Você recebe um e-mail que tem como remetente o gerente ou o departamento de suporte do seu banco. A mensagem informa que o serviço de Internet Banking está com um problema que pode ser corrigido se você executar o aplicativo anexado. A execução mostra uma tela bem parecida àquela que você utiliza para ter acesso à sua conta bancária, aguardando que você digite a sua senha.
Já aconteceu? E mais de uma vez? Pois saiba que você foi vítima de um típico ataque de Engenharia Social. Que pode não estar causando prejuízos só para você, mas também para a empresa em que você trabalha. Paranóia? Não mesmo! “Muitos administradores de rede não sabem como é fácil invadir uma empresa conhecendo o nome, o CPF e o cargo de alguém. Some-se a isto o endereço de e-mail e uma senha... e é por aí que muita coisa acontece”, afirma o mestre em segurança de redes e consultor de segurança da Casa & Vídeo e do Senac-Rio, Gustavo Alberto Alves.
Para ele, a melhor forma de proteger os sistemas é pensar como hacker. “Sua empresa investiu milhões em segurança, o sistema está totalmente fechado, mas você tem um funcionário curioso que navega na Web, se cadastra em um monte de sites, tem várias contas de e-mail gratuitos, faz parte de um monte de listas, tem blog, fotolog... Basta que uma das senhas usadas por ele nesses locais seja igual a que ele usa na rede da empresa e está feito o trabalho. O hacker invade o seu sistema pela porta da frente, sem cerimônia”, diz Alves.
Por isso, a proteção da imagem da empresa, o cuidado com a privacidade dos usuários e com perdas provocadas por códigos maliciosos (vírus, vermes, back-door, spywares etc) e por spams, o vazamento de informações (via cookies, scams etc), e a disseminação da política e da cultura de segurança da informação entre os empregados devem ser as grandes preocupações, hoje, entre os administradores de sistemas.
O hacker é um exímio coletador de informações
Um ataque é sempre precedido de uma pesquisa extensa. Uma pessoa bem preparada para invadir um sistema começa procurando conhecer todas as vulnerabilidades reportadas, de todos os sistemas. Razão pela qual, nos últimos anos ficou muito mais difícil ver empresas reportando falhas e vulnerablidades, abertamente, na Internet. Hoje elas circulam só entre grupos fechados. “Os hackers mais perigosos ficam horas na Rede tentando saber tudo o que está acontecendo no mundo da informática, em fóruns e listas de discussão, trocando informações sobre as vulnerabilidades”, afirma Gustavo. “Um bom profissional de segurança deve fazer o mesmo, para tentar proteger eus sistemas”.
O passo seguinte é a coleta de informações sobre a empresa: quais sistemas usa (versão etc), nome completo dos funcionários, data de nascimento, telefone, informações sobre parceiros, código fonte do site institucional (principalmente em cima de servidores SQL) etc. O acesso a muitas dessas informações é possível através de Engenharia Social (direta ou indireta), pesquisas no lixo (especialmente o tecnológico), visitas a registros de domínio etc.
De posse desses dados, o hacker analisa e seleciona o que é útil, e monta a lógica de como usá-los. Em seguida, parte para o mapeamento da rede da empresa, através de ferramentas que mapeiam portas de acesso para vários protocolos. Só depois traça a estratégia da invasão – que depende basicamente de dois fatores: velocidade e pouca rastreabilidade.
Parece um processo lento, com muitas etapas, mas um hacker bem aparelhado, que use as ferramentas certas, consegue realizá-lo em poucas horas. A invasão é a parte mais fácil. O difícil é a coleta das informações. E eles estão cada vez mais engenhosos neste quesito.
Engenharia social: evite este ataque
Engenharia Social é o nome que se dá para a obtenção de informações importantes de pessoas ou empresas através do estabelecimento de uma relação de confiança ou mesmo através de um teatro (se fazer passar por outras pessoas). Existem duas formas de realizar este tipo de ataque: direta ou indiretamente. Os ataques diretos são feitos por contatos pessoais (telefonemas e até pessoalmente). Os indiretos, através de correspondência,scam, spam, conversas em salas de bate-papo, falsas telas de login e etc.
A melhor forma de se proteger é ficar atento aos detalhes e desconfiar de tudo o que fugir ao padrão. E mudar alguns hábitos e comportamentos, seus e dos departamentos de suporte da empresa.
Imaginem só o que um funcionário insatisfeito pode fazer se souber o nome do administador da rede? Basta um telefone para a mocinha do Financeiro (que não sabe nada de informática e vive pedindo suporte), fazendo-se passar pelo administrador, para ter acesso à senha dela depois de informá-la de que, para resolver problemas com a conta, precisa que ela altere a senha para a que ele vai passar.
