Num e-mail de alta prioridade, o presidente da empresa pedia urgência em uma demanda. O analista financeiro João Gabriel Silva correu para atender o chefe, que incluiu na mensagem um hiperlink para tabelas importantes a serem analisadas. Ao clicar nele, no entanto, a tela congelou. Para a sorte de João Gabriel, aquilo era apenas um teste. A “fraude do CEO” é uma obra de engenharia social: ataques virtuais que tentam enganar pessoas para ter acesso a informações privadas de seus computadores.
Especialistas afirmam que, com o desenvolvimento das tecnologias de defesa dos computadores, hackers descobriram que é mais fácil mirar na falha humana. E estão tendo sucesso: no Brasil, em média, oito links maliciosos são acessados por segundo, de acordo com o Relatório DFNDR Lab, da empresa de segurança PSafe. Isso significa que, ao longo de apenas um dia, quase 700 mil ataques virtuais são bem-sucedidos no país.
É por isso que empresas como a de João Gabriel estão criando golpes falsos como forma de testar e educar seus funcionários, explica o carioca de 22 anos:
— Quando você clicava no link que deveria direcionar para a planilha, aparecia uma notícia de que era um phishing (nome dado à técnica de enviar e-mails falsos ou direcionando sites falsos, com o objetivo de roubar dados) e explicava que é um tipo de golpe que te leva a clicar em links falsos para instalar vírus e ter acesso a seus dados.
Depois da experiência, o jovem passou a notar mais detalhes quando recebe uma correspondência eletrônica. O primeiro detalhe é a grafia do endereço de e-mail de quem enviou: nesse caso, o e-mail usado não era da empresa, o que já deveria despertar um alerta. O segundo detalhe é a verificação do hiperlink recebido, que em geral vem encurtado ou disfarçado como parte do texto (o famoso “clique aqui”). Ferramentas on-line permitem que se expanda novamente o código, de forma a verificar se o endereço é de fato o que o remetente diz ser.
Especialista em segurança da informação, Anderson Ramos é chefe de tecnologia da Flipside, consultoria de conscientização em segurança da informação. Ele explica que engenharia social é uma estratégia de ataque que consiste em enganar o internauta para fazê-lo clicar em links corrompidos ou a entregar dados que dão acesso a contas de banco, por exemplo. Seu trabalho é desenvolver e implementar testes comportamentais dentro de empresas para identificar o quão conscientes os funcionários estão sobre as ameaças de ataque usando essas estratégias.
Campanhas de Conscientização
Entre as experiências desenvolvidas estão e-mails como o recebido por João Gabriel e a disposição de pendrives pelas mesas de trabalho, por exemplo, para ver se as pessoas vão abrir seu conteúdo nos computadores e expor, assim, as máquinas a um possível vírus. Ele explica que o índice brasileiro de oito cliques em links corrompidos por segundo não foge à média global, que está constantemente subindo, mas surpreende devido ao comportamento do brasileiro fora do mundo virtual:
O curioso em relação ao brasileiro é que se trata, em geral, de um povo precavido e desconfiado fora do mundo virtual. O que percebemos é que isso não se transpõe para o universo digital. Esse universo não é tão dócil quanto pode aparecer no primeiro momento. E você vê que o noticiário avisa sobre golpes, mas as pessoas parecem ainda não reconhecê-los.
O gestor de segurança do banco BTG Pactual, Gabriel Borges, explica que a engenharia social se tornou um dos grandes focos da equipe de segurança de dados. Ele conta que, como muitas pessoas ainda não sabem o que é engenharia social, o principal trabalho é o de educar as pessoas e alertar sobre os tipos de golpe existentes. A prioridade subiu quando os índices de ataques usando esse tipo de estratégia subiram em todo o mundo.
— O pulo do gato do hacker que usa engenharia social é fazer com que as pessoas confiem em algo em que geralmente não confiariam. É importante ter campanhas de conscientização, porque esses caras não desistem.
Além da “fraude do CEO”, que exige um conhecimento mínimo sobre a dinâmica de uma empresa, outro tipo de golpe muito comum e que desta vez mira pessoas físicas é o da promoção relâmpago. Mensagens via WhatsApp e e-mail prometem descontos contanto que a pessoa faça a compra logo. Especialistas alertam para que internautas tenham cuidado com esse tipo de propaganda e com boletos de fatura falsos ou notificações de dívida com a Receita Federal.
— Usam argumento de autoridade aliado a um senso de urgência, ou uma promessa de retorno financeiro rápido, para fazer a pessoa clicar sem notar os detalhes — diz Cleber Paiva, especialista em segurança da informação e sócio da empresa de cibersegurança Proof.
O indicado, antes de comprar, é fazer uma busca pelo site da loja para verificar se a promoção é real. Em casos de boletos recebidos por e-mail sem que o cliente tenha pedido, o ideal é entrar em contato com o banco por telefone.
Aplicativos
A Receita aconselha que o contato seja feito por meio do Centro Virtual de Atendimento da Receita, em seu site oficial. E alerta que existem páginas que simulam o visual e o endereço do site oficial da instituição. “Tais páginas, embora visualmente muito semelhantes ao original, são falsas e — portanto — não são fontes confiáveis de informações. Esses sites usam artifícios para roubar dados e senhas”, explica a instituição em anúncio publicado em abril. O indicado pela instituição é verificar se o endereço termina com a extensão “gov.br”. Neste ano, a Receita denunciou tentativas de fraude inclusive por meio de cartas.
Fonte: iBahia