Quem assistiu a filmes que glamorizam o cibercrime — como “Anonymous”, de 2016, ou “Hacker”, de 2015 — talvez pense que invasão na internet implique necessariamente em encontrar senhas por exaustivas combinações ou injetar trojans interceptando redes de dados. O que poucos atentam é que, na vida real, boa parte dos ataques a computadores e servidores é feita de uma forma muito mais simples, por engenharia social.
Mas o que é engenharia social? O que diferencia esse tipo de intrusão de outras formas de invasão de sistemas? Como se prevenir? São respostas para questões como essas que você verá a partir de agora. Acompanhe!
O que é engenharia social?
Engenharia social é uma forma de conseguir acesso a dados sensíveis por meio das falhas do próprio usuário ou por técnicas de persuasão e ilusão, violando privacidade e segurança de seus sistemas.
Não se trata necessariamente de uma estratégia exclusivamente digital: o engenheiro social pode se passar por alguém que não é, usando sua influência ou o convencimento a fim de receber senhas, ou informações não autorizadas. Isso pode ocorrer em um telefonema, em um e-mail com link malicioso ou até mediante uma página falsa, à espera de uma vítima desavisada.
Os crackers (especialistas em quebras de sistemas de segurança) se aproveitam da falta de habilidade de funcionários, bem como da ausência de políticas corporativas de uso dos recursos computacionais para armar a “isca” que fará dos colaboradores os principais agentes ativos no roubo de dados. Na prática, a engenharia social ainda ocorre por diversas maneiras, como você verá abaixo!
E-mails de phishing
Segundo relatório do United States Computer Emergency Readiness Team (US-CERT), 95% dos ataques hackers se iniciam por phishing. Essa técnica, extremamente comum, baseia-se em remeter e-mails à vítima com links que dão acesso às páginas clonadas.
Nesse caso, a relação de confiança criada pelo violador conduzirá o usuário a um site falso, com layout idêntico à matriz original — fazendo com que, inadvertidamente, sejam digitadas informações de acesso ao bankline, por exemplo.
Basta uma inserção de dados no formulário falso e o cibercriminoso terá nas mãos os dados mais importantes quando se trata de realizar transações bancárias não autorizadas. Vale lembrar que isso costuma acontecer com sites bancários, mas também com “cópias” de ambientes de acesso de sistemas de gestão.
Anexos maliciosos
Mais uma situação comum. Você recebe um e-mail em seu correio corporativo e nele a Receita Federal informa a necessidade de atualizar o módulo de Escrituração Contábil Digital (ECD). Após clicar no endereço e fazer a atualização, não percebe que, na verdade, acaba de levar para dentro da rede um arquivo “espião”. Através dele será possível monitorar as atividades dentro do ERP e, claro, “pescar” dados sensíveis.
Vishing
O vishing funciona como o phishing, só que se dá por telefone. Essa iniciativa ocorre quando o criminoso já tem seu nome e telefone, além de saber suas rotinas em sistemas diversos. Aqui, você recebe uma ligação de uma pessoa se passando por outra (oficial de justiça, analista tributário ou gerente de banco). Ela o convence a transmitir, por telefone, dados pessoais que possam ser usados posteriormente em fraudes.
Falsos antivírus
Estratégia mais recente de engenharia social, consiste em se aproveitar justamente do receio do usuário em ter seus sistemas violados para invadi-los. Seria o caso de um funcionário de um escritório contábil que, trabalhando em casa durante a pandemia do novo coronavírus, esteja com receio de ter dados empresariais roubados por acesso ao ERP a partir de seu laptop pessoal.
Ao encontrar um pop-up com direcionamento a um novo antivírus, cuja versão premium é gratuita por 90 dias, decide baixar a solução e, enfim, ficar protegido. O problema é que o arquivo tem um malware disfarçado, o que faz com que, ao rodar o programa, seja apontada a ausência de ameaças.
Como isso pode afetar sua contabilidade?
