Como se proteger dos profilers, que hackeiam o comportamento das pessoas?

Desde que atacar sistemas e servidores passou a ser uma tarefa mais complicada e arriscada do que pressionar e manipular usuários destes mesmos sistemas e servidores, a garantir acessos de forma irrestrita, a engenharia social passou a ser timoneira em formas de ataques cibernéticos. 

Ainda que pouco esclarecidas, técnicas de engenharia social são aplicadas sem exceção em ataques direcionados a pessoas e empresas, utilizando-se de brechas que não estão no sistema propriamente dito, mas na forma de uso de tecnologias e gestão de dados e acessos. 

Percebendo esta fragilidade das pessoas em lidar com a sua segurança, hackers tem optado por métodos variados, e contam com a ajuda, muitas vezes, da própria vítima, que não entende e nem percebe o que está acontecendo enquanto fornece senhas e códigos de acesso, bem como seus dados pessoais. 

CEOs passaram a ser alvos diretos de hackers por conta de seu alto grau de poder decisivo em organizações hierárquicas, além do impacto da mídia sobre o comprometimento de sua segurança, o que tem causado descrédito em negócios e desvalorização de marcas. 

Outros alvos comuns são pessoas chave em organizações, como gestores, que tomam decisões e direcionam processos. Quando responder um e-mail de uma forma ou outra pode significar perder ou ganhar muito dinheiro, fechar negócios, e impactar processos e vidas, passar-se pela pessoa que responde este e-mail é um objetivo a ser alcançado por cibercriminosos. 

Operações hackers profissionais, as chamadas hack-opps, são instaladas e organizadas de modo que, a partir de quando a empresa alvo tem suas pessoas chave identificadas, estas são isoladas, estudadas por um tipo específico de hacker, o profiler, que reúne e organiza todas as informações disponíveis dessas pessoas: o que ela posta, como se expõe, o que ela diz sobre si, onde ela vai, com quem ela conversa nas redes sociais, de uma forma com que essa pessoa possa ser hackeada, isto é: que hackers consigam se passar por ela em seus acessos, logins, sistemas e perfil, não só roubando seus dados de acesso, mas utilizando-os em paralelo, sem serem detectados, e assim não levantar suspeitas. 

São casos assim os mais frequentes de espionagem industrial, ou roubos de informação confidencial dentro das organizações: o gestor acaba sendo vítima de um hacking, onde tudo aponta para que ele tenha cometido os crimes, enquanto hackers se passaram por ele. A investigação é um beco sem saída. 

A pessoa ou empresa vítima mal consegue prestar queixa, devido ao escândalo da divulgação dos ocorridos, e os grandes sistemas serviços não conseguem prestar suporte de segurança, uma vez que constam nos registros que o próprio usuário fez os acessos. 

E como isso acontece? Pela dificuldade destes gestores em lidarem com a atualização constante de políticas de segurança. Chaves de acesso, autenticação em dois e até três fatores, criptografia de senhas em PINs, dispositivos físicos de desbloqueio como chips e tokens – é muita coisa para carregar consigo enquanto esquema de segurança. Cada porta tem uma chave diferente, e carregar este chaveiro na consigo torna-se cada dia mais difícil, porque ele muda na medida em que torna-se obsoleto por novas estratégias de falhas de segurança. É desta dificuldade que se aproveitam os hackers. 

Roubar acessos a smartphones, computadores, sistemas e aplicativos, antigamente, implicava tomar o controle do usuário verdadeiro, subir de nível dentro do sistema e com isso tomar o controle do administrador. Era algo muito dispendioso, para equipes profissionais. Hoje em dia basta se passar pelos usuários, e, sem que ele e nem o sistema perceba, mover o que é preciso: mandar e-mails fazer compras, roubar dinheiro, copiar bases de dados e clientes, deletar arquivos e informações. 

E como podemos proteger um mundo digital que hackeia o comportamento das pessoas? A segurança digital, campo de estudo sobre o tema, tem a resposta: tornando a mentalidade do usuário mais aguçada para falhas de segurança, fazendo-o perceber quando algo está errado, tornando-o mais exigente e vigilante. 

Assim como é necessário fazer uma boa gestão de pessoas, também passa a ser imprescindível fazer a gestão correta de como se lida com a segurança de todos os acessos, desde os mais triviais, como perfis em redes sociais, dispositivos pessoais como smartphones e tablets, até à lógica pessoal de como e quando se criar e alterar as próprias senhas. Parece simples, ou até paranoico, mas quando temos visto nos jornais as notícias de falhas de segurança e vazamentos, o que percebemos é o descuido com segurança, a princípio, das pessoas, e não grandes brechas nos sistemas. 

Outro ponto a ser levado em conta é o da necessidade de tecnologias, acessos e contas tais como são instaladas na organização, uma vez que são disponibilizadas visando a produtividade, nem tanto a segurança. Precisa mesmo ter correio de voz? Tal usuário precisa ter acesso a todos os dados e funcionalidades de nível de acesso para realizar determinadas tarefas? Quais permissões estamos dando aos aplicativos enquanto os estalamos? Notamos que a falta de cuidado com temas simples é o que dá a brecha para ser explorada. 

> Muitos CEOs já passaram a contar com consultores de segurança digital pessoais, para estudar seus modelos de segurança, brechas e pontos cegos que somente hackers conseguem enxergar, e assim blindar contra ataques

Em contrapartida a esse movimento de quebra de segurança, há empresas e pessoas preocupadas com esse tipo de ameaça, tomando medidas preventivas. Muitos CEOs já passaram a contar diretamente com consultores de segurança digital, para estudar seus modelos de segurança, brechas e pontos cegos que somente hackers conseguem enxergar, e assim blindar contra ataques que, muitas vezes, vão além de invasão a sistemas, até suas vidas pessoais. 

Medidas de segurança para todos os sistemas, aparelhos e dispositivos hoje existem, e funcionam, basta que o usuário, inclusive o gestor, desperte em si e em sua equipe, a visão de vigilância e responsabilidade de ir lá naquele menu complicado, entender e configurar tudo o que for necessário para manter a segurança ideal, e a partir daí, cuidar de seu comportamento, suas formas de exposição de informações sobre si e sobre as organizações as quais pertencerem, afinal, nem todos podem ter acesso a todos os dados. Saber a quem, como e porque o acesso é garantido é o mínimo exigível para se manter seguro hoje em dia.