Como evitar ameaças de engenharia social nas empresas

Aconteceu faz pouco tempo. Personalidades como Elon Musk, Jeff Bezos, Bill Gates, Barack Obama e Joe Biden foram alvos de um golpe em redes sociais. Suas contas verificadas no Twitter foram usadas por hackers que pediam aos seguidores doações para o combate ao Covid-19. Na conta de Obama, por exemplo, a mensagem era: "Estou devolvendo dinheiro à minha comunidade devido ao Covid-19! Todo bitcoin enviado para o endereço abaixo será devolvido em dobro. Se você enviar US $ 1.000, receberá US $ 2.000! ” Na ocasião, o Twitter emitiu uma nota dizendo ter detectado o que eles acreditam ser um ataque coordenado de engenharia social.

Mas, o que exatamente é engenharia social? A resposta é simples: é a manipulação psicológica da mente das pessoas na tentativa de influenciá-las na divulgação de informações confidenciais. Isto pode acontecer tantos com contas de pessoas físicas quanto jurídicas. "Um invasor trabalhará diligentemente para ganhar a confiança do usuário, a fim de obter acesso a informações ou a um sistema, e o fará fornecendo informações falsas", explica o chefe de pesquisa e desenvolvimento da DigiCert, Avesta Hojjati.

Nesse tipo de ataque, o criminoso age como um usuário válido do sistema ou como um funcionário, assim obtém dados valiosos de desktops, lixeiras e sistemas de PCs. O invasor pode se passar por funcionário do suporte técnico terceirizado a fim de obter fácil acesso às informações que está procurando. Também é comum que ele finja ser uma pessoa autorizada válida com acesso total a um sistema ou informações. “O hacker se apresenta como a pessoa autorizada e incentiva terceiros a compartilhar detalhes confidenciais ou a invadir o sistema, acessando dados sigilosos” completa Avesta.

Assustador, né? Só que a boa notícia é que é possível proteger sua empresa de ataques de engenharia social. Veja como fazer isto:

1. Crie um treinamento eficaz sobre políticas de segurança

A maioria das políticas de segurança são documentos ocultos dos usuários corporativos. Geralmente é um documento assinado no primeiro dia de trabalho e raramente discutido novamente. Educar os usuários sobre práticas de segurança precisa ser mais do que uma etapa na orientação dos funcionários ou um item da lista de verificação. Tente repassar as orientações constantemente, de modo que os funcionários saibam tudo de cor. O conhecimento é uma das armas mais eficazes contra os ataques.

2. Compartilhe exemplos de casos reais

Mostrar para sua equipe casos reais de engenharia social pode ajudar a conscientizar o usuário sobre o que o ataque representa para os dados da empresa. Ao conhecer exemplos reais, os usuários conseguem identificar melhor qualquer tentativa de golpe e, desta maneira, tomar as medidas necessárias para evitar o dano.

3. Implemente autenticação multifator para pessoas e processos

É essencial que os administradores corporativos ofereçam suporte aos usuários com os processos certos a fim de proteger informações. A adição de camadas de proteção à segurança de dados corporativos pode garantir que os dados permaneçam seguros, mesmo quando alguns dos elementos da diretiva de segurança são quebrados.

A autenticação multifator é a chave para ajudar as empresas a manter as informações fora do alcance de cibercriminosos. Os administradores podem usar a autenticação multifatorial para adicionar restrições e acessar os dados mais confidenciais dos recursos da rede. Se um usuário puder acessar um sistema, mas o sistema exigir que os usuários verificados tenham um token ou certificado para acessar os dados, as empresas permanecerão seguras - mesmo contra ataques de engenharia social.

Avesta Hojjati é chefe de P&D da DigiCert, onde ele gerencia o desenvolvimento avançado de produtos de segurança cibernética. Antes de ingressar na DigiCert, Avesta fazia parte das equipes de segurança da Symantec e Yahoo, além de operar sua própria startup de segurança cibernética. Avesta se concentra na criptografia aplicada, blockchain, criptografia pós-quantum, além de segurança da Internet das Coisas. Ele obteve seu mestrado em ciência da computação focado em segurança pela Universidade de Illinois em Urbana Champaign, e atualmente está concluindo sua tese de doutorado em aplicações de blockchain e IoT na fabricação.

Sobre a DigiCert, Inc.

DigiCert é a provedora mundial de escaláveis TLS/SSL, soluções PKI para identidade e encriptografia. As empresas mais inovadoras, incluindo 89% das organizações da Fortune 500 e 97 - de um total de 100 maiores bancos globais - escolheram a DigiCert por sua experiência em identidade e criptografia para servidores web e Internet das Coisas. DigiCert suporta TLS/SSL e outros certificados digitais e desenvolvimento para PKI em qualquer escala por meio da plataforma de gerenciamento de ciclo de vida, a CertCentral®. A organização é reconhecida pela sua plataforma de gerenciamento, rapidez e um suporte reconhecido ao usuário, além de líder de mercado em soluções de segurança. Para as últimas notícias e atualizações, visite digicert.com ou siga @digicert.