Os departamentos contábeis, que lidam com montanhas de informações sigilosas diariamente — como fluxo de caixa, demonstrativos de resultados, balanços e alinhamentos de contas bancárias —, são alguns dos alvos preferidos dos cibercriminosos especializados em engenharia social. Portanto, exige-se extrema atenção tanto no momento de escolher o ERP ideal quanto no treinamento da equipe.
Sobre esse tema, aliás, vale a pena destacar uma pesquisa encabeçada pela norte-americana Keeper Security, que constatou que 66% das PMEs acham que não estão suscetíveis a ataques hackers. Essa confiança é contraposta, no entanto, por outro levantamento, feito em 2017, que conclui que 65% dos ataques virtuais miram justamente as pequenas e médias empresas.
Como você pode perceber, a favor da ação dos cibercriminosos está a baixa preocupação dos gestores com a proteção de suas informações, o que é amplificado no universo das PMEs. Nesse microcosmo, a falta de recursos acaba fazendo com que segurança da informação seja colocada de lado no momento de optar por um sistema de gestão contábil, por exemplo.
O problema é que um único ataque, seja por engenharia social ou por técnicas mais sofisticadas, pode colocar em risco a sobrevivência dos negócios. Considerando o sequestro de dados, 22% das empresas vítimas ataques ransomware fecham as portas imediatamente após a primeira invasão.
No caso da engenharia social, os ataques podem objetivar desde a visualização de balancetes (crimes concorrenciais) até o uso de dados bancários no cometimento de fraudes financeiras. Como consequência, as vulnerabilidades desidratam a credibilidade da empresa, reduzem seu nível de governança e impactam drasticamente suas políticas de compliance.
Como proteger seu sistema e os dados do cliente?
A segurança na gestão de dados não se faz com uma única medida, mas com um conjunto de ações coordenadas que passam por alguns pontos. Adiante você confere quais são eles!
Política de segurança da informação
Toda empresa precisa de um guia sobre como utilizar os recursos computacionais, bem como os instrumentos de proteção que devem estar presentes na gestão de dados corporativos. Essas políticas são formadas por um universo de procedimentos, parâmetros e iniciativas que devem abordar desafios como home office, uso de equipamentos pessoais no acesso a sistemas empresariais, monitoramento de incidentes críticos etc.
Treinamento constante do time contábil
Orientações permanentes sobre os riscos de clicar em arquivos desconhecidos e recomendações sobre a necessidade de checar a presença de certificado SSL em sites seguros (cadeado verde e URL iniciando-se com “https”) são alguns dos conteúdos que devem estar presentes em seu programa de capacitação em segurança de dados.
Sistema de gestão contábil moderno e focado em proteção
Não basta que a solução contábil seja funcional e tenha interface amigável. É muito importante que o sistema traga recursos como balancete dinâmico e automatização da escrita fiscal. Porém, tudo isso deve dialogar com os mais modernos instrumentos de segurança de dados.
Baseado em nuvem privada, um ERP para empresa precisa:
- estar cercado de camadas de segurança de acesso (como autenticação de dois fatores);
- ter recursos de backups automáticos e criptografia avançada;
- apresentar uma complexa hierarquia de permissões, de modo que cada funcionário tenha seus limites de acesso segundo suas atribuições.
Os módulos contábeis devem possibilitar que todas as notas fiscais emitidas contra o CNPJ de seu cliente sejam baixadas automaticamente do site da Receita Federal. Também é importante permitir que as DANFEs recebidas com as mercadorias sejam confrontadas com os arquivos XML alocados no ERP — evitando o recebimento de produtos falsificados.
Em resumo, é com base na avaliação desse ecossistema de proteções que se escolhe um ERP livre de vulnerabilidades que facilitem invasões, seja por técnicas sofisticadas, seja por engenharia social.
Contudo, os perigos a que uma organização está submetida vão muito além da segurança da informação. Por isso, também vale a pena aprender como e por que fazer análise de risco em sua empresa. Confira!
1 comentario