O bandido que virou mocinho: "O americano Kevin Mitnick ficou conhecido na década de 90 como o primeiro e o mais famoso hacker da história. Ele entrou para a lista de procurados do FBI após uma impressionante trajetória de invasões a sites de empresas e do governo. Em 1995, apanhado em sua casa, foi condenado a cinco anos de prisão por ter causado prejuízos estimados em 80 milhões de dólares. Seu histórico é obviamente o de um transgressor. A diferença de Mitnick para os hackers que andam hoje soltos no ciberespaço é que o americano nunca colocou um centavo no bolso. Seus golpes eram praticados pela tentação do desafio. Depois de pagar pelos seus crimes se dedica a ajudar o governos e empresas contra golpes praticados pela rede internacional de computadores."

Começo este artigo falando de Mitnick, além deste homem ser um exímio  conhecedor de ambientes digitais, também é considerado um dos maiores especialistas das técnicas de engenharia social.

Engenharia social é termo empregado para expor um método de ataque, no qual o individuo faz uso de persuasão, e muitas vezes aproveita da ingenuidade ou confiança do usuário para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações de seu interesse.

 Esse tipo de ação está muito ligado à fraude em sistemas de informações, contudo, como pela própria definição do termo engenharia social, podemos perceber que não se trata de nenhum tipo de ação técnica ou envolvendo métodos informatizados. Pois, o engenheiro social através de conversas, engodos e situações de atenção consegue as informações necessárias para perpetrar seus atos fraudulentos.

Tudo que envolve o universo da informação direta e indireta é utilizado como ferramenta pelo engenheiro social, ou seja, além de suas técnicas de persuasão uma conversa no café da organização, um almoço sendo ele de negócios ou não, reuniões e festas comemorativas podem entregar facilmente o que o fraudador precisa. A duvida vem após o ato fraudulento perpetrado, onde as pessoas ficam se perguntando ou tentando entender como o criminoso conseguiu burlar o sistema de informação da organização ou obter os elementos necessários para ir direto ao ponto e cometer a fraude.

Muitos colaboradores não percebem que ao conversarem com seus colegas de trabalho, amigos e familiares podem estar pondo em risco a organização, ainda existem aquelas pessoas que inocentemente ou não, dividem suas senhas no departamento, ou então as deixam anotadas em seu bloco de notas e em locais visíveis.

 Embora não seja uma ação relacionada diretamente aos sistemas de informações, muitos fraudadores de sistemas utilizam a engenharia social, podemos citar aqui o exemplo de Mitnick, que em suas entrevistas deixa bem claro que a fraude informatizada é um misto entre conhecimento técnico e engenharia social.  

 Kevin Mitnick, é um cidadão estadunidense considerado por muitos especialistas do mundo um dos maiores hackers de sua história, começou suas investidas ainda muito jovem, onde burlava o sistema de cartão de ônibus da cidade que morava para conseguir transporte gratuito. Logo após passou a invadir redes telefônicas e sistemas de companhias. Em uma das suas principais investidas,Mitnick através da engenharia social consegue os manuais físicos de um sistema de telefonia da empresa Pacific Bell. Com o manual em mãos ele passa a invadir o sistema eletronicamente quebrando assim suas barreiras e decodificações.

 Algumas medidas simples podem ser tomadas para evitar a engenharia social e a posterior invasão de sistemas de informação, são elas:

 Não confiar em qualquer tipo de pesquisa que solicite dados pessoais e/ou dados bancários;

  •  Não fornecer senhas por telefones, mensagens ou e-mails;
  •  Não dividir senhas com terceiros e colegas de trabalhos;
  •  Não deixar senhas e informações estratégicas anotadas sobre a mesa ou embaixo do teclado do microcomputador;
  •  Não publicar informações importantes em redes sociais;
  •  Não abrir arquivos de fontes desconhecidas;
  •  Não confiar em rede sem fios aberta;
  •  Não ligar para centrais de telefonias desconhecidas;
  •  Desconfiar de pessoas e empresas de marketing num primeiro contato;
  •  Não executar tarefas no seu trabalho fora do procedimento estabelecido pela organização;
  •  Não falar sobre projetos ou estratégias da organização com pessoas que não participam dos mesmos;
  •  Ter muito cuidado com o lixo, não jogar nada que contenha informações e números importantes, sejam eles pessoais ou da organização que trabalha, e por fim a mais importante;
  •  Nunca achar que esse tipo de situação só ocorre em filmes ou com outras pessoas.

 Estas são medidas básicas e fácies de serem seguidas, para tanto, não se depende de terceiros nem de fatores externos, precisa-se apenas manter a atenção no que está se fazendo, bem como guardar as informações importantes em sigilo.

Trabalhem na prevenção e na cultura ante fraude, não percam o foco, atenção ainda é uma das nossas melhores armas para combater o crime dentro das organizações.

Mauricio Roncato

 

MBA - MASTER IN BUSINESS ADMINISTRATION em Gestão de Riscos Corporativos pela FAPI – FACULDADE DE ADMNISTRAÇÃO SÃO PAULO BRASILIANO & ASSOCIADOS. Certificado em GCN – Gestão da Continuidade de Negócios pela Brasiliano & Associados – FAPI FACULDADE DE ADMNISTRAÇÃO SÃO PAULO. Certificado PERITO JUDICIAL TRABALHISTA, pela Lex Magister. Certificado em LEAN MANUFACTURING, pela Ótima Estratégia e Gestão Empresarial. Palestrante da Next Business Media – CorpRisk nas áreas de GRC, Fraudes e BCP (Business Continuity Plan). Graduado em Ciências Contábeis pelo Centro Universitário Nove de Julho, Economista, Gerente de Riscos e Compliance da empresa Libbs Farmacêutica Ltda. Responsável há 6 anos pelas áreas de Compliance, Auditoria Interna, Ouvidoria e Riscos Corporativos. Atua em relação ao cumprimento dos controles internos, no combate a fraudes, desvios de informações, medicamentos e responde pelo Programa de Compliance da organização. Na contabilidade atuou durante 17 anos na área tributária, desenvolvendo-se em planejamento tributário nos ramos de comércio, indústria e serviços. Possui profundo conhecimento em implantação de sistemas integrados (SAP, Microsiga, RM e PLACOMP), no que tange as áreas tributárias e de finanças. Autor de diversos artigos e da Teoria da Estrela da Fraude. Professor, palestrante e seminarista abordando assuntos relacionados à Fraude, Compliance, Código de Conduta, Ética Empresarial e Canais de Denúncias.