Fuga involuntária da informação

Não estamos falando em espionagem, hacker ou sabotagem. Estamos falando em fuga involuntária, aquela que ocorre sem que o colaborador tenha se dado conta de que pode estar prejudicando a empresa passando a informação

Na segurança empresarial, há um jargão conhecido que diz que se deve medir a força de uma corrente pelo seu elo mais fraco.

Esta corrente é formada por diversos elos que podem ser representados por: comunicação, sistema de alarmes, barreiras físicas, controle de acesso, recursos humanos, etc.

Desta corrente, normalmente, somos unânimes em dizer que as pessoas são o elo mais fraco, porque são mais sujeitas as falhas (de qualquer ser humano).

Na fuga involuntária da informação ocorre o mesmo.

Por mais equipamentos e softwares que a empresa possua, se não houver um treinamento adequado dos colaboradores, as informações vão sair da maneira mais simples possível, mesmo que não haja nenhuma má intenção entre esses colaboradores.

Então não estamos falando em espionagem, hacker ou sabotagem. Estamos falando em fuga involuntária, aquela que ocorre sem que o colaborador tenha se dado conta de que pode estar prejudicando a empresa passando a informação.

Sempre que tomamos conhecimento de alguma notícia que não era para ser divulgada, nos perguntamos como alguém teria conseguido aquela informação.

É claro que se pode conseguir as informações de diversos modos, mas existe um – bem simples - que é PERGUNTANDO.

Esse método, apesar de parecer estranho, é o mais comum, usado por especialistas em engenharia social.

O conceito de engenharia social é que se trata de uma maneira de se obter informações confidenciais sobre determinada pessoa, equipamento, campanha ou empresa, sem o uso da força, apenas com inteligência, técnica, perspicácia e persuasão.

Veja alguns exemplos de pessoas que conseguiram muitas informações apenas usando essas técnicas da engenharia social.

Um dos precursores deste conceito é o ex-fraudador americano, Frank W. Abagnale.

Ele ficou tão famoso com seus golpes que chegaram a fazer um filme sobre suas trapaças. O filme dirigido por, nada menos que, Stven Spilberg que foi protagonizado pelos atores não menos famosos, Leonardo DiCaprio e Tom Hanks, em 2002, com o título sugestivo de “Prenda-me se for capaz”.

Para ele, engenharia social é “a arte e a ciência de induzir pessoas a agirem de acordo com seus desejos”.
Em 2004, numa entrevista para a Módulo Security Magazine, onde foi perguntado sobre a melhor maneira de combater a engenharia social, Abagnale respondeu:

“As pessoas precisam estar cientes dos perigos de se passar muitas informações. Vivo sob uma regra muito simples: se não solicitei o recebimento de um telefonema, um e-mail ou uma carta, não vou passar qualquer informação sobre mim, meus clientes, minha companhia, minha família, meus contatos etc”.

Outro ícone da engenharia social é Kevin Mitnick, que após sua prisão, lançou o livro “A arte de enganar” onde ele mostra a importância da engenharia social quando diz que cerca de 80% das informações são obtidas através dos métodos de engenharia social e apenas 20% usando o computador.

No Brasil nós também temos uma pessoa que conseguiu notoriedade com seus golpes de engenharia social. Trata-se de Marcelo Nascimento da Rocha, que chegou a dar entrevistas ao Amaury Júnior em programa televisivo onde se passou por vice-presidente da Gol, empresa aérea brasileira, e emprestou até um jatinho para o Amaury, sem nunca ter tido nenhum.

Sua extensa lista de mentiras e trapaças, das mais diversas possíveis, demonstradas no livro “VIP’s – HISTÓRIAS REAIS DE UM MENTIROSO”, escrito por Mariana Caltabiano, mostram o quanto as pessoas podem ser enganadas.

“As pessoas Acabam caindo nas minhas mentiras porque eu mexo com a ambição delas. Sou quem eles quiserem que eu seja”. Marcelo Rocha.

Nesta frase, Marcelo Rocha nos dá uma dica do porque as pessoas acabam acreditando no engenheiro social.

Mesmo com toda a sensação de insegurança vivida atualmente pela sociedade, muitas pessoas ainda são ingênuas, confiam em desconhecidos e, pior, não sabem avaliar o valor das informações a eles confiadas, normalmente porque não acham que esses dados são importantes. O engenheiro social é um oportunista com um grande talento para observar as pessoas, avaliando-as para suas investidas. Ele também não deixa de possuir um espírito empreendedor, arriscando-se para conseguir o que quer.

Além disso, usa os sentimentos mais comuns das pessoas como armas a seu favor, como medo, vaidade, ambição, cobiça, vingança e ira.

Assim, muitas vezes as pessoas falam mais do que devem por se sentirem injustiçadas, insatisfeitas com a empresa. Logicamente existem outros motivos, como por exemplo:

• Vontade de ser útil – O ser humano, normalmente, procura agir com cortesia, ajudando outras pessoas quando necessário.

• Busca por novas amizades – As pessoas sentem-se bem quando elogiadas e ficam mais vulneráveis e abertas a dar informações.

• Propagação de responsabilidade – Trata-se da situação na qual o indivíduo considera que ele não é o único responsável por um conjunto de atividades.

