Segundo Guilherme Junior Engenharia social consiste em técnicas utilizadas por pessoas com o objetivo de obter acesso e informações importantes e/ou sigilosas em organizações ou sistemas por meio da ilusão ou exploração da confiança das pessoas.
É importante ressaltar que, independente do hardware, software e plataforma utilizada, o elemento de maior vulnerabilidade em qualquer sistema é o ser humano, por possuir traços comportamentais e psicológicos que o torna susceptível a ataques de engenharia social. Dentre essas características, podem-se destacar:
- Vontade de ser útil: O ser humano, comumente, procura agir com cortesia, bem como ajudar outros quando necessário.
- Busca por novas amizades: O ser humano costuma se agradar e sentir-se bem quando elogiado, ficando mais vulnerável e aberto a fornecer informações.
- Propagação de responsabilidade: Trata-se da situação na qual o ser humano considera que ele não é o único responsável por um conjunto de atividades.
- Persuasão: Compreende quase uma arte a capacidade de convencer pessoas, onde se busca obter respostas específicas. Isto é possível porque as pessoas têm características comportamentais que as tornam vulneráveis à manipulação.
Como se proteger da Engenharia Social
Bom senso
A vítima deve ficar sempre bem atenta ao receber qualquer tipo de abordagem, seja por telefone, e-mail, carta ou até mesmo pessoalmente, onde um pessoa (atacante) tenta o induzir a fornecer informações confidenciais pessoais e até mesmo sobre a empresa em que trabalha.
Informações sensíveis
Deve-se sempre estar antenado quando lhe for solicitado informações sensíveis como, por exemplo, números de cartões de crédito, senhas e etc. por pessoas estranhas. A vítima antes de tudo deve verificar a autenticidade da ligação que esta recebendo, do crachá que o atacante apresentou e etc.
Solicitações pela internet
Nunca fornecer informações pessoais, de empresas e etc antes de identificar e constatar a autenticidade do pedido. Por várias vezes, vítimas recebem e-mails contendo links falsos, informações não verdadeiras ou até mesmo solicitações de cadastro em empresas fantasmas. Para não cair nestas armadilhas a vítima deve, por exemplo, entrar em contato com a instituição que lhe fez a solicitação de cadastro, como por exemplo bancos, receita federal e etc, para garantir assim uma autenticidade do pedido, nunca clicar sobre links recebidos através de spams e etc.
Treinamento
Atualmente as empresas que querem evitar esse tipo de ataque, estão investindo alto em treinamento de funcionários, afim de evitar a vazão de informações sobre a estrutura da empresa.
O treinamento, estabelecimento da política de segurança da informação na empresa, baseia-se em educar os funcionários a sempre certificar-se de que a pessoa a quem vai fornecer as informações é realmente quem diz ser, a tomarem cuidado com o lixo pois este é uma grande fonte de informações, desconfiarem de pessoas em chats e etc.
Esta política de segurança da informação da empresa deve conter dentre outros tópicos, planos e ações de segurança como, por exemplo, plano de proteção física, continuidade dos negócios, análise de riscos, ações de engenharia, plano de contingência, plano de conscientização de todos os colaboradores, mesmo os terceirizados e etc.
Basicamente tudo se resume em reeducar toda a corporação a fim de implantar uma nova cultura cem por cento abrangente, cem por cento, pois qualquer falha põe novamente a corporação em risco iminente.
Nenhum comentário:
Postar um comentário