Segurança: sistema operacional humano é o paraíso dos hackers

Ataques com recursos de engenharia social

Phishing-800x554

Parece que o sistema operacional que realmente precisa de algumas correções de segurança é o humano. Enquanto gigantes da tecnologia como Microsoft, Google e Apple lançam atualizações, ajustes, correções constantes para ameaças, as brechas sempre aparecem no elo mais fraco – o funcionário negligente. O peopleware (aquela peça que fica entre o monitor e o encosto da cadeira), pode perceber, sempre tem uma parcela de culpa considerável.

Convenhamos: é praticamente impossível que um apaixonado Romeu não seja acometido pelo ciúme e curiosidade nesses cada vez mais sofisticados ataques que se valem de recursos de engenharia social. Olhando apenas para o ano passado, veremos que as maiores violações tiveram como alvo e tática enganar um empregado.

E isso é, apesar de anos de advertências lançadas por especialistas que bateram na tecla do treinamento para que os trabalhadores se conscientizem de seu papel na segurança da informação, ainda é fundamental uma palestra para todo o time a cada seis meses para que a sistema operacional humano não fique desatualizado.

Em uma pesquisa recente apontou que mais da metade dos 633 entrevistados disseram que “a ameaça de engenharia social mais perigosa para as organizações ocorre devido à falta de conscientização dos funcionários”.

O último McAfee Phishing Quiz, que tocou mais de 30 mil participantes de 49 países no início deste mês, constatou que 80% dessas pessoas caíram em pelo menos um e-mail de phishing em alguma das 10 perguntas do questionário. Entre os usuários de negócios, o melhor resultado veio de equipes de TI e P&D -, mas a sua pontuação foi de apenas 69% de acertos na detecção de mensagens que eram legítimas das que eram maliciosas.

Em suma, hackear o humano continua a ser muito fácil. Chris Hadnagy, especialista em descobrir falhas a partir de engenharia social, disse “como você pode constatar a partir do noticiário recente, ataques a partir de mídias sociais funcionam muito bem”. De acordo com ele, de cada três pontos principais para o sucesso de um ataque, duas são humanas.

A primeira é que as pessoas são programadas para querer ajudar o próximo. “Essencialmente, queremos confiar nas pessoas”, diz. Em segundo lugar, a maioria dos usuários são ignorantes sobre ameaças de segurança. “As empresas não estão fazendo um grande trabalho de conscientização sobre como esses problemas afetam o empregado”, adicionou. “Coloque os dois pontos juntos – a psicologia e a falta de conhecimento – e você tem terreno fértil para a engenharia social.”

“Tudo começa com OSINT (sigla em inglês para inteligência de código aberto) ou coleta de informações online”, pontua Hadnagy, para acrescentar: “Essa é a força vital de engenharia social. Uma vez que o dado é recolhido, torna-se evidente que o vetor de ataque vai funcionar melhor”.

Theresa Payton, ex-CIO da Casa Branca, concorda que essa abordagem inicial dá aos atacantes ferramentas muito melhores para enganar seus alvos. “Descobrir quem é a equipe executiva da empresa, o escritório de advocacia, os nomes dos servidores corporativos, projetos em andamento, relações com os fornecedores e muito mais”, lista, “permite que usem esse conhecimento, o que muitas vezes pode ser feito em menos de um dia, para criar sofisticadas tentativas de engenharia social.”

Os invasores também praticamente eliminaram uma das suas fraquezas mais óbvias. Em outras palavras: não vivemos mais os dias de ortografia e gramática ruim que, por muito tempo, fez mensagens de phishing uma fraude relativamente óbvia. Parece que os hackers descobriram o corretor gramatical.

Outra evolução toca o nascimento/expansão do “vishing”, no qual um atacante faz um telefonema, se passando por alguém de outro departamento, para ludibriar o funcionário, fazendo-o clicar em um link em um e-mail sem verificá-lo completamente.

“Isso significa o envio do e-mail envenenado a uma secretária para depois chamá-la ao telefone ‘confirmando o recebimento’ da mensagem sob o pretexto de ter que comunicar algo importante para a organização”.

O especialista observa que os ataques vishing também incluem o envio de SMS com um link para um site de phishing ou uma mensagem de spam para um funcionário, alegando que um de seus cartões de pagamento foi bloqueado. “Na pressa para responder a essa mensagem, as vítimas acabam divulgando suas credenciais bancárias e outros dados aos hackers”, comenta.

O único jeito eficaz para conter esta vulnerabilidade, dizem os especialistas, é melhorar o treinamento. E isso significa mudar o modelo predominante de mensagens impositivas. Passa por fazer com que os colaboradores se conscientizem da importância de atenção ao ambiente de ataques com recursos cada vez mais arrojados.

Recomenda-se a criação de um “feedback loop” para os funcionários: “Diga-nos porque os nossos protocolos de segurança ficam no caminho de suas atividades profissionais”.

O treinamento eficaz deve incluir exemplos do “mundo real”. O objetivo não é fazer as pessoas olharem para aquilo como algo estúpido, mas para mostrar os pontos fracos e o que você precisa fazer para fortalecê-los.

Com a explosão no volume de informações diárias, muitos funcionários tendem a esquecer dos ensinamentos tão logo voltam para suas mesas. É claro, tal como é o caso com a tecnologia, nada fará uma organização um organismo a prova de balas. Mas uma boa formação pode reduzir drasticamente o risco. Uma empresa que contratou sua equipe há dois anos para testar a sua consciência, e 80% dos empregados clicaram em e-mails de phishing, 90% foram vítimas de vishing e 90% foram enganados por um dos membros de sua equipe que se passou por um funcionário do help desk. “Demos o treinamento e depois fizemos um teste prático”, comprovou.

Não se trata de seres humanos sendo estúpido, mas sobre seres humanos sem conhecimento e sem instrução, que pouco sabe o quanto uma ameaça de segurança atinge ele e sua empresa”, conclui.

FONTE: Terra.com

Postado por: Iracema Teixeira

Leave a Reply