Cuidado com a engenharia social!

Uma palavra repetiu-se muitas vezes nas reportagens sobre os escândalos de escutas ilegais do tablóide britânico News of the World: ?blagging?. Nos Estados Unidos, isso se chama engenharia social e significa a mesma coisa: levar alguém a revelar informações confidenciais.

Você liga para um banco e se passa por um engenheiro de rede que está viajando e, desesperadamente, necessita de uma rede para logar-se em um servidor. Você fala como um engenheiro de rede da empresa; demonstra conhecer as pessoas, a estrutura e até o linguajar próprio dos funcionários do banco, levando o funcionário do outro lado da linha a dar a informação que você pediu, com boa vontade e pensando fazer uma boa ação.

Trata-se de algo comparável à falsificação, ou seja, é um dos tipos de crime mais antigos. Nesse caso, a falsidade consiste em mentir para conseguir alguma coisa de alguém.

A engenharia social é parte do esquema utilizado para ataques à segurança da informação. Estamos assistindo hoje a uma combinação desse tipo de tática com outras formas – igualmente perniciosas – de ataque.

Em qualquer organização que tenha contato com o público, os funcionários procuram ser prestativos. A engenharia social tira partido disso. Nesse sentido, em Londres, os hotéis, restaurantes, transportes públicos, lojas, bancos, etc., estarão diante de desafios sem precedentes no verão de 2012. As organizações que prestam serviços ao público estarão prontas a colaborar para que seja um sucesso a estada de pessoas de todo o mundo na cidade, e a engenharia social estará também pronta a se aproveitar da situação.

O truque aqui é que nem sempre o ataque é óbvio. Na formulação da estratégia de ataque a uma pessoa, a uma empresa ou a qualquer tipo de organização, o importante é combinar as informações conseguidas e juntar os pontos. Se eu perguntar se você vai viajar na próxima semana e para onde, essa pequena informação que você não pensa duas vezes antes de revelar pode se acrescentar a algumas outras atividades de engenharia social para formar o quadro de que eu preciso. A verdade é que é difícil defender-se contra a engenharia social – mas não é impossível.

Muitas organizações adotam uma série de medidas para proteger suas redes e sistemas – como firewalls, DMZs e antivírus -, mas é preciso também que se defendam de ameaças não-técnicas, como a engenharia social.

Em minha carreira profissional como consultor de segurança, tenho sido surpreendido pelo sucesso da engenharia social. Em uma organização que nos contratou para fazer testes de engenharia social, um analista de nossa equipe conseguiu sair do prédio, sem nenhum problema, levando um servidor debaixo do braço. E um guarda da segurança até abriu a porta para ele!

*Jim Tiller está à frente da área de segurança da divisão de Serviços Profissionais da BT Global Services