“Existe uma fraqueza garantida em qualquer sistema de segurança: o coração humano”. A frase em questão foi dita por CJ, protagonista de GTA San Andreas, em 2004, mas serve de lição ainda hoje para empresas como a Rockstar Games, desenvolvedora do jogo. A gigante do entretenimento interativo sofreu um grande ataque hacker recentemente, com o vazamento de GTA 6, que possivelmente teve o fator humano como principal vulnerabilidade.
Assim como a Rockstar, outra grande companhia também foi invadida recentemente, a Uber, e o autor de ambos os ataques pode ter apenas 16 anos de idade. Mas como um jovem conseguiu acesso aos arquivos de multinacionais bilionárias? Ao que tudo indica, a principal arma do cibercriminoso foi a engenharia social.
Tecnologia, negócios e comportamento sob um olhar crítico.
Assine já o The BRIEF, a newsletter diária que te deixa por dentro de tudo
Conceito bastante antigo e rudimentar da segurança digital, a engenharia social não precisa de equipamentos de alta tecnologia ou conhecimentos rebuscados para realizar ataques. O método aposta na manipulação de seres humanos para obter vantagem, acessar sistemas e obter privilégios para realizar estragos maiores.
Manipulação e ingenuidade são os principais ingredientes dos ataques de engenharia social
“Golpes baseados em engenharia social são construídos em torno de como as pessoas pensam e agem”, explica a empresa de segurança Kaspersky. “Uma vez que um invasor entenda o que motiva as ações de um usuário, ele pode enganá-lo e manipulá-lo de forma eficaz.
Assim como golpes pré-internet, os hackers que apostam na engenharia social montam narrativas para envolver a vítima e enganá-la. Seja com um e-mail fingindo ser o chefe pedindo dados ou uma "supermodelo" te mandando mensagens sobre o trabalho, o ataque pode vir a qualquer momento.
O elo fraco
Segundo as declarações da Uber e da Rockstar, as empresas sofreram um ataque de engenharia social que mirou em funcionários para obter um login no Slack. O aplicativo de mensagens, que funciona da mesma maneira que o Microsoft Teams, traz uma interface similar ao Discord e é utilizado por empresas para trabalho remoto.
Em um comunicado enviado ao TecMundo, o Slack disse que está investigando os incidentes envolvendo Uber e Take-Two, dona da Rockstar, mas a empresa afirma que não encontrou evidências de vulnerabilidade em seus serviços.Ou seja, não se trata de uma vulnerabilidade de segurança de software ou hardware: os hackers se aproveitaram da ingenuidade de funcionários das companhias para obter acessos privilegiados.
Os hackers se aproveitaram da ingenuidade de funcionários para obter acessos privilegiados
Com a pandemia e o crescimento do home office, plataformas como o Slack se tornaram parte essencial do dia a dia de muitos funcionários, o que acaba gerando aberturas de segurança. Agora, materiais sigilosos que estariam fora de acesso online, como vídeos de gameplay de GTA 6, são compartilhados em plataformas online para facilitar a rotina de desenvolvimento.
Assim, com apenas uma credencial de acesso obtida via engenharia social, os hackers podem conseguir uma grande quantidade de dados. No caso da Rockstar, cerca de 3 GB de detalhes sobre o jogo foram obtidos e divulgados, além do suposto código-fonte de GTA V e GTA 6, gerando um grande problema para a Rockstar.
Segundo William Bergamo, co-fundador e VP de Novos Negócios da e-Safer, algumas companhias ainda não estão lidando seriamente com os perigos trazidos pelo home office na segurança digital. “A questão do trabalho remoto no que tange a segurança da informação representa um grande desafio que infelizmente ainda tem sido negligenciado por muitas empresas, independente do porte”.
De acordo com o especialista, o trabalho remoto deixa o funcionário e seus dados fora de um ambiente minimamente controlado, o que facilita o roubo de informações. E mesmo que apenas um login seja roubado, os danos podem ser de grande porte, como mostram os casos recentes de Rockstar e Uber.
Proteção contra engenharia social
Enquanto softwares de antivírus conseguem bloquear malwares, a proteção contra engenharia social exige um preparo mais profundo e dedicado de empresas e funcionários. “É extremamente importante ter uma política de segurança da informação, promover campanhas de conscientização seguidas de treinamentos avaliativos desses treinamentos”, explica Bergamo.
Além de conscientizar funcionários, o comandante da e-Safer recomenda que as empresas segmentem acessos e apliquem políticas de “confiança zero”. Assim, caso um funcionário seja atingido, nem toda a cadeia de dados do negócio será afetada.
Outra solução simples que pode auxiliar na proteção de logins é a clássica autenticação dupla. Seja com um aplicativo dedicado ou um simples e-mail ou mensagem de texto, a solução já garante uma camada extra de proteção, desde que você não compartilhe a informação com o hacker.
Por fim, vale ao funcionário ficar atento ao avistar possíveis comportamentos estranhos, desde e-mails que parecem suspeitos até links que podem conter formulários falsos. Como o ser humano é o ponto fraco nos ataques de engenharia social, é ideal prestar atenção para não acabar virando uma vítima.
Tecnologia, negócios e comportamento sob um olhar crítico.
Assine já o The BRIEF, a newsletter diária que te deixa por dentro de tudo
Categorias
