A Engenharia Social como Risco de Cibersegurança

Em um novo contexto de Transformação Digital, onde estão incluídos Inteligência Artificial, Machine Learning, equipes remotas e Internet das Coisas (IoT), algumas das preocupações de pessoas, governos e empresas estão ligadas aos dados gerados por essas tecnologias, e a consequente proteção destes dados, cada vez mais descentralizados. Apesar desta evolução, as pessoas e organizações estão cada vez mais expostas ao roubo e utilização indevida destes dados. Neste cenário, a introdução de regulações como a GDPR e LGPD exige que as informações pessoais sejam devidamente protegidas, sob pena de pesadas sanções em caso de vazamento de dados. O Gartner estima que o gasto mundial em Segurança da Informação em 2019 irá ultrapassar a cifra dos USD 124 bilhões , um aumento de 8,7% em relação a 2018. Entre esses números está a implantação de soluções como antivírus, firewalls e, mais recentemente, ferramentas de Gerenciamento de Acesso Privilegiado (PAM) e seguros cibernéticos.

No mesmo caminho, não somente a quantidade de vazamento de dados está crescendo, como também os custos associados aos incidentes de segurança. Calcula-se que o custo médio de um ataque cibernético aumentou 12% no último ano, alcançando USD 13 milhões. Além disto, segundo a Accenture no relatório Cost of Cybercrime Study, em um universo de 2.647 líderes de 355 organizações, houve um aumento de 11% no número de vazamentos de dados entre 2017 e 2018. A partir destes números, surge uma dúvida: por que, apesar do aumento nos gastos em cibersegurança, a quantidade e o custo dos vazamentos de dados continuam a aumentar?

...com a evolução das tecnologias de proteção à infraestrutura, a forma mais utilizada e efetiva de realizar ataques cibernéticos envolvem mais aspectos sociais do que técnicos.

Uma das respostas é que, com a evolução das tecnologias de proteção à infraestrutura, a forma mais utilizada e efetiva de realizar ataques cibernéticos envolvem mais aspectos sociais do que técnicos. Desta maneira, a exploração de falhas humanas tem sido a maneira favorita para que os criminosos cibernéticos alcancem seus objetivos. Essas técnicas utilizadas para a manipulação de alvos humanos também são chamadas de engenharia social. Nesse contexto, a engenharia social é utilizada para induzir vítimas a revelarem informações confidenciais, ou executarem ações que quebram protocolos de segurança implementados pela organização.

A Verizon conclui em seu relatório Data Breach Investigations que 33% dos mais de 40.000 incidentes de segurança pesquisados incluíram ataques de engenharia social. Mesmo que por acidente ou intencional, os colaboradores de uma organização normalmente são a causa raiz de um ataque cibernético. Boa parte dos ataques de engenharia social acontece através de e-mail, tanto através de contatos comprometidos por um ataque quanto por outras fontes confiáveis. Normalmente essas mensagens contêm um link ou arquivo anexo que, quando abertos, podem instalar um software malicioso na máquina do usuário. Esse software permite ao invasor controle total ou parcial da máquina do usuário, ou até criptografar todos os dados da máquina (ou do ambiente inteiro), exigindo um pagamento como resgate. Estudos mostram que, na maioria destes ataques, o alvo dos atacantes são credenciais privilegiadas e que sua principal motivação é a obtenção de vantagens financeiras.

Outro alvo preferido pelos agentes maliciosos são os executivos, obviamente pelo seu papel e influência da organização. A Verizon calcula que o pessoal de alto escalão tem 12 vezes mais probabilidade de serem alvos de um ataque através de phishing. Ao utilizar dados de logins e senha vazados um atacante pode, por exemplo, utilizar a senha de uma conta pessoal para invadir uma conta corporativa. Desta maneira é fácil enviar, através da conta comprometida, um simples e-mail para o setor financeiro solicitando a transferência de recursos para outras contas correntes. Ou até abrir um chamado no helpdesk para reinicialização de senha em um banco de dados ou um sistema ERP.

Um dos casos de ciberataque mais famoso é o Stuxnet, um malware que infectou os sistemas SCADA (sigla para Sistemas de Controle de Automação e Monitoramento Industrial) da Siemens , instalados na usina Iraniana de Natanz. Acredita-se que o Stuxnet foi desenvolvido por algum governo e introduzido na planta por meio de um pendrive. Assim, mais de 200.000 computadores foram infectados e 1.000 máquinas pararam de funcionar.

...a engenharia social vem cada vez mais sendo incluída como riscos à Segurança da Informação e principalmente à continuidade dos negócios.

Outra tática que vem intrigando especialistas, e que pode ser considerada uma evolução da engenharia social, é a utilização de sintetizadores de voz baseados em Inteligência Artificial. Em um caso recente no Reino Unido, criminosos conseguiram roubar mais de £200.000 de uma companhia de energia, falsificando a voz do seu CEO e convencendo o setor financeiro a realizar transferências bancárias para contas correntes na Hungria. Por ataques como esses, a engenharia social vem cada vez mais sendo incluída como riscos à Segurança da Informação e principalmente à continuidade dos negócios.

É compreensível que os atacantes concentrem seus esforços neste tipo de ataque: com a evolução das soluções em cibersegurança, fica cada vez mais difícil penetrar ambientes apenas contando com aspectos técnicas e vulnerabilidades. Consequentemente, os cibercriminosos vêm concentrando esforços em explorar falhas humanas a partir da utilização de técnicas de phishing utilizando contatos confiáveis. Assim, outra resposta para a pergunta anterior inclui o fato que, de nada adianta alto investimento em soluções de Segurança da Informação se as empresas não estão dispostas a investir também em consciência cibernética para seus empregados, inclusive os C-level. Prova disso é que padrões como ISO 27001 e o Framework de Cibersegurança do NIST incluem treinamento em segurança como um componente importante da conformidade com essas normas. Esses padrões recomendam ações de conscientização envolvendo desde vídeos educativos e newsletters até workshops. É certo que o investimento na implementação dessas medidas será bem menor que os eventuais custos associados a um comprometimento de dados causado por um ataque de engenharia social.

Algumas das melhores práticas para a proteção do ambiente cibernético das organizações incluem manter seus softwares atualizados, além de implementar políticas formais de segurança e um plano de resposta a incidentes. Lógico que, para completar este rol, devemos incluir nessa lista treinamentos em cibersegurança. Esse tipo de ação deve deixar os seus colaboradores cientes dos modos que os criminosos cibernéticos podem se infiltrar no ambiente organizacional, além de treiná-los a reconhecer sinais de um eventual vazamento de dados e como utilizar a rede corporativa de maneira segura. Assim, é possível reduzir os riscos em cibersegurança, assegurando também conformidade com padrões e garantindo a continuidade dos negócios das organizações.