Cimento Itambé

Portal Itambé
Ligue-nos

Engenharia social, o novo nome da espionagem industrial

Gestão 30 de setembro de 2009

Técnicas para burlar segurança e obter informações sigilosas ganham nova roupagem para favorecer a competição desleal entre empresas

Engenharia social. A nomenclatura inocente esconde técnicas de persuasão que dão a ela um novo conceito de espionagem industrial. Ao contrário de outros métodos para burlar sistemas de segurança, que utilizam a internet como a ferramenta principal, a Engenharia Social se abastece da ilusão e da exploração da confiança das pessoas. “O ambiente corporativo atual, onde há pressão por resultados, risco constante de desemprego e rivalidade entre os colaboradores, favorece o profissional desta área”, relata o especialista em segurança da informação Wanderson Castilho.

Wanderson Castilho

Wanderson Castilho

Normalmente, as pessoas mais vulneráveis à engenharia social dentro das empresas são as que atuam em funções como secretárias ou em departamentos de tecnologia da informação ou recursos humanos. “Quem utiliza esta técnica costuma se passar por outra pessoa, assumir outra personalidade ou fingir que é profissional de determinada área para entrar nas organizações. Tenho um case de uma pessoa que se passou por office boy do departamento de contabilidade de uma empresa e roubou toda a estratégia de preços para repassar para um concorrente”, exemplifica Wanderson Castilho.

O especialista ressalta que a engenharia social explora sofisticadamente as falhas de segurança humana, que por falta de treinamento para esses ataques podem ser facilmente manipuladas. Por isso, para se proteger, ou até evitar novos ataques, as empresas têm recorrido cada vez mais à preparação dos funcionários. Os profissionais contratados para orientar os colaboradores são, na maioria das vezes, engenheiros sociais que já estiveram do outro lado. “O método de proteção consiste em criar processos de checagem, delimitando acessos, horários e isolando departamentos estratégicos da empresa”, cita Wanderson Castilho.

O treinamento estabelece uma política de segurança da informação dentro da empresa, e baseia-se em educar os funcionários a sempre certificar-se de que a pessoa a quem vai fornecer as informações é realmente quem diz ser. Orienta-se ainda a tomar cuidado com papéis jogados no lixo e a se proteger do ambiente fora da empresa. Afinal, o elemento de maior vulnerabilidade em qualquer sistema é o ser humano.

Alguns traços comportamentais e psicológicos são mais susceptíveis à engenharia social. Entre eles, estão:

• Vontade de ser útil – O ser humano, comumente, procura agir com cortesia, bem como ajudar outros quando necessário.
• Busca por novas amizades – O ser humano costuma se agradar e sentir-se bem quando elogiado, ficando mais vulnerável e aberto a fornecer informações.
• Propagação de responsabilidade – Trata-se da situação na qual o ser humano considera que ele não é o único responsável por um conjunto de atividades.
• Persuasão – Compreende quase uma arte a capacidade de convencer pessoas, onde se busca obter respostas específicas. Isto é possível porque as pessoas têm características comportamentais que as tornam vulneráveis à manipulação.

Wanderson Castilho ressalta que, mesmo com treinamento, nenhuma empresa fica 100% protegida da engenharia social. O aspecto humano impede que isso ocorra. Porém, o que se consegue com eficiência é proteger os dados confidenciais da corporação. “Assim, se algo vazar, será uma informação menos relevante”, afirma. O treinamento prioriza seis etapas: plano de proteção física, continuidade dos negócios, análise de riscos, ações de engenharia, plano de contingência e plano de conscientização de todos os colaboradores, incluindo os terceirizados.

Do bem e do mal

Algumas empresas têm engenheiros sociais em seus quadros de funcionários. O objetivo deles é detectar colaboradores vulneráveis ao roubo de informações e dar-lhes assistência. Neste caso, os engenheiros sociais atuam em conjunto com os psicólogos das corporações, detectando quadros depressivos e de solidão, já que pessoas com esses sintomas são altamente sujeitas à aproximação de desconhecidos. Neste caso, a engenharia social é usada para o bem.

No entanto, se utilizada para o mal, a engenharia social torna-se crime e pode ser enquadrada nos artigos 171 e 299 do Código Civil Penal. Trata-se de estelionato, com pena de reclusão de um a cinco anos, além de multa, e falsidade ideológica, com pena de reclusão de um a três anos, além de multa.

Entrevistado:

Wanderson Castilho é advogado e físico, com especialidade em segurança da informação. Ele atua como perito de crimes digitais e na implantação de políticas de segurança da informação e investigação forense. Cria soluções para empresas de todos os portes, como em casos de crimes eletrônicos, roubo de informações empresarias, tentativas de extorsão, sequestros, difamação, jogos fraudulentos e casos de pessoas desaparecidas.
E-mail: wanderson@e-netsecurity.com.br

Jornalista responsável – Altair Santos MTB 2330 – Vogg Branded Content



Tags:
Leia também: