Mais do que as eventuais falhas tecnológicas, as pessoas são o principal fator de risco para os dados e os sistemas das empresas. É essa a principal conclusão do "2021 Data Breach Investigations Report", estudo da Verizon, companhia norte-americana de telecomunicações, que analisou mais de 79 mil incidentes em 88 países. De acordo com o levantamento, 85% de todas as violações de dados que ocorreram em 2020 envolveram algum elemento humano.
O estudo aponta ainda o tamanho do prejuízo que invasões e roubos de dados geraram para muitas empresas. Segundo a Verizon, 95% dos ataques que levaram ao comprometimento do email corporativo custaram entre US$ 250 e US$ 985 mil às organizações. Entre as violações de dados de computadores, 95% dos prejuízos variaram entre US$ 148 e US$ 1,6 milhão. E o "ransomware", um tipo de golpe no qual o criminoso exige o pagamento de um resgate para devolver o acesso do usuário ao sistema, foi responsável por perdas de US$ 70 a US$ 1,2 milhão.
Os resultados da pesquisa ligam o alerta para o potencial da chamada "engenharia social", termo que define uma espécie de "hacking" humano, que utiliza técnicas de convencimento e manipulação psicológica para induzir alguém a quebrar procedimentos e normas de segurança para, então, invadir sistemas ou roubar dados corporativos.
Note-se que o engenheiro social não necessariamente possui conhecimento técnico para explorar vulnerabilidades de um software. O que ele tem principalmente é capacidade de influenciar e manipular pessoas que tenham acesso aos sistemas e, por ingenuidade ou ambição, acabam abrindo brechas para instalação de "malwares", que são programas criados para causar danos a computadores, servidores ou redes.
O "baiting" – ou isca, em português – é um tipo comum de ataque de engenharia social em que o criminoso deixa um pen drive infectado com um malware em algum lugar da companhia ou próximo a ela. A intenção é que o dispositivo seja encontrado por algum funcionário desavisado que, ao conectá-lo ao computador da empresa, libere o acesso a sistemas do seu próprio equipamento ou da rede corporativa.
Outro tipo conhecido de engenharia social é o "phishing", que ocorre quando o criminoso copia o layout do email de alguma instituição confiável para a vítima e envia uma mensagem solicitando informações ou a instalação de arquivos, por exemplo. É muito comum também que engenheiros sociais se façam passar por profissionais de TI para solicitar dados confidenciais ou pedir que a vítima instale softwares que supostamente resolverão algum problema.
Para combater a engenharia social e manter a segurança de sistemas e informações, as empresas precisam combinar soluções que garantam confidencialidade, integridade e proteção para sua base de dados com uma cultura de segurança corporativa.
Entre as soluções tecnológicas mais importantes para mitigar os riscos de ataques cibernéticos estão as de gerenciamento integrado de credenciais, acesso dedicado à internet, análise e gestão de vulnerabilidades e segurança perimetral, por exemplo. Também é importante contar com soluções que detectem ameaças internas e externas de forma proativa e em tempo real, antes que elas causem impactos no ambiente de TI ou nos negócios da empresa.
Para desenvolver a cultura de segurança corporativa, a dica é conscientizar as equipes dos riscos e das formas de atuação dos engenheiros sociais, ressaltando a importância de manter cuidados simples como não clicar em links desconhecidos, não conectar dispositivos estranhos ao computador da empresa, não baixar anexos de fontes não comprovadas e desconfiar de interações que solicitam dados pessoais, confidenciais ou de acesso à rede corporativa por email, telefone ou aplicativo de mensagens.