Você sabe o que é engenharia social? Talvez nunca tenha escutado essa expressão, mas com certeza conhece o que estamos falando. Já assistiu ao filme Prenda-me se for capaz? Nele, Leonardo DiCaprio interpreta Frank Abagnale Jr., um vigarista que, por meio de diversos disfarces e muita autoconfiança, aplica diversos golpes para se tornar milionário. O longa-metragem justamente narra os atos de um engenheiro social: alguém que domina técnicas para enganar outras pessoas a fim de tirar vantagem da situação.
E o que isso tem a ver com segurança da informação? No mundo digital, associamos os crimes como roubo de dados a vírus, ransomwares e hackers, porém não para por aí. A forma mais antiga – e ainda atual – de aplicar ataques de engenharia social é com a boa e velha lábia. Isso é bastante visto na obra cinematográfica e, para nós, pode parecer até distante da realidade, mas não se iluda. O trabalho no escritório está retornando após o isolamento social e muitas empresas não se deram conta de que estão desprotegidas. Por exemplo, o que garante que aquela pessoa arrumada e simpática que está passando pela portaria realmente é um funcionário recém-contratado e não alguém tentando invadir sua rede de computadores? Venha entender mais sobre o tema!
O que é engenharia social?
A engenharia social se refere a um conjunto de estratégias para manipular pessoas e, assim, extrair delas informações, dinheiro, privilégios ou acessos a locais em que não é permitida sua entrada. O engenheiro social usa técnicas psicológicas para criar um laço de confiança com suas vítimas e, desse modo, consegue realizar invasões, fraudes, roubos, entre outras atividades maliciosas.
No filme Prenda-me se for capaz, ambientado na década de 1960, a personagem de DiCaprio se aproveita de sua boa aparência e aplica golpes, como, por exemplo, a falsidade ideológica, para se infiltrar em diversos lugares e conseguir a falsificação de cheques. No mundo digital, os ataques de engenharia social se diversificaram: vão desde a invasão do criminoso ao espaço físico da empresa, conseguindo acessar seus equipamentos, até as ameaças totalmente virtuais, como o phishing, isto é, o estímulo aos funcionários para que cliquem em um e-mail contaminado com um ransomware que infectará a toda rede corporativa.
Cuidado para não cair em ciladas no retorno ao escritório!
Durante o isolamento social, provocado pela pandemia de Covid-19, vários negócios precisaram se adaptar ao modelo de trabalho remoto, investindo seu orçamento na computação em nuvem para que os funcionários trabalhassem de casa. As preocupações em relação à proteção se voltaram à segurança de rede, com sistemas que defendem esse perímetro ampliado da internet empresarial, agora com os dados armazenados em diferentes lugares, bem como o acesso ao espaço virtual feito por qualquer local ou dispositivo.
Atualmente, com o avanço da campanha de vacinação, muitas empresas estão retornando ao trabalho presencial ou adotando um modelo híbrido. Isso nos traz à tona outro ponto a se atentar: a segurança do escritório. Pensemos em quantas contratações foram realizadas durante o isolamento, quantos colegas de trabalho não conhecemos pessoalmente e quantos funcionários ainda não possuem crachás ou digitais cadastradas nas portarias e catracas. Agora que você sabe o que é engenharia social, já deve ter imaginado como esse cenário facilita a ação dos engenheiros sociais que planejam se infiltrar nas empresas e acessar computadores para roubar dados ou instalar vírus nos equipamentos. Para evitar essas situações, além das medidas de proteção patrimonial (como câmeras, vigilantes treinados e senhas), os negócios não podem deixar de lado as tecnologias em segurança da informação.
Como a segurança da informação combate a engenharia social?
Existem soluções que detectam e barram acessos indevidos e invasões na rede corporativa. Essas tecnologias tomam como base o conceito de ZTNA, isto é, a premissa de “confiança zero” tanto no usuário de internet quanto na rede, assim, aquele só consegue se conectar ao que possui o direito de acesso ao mesmo tempo em que esta rede é verificada.
Uma ferramenta que tem se demonstrado muito eficiente é o Cisco Identity Services Engine (ou somente Cisco ISE), uma plataforma de política de controle de acesso e identidade a qual permite que empresas reúnam informações em tempo real de redes, usuários e dispositivos tanto em redes com fio, quanto sem fio. Com ela, é possível reconhecer comportamentos atípicos na internet corporativa, como a ação de algum funcionário em um horário ou local suspeito, se tratando, na verdade, de um engenheiro social.
Outra solução é a combinação de Wi-fi 6, a versão mais atual em relação à denominada Wi-fi 5 empregada no presente, com o WIPS (Wireless Intrusion Prevention System), um sistema de segurança capaz de monitorar redes de área local (LAN) sem fio para identificar conexões não autorizadas e invasões.
Gostou de conhecer melhor o que é engenharia social, como ela afeta as empresas e a sua relação com segurança de rede? Então está na hora de pensar em aprimorar as proteções do seu negócio. Convidamos você a entrar em contato com a Vivo Vita. Nossa equipe de MSS (Managed Security Services) é composta por especialistas em cybersecurity e está pronta para ajudar. Elaboramos uma estratégia de proteção completa e ainda realizamos o acompanhamento e manutenção da solução. Visite nosso site.