Muitas vezes o processo começa com um email aparentemente inócuo vindo de um nome de domínio de internet bem parecido com o do domínio da vítima. A mensagem aparentemente vem do presidente-executivo ou de outra figura importante da companhia. “Você está em sua mesa? “Preciso de sua ajuda em um negócio”.

Só depois que a conversa começa, os trapaceiros chegam ao que realmente importa —uma transferência de dinheiro. Quando isso acontece, às vezes, é tarde demais. A vítima pensa estar trocando emails com seu patrão, e faz o pagamento.

Os especialistas em segurança chamam isso de engenharia social, e ela está substituindo softwares nocivos como arma preferencial dos cibercriminosos.

Engenharia social é uma expressão um tanto genérica, mas é o que acontece sempre que hackers iludem empregados de empresas para que revelem informações que os ajudam a encontrar vulnerabilidades em sistemas e realizar ataques.

Além de emails de phishing, cada vez mais personalizados, o processo envolve telefonemas nos quais os criminosos iludem trabalhadores e os levam a revelar informações privadas ou senhas de contas.

Alguns empregados foram convencidos a realizar transferências de milhões de dólares a contas bancárias em paraísos fiscais, controladas por ladrões.

“A engenharia social é essencialmente a ferramenta mais fácil de usar no kit dos hackers”, diz Kathryn Sherman agente especial o Serviço Federal de Investigações (FBI).

“Toda a informação que eles precisam está disponível para gratuitamente, online”, ela diz, porque as empresas colocam cada vez mais dados na internet. “Hackers menos técnicos usam esse método para acessar a companhias. Com isso, fraudam a economia em bilhões de dólares.”

Hoje, cerca de um terço dos ataques começam por engenharia social, de acordo com uma pesquisa da IBM e do Ponemon Institute. Há cinco anos, a proporção era de 19%.

Ataques por engenharia social que incluem um email de negócios detalhado já causaram US$ 12,5 bilhões (R$ 51,12 bilhões) em prejuízos, de acordo com o FBI.

Empresas como a Apple e a Microsoft investiram bilhões de dólares na melhora da segurança de seus produtos, e os consumidores transferiram boa parte de seus dados a serviços de computação em nuvem, o que torna as ações convencionais dos hackers muito menos efetivas.

“Nos últimos cinco anos, as empresas dificultaram muito a invasão de seu hardware e software”, diz Christopher Hadnagy, presidente-executivo da Social Engineer, consultoria que ajuda empresas a compreender as técnicas de engenharia social.

“O aspecto em que vemos grandes vulnerabilidades é a engenharia social”, diz ele.

Ken Bagnall, vice-presidente da FireEye, empresa de segurança na computação, diz que um dos motivos para que os ataques desse tipo sejam tão efetivos é o uso do que ele define como “autenticação psicológica”. 

“Se o nome do patrão consta de um email, a resposta emocional das pessoas é intensa”, ele afirma. “Toda a engenharia social se baseia em respostas emocionais. Os criminosos são mestres nesse tipo de técnica.”

Segundo ele, emails de phishing são 10 vezes mais lidos que emails de marketing.

Na conferência DEF CON, a mais importante de segurança na computação, realizada em agosto em Las Vegas, hackers transformaram suas técnicas de engenharia social em esporte. 

Diante de uma audiência, ligaram para os call centers de diversas grandes empresas, extraindo informações dos empregados e buscando fraquezas nos sistemas de segurança. O concurso tem por objetivo conscientizar o mercado do problema.

Hadnagy, que organizou o evento, explica que os hackers fingem ser empregados da mesma empresa que a vítima. Eles dizem que a ligação é uma solicitação de ajuda. Alguns fingem fazer parte do departamento de informática. 

As empresas estão ficado mais espertas com relação à engenharia social. Por exemplo, na FACC, produtora de componentes e sistemas aeronáuticos que perdeu milhões de dólares em um desses ataques, a educação sobre engenharia social se tornou prioridade, diz Andreas Perotti, porta-voz da companhia.

O departamento de TI divulga informações sobre novas formas de trapaça, e toma medidas para educar os novos contratados.

“É importante incorporar essa educação ao trabalho do dia a dia”, diz Perotti.

Outras empresas estão começando a incluir a engenharia social em seus planos de remuneração, diz Dave Burg, executivo da Ernst & Young.

Os empregados que se saem bem em testes de phishing, por exemplo, recebem bonificações. Aqueles que se saem mal regularmente podem enfrentar punições ou até demissão, ele diz.

The Wall Street Journal, traduzido do inglês por Paulo Migliacci



DEIXE UMA RESPOSTA

Please enter your comment!
Please enter your name here