenharia social;
- Implementar uma solução de monitorização de rede ou contratar um serviço de terceiros para responder a atividades suspeitas.
À medida que se continuar a criar uma cultura de cibersegurança numa empresa, é importante registar que o conhecimento não é apenas poder, mas também a primeira linha de defesa para manter os sistemas, os dados e toda a empresa o mais seguros possível.