Com o entendimento de como funcionam essa nova modalidade de crimes virtuais, os gestores de TI podem implementar políticas completas de combate, as quais devem envolver pessoas, processos e tecnologias.
Por CIO/EUA
A incidência de crimes virtuais cometidos por meio da engenharia social, técnica de enganar pessoas para que elas revelem dados confidenciais particulares ou corporativos, está crescendo e marca uma nova geração de delitos online, cuja grande motivação é a financeira – e não mais a superação dos desafios de descobrir códigos sensíveis e ganhar a fama no mundo dos hackers.
O hacker norte-americano Kevin Mitnick ficou famoso por, na década de 60, conseguir informações secretas de grandes empresas dos Estados Unidos apenas ligando para alguns funcionários e, após conquistar a confiança deles, fazendo algumas perguntas. Se àquela época já era possível convencer os próprios usuários a fornecerem senhas, hoje com as redes sociais é ainda mais fácil enganar as pessoas para conseguir dados valiosos.
Com as informações que as próprias vítimas colocam em sites como o Twitter e Facebook, por exemplo, é possível direcionar a elas e-mails muito específicos, os quais despertam a curiosidade e fazem com que cliquem em mensagens contaminadas, instalando assim softwares maliciosos em suas máquinas.
Para combater essas ameaças as empresas devem investir no treinamento das pessoas, na criação de processos e em ferramentas de segurança. No entanto, para que esses investimentos sejam assertivos, é preciso que conheçam o ‘modus operandi’ dos criminosos contra os quais estão se protegendo. Assim, segue uma lista com as principais características das ações desses hackers.
Ataques direcionados a pequenos grupos são os mais comuns atualmente. E também os mais eficazes
Pesquisas recentes indicaram que hackers chineses estavam infiltrados em redes norte-americanas há anos, utilizando sofisticados métodos para influenciar pessoas, por meio do conhecimento de suas rotinas, círculos sociais e profissionais.
Especialistas em segurança afirmam que os criminosos conseguem instalar softwares maliciosos nos computadores das vítimas por meio do envio de e-mails altamente direcionados. Ou seja, após analisar o perfil da vítima nas redes sociais, o hacker cria uma mensagem com um título atraente a cada pessoa.
Quando a mensagem é aberta, o vírus, trojan ou spyware se instala na máquina, capturando todas as informações do usuário, incluindo senhas de banco, números de cartão de crédito, login para a rede da empresa onde atuam, entre outros.
Sim, ataques direcionados a muitas pessoas ainda funcionam
Os criminosos também apostam na atuação por meio do envio de mensagens a destinatários indiscriminados utilizando títulos genéricos como “aquela foto que você me pediu”, “consulta para agendamento de entrevista de emprego”, entre outros. Mesmo que pareça inacreditável, muitas pessoas ainda caem nessas armadilhas.
“Como esses tipos de criminosos ganham dinheiro de acordo com a quantidade de instalação dos softwares maliciosos anexados, a escolha por mandar milhares de e-mails é muito lucrativa”, afirma o diretor de pesquisa forense da Universidade do Alabama, nos Estados Unidos, Gary Warner, que complementa: “Se 10% dos destinatários abrirem o arquivo anexado na mensagem, o ataque já vale a pena para os criminosos.”
“Não existe almoço grátis”
Os criminosos adoram tentar as vítimas com a oferta de brindes. “O que mais atrai os usuários atualmente são os dispositivos tecnológicos móveis da moda”, afirma o consultor que é contratado para testar a segurança das empresas, Sherri Davidoff.
Ela explica que o golpe mais comum de engenharia social utilizado nesses casos é aquele em que o fraudador liga ou manda e-mails para milhares de usuários alegando estar fazendo uma pesquisa de satisfação ou avaliação da marca e avisa que os participantes ganharão um iPod, por exemplo.
“No entanto, para participar, eles devem abrir um anexo e preencher o documento e, quando fazem isso têm o computador infectado com softwares de monitoramento, os quais registram senhas e todas as informações transacionadas por meio daquela máquina.
Os usuários confiam em contatos das redes sociais
Mesmo sem conhecer, os usuários aceitam pessoas como amigas em redes como Facebook, Twitter e Orkut. Usando dessa facilidade, os hackers enviam ameaças por meio de mensagens diretas às vítimas. “Como muitas empresas permitem o acesso dos funcionários a esses sites, devem ter ferramentas específicas de proteção para redes sociais”, diz o diretor da polícia inglesa Scotland Yard, Steve Santorelli.
