A maioria das fraudes, golpes e outras modalidades de transações ilícitas que prejudicam empresas e pessoas físicas que utilizam os sistemas financeiros é consequência de uma mesma tática: engenharia social. A Federação Brasileira de Bancos (Febraban) reportou, ao anunciar um selo de prevenção a fraudes, que esse tipo de estratégia é utilizado em 70% dos ataques. Mesmo que o alvo da engenharia social seja o usuário, Fernando Bryan Frizzarin, especialista em cibersegurança da BluePex® Cybersecurity, explica como as empresas podem se proteger.
A engenharia social consiste num conjunto de práticas e técnicas utilizadas para manipular as pessoas com o objetivo de obter-se informações confidenciais e, por consequência, acesso a sistemas computadorizados ou ações que visam o ganho financeiro. Com os sistemas de segurança adequadamente dimensionados, como firewalls com as funcionalidades críticas em funcionamento e com capacidade aderente ao ambiente, antivírus sempre atualizado, com as proteções ativas e devidamente monitorado, componentes de controle e proteção instalados e com a comunicação ativa, é muito difícil invadir sistemas, senão praticamente impossível. “Dessa forma, ao invés de explorar vulnerabilidades em programas ou equipamentos, quem vale-se de engenharia social explora a natureza humana, buscando criar vínculos de confiança, medo, ansiedade e a ingenuidade para alcançar seus objetivos”, explicou o especialista.
Para isso, os cibercriminosos recorrem a diferentes métodos como o “phishing” (e-mails ou mensagens falsas que solicitam informações); “pretexting” (criação de histórias, informações ou notícias falsas para obter dados pessoais); engenharia reversa (análises de dados abertos em redes sociais para, por exemplo, criação de perfis falsos); manipulação psicológica e engenharia social off-line (quando há acesso a instalações físicas, ou seja, o invasor atua pessoalmente no alvo). Fernando cita que é necessário estar ciente dessas ameaças e técnicas para adotar posturas e práticas de segurança, como a verificação cuidadosa de toda comunicação, que envolve e-mail, telefonemas e mensagens. As empresas também devem estar atentas, pois o elo mais fraco de toda segurança digital são as pessoas. “Além dos equipamentos e sistemas de controle e segurança, elas devem promover treinamentos e conscientizações para seus funcionários”, completou Fernando.
O especialista detalhou quais os dados mais visados pelos fraudadores e informou que, no geral, eles escolhem suas vítimas com objetivo específico de obter lucro financeiro de forma rápida. “Os mais visados são login e senha; informações financeiras, e aqui entram números de cartão de créditos e o código de verificação, conta bancária, documentos e endereços; dados pessoais, profissionais e de empresas; informações de saúde; além de segredos comerciais e propriedade intelectual”.
A escolha da vítima também pode acontecer a partir de dados vazados de empresas privadas ou públicas. Com esses dados, o criminoso pode escolher e estudar suas vítimas a partir de dados sensíveis que não deveriam ser públicos, como endereços de e-mail, endereços físicos, dados de documentação e até, dependendo do vazamento, particularidades de saúde e financeiras.
COMO AS EMPRESAS PODEM SE PROTEGER
Às empresas, Fernando orienta começar com a implantação efetiva de segurança cibernética. “O ideal é apoiar-se em um framework, que é um conjunto de práticas e ferramentas adequadas para essa implantação. A BluePex® Cybersecurity possui um framework prático, baseado em seus mais de 20 anos experiência no mercado de cibersegurança, inclusive possuindo o selo EED – Empresa Estratégica de Defesa – concedido pelo Ministério da Defesa do Brasil, para ajudar as empresas a se protegerem”, descreveu.
O especialista recomenda ainda: conscientização e treinamento dos funcionários; implementação de políticas de segurança; estabelecimento de procedimentos para verificação de identidade; aprimoramento da segurança de e-mails, como filtros de spam e para bloquear mensagens suspeitas; adoção de controles de acessos a informações sensíveis e sistemas críticos; monitoramento de redes e sistemas para detecção de atividades suspeitas; atualização constante de sistemas operacionais e softwares, sobretudo quando há correções de segurança para mitigar possíveis vulnerabilidades; backup de dados regularmente; estabelecimento de política para uso seguro de mídias sociais; plano para resposta rápida a incidentes e implantação de auditorias de segurança.
Também é importante, de acordo com Fernando, que as empresas implementem outros tipos de barreiras que dificultarão a ação dos invasores, mesmo quando os alvos forem pessoas. Entre as recomendações, estão a autenticação de dois fatores, que adiciona uma camada extra de segurança. Mesmo que um terceiro tenha as credenciais de login, ele precisaria de um segundo fator para acessar a conta. “Outra alternativa é a solução de segurança de endpoint que possua também a funcionalidade de antivírus e possa detectar e bloquear vírus, malware, ransomware e outras ameaças que possam ser distribuídas por meio de ataques de engenharia social. Sempre monitore o comportamento do usuário para identificar atividades incomuns, como a detecção de tentativas de acesso não autorizado ou mudanças abruptas nos padrões de uso”, finalizou.
GRUPO COM NOTÍCIAS DO POR DENTRO DE MINAS NO WHATSAPP
Gostaria de receber notícias como essa e o melhor do Por Dentro de Minas no conforto por WhatsApp. Entre em grupos de últimas notícias, informações do trânsito da BR-381, BR-040, BR-262, Anel Rodoviário e esportes.
Ao entrar você está ciente e de acordo com os termos de uso e privacidade do WhatsApp.
Acompanhe o Por Dentro de Minas no YouTube
Assista aos melhores vídeos com as últimas notícias de Belo Horizonte e Minas Gerais. Informações em tempo real.