Engenharia social: o inimigo desconhecido

Mas, por incrível que pareça, esses problemas não são exatamente os mais críticos para indivíduos e empresas que buscam se proteger em suas andanças e transações online. Existe uma técnica, denominada Engenharia Social, que poucos conhecem e, por essa razão, poucos se previnem. Ela se baseia na obtenção, pelo invasor, de informações privadas de indivíduos e empresas (como senhas), por meio de contatos com funcionários/colaboradores e familiares, bem como o acesso a documentos importantes no sentido de facilitar sua incursão pelo mundo ?protegido? da potencial vítima.

A pergunta óbvia é: “mas como?”. A resposta é simples. Com um gesto de confiança e, até mesmo de ingenuidade, durante uma conversa por telefone, e-mail ou chat,você pode ter suas informações liberadas por seus conhecidos, parentes e colegas de trabalho. Temos como exemplo o caso de um grande hacker, reconhecido mundialmente, que vasculhava até o lixo das empresas atrás de documentos sigilosos. Assim, ele encontrou muitas informações confidenciais, aproveitando-as posteriormente para ataques em seu benefício pessoal.

Engenharia social é tão perigosa e tão potencialmente inevitável porque é sobre a natureza humana. É, portanto, sobre confiança, sobre boa fé, sobre pressão e barganha, sobre falha humana. É, em essência, o mesmo método usado por golpistas, alpinistas sociais e estelionatários. É sobre se aproximar de pessoas próximas à vítima (ou mesmo da vítima), coletar dados e informações (disfarçando intenções, revestindo-se de cargos, urgências e necessidades) e usar essas informações para violar a segurança dessas vítimas.

Imagine-se, por exemplo, construindo uma casa e pensando em sua segurança. Você coloca grades, cercas elétricas, alarmes, cadeados e outros itens para protegê-la. Então, uma pessoa, devidamente estilizada, utilizando-se da Engenharia Social (alegando, por exemplo, ser um eletricista, um encanador ou um colega de trabalho), convence quem está dentro (por exemplo, a empregada doméstica ou as crianças), a desligar todo esse arsenal de defesa e abrir a porta. Pronto!

Ok, pessoalmente é mais difícil. Mas e remotamente? Faça o teste: peça para uma amiga ligar para sua casa, alegando ser sua secretária ou seu chefe e dizer que não consegue te encontrar. Peça-a para pedir uma informação classificada (tipo senha do banco, senha de cartão de crédito, projetos em que está envolvido, viagens marcadas, clientes que atende etc.), alegando urgência (coisa do gênero… se não enviar, ele poderá perder o emprego). Parece muito mais letal e factível, certo? E é.

O ponto crítico é que se trata de falha humana não importa a quantidade de empecilhos que existam. Ela sempre é possível, pois a matéria-prima para sua ocorrência é a confiança, a aproximação humana, o senso de proteção e cooperação, a urgência, a desinformação…Transportando este exemplo para o mundo da tecnologia, podemos dizer que as falhas não existem apenas nos servidores e firewalls, mas também em quem os controla e configura: o homem.

A solução para evitar estes problemas é efetuar treinamentos maciços, acompanhados da divulgação adequada da política de segurança da empresa. Dentro desses treinamentos, devem ser explorados todos os meios com que uma pessoa pode ter acesso a essas informações e conscientizar seus funcionários dessas ações. Prevenção é o nome do jogo, mas punições, obviamente, devem estar previstas. Outro ponto importante é criar, caso não exista, níveis hierárquicos de confiabilidade e disponibilizá-los a quem tenha o mesmo nível.

Isso evita que informações consideradas confidenciais sejam disponibilizadas a qualquer um (ou se percam somente com um). Sem isso, podemos classificar uma empresa como irresponsável com os seus dados. Hoje em dia, a disseminação de informações sigilosas, alterações de informações e diversas outras ações, promovidas por pessoas mal-intencionadas, executadas em ambientes digitais ou não, podem acarretar em sérios prejuízos financeiros, perda da confiabilidade perante os clientes e muitas outras conseqüências inimagináveis.

Porém, muitas destas ações podem ser evitadas com a utilização de políticas de segurança claras e concisas e a disponibilização de treinamento adequado, entre outras ações preventivas. Mas lembremos: a Engenharia Social sempre será um fantasma presente no dia-a-dia das pessoas, pelo menos enquanto houver vida em sociedade. Inteligência, olho aberto, políticas claras, comunicação eficiente, ação rápida e canja de galinha não fazem mal a ninguém.