<p>Os hackers utilizam esse procedimento para se firmar em um sistema antes de usar malware ou RATs (ferramentas de acesso remoto) para começar a roubar dados ou controlar um sistema. A engenharia social é um ponto de partida, não um método completo de hack. O “pulo do gato” é que muitas pessoas não levam a sério a engenharia social, achando que nunca serão atingidas ou simplesmente não a entendem.</p>
<p>De acordo com a, Canalys, consultoria global do mercado de tecnologia, o ano passado registrou um número recorde de violações de dados em todo o mundo, apesar de ter havido aumento significativo nos gastos com segurança cibernética. O período foi marcado por uma forte expansão da violação de dados, com cerca de 30 bilhões de registros comprometidos em um período de 12 meses, mais do que o contabilizado nos 15 anos anteriores combinados. Isso ocorreu apesar de os investimentos em segurança cibernética terem superado outros gastos com TI em 2020, totalizando US$ 53 bilhões globalmente, o que representa um aumento de 10% na comparação com o ano anterior.</p>
<p>De maneira geral, os hackers possuem alto grau de eficiência em técnicas de engenharia social e com a pandemia do coronavírus, que acarretou com o trabalho remoto, o êxito só aumentou. No final de 2020, o Gartner observou um aumento nos relatórios de comprometimento de contas de e-mail comercial relacionado ao coronavírus e golpes de phishing, incluindo phishing de SMS (“smishing”), e ataques de roubo de credenciais.</p>
<p>Com informações que servem como ‘migalhas de pão’, somadas a cada vez maior profundidade de conhecimento sobre empresas e pessoas, além de uma pitada de criatividade, os hackers criam uma infinidade de armadilhas: invasão de webcams e posterior extorsão e chantagem com conteúdo impróprio obtidos, instalação de software espião que explora fragilidades de redes domésticas ou até públicas, roubo de senha com pulverização e cruzamento de conexões em redes sociais usando como base pontos de vista políticos compartilhados, grupos de mídia social, hobbies, esportes, interesses em videogames, ativismo e situações de crowdsourcing etc.</p>
<p>Além disso, bots (robôs) infectam navegadores web com extensões maliciosas que sequestram sessões de navegação na web e usam credenciais de rede social salvas no navegador para enviar mensagens infectadas a amigos. Em voga também foram os ‘baits’ (iscas) neste período crítico de pandemia sobre vacinação e auxílio emergencial.</p>
<p>Os criminosos sabem que elemento mais vulnerável de qualquer sistema de segurança da informação é o ser humano, que possui traços comportamentais e psicológicos que o torna suscetível a ataques. Em função disso, o modelo Zero-Trust está ganhando força. O conceito se baseia na ideia de que as organizações não devem, por padrão, confiar em nada que esteja dentro ou fora de sua rede ou perímetro.</p>
<p>Nesse cenário, ganham força as soluções de gestão de credenciais de alto privilégio e de identidade. A segurança baseada em autenticação contextual levará em consideração o que você sabe (senha/PIN), onde você está (na rede corporativa, VPN, aeroporto etc.), a aplicação a ser acessada, o que você possui (tokens físicos, soft tokens) e quem você é (biometria). A combinação desses fatores oferece um nível de risco e a consequente demanda por autenticação mais ou menos agressiva.</p>
<p>Quando falamos em segurança da informação, também precisamos entender o funcionamento da mente do usuário como um dos pilares da construção de uma arquitetura eficiente. Todo cuidado é pouco.</p>
<p><em>(*) Diretor de Pré-Vendas e Serviços Profissionais da Quest Software.</em></p>
