Por Da Redação; Para O TechTudo


Conhecido como uma ferramenta de produtividade, o e-mail está quase invertendo esse status por causa do assustador aumento de spam e as eventuais mensagens falsas para contaminar computadores com malware. O pior é que a principal causa disso é o próprio ser humano, de acordo com o estudo “Hackers contra o sistema operacional humano”, da Intel Security e McAfee Labs.

Segundo dados do McAfee Labs, dois terços de todos os e-mails do mundo atualmente são spam, mensagens com o objetivo de extorquir informações e/ou roubar dinheiro. Ainda segundo o estudo, "80% dos colaboradores são incapazes de detectar as fraudes de phishing por e-mail mais comuns".

Cadeado e corrente segurança (Foto: Reprodução) — Foto: TechTudo

O e-mail é na verdade o caso mais evidente de uma série de quebras de segurança que tem como principal causa o uso de engenharia social pelos hackers. A engenharia social é um método que consiste em mentir ou criar uma situação enganosa para tentar persuadir um indivíduo visado a realizar algo que cause uma infecção ou a divulgação de informações valiosas. Na prática, isso é um ataque direto ao que o estudo chama de ‘firewall humano’.

Durante um ataque de engenharia social, a vitima não tem discernimento de que suas ações são perigosas, pois o atacante social explora a ingenuidade do alvo, em vez de alguma propensão criminosa. Ao conseguir derrubar as barreiras do ‘firewall humano’ o atacante consegue burlar todas as regras e procedimentos de segurança e aos poucos, alcança seu principal objetivo.

Os principais ataques de engenharia social utilizam sites ou e-mails. No primeiro caso, os atacantes utilizam um site estratégico na Web para fornecer malware e contaminas as máquinas alvo. Já os ataques que se aproveitam do e-mail como canal de comunicação utilizam em sua maioria “phishing” e o ainda mais direcionado “spear phishing”. O e-mail é um método eficaz para os cibercriminosos porque “18% dos usuários visitam links em e-mails de phishing”, segundo um relatório da Verizon.

Diante desses fatos, fica claro que no combate a ataques de engenharia social é preciso fortaleçer o ‘firewall humano’. Para conseguir isso, algumas dicas importantes devem ser seguidas:
Evite retribuir favores.
Alguns atacantes criam situações que se aproveitam do fato de que as pessoas tendem a se sentir obrigadas a dar algo em troca, depois de ganhar algo.
Não faça nada por causa de pressão, analise antes de fazer.
As pessoas tendem a fazer o que se pede quando acreditam que algo está no fim, e os hackers se aproveitam disso. Por exemplo, podem mandar emails que pedem ao usuário para atender a uma solicitação (clicar em algo, mandar informações), caso contrário, a conta será desativada dentro de 24 horas.
Não faça algo que passe por cima das regras de segurança
Aproveitando-se do fato de que algumas pessoas geralmente fazem o que se pede para não dar a impressão de serem desonestas ou de não serem dignas de confiança, um hacker pode, por exemplo, se passar por alguém da equipe de TI de uma empresa. Com isso, ele pode fazer com que um colaborador concorde em cumprir todos os processos de segurança e, em seguida, que ele execute uma tarefa suspeita supostamente em conformidade com as exigências de segurança. Cuidado com o que realiza, independente de onde venha o pedido.

Não deixe o lado pessoal passar por cima da segurança. 
Algumas pessoas tem  propensão a fazer o que o criminoso quer quando ele é alguém de quem eles gostam. Um hacker pode usar seu charme por telefone ou on-line para "conquistar" uma vítima inocente.
Segurança vem antes de autoridade.
Alguns ataques se aproveitam que as pessoas fazem o que se pede quando uma solicitação é feita por alguém que transmita autoridade. Por exemplo, um e-mail encaminhado para o departamento financeiro que pareça ter vindo do CEO ou do presidente.
Não faça o que os outros fazem, se você sabe que está errado. 
As pessoas tendem a fazer o mesmo que os outros. Por exemplo, um e-mail de phishing pode parecer ter sido enviado a um grupo de colaboradores, o que faz com que um colaborador acredite que está tudo bem, uma vez que outros colegas também receberam a solicitação.
Aplicando rigidamente essas pequenas regras, aliada a instalação de softwares de segurança, dificilmente ataques de engenharia social terão êxito.
Infelizmente, isso ainda não é uma realidade em boa parte das empresas. Um estudo recente da Enterprise Management Associates constatou que apenas 56% de todos os funcionários das empresas passam por algum tipo de treinamento sobre segurança ou sensibilização quanto à política da empresa.
Os cibercriminosos de hoje não precisam, necessariamente, de um conhecimento técnico considerável para alcançar seus objetivos. Algumas ferramentas maliciosas bem conhecidas são enviadas através de e-mails de spear-phishing e dependem de uma manipulação psicológica para infectar os computadores das vítimas. As vítimas são persuadidas a abrir anexos de e-mails supostamente legítimos e sedutores ou a clicar em um link no corpo do e-mail, o qual parecia vir de fontes confiáveis”, comenta Paul Gillen, Chefe de Operações do Centro Europeu Contra o Cibercrime da Europol.
A ameaça da engenharia social é bastante real e as informações do estudo “Hackers contra o sistema operacional humano” deixam claro que agora mais do que nunca, é necessário investir em treinamento de segurança para preparar os funcionários. Somente assim eles poderão evitar ataques que exploram a fragilidade do ‘firewall humano’.
Qual é o melhor antivírus grátis? Comente no Fórum do TechTudo

Mais do TechTudo