Translate

sábado, 20 de fevereiro de 2016

Engenharia Social e Sequestro de Dados - Pessoas e empresas reféns do Cyber-crime.

INTRODUÇÃO  
Embora a Engenharia Social possa ser descrita como o conceito antigo de manipular pessoas enganando-as para que forneçam informações ou executem uma ação (IAN MANN 2011), suas técnicas permanecem em constante evolução. Quando lidamos com golpes frutos de Engenharia Social, a porta de entrada, diferentemente do que a segurança da informação está acostumada a tratar, não são simplesmente softwares e empresas, mas principalmente pessoas.
Impulsionados pela sociedade, religiões e pela autoconfiança, somos treinados durante a vida para acreditar uns nos outros e seguir instruções.  É ímprobo para natureza humana acreditar que podemos ser passados para trás, confiamos nos outros e principalmente em nós mesmos. Acreditamos que somos capazes de nos proteger, que somos mais espertos ou simplesmente que estamos inumes.
A mente humana pode ser facilmente manipulada. Não é preciso grandes esforços para saber o que uma pessoa pensa, suas fraquezas, sonhos, medos, objetivos e interesses. Nossas vidas foram invadidas com prévio consentimento pelas redes sociais e internet. O uso de informações pessoais expostas nas redes facilita de forma assombrosa o trabalho dos engenheiros sociais.
Embora a maioria das pessoas acredite ser pensadoras independentes, a realidade é que é fácil invadir suas mentes e direcionar suas ações em prol de vantagens  específicas, motivadas  por razões políticas, sociais e principalmente financeiras.


EMPRESAS BLINDADAS X PESSOAS DESPREPARADAS 
Uma empresa pode possuir tecnologias robustas, softwares que prezem os pilares da segurança da informação, utilizar senhas fortes, antivírus, firewall, proxy, sistemas para detectar intrusões e autenticação biométrica. Tudo isso a  um custo alto, e por incrível que pareça, pode ser completamente inútil se ela for vítima de Engenharia Social. Isso acontece porque a Engenharia Social age por meio de truques psicológicos, explorando e manipulando a tendência que as pessoas possuem de confiar umas nas outras nelas mesmas.
Quando se fala de golpes inovadores realizados através de Engenharia Social é o Sequestro de Dados, especificamente o Ransomware que tem assustado ultimamente. Ransomware é uma espécie de malware utilizado pelos cyber-criminosos para bloquear e criptografar os dados dos usuários 'sequestrando' as informações, de forma a torná-las inacessíveis, até que os donos paguem determinado valor, normalmente em moeda virtual. O malware exibe uma mensagem informando que o computador não será desbloqueado até que o usuário realize o pagamento do resgate solicitado, dentro de determinado prazo. 

Os sequestradores virtuais, como são conhecidos, vasculham através de buscas na internet e nas redes sociais; preferências, interesses, riscos e limitações dos alvos. Com base nessas informações, desenvolvem códigos maliciosos e utilizam a  técnica de Phishing de forma específica e direcionada. Além de precisar pagar para recuperar as informações, as vítimas ainda correm o risco de sofrer o golpe novamente, já que os alguns Ransomwares depois de liberar os dados, exploram brechas de segurança para possibilitar novas invasões. O FBI sugere nesses casos,  que as vítimas que não possuam backup das informações, façam o pagamento do resgate. Não seria isso, de certa forma, um incentivo ao crescimento do sequestro virtual? É no mínimo, polêmico. 
Para a ISO 27002, a segurança da informação é a proteção da informação quanto a vários tipos de ameaças, de modo a garantir a continuidade do negócio, minimizar o risco, maximizar o retorno sobre o investimento e as oportunidades de negócio (NBR ISO/IEC 27002:2005). Segundo Ian Mann, embora a ISO 27002 trace o caminho para segurança da informação ela deixa a desejar quando o assunto é a prevenção da engenharia social. 

O PERIGO DA EXPOSIÇÃO VIRTUAL 
As redes sociais e a internet têm colaborado significativamente para a ação dos criminosos virtuais. Quão difícil é obter as informações necessárias sobre alguém, se essas estão sensíveis na rede? 
É imensurável a quantidade de informações que trocamos diariamente na internet. Compartilhamos com mundo quem somos, nossos amigos, familiares, interesses, sentimentos, onde trabalhamos e estudamos. Tudo parece seguro e distante demais para ser arriscado, nos sentimos envolvidos por uma capsula de proteção ‘vestida de zeros e uns’ imune ao perigo.   
Sair de casa para fazer qualquer coisa que possa ser feita pela internet, é considerada uma espantosa perda de tempo e retrocesso. Mas você pararia um estranho qualquer na rua e diria seu nome, onde mora e trabalha? Contaria a ele o nome dos seus filhos, o que você gosta de fazer, onde você gosta de comprar e como está se sentindo triste naquele momento?.
Com a dependência que criamos da internet, será que restou algum resquício de consciência do que nossas atitudes no mundo virtual podem causar? E os profissionais de TI, treinados para projetar e construir tecnologias estão cientes de que seus dados disponíveis na rede podem trazer consequências?


CONCLUSÃO
O crime virtual deixou de ser uma brincadeira  de hackers amadores em busca de diversão e um pouco de fama, para se transformar em uma séria e organizada indústria criminosa movida por razões financeiras.

Os últimos anos foram marcados por uma sucessão de fraudes e golpes  evoluídos que fizeram muitos reféns. As pessoas estão fascinadas pela informação, o que é positivo, contribui  para o progresso e evolução da sociedade e da economia. Mas independente do nível de conhecimento em Tecnologia da informação, a ausência de conscientização, credulidade e o que podemos denominar como "desejo de ser amado" ainda são responsáveis pelo elo mais fraco da corrente humana.




Nenhum comentário:

Postar um comentário