Redes sociais: sete razões para serem verdadeiramente perigosas

“Os sites de redes sociais são uma verdadeira praga” do ponto de vista da segurança corporativa.

Sites como o Facebook e o LinkedIn são uma fonte rica para os invasores em busca dos dados de que necessitam para lançar ataques de engenharia social, denuncia um especialista em segurança. As redes sociais são, na sua opinião, o melhor lugar para os ciber-criminosos recolherem dados corporativos valiosos ou infiltrarem-se em redes empresariais. “Os sites de redes sociais são uma verdadeira praga” do ponto de vista da segurança corporativa, afirma Alan Lustiger, director de segurança de informação da Gain Capital Holdings.
Eis as sete razões apontadas por Lustiger:
1 – A pesquisa em sites sociais por nomes de empresas revela, mesmo que parcialmente, uma lista dos seus funcionários, o que facilita bastante o trabalho de quem pretende explorar ataques de engenharia social.
2 – Os endereços corporativos de e-mail publicados em sites sociais fornecem informações valiosas. Se o esquema de formação dos e-mails (inicial do primeiro nome e apelido, ou primeiro nome mais “sublinhado” e apelido) for o mesmo da senha do utilizador, então a segurança estará comprometida. “É meio caminho para divulgar o seu nome de utilizador e password”, avisa.
3 – As informações publicadas em sites sociais dão pistas os ciber-criminosos tentarem adivinhar as passwords – nomes de crianças, comida favorita, equipas desportivas, etc.
4 – Os concursos falsos anunciados em sites sociais que exigem todo o tipo de dados, e que podem ser usados para redefinir passwords: que escola frequentou, nome do seu primeiro animal de estimação, o nome de solteira da sua mãe, entre outros.
5 – As URLs abreviadas frequentemente usadas no Twitter podem conduzir a qualquer lugar, não dando qualquer pista sobre o site de destino.
6 – Os “bulletin boards” podem gerar notícias de vagas de empregos no departamento de TI de determinadas empresas na mira dos delinquentes. Estes podem, então, candidatar-se a entrevistas e, nelas, obter informações detalhadas sobre a rede corporativa para posteriormente utilizarem em ataques.
7 – O uso de tecnologia GPS por parte do Google Latitude torna público o local onde a pessoa está num determinado momento, revelando também todos os lugares onde não está. Os criminosos que procuram um pretexto para entrar num edifício comercial podem usar esta informação para passar na empresa e pedir para falar com um empregado que já sabem não estar lá.
Lustiger diz que tudo o que os exploradores de esquemas de engenharia social precisam é de conseguir pôr um pé dentro da empresa, mesmo que seja apenas na área da recepção. Basta que um deles entre, pergunte por alguém que não está lá, decida esperar e, então, peça à recepcionista para imprimir uma folha de cálculo que supostamente deveria ser levada à reunião com a pessoa que não está lá. As recepcionistas, normalmente solícitas, inserem então uma pen drive USB no seu computador para imprimir o tal documento. Nesse momento, o malware contido na pen instala uma porta de entrada na rede da empresa, usada posteriormente para roubar dados ou libertar código destrutivo – e tudo sem deixar rasto.
Outro truque de engenharia social passa por conseguir qualquer vaga na empresa, dando ao invasor acesso interno às redes e mais tempo para causar estragos. De acordo com Alan Lustiger, isso é algo que “levaria apenas alguns minutos a conseguir e não seria difícil de fazer”.
Educar os empregados sobre os riscos é a melhor forma de bloquear vectores de ataque social, diz Lustiger. E aplicar essas medidas nas suas vidas pessoais também ajudaria. “Porque motivo havemos de indicar a nossa data de aniversário num website?”, questiona, lembrando que esta a informação pode ser utilizada como um factor de identificação para adivinhar passwords ou roubar identidades. E dá um exemplo da melhor forma de agir, praticado por ele próprio: utilizar uma data de nascimento falsa para se proteger contra o roubo de identidade.
As recomendações de segurança física que os empregados deveriam seguir incluem não deixar que outras pessoas aproveitem a passagem por uma porta aberta depois de alguém a ter destrancado com um cartão, e pedir a identificação a qualquer pessoa que não seja reconhecida como funcionário.
Quanto aos sites de redes sociais, as equipas de segurança empresariais deveriam promover a monitorização dos sites de rede sociais usados pelos seus funcionários em busca de informação que, uma vez tornada pública, poderia comprometer a segurança dos activos da empresa. “Os funcionários estão constantemente a pôr informação da empresa lá fora, mesmo nos seus tempos livres”, alerta.
Mesmo as empresas mais diligentes estão vulneráveis, diz o director de segurança de informação da Gain Capital Holdings. “É virtualmente impossível defender-se contra um invasor que usa esquemas de engenharia social e que seja realmente dedicado e tenha tempo suficiente para essa tarefa”, considera.




Deixe um comentário

O seu email não será publicado