Com relação às ameaças, o primeiro ponto a ser compreendido é o conceito de ameaças. Então vamos lá… Para a segurança da informação ou segurança cibernética a ameaça é um evento que tem como objetivo causar algum perigo “incidente” a um ou mais ativos de TI (tecnologias, processos e pessoas) de uma organização. Podemos entender o “evento” como um fato causador de um dano ou perda, por exemplo: uma mensagem eletrônica de autenticidade forjada com um código malicioso – trojan, ransomware, ou qualquer outro tipo de vírus.
Seja qual for o tipo de ameaça, ela sempre terá um agente. Ou seja, uma entidade que pode iniciar a ocorrência de uma ameaça. Essa entidade por sua vez poderá ser: uma pessoa, exemplo: um criminoso virtual ou um usuário de forma involuntária; um evento natural, exemplo: enchente, tempestade, ventos fortes, etc.; uma falha tecnológica, exemplo: falha em um componente eletrônico (hardware) ou um bug em um software; uma falha elétrica, um incêndio e assim por diante.
Neste sentido, podemos então perceber que termos ameaças não intencionais tais como: erros humanos, falhas de componentes eletrônicos ou equipamentos, desastres naturais e até problemas relacionados a falhas de comunicação. E, ameaças intencionais tais como: furto ou roubo de dados e informações, vandalismo, terrorismo, utilização ou acesso a recursos e serviços computacionais de forma não autorizada; violação as medidas de proteção e segurança dentre outras e, todos os tipos de ameaça irão trazer consigo uma consequência. Ou seja, um resultado indesejado em decorrência da ação realizada de uma ameaça e seu agente ao bem ou ativo da organização.
As ameaças podem variar conforme o grau (severidade) de dano(s) ou perigo(s) ela representa. Neste contexto podemos classificar ameaças como: alto, médio ou baixo, a exemplo do que fazemos com relação ao risco. Aqui cabe apresentar também o conceito de risco que pode ser compreendido como uma medida da probabilidade da ocorrência de uma ameaça, ou a probabilidade de um evento não desejável que proporcione a perda ou danos a um ativo ocorrer. Neste contexto, o risco sempre corresponderá ao grau de dano ou perda e, praticamente todo o risco sempre será seguido de uma consequência que pode em alguns casos ser difícil de prever. Lembre-se: uma ameaça irá variar de acordo com a severidade, enquanto um risco irá variar de acordo com a probabilidade.
Para realizar o tratamento de riscos e ameaças, as equipes de segurança da informação ou segurança cibernética devem manter sua atenção na mitigação ou eliminação de vulnerabilidades. Pois, são as vulnerabilidades que proporcionam a fonte alimentar para as ameaças e riscos. Uma vez que a equipe de segurança da informação mitigar ou eliminar essa fonte alimentar (vulnerabilidade) a ameaça por si só se torna sem efeito e isto implica diretamente na tratativa de mitigação ou eliminação do risco.
Dizem por aí que o ser humano deve sempre ser estudado, principalmente pela NASA não é verdade? Bem, preferi iniciar assim, porque justamente com relação às estratégias utilizadas pelos seres humanos que praticam atos ilícitos no universo da tecnologia da informação, são sem dúvidas as mais mirabolantes e, — por que não dizer? Criativas!
Dentre as estratégias mais utilizadas por criminosos cibernéticos, destacam-se: (a) engenharia social que estudaremos mais a frente; (b) a criação de códigos maliciosos tais como: vírus, trojans, worms, backdoors, etc.; © falsificação de identidade para se obter a acesso físico ou lógico ao ambiente organizacional ou ativo de TI; (d) fraude; (e) impedimento ou negação de serviços ou recursos; (f) elevação de privilégios; (g) pirataria de software, entre outras…
Com relação aos tipos de ataques, estes podem ocorrer de forma manual, no qual o elemento atacante (ameaça) atua de forma manual realizando um ataque ao alvo e, de forma automática, no qual o elemento atacante (ameaça) utiliza algum tipo de ferramenta ou mecanismos automáticos como, por exemplo, um código malicioso ou um programa robô que irá de maneira automática tentar concretizar o ataque.
Considerada uma das estratégias mais utilizadas para realizar um crime cibernético a uma organização, a engenharia social sem dúvida é um dos tipos de ataques que tiram o sono das equipes de segurança da informação e principalmente das equipes de segurança cibernética. Isto porque, a engenharia social tem como propósito explorar diversas vulnerabilidades presentes no ativo de TI mais valioso e frágil de uma organização, as “pessoas”.
