Uma preocupação que cresceu muito no ano passado foi a explosão das falhas de segurança, tanto nas empresas como entre os consumidores. Empresas de todos os tipos sofreram ataques violentos e constantes de cibercriminosos. Na maioria dos casos, os ataques não estão relacionados apenas à segurança corporativa, eles também têm relação com o falível "sistema operacional humano".
As vantagens dos hackers não são as falhas de um computador ou de um aplicativo móvel, mas as ferramentas que os permitem enganar as pessoas. Nos últimos anos, muitos ataques passaram a envolver componentes de engenharia social, que tentam persuadir um indivíduo a realizar uma ação que cause uma infecção ou a divulgação de informações valiosas. Durante um ataque de engenharia social, a vítima não tem discernimento de que suas ações são perigosas, o criminoso explora a ingenuidade do alvo, em vez de alguma propensão criminosa.
As técnicas usadas buscam coletar informações sobre o alvo, como seus hobbies, local de trabalho ou banco, por exemplo. Com essas informações os criminosos criam um enredo bem-sucedido envolvendo o alvo e proporcionando um pretexto para interação, o que pode ser o anúncio de um prêmio, uma promoção de uma loja conhecida ou algum prestador de serviço, órgão oficial ou autoridade solicitando informações pessoais.
Um caso recente, entretanto, envolveu mais de 30 bancos no mundo, muitas pesquisas e muita paciência por parte dos hackers. Nos últimos cinco anos, esse grupo de hackers conseguiu penetrar, de maneira lenta e segura, em um grande número de redes de bancos. Eles começaram usando um método específico de engenharia social conhecido como spear phishing – um golpe avançado que usa informações personalizadas para induzir vítimas específicas a clicar em links ou arquivos que pareçam confiáveis. Ao clicar nos links recebidos as pessoas acabavam baixando um software mal-intencionado que permitia aos criminosos terem acesso aos computadores dos bancos.
Depois da infecção, os hackers passaram meses estudando os procedimentos operacionais do banco, gravando a digitação dos funcionários e sacando dinheiro de caixas automáticos em todo o mundo. Os roubos ultrapassaram a soma de US$ 1 bilhão, embora ninguém saiba ao certo quanto foi realmente roubado.
Quase todos os ataques de engenharia social funcionam assim, usando técnicas enganosas por e-mail, mensagens de texto ou telefone criadas para induzir uma vítima a divulgar informações que, de outra maneira, não divulgaria. Segundo o relatório de investigações de violações de dados de 2014 da Verizon, 18% das pessoas abrem links recebidos em e-mails de phishing.
Mesmo estando em alerta constante, fatores externos como cansaço, estresse elevado, confusão ou agitação podem nos fazer "escorregar". Os hackers sabem disso e contam com esses momentos para entrar e assumir o controle. Muitas vezes, os ataques usam informações pessoais que podem ser encontradas na Internet para mexer com as emoções do alvo e induzi-lo a divulgar informações confidenciais, como contas bancárias ou senhas.
Para se proteger de ataques como esses é preciso tomar algumas medidas como usar uma solução de segurança capaz de identificar ameaças em e-mails e sites, manter softwares e sistemas operacionais sempre atualizados e nunca abrir links de e-mails incomuns, especialmente os que contêm erros gramaticais, mensagens suspeitas e ameaças injustificadas.
Outra dica importante é limitar as informações publicadas na Internet e checar o grau de privacidade de suas redes sociais, pois os criminosos podem usar essas informações contra você nos ataques de engenharia social.
Thiago Hyppolito, engenheiro de produtos da McAfee do Brasil, integrante da Intel Security.