6 min de leitura

Como se proteger dos profilers, que hackeiam o comportamento das pessoas?

Quem tem conteúdos de negócios importantes em seu celular deve estar preocupado (a). Técnicas de engenharia social têm, cada vez mais, tornado vulneráveis sistemas considerados seguros. Saiba como se proteger

Hiago Rodrigues
29 de julho de 2024
Como se proteger dos profilers, que hackeiam o comportamento das pessoas?
Este conteúdo pertence à editoria Tecnologia, IA e dados Ver mais conteúdos
Link copiado para a área de transferência!

Desde que atacar sistemas e servidores passou a ser uma tarefa mais complicada e arriscada do que pressionar e manipular usuários destes mesmos sistemas e servidores, a garantir acessos de forma irrestrita, a engenharia social passou a ser timoneira em formas de ataques cibernéticos.

Ainda que pouco esclarecidas, técnicas de engenharia social são aplicadas sem exceção em ataques direcionados a pessoas e empresas, utilizando-se de brechas que não estão no sistema propriamente dito, mas na forma de uso de tecnologias e gestão de dados e acessos.

Percebendo esta fragilidade das pessoas em lidar com a sua segurança, hackers tem optado por métodos variados, e contam com a ajuda, muitas vezes, da própria vítima, que não entende e nem percebe o que está acontecendo enquanto fornece senhas e códigos de acesso, bem como seus dados pessoais.

CEOs passaram a ser alvos diretos de hackers por conta de seu alto grau de poder decisivo em organizações hierárquicas, além do impacto da mídia sobre o comprometimento de sua segurança, o que tem causado descrédito em negócios e desvalorização de marcas.

Outros alvos comuns são pessoas chave em organizações, como gestores, que tomam decisões e direcionam processos. Quando responder um e-mail de uma forma ou outra pode significar perder ou ganhar muito dinheiro, fechar negócios, e impactar processos e vidas, passar-se pela pessoa que responde este e-mail é um objetivo a ser alcançado por cibercriminosos.

Operações hackers profissionais, as chamadas hack-opps, são instaladas e organizadas de modo que, a partir de quando a empresa alvo tem suas pessoas chave identificadas, estas são isoladas, estudadas por um tipo específico de hacker, o profiler, que reúne e organiza todas as informações disponíveis dessas pessoas: o que ela posta, como se expõe, o que ela diz sobre si, onde ela vai, com quem ela conversa nas redes sociais, de uma forma com que essa pessoa possa ser hackeada, isto é: que hackers consigam se passar por ela em seus acessos, logins, sistemas e perfil, não só roubando seus dados de acesso, mas utilizando-os em paralelo, sem serem detectados, e assim não levantar suspeitas.

São casos assim os mais frequentes de espionagem industrial, ou roubos de informação confidencial dentro das organizações: o gestor acaba sendo vítima de um hacking, onde tudo aponta para que ele tenha cometido os crimes, enquanto hackers se passaram por ele. A investigação é um beco sem saída.

A pessoa ou empresa vítima mal consegue prestar queixa, devido ao escândalo da divulgação dos ocorridos, e os grandes sistemas serviços não conseguem prestar suporte de segurança, uma vez que constam nos registros que o próprio usuário fez os acessos.

E como isso acontece? Pela dificuldade destes gestores em lidarem com a atualização constante de políticas de segurança. Chaves de acesso, autenticação em dois e até três fatores, criptografia de senhas em PINs, dispositivos físicos de desbloqueio como chips e tokens – é muita coisa para carregar consigo enquanto esquema de segurança. Cada porta tem uma chave diferente, e carregar este chaveiro na consigo torna-se cada dia mais difícil, porque ele muda na medida em que torna-se obsoleto por novas estratégias de falhas de segurança. É desta dificuldade que se aproveitam os hackers.

Roubar acessos a smartphones, computadores, sistemas e aplicativos, antigamente, implicava tomar o controle do usuário verdadeiro, subir de nível dentro do sistema e com isso tomar o controle do administrador. Era algo muito dispendioso, para equipes profissionais. Hoje em dia basta se passar pelos usuários, e, sem que ele e nem o sistema perceba, mover o que é preciso: mandar e-mails fazer compras, roubar dinheiro, copiar bases de dados e clientes, deletar arquivos e informações.

E como podemos proteger um mundo digital que hackeia o comportamento das pessoas? A segurança digital, campo de estudo sobre o tema, tem a resposta: tornando a mentalidade do usuário mais aguçada para falhas de segurança, fazendo-o perceber quando algo está errado, tornando-o mais exigente e vigilante.

Assim como é necessário fazer uma boa gestão de pessoas, também passa a ser imprescindível fazer a gestão correta de como se lida com a segurança de todos os acessos, desde os mais triviais, como perfis em redes sociais, dispositivos pessoais como smartphones e tablets, até à lógica pessoal de como e quando se criar e alterar as próprias senhas. Parece simples, ou até paranoico, mas quando temos visto nos jornais as notícias de falhas de segurança e vazamentos, o que percebemos é o descuido com segurança, a princípio, das pessoas, e não grandes brechas nos sistemas.

Outro ponto a ser levado em conta é o da necessidade de tecnologias, acessos e contas tais como são instaladas na organização, uma vez que são disponibilizadas visando a produtividade, nem tanto a segurança. Precisa mesmo ter correio de voz? Tal usuário precisa ter acesso a todos os dados e funcionalidades de nível de acesso para realizar determinadas tarefas? Quais permissões estamos dando aos aplicativos enquanto os estalamos? Notamos que a falta de cuidado com temas simples é o que dá a brecha para ser explorada.

> Muitos CEOs já passaram a contar com consultores de segurança digital pessoais, para estudar seus modelos de segurança, brechas e pontos cegos que somente hackers conseguem enxergar, e assim blindar contra ataques

Em contrapartida a esse movimento de quebra de segurança, há empresas e pessoas preocupadas com esse tipo de ameaça, tomando medidas preventivas. Muitos CEOs já passaram a contar diretamente com consultores de segurança digital, para estudar seus modelos de segurança, brechas e pontos cegos que somente hackers conseguem enxergar, e assim blindar contra ataques que, muitas vezes, vão além de invasão a sistemas, até suas vidas pessoais.

Medidas de segurança para todos os sistemas, aparelhos e dispositivos hoje existem, e funcionam, basta que o usuário, inclusive o gestor, desperte em si e em sua equipe, a visão de vigilância e responsabilidade de ir lá naquele menu complicado, entender e configurar tudo o que for necessário para manter a segurança ideal, e a partir daí, cuidar de seu comportamento, suas formas de exposição de informações sobre si e sobre as organizações as quais pertencerem, afinal, nem todos podem ter acesso a todos os dados. Saber a quem, como e porque o acesso é garantido é o mínimo exigível para se manter seguro hoje em dia.

Hiago Rodrigues
Desde 2009, Hiago Rodrigues, conhecido como k1N, ajuda pessoas e empresas a assimilarem tecnologias de segurança digital, blindando-as de falhas de segurança e crimes cibernéticos. Hacker profiler, especializado em análises de perfis de alvos de ataques hacking, Rodrigues é CEO da Deepcript e pesquisador de modelos de engenharia social.

Deixe um comentário

Você atualizou a sua lista de conteúdos favoritos. Ver conteúdos
aqui