Skip to content

Engenharia Social: Ataques contra o elemento humano

Mesmo com todos os mais avançados sistemas de Segurança, ainda existe uma ameaça gigante contra a Proteção dos Dados e Integridade de uma empresa: o Elemento Humano. Ataques de Engenharia Social visam o “elo mais fraco” e são uma das maiores preocupações do Mundo inteiro, com bilhões de dólares de prejuízo.

Lições valiosas

Na nossa série sobre Pentests até aqui, já aprendemos sobre o que é e qual a importância de um Teste de Intrusão, quais são os tipos de um Teste de Invasão e até mesmo os alvos que atacantes podem explorar em seus sistemas, e que podem ser mapeados, testados e protegidos antes que caiam em mãos erradas.

Já cobrimos até mesmo a importância de um Programa de Privacidade, ainda mais em tempos de LGPD, onde as consequências de vulnerabilidades de Segurança são amplificadas pela Lei, que pode punir o negócio com multas de até 2% do faturamento ou 50 milhões de reais, por infração.

 

Elemento Humano: o elo mais fraco?

Sabemos que não é um firewall que resolve tudo, e que a Segurança precisa ser pensada em Camadas – afinal, os Dados são o Ouro Digital de uma empresa. E uma destas camadas é a que chamamos de Camada Humana, ou Elemento Humano. Os colaboradores, terceiros, e todas as pessoas envolvidas na operação da empresa e seus serviços são estes Elementos, e eles podem ser explorados por criminosos da mesma forma que os sistemas. Atacantes usam técnicas de Engenharia Social para conseguir acessos restritos e causar grandes estragos.

 

Hackeando pessoas para chegar aos sistemas

A Engenharia Social, também conhecida como “Hacking Humano”, é um conjunto de técnicas de análise e ataque que visam explorar os erros humanos dentro de uma organização. Seja encontrando colaboradores que já cometem erros (desconhecendo ou desobedecendo políticas de Segurança), ou até mesmo provocando erros de propósito.

O objetivo? Roubar dados e segredos, conquistar acessos privilegiados sem autorização, espionar ou sabotar processos, colocando o negócio em risco.

 

O tipo de sequestro mais caro do mundo

Uma das maiores preocupações de Segurança das empresas do Mundo inteiro é o Ransomware, programas maliciosos instalados nos sistemas da empresa que criptografam e sequestram os dados, pedindo resgates milionários. A maioria esmagadora destes ataques começa com Engenharia Social.

 

O criminoso só precisa de um único clique

Digamos que um funcionário desavisado ou distraído recebeu um e-mail, telefonema ou mesmo uma mensagem de texto no dispositivo que usa para trabalhar e acessar informações críticas da empresa. Este “contato inofensivo” vem acompanhado de um ataque que manipula os sentimentos da vítima: Uma oferta irrecusável, um alerta falso de Segurança, uma suposta compra em seu nome ou até mesmo uma ordem de alguém usando o nome e número de telefone de seus superiores. E basta apenas um clique para que os sistemas da empresa inteira sejam comprometidos. Afinal, não existe nenhum firewall para o Elemento Humano, se não o treinamento e monitoramento constante. É o “elo mais fraco”.

 

O prejuízo é de bilhões

Existem incontáveis exemplos de grandes ataques de Engenharia Social, e que já somam bilhões de dólares de prejuízo para empresas, não importa o tamanho. Desde big techs como o Twitter até organizações essenciais como hospitais, gestores de GPS de tráfego aéreo, e muitas outras.

 

Lutando contra a Engenharia Social

A defesa mais aconselhável contra este tipo de ameaça é teoricamente simples: conscientizar os colaboradores, transformando-os em verdadeiros aliados da Segurança. Para isso, também é preciso:

  • Monitorar constantemente os sistemas para detectar movimentos suspeitos
  • Construir boas políticas de Segurança e revisá-las constantemente
  • Ter boas políticas de acesso e qualificação das informações
  • Realizar Pentests, incluindo o “Pentest Social”, testando o Elemento Humano
  • Possuir um bom plano de Resposta a Incidentes

Existem muitas formas de combater esse tipo de crime e fortalecer sua rede, sua equipe e sua empresa. Tudo depende de um time dedicado e especialistas preparados para entender o seu ambiente, desenhando soluções de Alta Performance. O segredo é detectar e mitigar os riscos com agilidade, e nós da Spiritsec estamos de prontidão para ajudar. Entre em contato conosco! FALE CONOSCO