Como a engenharia social pode afetar sua empresa?

As transformações digitais ocorridas nos últimos anos, com destaque para o ano corrente, fizeram com que a sobrevivência das empresas no mercado, perpassassem pelos investimentos em soluções tecnológicas, desde expansão de modelos de negócio, a exemplo do e-commerce, aplicação de inteligência artificial, análise de Businnes Inteligence (B.I.) e em segurança cibernética.

Em 2019, uma pesquisa realizada pela Deloitte sobre riscos cibernéticos e segurança da informação na América Latina verificou que 4 em cada 10 empresas já sofreram ataques cibernéticos, mesmo com investimentos em segurança cibernética.

O resultado da pesquisa acima, reflete muito do que ocorre no mercado, uma vez que apesar de todos os investimentos em modernização dos negócios, um pilar muito importante, que são as pessoas, parece não ter tido a mesma relevância de investimentos e treinamentos por muitas empresas.

E, justamente os ataques cibernéticos envolvendo a Engenharia Social, cada vez mais se apresentam eficazes causando inúmeros prejuízos para as empresas, porque visam o acesso a pessoas estratégicas e de alto escalão das organizações. A Engenharia Social, segundo Danilo Donda, tem como base a utilização de técnicas psicológicas de manipulação e persuasão, utilizando-se da confiança, a fim de conseguir a execução de ações ou de forma que a pessoa possa divulgar informações confidenciais.

A Engenharia Social pode ocorrer através de técnicas, a exemplo de Phishing como e-mails falsos contendo links maliciosos; shoulder surfing obtenção de senhas e dados confidenciais observando o que é digitado ou anotado; dumpster diving recuperação de informações até mesmo na lixeira, descartadas incorretamente, a exemplo de contratos, papeis de negociação e senhas. Não é coisa de filme, acredite, isso acontece com muita frequência nas empresas e pode causar muitos prejuízos financeiros e de imagem reputacional no mercado.
O maior ataque ao Twitter da história foi ocasionado por técnicas de Engenharia Social. Ocorrido em julho de 2020, o hackeamento de contas dos gigantes da tecnologia (Bill Gates, Jeff Bezzos, Elon Musk) e personalidades como Barack Obama oferecia dobrar o valor pago a quem investisse bitcoins em uma determinada conta, esse golpe gerou em apenas 30 minutos, prejuízos de mais de U$ 115.000 e 130.000 contas nas redes sociais comprometidas. Os criminosos se aproximaram de pessoas que trabalhavam no twitter com senhas de acesso privilegiadas e conseguiram extrair essas informações.

Importante considerar ainda, os dados apresentados pela UK Information Commissioner’s Office (ICO), onde 90% dos incidentes de segurança ocorreram por falhas humanas.

No Brasil, o vazamento de dados pessoais sensíveis (saúde) do Ministério da Saúde, de mais de 16 milhões de pessoas que tiveram Covid-19, por um funcionário de um Hospital que fazia um teste no sistema do hospital em uma pasta pública na internet, também revelou a fragilidade quanto ao treinamento e capacitação das pessoas que possuem senhas e acessos privilegiados aos sistemas.

À luz da Lei Geral de Proteção de Dados Pessoais –LGPD esse grave incidente poderá ter consequências graves para o Hospital, haja vista que os titulares dos dados vazados poderão ajuizar ações indenizatórias, principalmente, tratando-se de dados sensíveis, que tem maior proteção legal, além de prejuízo incalculável de confiança na instituição.

Para evitar que sua empresa seja vítima da Engenharia Social, faça o mapeamento de seus processos e dê ênfase ao treinamento e capacitação de suas equipes quanto a importância da segurança da informação. Os profissionais devem ter ciência de que estes poderão ser responsabilizados por ações ou omissões perante a organização, principalmente para aqueles que tem privilegio de acesso aos sistemas.

Ações simples podem prevenir litígios e problemas, por exemplo estimule que o profissional mantenha suas gavetas e armários fechados, não jogue documentos inteiros na lixeira, rasgue-os, minimize softwares que exponham dados da empresa ou funcionários, oriente quanto a não exposição de documentos em mesas ou estações de trabalho, ou ainda quanto a não divulgação de informações da rotina e procedimentos da empresa para desconhecidos ou em publicações, a exemplo das redes sociais.

Autor: Erica Pinheiro, Advogada e Professora de Direito Digital