Por Rita Maria Nunes, Country Manager TAB Portugal
Caro empresário, vamos falar de engenharia social? Se ainda não conheces este termo, que é uma verdadeira armadilha para o teu negócio, então fica atento, porque está a afetar, cada vez mais, as PME’s. Mas vamos por partes. Primeiro, a engenharia social é uma abordagem de hacking onde os cibercriminosos tentam explorar a natureza humana, a psicologia, a curiosidade e até a ignorância das pessoas para as manipular e fazê-las clicar em algo prejudicial. E como é que isto pode afetar a tua empresa? De várias formas, já que o atacante pode fazer com que o utilizador abra um documento com um código malicioso ou insira os dados da conta bancária da empresa. E os danos? Bem, esses são quase impossíveis de parar.
Imagina o cenário: um vírus espalha-se pela rede, uma conta financeira é esvaziada, toda a organização é paralisada devido a um ataque de ransomware. Não importa como a ameaça se manifeste, é sempre uma péssima notícia. E, na maioria das vezes, é algo que poderia ter sido evitado. Como? Com mais compromisso, formação e sensibilização para uma cultura de segurança dentro da empresa.
Aprofundar o conhecimento sobre engenharia social
Os cibercriminosos usam várias táticas de engenharia social, como pretextos, phishing, iscos e até tailgating (quando alguém tenta entrar numa área restrita sem autorização), para levar os utilizadores a dar informações confidenciais ou conceder acessos não autorizados. Muitas dessas táticas envolvem manipulação psicológica, exploração de autoridade e apelos emocionais para enganar alvos inocentes, como os colaboradores de uma empresa.
A engenharia social é uma ameaça traiçoeira e, ao contrário do que possas imaginar, está a crescer muito entre as PME’s. Os malfeitores assumem que os negócios mais pequenos são alvos fáceis, porque muitas vezes têm menos recursos de TI e uma segurança mais fraca. E, mesmo que uma empresa tenha firewalls e antivírus, se um trabalhador partilhar o seu login e senha com hackers, tudo muda.
Aqui vão alguns números assustadores, segundo a StrongDM:
Os colaboradores de PME’s sofrem mais ataques de engenharia social (+350%) do que os de empresas maiores.
Apenas 17% das pequenas empresas encriptam os seus dados.
Apesar de 80% dos ataques de hackers em 2020 estarem relacionados com credenciais de login ou senhas, apenas 20% das PME’s implementam autenticação de dois fatores.
É claro que ter uma boa segurança técnica é fundamental, mas educar os colaboradores sobre engenharia social e ataques de phishing é igualmente importante.
O que é exatamente um ataque de phishing?
O phishing é uma das formas mais comuns de engenharia social. Funciona assim: um hacker finge ser uma entidade confiável (como um banco, por exemplo) e tenta manipular o utilizador para que forneça os dados de login, permitindo o acesso a contas financeiras ou sistemas internos da empresa. Os ataques de phishing podem ocorrer por e-mail, mensagem de texto ou até por chamadas telefónicas fraudulentas. Embora os hackers estejam a ficar cada vez mais criativos, com e-mails muito realistas e mensagens bem elaboradas (em grande parte com a ajuda da inteligência artificial), ainda há sinais de alerta. Um desses sinais é a urgência forçada que tentam transmitir nas mensagens.
A arte traiçoeira de usar pretextos e iscos
Os hackers costumam usar pretextos, ou seja, inventam histórias para enganar os trabalhadores e fazê-los revelar informações confidenciais ou realizar ações prejudiciais. Eles podem fazer-se passar por líderes da empresa, responsáveis de TI ou até fornecedores, para explorar a confiança e manipular as pessoas, levando-as a partilhar dados ou a fazer transferências de dinheiro para contas fraudulentas, sob a desculpa de um pagamento perdido ou uma conta em atraso.
O isco acontece quando os hackers tentam atrair vítimas com ofertas ou oportunidades incríveis. Quando a vítima “morde” o isco e interage com o conteúdo malicioso, compromete imediatamente a segurança da rede e dos dados.
Como combater a engenharia social?
É essencial que todas as empresas, independentemente do seu tamanho, tenham uma estratégia de cibersegurança abrangente, que inclua formação e sensibilização de todos os colaboradores.
Quer optes por um programa de formação fornecido por terceiros ou pelo reforço de boas práticas de cibersegurança, há algumas táticas simples que podem ajudar a mitigar os perigos da engenharia social:
Ensinar os colaboradores a perceberem o que é a engenharia social e reconhecerem os sinais de alerta.
Incentivar uma atitude mais cética e a necessidade de verificação interna sempre que for solicitado algo fora do normal.
Implementar autenticação de dois ou mais fatores para reduzir o risco de acessos não autorizados.
Criar uma política de senhas fortes, com mudanças regulares e requisitos de complexidade.
Desenvolver um plano de resposta a incidentes, com etapas para conter e recuperar em caso de ataque de engenharia social.
Implementar uma solução de monitorização de rede ou contratar um serviço externo para identificar atividades suspeitas.
À medida que vais criando uma cultura de cibersegurança na empresa, é importante lembrar que o conhecimento é a primeira linha de defesa para manter os sistemas, dados e toda a organização seguros.
Comments