Coluna

|Era Digital - Conectado - Valério Figueiredo

Coluna

|Era Digital - Conectado

Veja por autor

Não Precisa Ser Hacker Para Fraudar a Empresa

Para ter acesso aos dados sigilosos das empresas, os fraudadores focam na parte mais vulnerável da segurança da informação: as pessoas.
whatsapp linkedin
Publicado em Sun Feb 12 17:00:00 UTC 2012 - Edição 697

          Com o crescente número de invasões a servidores e roubo de informações, as empresas têm procurado investir em recursos de segurança, seja com hardwares, softwares ou vigilância. Infelizmente, grande parte delas deixa de lado o elo mais frágil da segurança da informação: o fator humano. Ao contrário do que se pensa, a maioria das fraudes não ocorre pela ação de gênios da informática, que usam tecnologia de última geração para burlar sistemas e decifrar complicados códigos criptografados. Mas se concretiza por meio de uma prática tão simples quanto antiga: enganar as pessoas, manipulando-as para revelar dados e informações sigilosas da empresa. Na década de 1990, a técnica de fraudar sistemas explorando a confiança das pessoas se popularizou, virou tema de estudos e ganhou o nome de engenharia social. Para se proteger dela, a empresa precisa estar atenta ao modus operandi desses fraudadores profissionais. 
          Embora boa parte das fraudes tenha como finalidade o ganho financeiro, o criminoso pode ser movido por outros motivos, como o simples desafio de burlar sistemas, caso de muitos hackers. Eles normalmente utilizam técnicas de persuasão, explorando a ingenuidade ou abusando da confiança da vítima para ter acesso não autorizado a computadores ou informações. 
          O fraudador muitas vezes assume uma identidade falsa, se fazendo passar por um profissional de outra área da empresa. Com habilidade e sem levantar suspeitas, ele procura extrair informações que a princípio parecem inofensivas, como ramais telefônicos, cargos, nome/número do funcionário, entre outras. São dados que, uma vez combinados, podem servir como peças de um quebra-cabeça que se encaixam e abrem uma porta para o golpista conseguir, por exemplo, invadir uma rede e roubar segredos estratégicos da organização.  
          Geralmente os meios utilizados são salas de bate-papo, e-mails, telefone, redes sociais ou até mesmo o lixo, onde o fraudador vasculha documentos em busca de informações valiosas. Esse contato também pode ser feito pessoalmente. Aproveitando-se de descuidos ou da vulnerabilidade do acesso à empresa, ele pode se fazer passar por um profissional ou gerente de setor e, com uma boa conversa, convencer a vítima a fornecer a informação que deseja saber. Isso pode ocorrer de forma direta, simplesmente pedindo a informação, sem levantar nenhuma suspeita. Esses profissionais costumam usar técnicas de espionagem e persuasão, como, por exemplo, a prática de elogios, que torna as pessoas mais susceptíveis. Outra tática comum é continuar a conversa mesmo após a vítima revelar a informação desejada, pois a tendência é que ela esqueça o que foi dito no meio da conversa e lembre mais facilmente onde o assunto terminou.
          A prevenção não é tarefa fácil. Conhecer a ameaça e a forma de atuação desses golpistas é a melhor forma de combatê-los. É recomendável que as empresas criem políticas de segurança bem definidas, de modo a orientar seus colaboradores sobre o uso correto e seguro dos ativos de TI. O treinamento deve abordar boas práticas sobre o uso de e-mails, redes sociais, descarte de documentos, senhas, além de estratégias de prevenção. Toda a equipe, dos diretores aos funcionários mais operacionais, deve ser treinada para saber como lidar com a informação com que trabalha e como agir quando surgirem sinais de uma ameaça ou ataque.
          Existe um velho jargão na segurança de TI que diz que a única forma de manter um servidor 100% seguro é desligando o cabo de força e trancafiando-o em uma sala. O problema é que um fraudador pode, sem levantar suspeitas, mandar destrancar a sala e religá-lo. Moral da história: A segurança da informação não é feita apenas por tecnologia de hardware e software, mas por pessoas treinadas e processos bem definidos.


Rede Gestão