Chantler e Broadhurst (2006) em sua publicação Social Engineering and Crime Prevention in Cyberspace, descrevem a engenharia social como “o uso de armadilhas psicológicas, manipulação do comportamento através de farsas por cibercriminosos em usuários desavisados para obter acesso a informações”. Por sua vez, CHITREY, SINGH apud KUMAR, CHAUDHARY (2015) descrevem a engenharia social como “o ato de obter acesso não autorizado a um sistema ou informações sensíveis, como senhas, através do uso de confiança e construção de relacionamento com aqueles que têm acesso a essas informações”. Por fim, Mitnick e Simon (2003) ainda acrescento que a engenharia social é um conjunto de práticas utilizadas para a obtenção de informações relevantes ou sigilosas de uma organização ou indivíduo, por meio da persuasão, manipulação e influência das pessoas seja com o uso ou não da tecnologia.
Ao analisarmos todos os conceitos apresentados pelos autores, podemos concluir que a engenharia social pode ser compreendida como a arte de enganar, manipular e persuadir pessoas com o uso ou não de recursos tecnológicos, com o intuito de obter acesso a um sistema ou recursos computacionais ou não, bem como fazer com que ela “pessoa” possa fornecer informações sigilosas ou realizar algum tipo de ato ou ação sob o comando de quem está praticando o ato de enganar, manipular e persuadir. Mas, o que torna a engenharia social a estratégia preferida e mais utilizada por criminosos cibernéticos?
Bem, entre os fatores que tornam a engenharia social a “queridinha” dos criminosos cibernéticos, citamos: (a) pessoas – são o elemento mais fraco dos ativos de TI. Isto porque, as pessoas possuem atributos tais como: ganância, curiosidade, solidariedade, afeto, etc., que são consideradas vulnerabilidades humanas do ponto de vista dos criminosos cibernéticos, proporcionando excelentes pontos de abordagem para a utilização da engenharia social; (b) conhecimento – infelizmente, mesmo sendo o momento atual que vivemos conhecido como a “era da comunicação” onde, a informação está presente em nossa palma da mão através dos mais variados dispositivos computacionais portáteis e mobiles tais como: notebooks, tablets, smartphones, etc., podendo ser acessada e consumida a qualquer tempo ou momento, uma grande parte das pessoas e sociedades têm pouca, quase nada ou nenhum conhecimento sobre os perigos, ameaças e riscos dos quais estão sujeitas no espaço cibernético, ou seja, na Internet ou em qualquer ambiente virtual. Não é por acaso que de acordo com a reportagem do sítio Olhar Digital (2020) entre os anos de 2020 e 2021 houve no Brasil um aumento dos crimes cibernéticos relacionados à engenharia social de mais de 300%. Segundo os especialistas em segurança cibernética citados na reportagem, no Brasil atuam pelo menos 11 gangues de criminosos cibernéticos especializados em realizar golpes de extorsão e estelionato de pessoas através da engenharia social. Mas, Como as pessoas, sociedades e principalmente as organizações podem se prevenir contra esse tipo de crime cibernético?
Bem, sabemos que o momento atual que vivemos é o momento em que o mundo passa por um processo de transformação digital, onde cada vez mais pessoas, sociedades, organizações e coisas estão cada vez mais interconectados e dependentes dos serviços e recursos que as tecnologias oferecem para que possamos alcançar nossos sonhos, desejos, objetivos e necessidades.
Neste contexto, sem dúvida, podemos dizer que vivemos no momento “ouro” da tecnologia e do conhecimento, onde os dados são o novo petróleo do mundo, onde os sistemas de informação, os aplicativos e demais sistemas computacionais auxiliam todos nós seres humanos em diversas áreas tais como: medicina, saúde, desenvolvimento, inovação, lazer, bem-estar, etc., a alcançar tudo aquilo que desejamos ou sonhamos. Podemos até ter aquele sentimento de que o que seria da raça humana sem as tecnologias da informação ou, por exemplo, sem a rede mundial de computadores, a Internet?
Sendo assim, a resposta para a pergunta está em nossas próprias mãos. E qual seria? Bem, seria o “conhecimento”. Pois somente com o conhecimento que é a chave para o saber é que vai proporcionar às pessoas, sociedades e organizações os subsídios necessários para se prevenir contra as diversas ameaças cibernéticas e vencer essa batalha do bem contra o mal. Conhecer e saber, quais tipos de vulnerabilidades possuímos com relação às tecnologias da informação, as nossas fraquezas, formas de utilizar as tecnologias da informação de maneira segura, as possíveis e inúmeras estratégias e tipos de ataques que as ameaças possam inferir em nós e como nos prevenirmos e, estarmos preparados para enfrentá-las é sem dúvida alguma a chave para o sucesso e a vitória contra esses criminosos e ameaças virtuais.
Que tal conhecermos um pouco mais sobre a engenharia social? Assista aos vídeos: