Se você nunca ouviu falar de Engenharia Social talvez esteja pensando que isto seja algo ligado a algum ramo de engenharia focada na área social. Mas não é bem assim! Engenharia Social é como descrevemos ataques de cibercriminosos a informações confidenciais de uma empresa, seja ela micro, pequena, média ou grande.
Mensagem do banco Nordea informando seus clientes sobre Phishing, uma das maneiras mais populares de Engenharia Social
Uma das técnicas de Engenharia Social mais conhecidas é o phishing, que ocorre quando ao receber um e-mail informando que você acabou de ganhar R$ 100.000 também pede para que você informe seus dados pessoais pois assim o pagamento de seu prêmio poderá ser efetuado. Alguns golpes de phishing são facilmente identificados pela vítima, que ao suspeitar da linguagem informal do texto, erros gramaticais na mensagem e o endereço de email desconhecido, acabam optando por não fornecer os dados.
Outros golpes são um pouco mais “robustos” e cibercriminosos fazem cópias praticamente idênticas de um site idôneo, como por exemplo um banco, para enganar a vítima. Embora estas sejam práticas muito conhecidas, elas continuam populares e atingindo muita gente, principalmente as pessoas mais idosas que entraram para o “mundo virtual” recentemente e não sabem dos perigos que correm.
Mas a pergunta é: o que isso tem a ver com a minha empresa?
Um erro fatal que microempresários cometem ao abrirem suas empresas é não levar a segurança de dados de maneira séria desde o início; afinal de contas: “por que devo ser tão cuidadoso se no momento somente 3 pessoas trabalham comigo e todas são de total confiança?”
O problema é que, conforme uma empresa começa a crescer, e novos funcionários são contratados, o risco da mesma se tornar uma vítima de cibercriminosos aumenta. Nesses casos, a gerência da companhia passa a dar informações confusas ao seus empregados sobre como lidar com a internet no ambiente de trabalho, pois não estão preparados para ataques em potencial.
E é dessa forma que cibercriminosos tomam proveito da situação. Na ânsia de querer ser útil e mostrar serviço, funcionários que não possuem o devido treinamento e nenhum conhecimento sobre engenharia social, acabam por cometer equívocos que colocam em cheque não somente a própria privacidade do funcionário, mas também os dados secretos da empresa.
Recebemos todos os dias aqui na AVAST pedidos de ajuda por parte de nossos usuários sobre como lidar com spams e vírus que contraíram online, o que mostra que mesmo pessoas jovens e com um conhecimento básico (e até mesmo avançado) de TI, acabam se tornando vítimas.
É claro que a esta altura você deve estar pensando que vamos sugerir a você a instalação de um antivírus em sua rede de computadores, certo? Entretanto, embora isso realmente seja um ótimo passo inicial para garantir uma melhor proteção de seus dados, lembre-se que após a instalação do antivírus, regras claras e específicas sobre como a internet dentro da sua empresa deve ser usada precisam ser implementadas para evitar ataques de engenharia social.
Ao falar sobre isso, muitos empresários já pensam em proibir o uso de canais de mídia social (como Facebook, Twitter, Instagram, etc) no serviço, mas esta atitude além de interroper o processo de promoção de sua empresa na internet por parte de seus funcionários, dificilmente resolverá o problema, pois como dito, cibercriminosos podem conseguir acesso aos seus dados confidenciais até mesmo via e-mails.
A melhor maneira de lidar com isso é criando o mais rápido possível um guia de boas práticas de uso da internet. A Febraban (Federação Brasileira de Bancos), por exemplo, tem uma “Cartilha de Redes Sociais”, que poderia ser usada como inspiração para moldar o guia da sua empresa.
Para que essa iniciativa funcione bem, adicione informações especificamente relacionadas à sua industria, comércio e atividades internas. Realce o perigo de golpes de phishing e (como mais conhecido recentemente), “spearphishing”.Deixe claro o que cada funcionário deve fazer caso suspeite de algo, quem ele ou ela deve procurar para informar sobre a situação e encoraje as pessoas a falar sobre o assunto com seus colegas.
Se possível, organize ao menos a cada semestre uma reunião com todos os seus funcionários informando sobre os ataques mais recentes e dê informações sobre o que fazer para que eles não se tornem as próximas vítimas.
Manter o guia de boas práticas exposto em locais visíveis dentro do escritório também é fundamental. Ajude seus funcionários a se lembrarem deste importante “detalhe” que eles retribuirão o favor criando uma rede de administração segura para a sua empresa.
Obrigado por utilizar o avast! Antivírus e por recomendar-nos aos seus amigos e familiares. Encontre as últimas notícias, divirta-se, participe de concursos e muito mais no Facebook,Twitter, Google+ e Instagram. Dono do próprio negócio? Descubra mais sobre os nossos produtos corporativos.