Engenharia social: o inimigo desconhecido

Com a popularização de vírus, cavalos-de-tróia e outras pragas virtuais, somos obrigados a nos proteger a qualquer custo. Antivírus, firewalls e diversos outros métodos de prevenção e proteção estão disponíveis para qualquer pessoa. Para isso, bastam algumas navegações na Internet e/ou a leitura de algumas revistas especializadas – lá está o nosso acesso a essas tecnologias. Mas, por incrível que pareça, esses problemas não são exatamente os mais críticos para indivíduos e empresas que buscam se proteger em suas andanças e transações on-line.
Existe uma técnica, denominada engenharia social, que poucos conhecem e, por essa razão, poucos se previnem. A engenharia social se baseia na obtenção, pelo invasor, de informações privadas de indivíduos e empresas (como senhas) por meio de contatos com funcionários/colaboradores, familiares etc., bem como acesso a documentos importantes no sentido de facilitar sua incursão pelo mundo “protegido” da potencial vítima.
A pergunta óbvia é: “Mas como?”. A resposta é simples. Com um simples gesto de confiança, e até mesmo de ingenuidade, durante uma conversa por telefone, e-mail ou chat, você pode ter suas informações liberadas por seus conhecidos, parentes e colegas de trabalho.
Temos como exemplo o caso de um grande hacker, reconhecido mundialmente, que vasculhava até o lixo das empresas atrás de documentos sigilosos. Com isso, ele encontrou muitas informações confidenciais, aproveitando-as posteriormente para ataques em seu benefício pessoal.
Engenharia social é tão perigosa e tão potencialmente inevitável porque é sobre a natureza humana. É, portanto, sobre confiança, sobre boa fé, sobre pressão e barganha, sobre falha humana. É, em essência, o mesmo método usado por golpistas, alpinistas sociais, prostitutas e estelionatários. É sobre se aproximar de pessoas próximas à vítima (ou mesmo da vítima), coletar informações (disfarçando intenções, revestindo-se de cargos, urgências e necessidades) e usá-las para violar a segurança dessas vítimas.
Imagine-se construindo uma casa e pensando em sua segurança. Você coloca grades, cercas elétricas, alarmes, cadeados e outros itens para protegê-la. Então, uma pessoa, devidamente estilizada, utilizando-se da Engenharia Social (alegando, por exemplo, ser um eletricista, um encanador ou um colega de trabalho), convence quem está dentro (por exemplo, a empregada doméstica ou as crianças), a desligar todo esse arsenal de defesa e abrir a porta. Pronto!
Ok, pessoalmente é mais difícil. Mas… e remotamente? Faça o teste: peça para uma amiga ligar para sua casa, alegando ser sua secretária ou seu chefe e dizer que não consegue lhe encontrar. Peça-a para pedir uma informação classificada (tipo senha do banco, senha de cartão de crédito, projetos em que está envolvido, viagens marcadas, clientes que atende etc.), alegando urgência (coisa do gênero… se não enviar, ele poderá perder o emprego). Parece muito mais letal e factível, certo? E é.
O ponto crítico é que se trata de falha humana – não importa a quantidade de empecilhos que existam. Ela sempre é possível, pois a matéria-prima para sua ocorrência é a confiança, a aproximação humana, o senso de proteção e cooperação, a urgência, a desinformação…
Transportando este exemplo para o mundo da tecnologia, podemos dizer que as falhas não existem apenas nos servidores e firewalls, mas também em quem os controla e configura: o homem.
A solução para evitar estes problemas é efetuar treinamentos maciços acompanhados da divulgação adequada da política de segurança da empresa. Dentro desses treinamentos, devem ser explorados todos os meios com que uma pessoa pode ter acesso a essas informações e conscientizar seus funcionários dessas ações. Prevenção é o nome do jogo, mas punições, obviamente, devem estar previstas.
Hoje, a disseminação de informações sigilosas, alterações de informações e diversas outras ações, promovidas por pessoas mal-intencionadas, executadas em ambientes digitais ou não, podem acarretar em sérios prejuízos financeiros, perda da confiabilidade perante os clientes e muitas outras conseqüências inimagináveis.
Porém, muitas destas ações podem ser evitadas com a utilização de políticas de segurança claras e concisas e a disponibilização de treinamento adequado, entre outras ações preventivas.
Mas lembremo-nos: a engenharia social sempre será um fantasma presente no dia-a-dia das pessoas, pelo menos enquanto houver vida em sociedade. Inteligência, olho aberto, políticas claras, comunicação eficiente, ação rápida e canja de galinha não fazem mal a ninguém.
Daniel Domeneghetti é sócio-fundador e diretor de Estratégia da E-Consulting Corp. e vice-presidente de Conhecimento e Métricas da Câmara Brasileira de Comércio Eletrônico (Camara-e.net).