Peopleware, a última fronteira da segurança

Parece que o sistema operacional que realmente precisa de algumas
correções de segurança é o humano. Enquanto gigantes da tecnologia como
Microsoft, Google e Apple lançam atualizações, ajustes, correções
constantes para ameaças, as brechas sempre aparecem no elo mais fraco – o
funcionário negligente ou ignorante. O peopleware (aquela peça que fica
entre o monitor e o encosto da cadeira), pode perceber, sempre tem uma
parcela de culpa considerável.

Convenhamos: é praticamente impossível que um apaixonado Romeu não
seja acometido pelo ciúme e curiosidade nesses tempos de cada vez mais
sofisticados ataques que se valem de recursos de engenharia social.
Olhando apenas para o ano passado, veremos que as maiores violações
tiveram como alvo e tática enganar um empregado. 

E isso é, apesar de anos de advertências lançadas por especialistas
que bateram na tecla do treinamento para que os trabalhadores se
conscientizem de seu papel na segurança da informação, ainda é
fundamental uma palestra para todo o time a cada seis meses para que a
sistema operacional humano não fique desatualizado. 

Em uma pesquisa recente realizada pela Flash Dark Reading, mais da
metade dos 633 entrevistados disseram que “a ameaça de engenharia social
mais perigosa para as organizações ocorre devido à falta de
conscientização dos funcionários”.

O último McAfee Phishing Quiz, que tocou mais de 30 mil participantes
de 49 países no início deste mês, constatou que 80% dessas pessoas
caíram em pelo menos um e-mail de phishing em alguma das 10 perguntas do
questionário. Entre os usuários de negócios, o melhor resultado veio de
equipes de TI e P&D -, mas a sua pontuação foi de apenas 69% de
acertos na detecção de mensagens que eram legítimas das que eram
maliciosas.

Em suma, hackear o humano continua a ser muito fácil. Chris Hadnagy,
especialista em descobrir falhas a partir de engenharia social, disse
“como você pode constatar a partir do noticiário recente, ataques a
partir de mídias sociais funcionam muito bem”. De acordo com ele, de
cada três pontos principais para o sucesso de um ataque, duas são
humanas. 

A primeira é que as pessoas são programadas para querer ajudar o
próximo. “Essencialmente, queremos confiar nas pessoas”, diz. Em segundo
lugar, a maioria dos usuários são ignorantes sobre ameaças de
segurança. “As empresas não estão fazendo um grande trabalho de
conscientização sobre como esses problemas afetam o empregado”,
adicionou. “Coloque os dois pontos juntos – a psicologia e a falta de
conhecimento – e você tem terreno fértil para a engenharia social.”

“Tudo começa com OSINT (sigla em inglês para inteligência de código
aberto) ou coleta de informações online”, pontua Hadnagy, para
acrescentar: “Essa é a força vital de engenharia social. Uma vez que o
dado é recolhido, torna-se evidente que o vetor de ataque vai funcionar
melhor”. 

Theresa Payton, ex-CIO da Casa Branca e atualmente na posição de CEO
da Fortalice Solutions, concorda que essa abordagem inicial dá aos
atacantes ferramentas muito melhores para enganar seus alvos. “Descobrir
quem é a equipe executiva da empresa, o escritório de advocacia, os
nomes dos servidores corporativos, projetos em andamento, relações com
os fornecedores e muito mais”, lista, “permite que usem esse
conhecimento, o que muitas vezes pode ser feito em menos de um dia, para
criar sofisticadas tentativas de engenharia social.” 

Os invasores também praticamente eliminaram uma das suas fraquezas
mais óbvias. Em outras palavras: não vivemos mais os dias de ortografia e
gramática ruim que, por muito tempo, fez mensagens de phishing uma
fraude relativamente óbvia. Parece que os hackers descobriram o corretor
gramatical. 

Outra evolução toca o nascimento/expansão do “vishing”, no qual um
atacante faz um telefonema, se passando por alguém de outro
departamento, para ludibriar o funcionário, fazendo-o clicar em um link
em um e-mail sem verificá-lo completamente. 

“Isso significa o envio do e-mail envenenado a uma secretária para
depois chamá-la ao telefone ‘confirmando o recebimento’ da mensagem sob o
pretexto de ter que comunicar algo importante para a organização”, cita
Mark Gazit, CEO da ThetaRay, “O adversário normalmente permanece na
linha para garantir que o funcionário lança o anexo. “

O especialista observa que os ataques vishing também incluem o envio
de SMS com um link para um site de phishing ou uma mensagem de spam para
um funcionário, alegando que um de seus cartões de pagamento foi
bloqueado. “Na pressa para responder a essa mensagem, as vítimas acabam
divulgando suas credenciais bancárias e outros dados aos hackers”,
comenta. 

O único jeito eficaz para conter esta vulnerabilidade, dizem os
especialistas, é melhorar o treinamento. E isso significa mudar o modelo
predominante de mensagens impositivas. Passa por fazer com que os
colaboradores se conscientizem da importância de atenção ao ambiente de
ataques com recursos cada vez mais arrojados. 

“O treinamento não deve ser um ‘evento’. Precisamos passar de algo de
formação para o reforço positivo. Sinceramente, a maior parte dessas
atividades se enquadra em aspectos muito limitados de transmissão de
conhecimento, além de serem centradas, ainda, no computador”, observa
Payton.

Ela recomenda a criação de um “feedback loop” para os funcionários.
“Diga-nos porque os nossos protocolos de segurança ficam no caminho de
suas atividades profissionais; quais os gatilhos emocionais; deixe-nos
mostrar-lhe como seguir o nosso conselho para que se proteja de ataques
tanto no trabalho quanto em casa”, aconselha. 

Hadnagy acredita que o treinamento eficaz deve incluir exemplos do
“mundo real”. “Fazemos imitações durante o horário comercial para ter
acesso ao prédio”, ilustra. “O objetivo não é fazer as pessoas olharem
para aquilo como algo estúpido, mas para mostrar os pontos fracos e o
que você precisa fazer para fortalecê-los.” 

Gazit lembra que , com a explosão no volume de informações diárias,
muitos funcionários tendem a esquecer dos ensinamentos tão logo voltam
para suas mesas. Ele concorda com seus colegas especialistas que os
colaboradores precisam sentir que a formação é relevante. “Os
executivos, contadores, administradores e trabalhadores da fábrica não
estão sujeitos às mesmas ameaças virtuais, assim que o treinamento deve
ajudar cada grupo aprenda a reconhecer e lidar com as ameaças
específicas que são mais susceptíveis de encontrar”, crê. 

É claro, tal como é o caso com a tecnologia, nada fará uma
organização um organismo a prova de balas. Mas Hadnagy garante que uma
boa formação pode reduzir drasticamente o risco. Ele falou de uma
empresa que contratou sua equipe há dois anos para testar a sua
consciência, e 80% dos empregados clicaram em e-mails de phishing, 90%
foram vítimas de vishing e 90% foram enganados por um dos membros de sua
equipe que se passou por um funcionário do help desk. “Demos o
treinamento e depois fizemos um teste prático”, comprovou. 

Isso, segundo ele, demonstra o quão eficaz pode ser um bom
treinamento. “Declarações como: ‘Não há nenhum patch para a estupidez
humana’ são prejudiciais para a crença que podemos corrigir isso”,
acredita. “Não se trata de seres humanos sendo estúpido, mas sobre seres
humanos sem conhecimento e sem instrução, que pouco sabe o quanto uma
ameaça de segurança atinge ele e sua empresa”, conclui.