*Por Avesta Hojjati, Chefe de P&D da DigiCert
Aconteceu faz pouco tempo. Personalidades como Elon Musk, Jeff Bezos, Bill Gates, Barack Obama e Joe Biden foram alvos de um golpe em redes sociais. Suas contas verificadas no Twitter foram usadas por hackers que pediam aos seguidores doações para o combate ao Covid-19. Na conta de Obama, por exemplo, a mensagem era: “Estou devolvendo dinheiro à minha comunidade devido ao Covid-19! Todo bitcoin enviado para o endereço abaixo será devolvido em dobro. Se você enviar US $ 1.000, receberá US $ 2.000! ” Na ocasião, o Twitter emitiu uma nota dizendo ter detectado o que eles acreditam ser um ataque coordenado de engenharia social.
Mas, o que exatamente é engenharia social? A resposta é simples: é a manipulação psicológica da mente das pessoas na tentativa de influenciá-las na divulgação de informações confidenciais. Isto pode acontecer tantos com contas de pessoas físicas quanto jurídicas. “Um invasor trabalhará diligentemente para ganhar a confiança do usuário, a fim de obter acesso a informações ou a um sistema, e o fará fornecendo informações falsas”, explica o chefe de pesquisa e desenvolvimento da DigiCert, Avesta Hojjati.
Nesse tipo de ataque, o criminoso age como um usuário válido do sistema ou como um funcionário, assim obtém dados valiosos de desktops, lixeiras e sistemas de PCs. O invasor pode se passar por funcionário do suporte técnico terceirizado a fim de obter fácil acesso às informações que está procurando. Também é comum que ele finja ser uma pessoa autorizada válida com acesso total a um sistema ou informações. “O hacker se apresenta como a pessoa autorizada e incentiva terceiros a compartilhar detalhes confidenciais ou a invadir o sistema, acessando dados sigilosos”, completa Avesta.
Assustador, né? Só que a boa notícia é que é possível proteger sua empresa de ataques de engenharia social. Veja como fazer isto:
1) Crie um treinamento eficaz sobre políticas de segurança
A maioria das políticas de segurança são documentos ocultos dos usuários corporativos. Geralmente é um documento assinado no primeiro dia de trabalho e raramente discutido novamente. Educar os usuários sobre práticas de segurança precisa ser mais do que uma etapa na orientação dos funcionários ou um item da lista de verificação. Tente repassar as orientações constantemente, de modo que os funcionários saibam tudo de cor. O conhecimento é uma das armas mais eficazes contra os ataques.
2) Compartilhe exemplos de casos reais
Mostrar para sua equipe casos reais de engenharia social pode ajudar a conscientizar o usuário sobre o que o ataque representa para os dados da empresa. Ao conhecer exemplos reais, os usuários conseguem identificar melhor qualquer tentativa de golpe e, desta maneira, tomar as medidas necessárias para evitar o dano.
3) Implemente autenticação multifator para pessoas e processos
É essencial que os administradores corporativos ofereçam suporte aos usuários com os processos certos a fim de proteger informações. A adição de camadas de proteção à segurança de dados corporativos pode garantir que os dados permaneçam seguros, mesmo quando alguns dos elementos da diretiva de segurança são quebrados.
A autenticação multifator é a chave para ajudar as empresas a manter as informações fora do alcance de cibercriminosos. Os administradores podem usar a autenticação multifatorial para adicionar restrições e acessar os dados mais confidenciais dos recursos da rede. Se um usuário puder acessar um sistema, mas o sistema exigir que os usuários verificados tenham um token ou certificado para acessar os dados, as empresas permanecerão seguras – mesmo contra ataques de engenharia social.