INTRODUÇÃO Embora a Engenharia Social possa
ser descrita como o conceito antigo de manipular pessoas enganando-as para que
forneçam informações ou executem uma ação (IAN MANN 2011), suas técnicas
permanecem em constante evolução. Quando lidamos com golpes frutos de
Engenharia Social, a porta de entrada, diferentemente do que a segurança da
informação está acostumada a tratar, não são simplesmente softwares e empresas,
mas principalmente pessoas. Impulsionados pela sociedade,
religiões e pela autoconfiança, somos treinados durante a vida para acreditar
uns nos outros e seguir instruções. É ímprobo para natureza humana
acreditar que podemos ser passados para trás, confiamos nos outros e
principalmente em nós mesmos. Acreditamos que somos capazes de nos proteger,
que somos mais espertos ou simplesmente que estamos inumes. A mente humana pode ser
facilmente manipulada. Não é preciso grandes esforços para saber o que uma
pessoa pensa, suas fraquezas, sonhos, medos, objetivos e interesses. Nossas
vidas foram invadidas com prévio consentimento pelas redes sociais e internet.
O uso de informações pessoais expostas nas redes facilita de forma assombrosa o
trabalho dos engenheiros sociais. Embora a maioria das pessoas
acredite ser pensadoras independentes, a realidade é que é fácil invadir suas
mentes e direcionar suas ações em prol de vantagens específicas,
motivadas por razões políticas, sociais e principalmente financeiras.
EMPRESAS BLINDADAS X PESSOAS DESPREPARADAS Uma empresa
pode possuir tecnologias robustas, softwares que prezem os pilares da
segurança da informação, utilizar senhas fortes, antivírus, firewall, proxy,
sistemas para detectar intrusões e autenticação biométrica. Tudo isso a um
custo alto, e por incrível que pareça, pode ser completamente inútil se ela for
vítima de Engenharia Social. Isso acontece porque a Engenharia Social age por
meio de truques psicológicos, explorando e manipulando a tendência que as
pessoas possuem de confiar umas nas outras nelas mesmas. Quando se fala de golpes inovadores realizados através de Engenharia Social é o Sequestro de Dados, especificamente o Ransomware que tem assustado ultimamente. Ransomware é uma espécie de malware utilizado pelos cyber-criminosos para bloquear e criptografar os dados dos usuários 'sequestrando' as informações, de forma a torná-las inacessíveis, até que os donos paguem determinado valor, normalmente em moeda virtual. O malware exibe uma mensagem informando que o computador não será desbloqueado até que o usuário realize o pagamento do resgate solicitado, dentro de determinado prazo. Os
sequestradores virtuais, como são conhecidos, vasculham através de buscas na internet e nas redes sociais; preferências, interesses, riscos e
limitações dos alvos. Com base nessas informações, desenvolvem códigos
maliciosos e utilizam a técnica de Phishing
de forma específica e direcionada. Além de
precisar pagar para recuperar as informações, as vítimas ainda correm o risco
de sofrer o golpe novamente, já que os alguns Ransomwares depois de liberar os
dados, exploram brechas de segurança para possibilitar novas invasões. O FBI sugere nesses casos, que as vítimas que não possuam backup das informações, façam o pagamento do resgate. Não seria isso, de certa forma, um incentivo ao crescimento do sequestro virtual? É no mínimo, polêmico. Para a ISO 27002, a
segurança da informação é a proteção da informação quanto a vários tipos de
ameaças, de modo a garantir a continuidade do negócio, minimizar o risco, maximizar o retorno sobre o investimento e as oportunidades de negócio
(NBR ISO/IEC 27002:2005). Segundo Ian Mann, embora a ISO 27002 trace o caminho para segurança da
informação ela deixa a desejar quando o assunto é a prevenção da engenharia
social.
O PERIGO DA EXPOSIÇÃO VIRTUAL
As redes
sociais e a internet têm colaborado significativamente para a ação dos
criminosos virtuais. Quão difícil é obter as informações necessárias sobre
alguém, se essas estão sensíveis na rede? É imensurável a quantidade de informações que trocamos
diariamente na internet. Compartilhamos com mundo quem somos, nossos amigos,
familiares, interesses, sentimentos, onde trabalhamos e estudamos. Tudo parece
seguro e distante demais para ser arriscado, nos sentimos envolvidos por uma
capsula de proteção ‘vestida de zeros e uns’ imune ao perigo. Sair de casa para fazer qualquer coisa que possa ser feita pela internet, é considerada uma espantosa perda de tempo e retrocesso. Mas você pararia um estranho qualquer na rua e diria seu nome, onde mora e trabalha? Contaria a ele o nome dos seus filhos, o que você gosta de fazer, onde você gosta de comprar e como está se sentindo triste naquele momento?. Com a dependência que criamos da internet, será que restou
algum resquício de consciência do que nossas atitudes no mundo virtual podem
causar? E os profissionais de TI, treinados para projetar e construir
tecnologias estão cientes de que seus dados disponíveis na rede podem trazer
consequências?
CONCLUSÃO O crime virtual deixou de ser uma brincadeira de hackers amadores em busca de diversão e um pouco de fama, para se transformar em uma séria e organizada indústria criminosa movida por razões financeiras.
Os últimos anos foram marcados por uma sucessão de fraudes e golpes evoluídos que fizeram muitos reféns. As pessoas estão fascinadas pela informação, o que é positivo, contribui para o progresso e evolução da sociedade e da economia. Mas independente do nível de conhecimento em Tecnologia da informação, a ausência de conscientização, credulidade e o que podemos denominar como "desejo de ser amado" ainda são responsáveis pelo elo mais fraco da corrente humana.