Você tem um software antivírus e firewalls vigiando seus computadores. Você faz download as actualizações de segurança. Você tem feito tudo que pode para ficar seguro. Mas sua rede ainda está correndo riscos.
Por quê?
Porque um funcionário pode inadvertidamente entregar a chave do cofre.
A maior ameaça para um computador não é um problema de hardware ou software. É a engenharia social.
O que isso significa: Alguém vai tentar ganhar a confiança de um funcionário. Informação que possa ser tirada desse funcionário coloca tudo em perigo.
A engenharia social conta com o fato de que muitas pessoas são simpáticas. Elas querem ajudar. Há uma inclinação natural para dar uma mão quando alguém está com um problema.
Essas tentativas podem ser feitas por telefone, via e-mail ou através de Messenger instantâneo. As empresas maiores correm mais risco, porque os empregados não se conhecem, porém, as empresas pequenas também podem ser vítimas. Ficar anónimo é importante para o hacker. Mas o peixe pequeno numa empresa também pode ser “caçado”.
Portanto, vamos dar uma olhada em quatro situações diferentes de engenharia social e os meios de neutralizá-las.
1ª Situação:
Quem telefona não está trabalhando na sua rede. Um de seus empregados mais novos recebe um telefonema de um técnico de manutenção de computadores. “Meu nome é José da Silva,” diz o técnico. “A rede de sua empresa está com problemas e eu estou trabalhando nisso. Preciso que você digite alguns comandos.”
Para quem ouve, parece brincadeira. Qualquer técnico de manutenção autorizado vai ter acesso à rede, se ele precisar. Como ele poderia consertar o problema?
A pessoa que telefona está contanto com o desejo natural de ajudar o seu empregado. Seu funcionário provavelmente não entenderá os comandos que lhe pedem para digitar. Eles podem expor a estrutura da rede ou abrir um buraco na segurança.
A pessoa ao telefone pede então ao funcionário que identifique seu computador. "A-ha," diz ele. "Essa é a máquina que está causando os problemas. Preciso de seu nome de usuário e senha.”
Depois que a pessoa tiver essas informações, você pode ter um problema de roubo de identidade. Ele tem uma rota para entrar no seu sistema e sabe como sua rede está estruturada. Se você tiver um banco de dados de clientes e seus cartões de crédito, ele pode ftransferi-lo. Ou ele pode entrar em sua folha de pagamento, onde vai encontrar números de CPF e RG.
Se sua empresa for suficientemente grande, quem liga pode alegar que é do departamento de TI da empresa. De qualquer modo, o resultado é o mesmo.
O que fazer?
Treine seus funcionários para nunca, jamais, dar informação a essas pessoas (o que pode servir tambme para o próprio). Técnicos de manutenção de computador já têm acesso à rede. Se eles não tiverem, deve haver uma boa razão para isso. E eles já deveriam ter uma senha privilegiada do sistema. Eles não precisam da senha de um funcionário.
No mínimo, o funcionário deve falar com seu chefe antes de revelar informação confidencial.
2ª Situação:
Esse e-mail não é do José. Uma de suas funcionárias recebe um e-mail. Vem do amigo dela chamado José. Vem com um anexo. Sem pensar muito, ela abre o anexo. É algo que não lhe interessa, portanto, ela exclui o e-mail e esquece o assunto.
Infelizmente o anexo contém um cavalo de Tróia. Seu antivírus devia derrotá-lo. Mas talvez você não tenha actualizado seu antivírus. O Troiano pode usar uma porta dos fundos no Windows para baixar programas mais perigosos.
Estes programas podem abrir seu caminho pela sua rede, procurando cartões de crédito e números de documentos.
Os funcionários nunca devem abrir arquivos anexos (isto tambem serve para si) que eles não estejam esperando. Endereços de retorno autorizados podem ser facilmente roubados por worms. O fato de que o e-mail trazia o endereço de retorno de José não quer dizer nada. Se sua funcionária não estava esperando uma mensagem do José, ele devia ter falado com ele antes de abrir.
3ª Situação: Quando os hackers estiverem a fazer "phishing," não morda a isca. Um funcionário recebe um e-mail dizendo que sua conta na eBay (ou PayPal, Citibank, América Online, etc.) tem algum problema. Ele é informado que deve visitar uma certa página para obter mais detalhes. O spam inclui um link.
Quando ele clica no link, abre-se uma página com o logótipo da empresa. Ela explica que sua conta vai ser fechada a menos que ele a re-autorize. A página pede então o nome de usuário e senha.
Ou pode pedir o número do cartão de crédito, ou CPF. Às vezes pede o nome da mãe. (muitas vezes usado para refazer um passaporte).
O criminoso médio não é um intelectual, de modo que no começo esses esquemas não eram sofisticados. As páginas de “phishing” eram mal desenhadas, e não e raro que vinham em linguagem com erros. E os seus endereços na Web claramente não tinham nada a ver com as empresas que eles supostamente representavam.
Mais recentemente as páginas passaram a ser projectadas com mais cuidado. E elas frequentemente contêm o logótipo da eBay ou de outras empresas. Você encontrará links para as páginas reais das empresas. É fácil ser enganado.
Portanto, lembre-se: a eBay não vai pedir sua senha. Nem a AOL ou outra empresa legítima. Faça Delete em qualquer spam, inclusive estes pitches.
As pessoas muitas vezes usam a mesma senha para tudo. Assim, a senha para a eBay pode dar acesso também para a sua rede, uma conta bancária ou outras informações confidenciais. Portanto tente variar as senhas para as suas contas na internet.
4ª Situação:
Um bom sistema de segurança vai protegê-lo tecnologicamente e socialmente.
Seus funcionários estão lá para fazer um trabalho. Provavelmente estão sobrecarregados, portanto, não vão se preocupar com segurança. Mas você deve treiná-los a nunca dar informação confidencial (o que pode servir para si), a menos que tenham certeza da identidade do solicitante, e nunca abrir um arquivo anexo que não estejam esperando. (Você pensa que as senhas são seguras? Num estudo feito em Londres, transeuntes escolhidos ao acaso foram solicitados a dar suas senhas em troca de um chupa-chupa. Setenta por cento concordaram!).
Mas mesmo os funcionários mais bem treinados podem ser enganados. O desejo de ser útil pode induzi-los a erro. Assuma que seu sistema em algum momento será invadido; mantenha informações confidenciais fora do alcance da maioria dos funcionários. Apenas aqueles com real necessidade devem ter acesso ao banco de dados ou à folha de pagamento.
Mesmo que um worm entre em seu sistema, ele pode ser neutralizado. Se você actualizar o seu antivírus e Windows, os worms podem ser escondidos ou bloqueados. Certifique-se que o Firewall em seu Router foi activado e adequadamente configurado.
Os worms e tecnologias de vírus estão se sofisticando rapidamente. Junto com os problemas de engenharia social, a ameaça para sua empresa é real. Você precisa ficar alerta.
Fonte: http://www.microsoft.com/brasil/security/smb/shield.mspx