O profile do Orkut é o Éden para as mentes mal intencionadas. É comum saber de casos como os da Flávia Lima, que em um dia de manutenção do site foi desviada pelo hacker para uma falsa tela de login, onde ele capturou sua senha. Que, por acaso, é a mesma de uma de suas contas de correio eletrônico. “Tenho dois e-mails do Hotmail, dois do Yahoo e um do BOL, mas o que mais uso foi justamente o invadido, e exatamente o que possui o login e a senha iguais aos da minha conta no Orkut e consta do profile do serviço”, conta ela.
Fazendo-se passar por Flávia, o invasor provocou algumas baixas no rol de amigos da moça. Mas foi só, porque ela agiu rápido.
“ O cara simplesmente se diverte vivendo a vida dos outros! Tem louco pra tudo nesse mundo, né?”, dispara.
Conscientização do usuário é o início de uma rede segura
Por mais que as empresas se protejam contra possíveis invasões de seus sistemas e roubos dos seus dados por agentes externos, não é surpresa quando esse ataque é detectado como feito de dentro do próprio ambiente corporativo. “Historicamente, as ameaças à segurança da empresa partem do ambiente interno. Isso é um dado estatístico”, garante Daniel Domeneghetti, diretor de estratégia e conhecimento da e-Consulting, que prepara uma grande pesquisa com empresas brasileiras, a ser divulgada semestralmente, como uma das iniciativas do Movimento Internet Segura (MIS).
Movimento Internet Segura tem início em novembro
Coordenada pela Câmara-e. net, a campanha visa ensinar ao internauta medidas para prevenir fraudes eletrônicas e operar na Web com mais confiança. “Queremos divulgar informações claras e precisas para os mais de 25 milhões de brasileiros com acesso à Rede”, diz o presidente da Câmara-e.net, Gastão Mattos. “Freqüentemente, a sensação de insegurança dos consumidores é muito maior que o problema em si”, afirma.
No MercadoLivre, o phishing scam (roubo da identidade do internauta, ludibriado por falsos e-mails de companhias sérias) anda tirando o sono de muita gente. “Os bancos costumam ser as vítimas preferidas dos scammers. Mas não são só eles. O MercadoLivre também tem sido vítima desses criminosos”, conta o diretor-presidente, Stelleo Tolda.
Segundo ele, o alvo preferido dos scammers são os vendedores com bom histórico no site. “Eles entram pela porta da frente, roubam o ID desses vendedores e depois trocam os dados de contato. Os compradores, por sua vez, atraídos pela boa reputação do vendedor, acabam ludibriados”, explica.
Os dados da sua empresa estão seguros? Duvido!
Esse é o provocativo título do livro de João Rocha Braga Filho, que pretende colocar ‘uma pulga atrás da orelha’ não só de diretores de tecnologia de grandes corporações. Mesmo tratando de um problema corporativo, o lançamento editorial é voltado especialmente para o usuário comum. Mas por quê? “Infelizmente, o usuário comum acaba sendo o elo mais fraco dessa corrente de segurança, por mera falta de conscientização. Atualmente, a segurança da informação não é um problema só do gerente de redes e sim, de todos”, explica o autor.
“ Muitas vezes a própria diretoria da empresa está disposta a pagar fortunas num firewall comercial, mas acaba deixando brechas numa política de usuários confusa. É bom lembrar que o valor do investimento nem sempre quer dizer retorno”, ressalta.
A conscientização sobre a importância do papel de todos os funcionários para a segurança da empresa pode ser feita através de palestras, Intranets sobre o tema, e-mails informativos e educativos. “E, principalmente, por uma política clara de usuários, mostrando o que é arriscado ou não, o que pode e o que não pode ser feito na rede da companhia”, diz Braga Filho.
Da Editora Brasport (
Confira algumas dicas que te ajudam na hora de se proteger contra hackers
Use o bom senso. A forma mais comum de propagação de vírus é o e-mail. Portanto, desconfie sempre de anexos e mensagens provenientes de remetente desconhecido. E não caia em arapucas do tipo “parabéns, você ganhou...”, nem em phishing scams, cada vez mais comuns.
Descarte senhas fáceis. Não seja óbvio ao criar suas senhas. Evite caracteres em seqüência ou repetidos, datas pessoais ou números de telefones, por exemplo. Vale misturar números e letras (maiúsculas e minúsculas). Senha não deve ser algo fácil de se memorizar. Quanto maior ela for, melhor.
Troque sua senha com freqüência. Semanalmente, de preferência. Nunca use uma senha para tudo: uma vez descoberta, o hacker vai testar em tudo o que você tenha acesso, de sites de e-commerce a de bancos. Não a forneça a ninguém, mesmo que solicitada por supostos funcionários de bancos.
Cuidado com micros de terceiros. Evite acessar Internet Banking ou comprar on-line em micros de terceiros. As ações podem estar sendo monitoradas.
Atenção ao acesso WAP. Nunca digite sua senha em celular que não seja o seu. Os números podem ser recuperados na memória do aparelho.
Nenhum comentário:
Postar um comentário