“Espero que este e-mail o encontre bem. Estamos a implementar algumas melhorias na segurança dos nossos sistemas e precisamos da sua colaboração para garantir uma transição suave. Como parte deste processo, estamos a actualizar os nossos protocolos de login para garantir a proteção adequada das suas informações pessoais e dos dados da empresa. Por favor, siga o link abaixo para atualizar as suas credenciais de login”.
O parágrafo acima podia ser o início de um qualquer email de phishing; os leitores já viram centenas, se não milhares, de mensagens semelhantes direcionadas aos seus colaboradores com o intuito de roubar a informação ou credenciais de acesso de um funcionário de uma organização.
Ainda que o phishing seja o tipo de engenharia social mais premente, não é o único, e o tema nem sequer se esgota no mundo digital; um indivíduo fazer-se passar por um funcionário ou um prestador de serviços para ganhar acesso a edifícios ou áreas restritas é exemplo disso.
A evolução dos ataques de engenharia social
Os atacantes precisam de uma porta de entrada para lançar os seus ataques contra uma organização e, por vezes, a forma mais fácil não é a descoberta de uma vulnerabilidade zero-day; é atacar o que está entre o teclado e a cadeira: o colaborador.
Ricardo Silva, Business Developer de Cybersecurity da Claranet Portugal, relembra que a engenharia social é “uma das táticas mais utilizadas pelos cibercriminosos” que tem o objetivo “de explorar a confiança e o comportamento humanos para obter informações confidenciais”. Na era digital, esta tática “continua a evoluir à medida que os atores maliciosos se adaptam às mudanças tecnológicas e às práticas de segurança e cibersegurança adotadas pelas organizações”.
Olga Carvalho, Cybersecurity Engineer da Noesis, recorda que a engenharia social “é uma técnica antiga que explora e manipula a psicologia humana” e lembra o Cavalo de Troia, “talvez o ataque de engenharia social mais antigo e popular da História”. Desde então, e ainda que o objetivo seja o mesmo – enganar –, os ataques de engenharia social “evoluíram significativamente em termos de técnicas, sofisticação e alcance”.
A Inteligência Artificial (IA), por exemplo, veio, diz Olga Carvalho, “aumentar a capacidade das ferramentas, como personificar a voz de pessoas conhecidas das vítimas; do conteúdo; e das técnicas que os cibercriminosos utilizam para estes ataques”.
Para Bruno Castro, Fundador e CEO da VisionWare, estes ataques estão a evoluir de forma “cada vez mais sofisticada, personalizada e direcionada”. Os cibercriminosos estão a utilizar técnicas mais elaboradas, “principalmente com recurso à inteligência artificial generativa, através da falsificação da imagem e voz de CEO, colegas e clientes”.
Ao mesmo tempo, afirma Bruno Castro, também as campanhas de phishing e spear phishing têm “evoluído, tornando-se cada vez mais difíceis de distinguir”, sendo “mais personalizadas e contendo menos formas de deteção visual”. Para além das “tecnologias avançadas e da manipulação psicológica”, os criminosos “têm ao seu dispor cada vez mais meios para obter acesso não autorizado a informações confidenciais”.
Os desafios ao lidar com os ataques
Olga Carvalho relembra que a engenharia social coloca “um grande desafio às empresas”, uma vez que “ataques deste tipo visam as vulnerabilidades humanas e não tecnológicas” que são “significativamente mais difíceis de detetar”. Assim, “uma boa cultura de cibersegurança com uma forte componente de educação dos colaboradores é a primeira linha de defesa contra estes ataques”.
Testar e formar (e repetir quantas vezes for necessário)
Realizar formações ou cursos sobre o tema e treinos reguladores de consciencialização – como simulações de phishing – são algumas das práticas que as organizações podem e devem implementar junto dos seus colaboradores, partilha Bruno Castro. Ao mesmo tempo, é “essencial” disponibilizar “formação adicional para quem não tiver sucesso nas avaliações”.
Outras práticas, diz o fundador e CEO da VisionWare, incluem “o incentivo à adoção de medidas de segurança, como a verificação de fontes de comunicação antes de clicar em links ou fornecer informações confidenciais; no fundo, promover uma crescente adoção de cultura de segurança e higiene digital que tem necessariamente de passar por todos os colaboradores, até ao top management, sem exceção”.
Criar uma cultura de segurança
Com as ameaças a crescerem, é importante que os colaboradores percebam o risco que não só eles próprios, mas a própria empresa enfrenta. A resposta passa por criar uma cultura de segurança onde exista uma consciencialização dos colaboradores para o risco.
É certo que os colaboradores devem ser a primeira linha de defesa de qualquer organização, mas é preciso tecnologia para quando esta primeira linha falhar. Assim, e como indica Olga Carvalho, a primeira linha de defesa são os colaboradores sensibilizados; a segunda sustenta-se na tecnologia.
