Rogério Soares (*)
A engenharia social é uma das técnicas de hacking mais significativas do mundo. Em resumo, ela usa truques e táticas psicológicas para fazer com que o usuário comprometa sua própria segurança.
Os hackers utilizam esse procedimento para se firmar em um sistema antes de usar malware ou RATs (ferramentas de acesso remoto) para começar a roubar dados ou controlar um sistema. A engenharia social é um ponto de partida, não um método completo de hack. O “pulo do gato” é que muitas pessoas não levam a sério a engenharia social, achando que nunca serão atingidas ou simplesmente não a entendem.
De acordo com a Canalys, consultoria global do mercado de tecnologia, o ano passado registrou um número recorde de violações de dados em todo o mundo, apesar de ter havido aumento significativo nos gastos com segurança cibernética. O período foi marcado por uma forte expansão da violação de dados, com cerca de 30 bilhões de registros comprometidos em um período de 12 meses, mais do que o contabilizado nos 15 anos anteriores combinados.
Isso ocorreu apesar de os investimentos em segurança cibernética terem superado outros gastos com TI em 2020, totalizando US$ 53 bilhões globalmente, o que representa um aumento de 10% na comparação com o ano anterior. De maneira geral, os hackers possuem alto grau de eficiência em técnicas de engenharia social e com a pandemia do coronavírus, que acarretou com o trabalho remoto, o êxito só aumentou.
No final de 2020, o Gartner observou um aumento nos relatórios de comprometimento de contas de e-mail comercial relacionado ao coronavírus e golpes de phishing, incluindo phishing de SMS (“smishing”), e ataques de roubo de credenciais. Com informações que servem como ‘migalhas de pão’, somadas a cada vez maior profundidade de conhecimento sobre empresas e pessoas, além de uma pitada de criatividade, os hackers criam uma infinidade de armadilhas.
Invasão de webcams e posterior extorsão e chantagem com conteúdo impróprio obtidos; instalação de software espião que explora fragilidades de redes domésticas ou até públicas; roubo de senha com pulverização e cruzamento de conexões em redes sociais usando como base pontos de vista políticos compartilhados; grupos de mídia social, hobbies, esportes, interesses em videogames, ativismo e situações de crowdsourcing etc.
Além disso, bots (robôs) infectam navegadores web com extensões maliciosas que sequestram sessões de navegação na web e usam credenciais de rede social salvas no navegador para enviar mensagens infectadas a amigos. Em voga também foram os ‘baits’ (iscas) neste período crítico de pandemia sobre vacinação e auxílio emergencial.
Os criminosos sabem que elemento mais vulnerável de qualquer sistema de segurança da informação é o ser humano, que possui traços comportamentais e psicológicos que o torna suscetível a ataques. Em função disso, o modelo Zero-Trust está ganhando força. O conceito se baseia na ideia de que as organizações não devem, por padrão, confiar em nada que esteja dentro ou fora de sua rede ou perímetro.
Nesse cenário, ganham força as soluções de gestão de credenciais de alto privilégio e de identidade. A segurança baseada em autenticação contextual levará em consideração o que você sabe (senha/PIN), onde você está (na rede corporativa, VPN, aeroporto etc.), a aplicação a ser acessada, o que você possui (tokens físicos, soft tokens) e quem você é (biometria).
A combinação desses fatores oferece um nível de risco e a consequente demanda por autenticação mais ou menos agressiva. Quando falamos em segurança da informação, também precisamos entender o funcionamento da mente do usuário como um dos pilares da construção de uma arquitetura eficiente. Todo cuidado é pouco.
(*) – É diretor de Pré-Vendas e Serviços Profissionais da Quest Software.