• Persuasão – Compreende quase uma arte a capacidade de persuadir pessoas, onde se busca obter respostas específicas. Isto é possível porque as pessoas têm características comportamentais que as tornam vulneráveis à manipulação.
Vale observar que o sucesso da engenharia social depende da compreensão do comportamento do ser humano, além da habilidade de persuadir outros a disponibilizar informações ou realizar ações desejadas pelo engenheiro social. Perceba ainda que o medo de perder o emprego ou vontade de ascender na empresa pode resultar na entrega de informação de natureza proprietária. Dessa maneira, observa-se que a engenharia social possui uma seqüência de passos na qual um ataque pode ocorrer:

• Coleta de informações – O engenheiro social busca as mais diversas informações dos usuários como número de CPF, data de nascimento, nomes dos pais, informações sobre os filhos, rotina e manuais da empresa. Essas informações ajudarão no estabelecimento de uma relação com alguém da empresa visada e podem ser obtidas através de ligações telefônicas, em documentos deixados ao acaso, cadastros na Internet, salas de bate-papo ou no Orkut.

• Desenvolvimento de relacionamento – O engenheiro social explora a natureza humana de confiar nas pessoas até que se prove o contrário, inclusive porque essa é uma das características do povo brasileiro.

• Exploração de um relacionamento – O engenheiro social procura obter informações da vítima ou empresa como, por exemplo, senha, agenda de compromissos, dados de conta bancária ou cartão de crédito a serem usados no ataque.

Normalmente essas informações partem de pequenas informações até que juntas formam uma espécie de mosaico, desvendando ou dando condições para que se alcance as informações consideradas reservadas ou sigilosa.

• Execução do ataque – O engenheiro social realiza o ataque, fazendo uso de todas as informações e recursos obtidos e conclui seu ataque não apenas tendo acesso às informações, mas fazendo uso indevido delas, podendo causar enormes prejuízos às pessoas ou à empresa.

Quando lemos essas ações praticadas pelo engenheiro social, parece-nos pouco provável que aconteça, mas na prática, isso acontece com mais facilidade do que se imagina. Basta ver o que ocorreu em uma auditoria realizada no início de 2005, na Internal Revenue Service (IRS), a Receita Federal americana. As pessoas que trabalham na instituição são treinadas e sabem da importância das informações a que têm acesso.

Mesmo assim, durante uma simulação da auditoria, das cem pessoas envolvidas, incluindo gerentes, 35 delas passaram as informações solicitadas pelos pseudo-engenheiros sociais, informando suas chaves e senhas.

Se com essas pessoas treinadas isso aconteceu, imagine o que não aconteceria em sua empresa.

Só a conscientização e o treinamento constante podem evitar o êxito de um engenheiro social.

Um estudo recente divulgado pelo instituto norte-americano Gartner prevê que a engenharia social será a principal ameaça para os sistemas tecnológicos de defesas das grandes corporações e usuários de internet daqui a dez anos.

Todos são vítimas em potencial.

Para demonstrar a força da engenharia social e citando o mais famoso hacker do mundo, Kevin Mitinick, que numa determinada parte do seu livro diz: "Em testes de invasão onde são empregadas técnicas de Engenharia Social o índice de sucesso tem sido de quase 100%".

E ainda: "a verdade é que não existe uma tecnologia no mundo que evite o ataque de um Engenheiro Social"

Outra demonstração da força da engenharia social pode ser medida através das inúmeras extorsões realizadas por marginais, que mesmo estando presos em outras cidades, conseguiram tirar dinheiro das pessoas através de uma simples ligação telefônica.

Nestes casos eles sempre conseguem as primeiras informações de maneira bem simples, passando-se por funcionários da empresa telefônica ou outra empresa qualquer, confirmando alguns dados, fazendo perguntas inocentes e concluindo, posteriormente, com um ataque fulminante usando as armas que você ou alguém de sua família forneceu-lhe inocentemente.

Daí conclui-se que a informação, em qualquer nível, seja pessoal ou empresarial é de suma importância.
Veja a definição de informação apresentada pela NBR ISO/IEC 27002.

A ABNT – Associação Brasileira de Normas Técnicas, através da NBR ISO/IEC 27002, que é a norma regulamentadora brasileira sobre a segurança da informação, diz em sua primeira página:

”A informação é um ativo que, como qualquer outro ativo importante para os negócios, tem um valor para a organização e consequentemente necessita ser adequadamente protegida”.

Então, assim como em nossas casas, nas empresas a melhor solução para diminuir a possibilidade de sermos vítimas dos engenheiros sociais é a conscientização do valor da informação, seja ela qual for.

Isso só é possível através de treinamentos e campanhas esclarecedoras.

Deixar a própria sorte é uma falha na gestão de segurança da empresa, e pode trazer problemas sérios tanto de ordem pessoal, financeira ou de imagem e posicionamento.

Ninguém está livre de ser assediado por um engenheiro social. Ninguém!

O próprio Kevin Mitnik foi vítima de uma ação de engenharia social por ocasião do lançamento do seu primeiro livro, A arte de enganar.

Agora mesmo pode haver um engenheiro social ligando para sua empresa.

Você está tranquilo?

 

Avalie este artigo:
(0)
As opiniões veiculadas nos artigos de colunistas e membros não refletem necessariamente a opinião do Administradores.com.br.
Tags: engenharia social informação segurança segurança da informaçõa

Fique informado

Receba gratuitamente notícias sobre Administração