Este é um assunto que envolve o Help Desk / Service Desk e também a área de segurança de TI da sua empresa.
Um detalhamento maior sobre o significado de “engenharia social” pode ser lido na Wiki (em português!).
A primeira vez que travei conhecimento deste conceito foi lendo o livro “Contra-ataque“, do Tsutomu Shimomura e John Markoff. O primeiro, o especialista em segurança que ajudou a prender o famoso hacker Kevin Mitnick. Lá em 1994 essa fera roubou 20.000 números de cartões de crédito. E, empolgado com suas conquistas, topou de cara com outra fera: Shimomura.
A idéia é do conceito “engenharia social” é simples, senão patética: invés de invadir computadores para pegar senhas de alguém, é mas fácil entrar em contato com este ou outro alguém, fingir-se de autoridade (internas ou externas) e pedir senhas ou informações vitais para o funcionamento da segurança.
Aliás, o próprio Mitnick (para ver como a indústria norte-americana de livros aproveita todas as oportunidades), um reconhecido criminoso, escreveu outro livro – com o sugestivo nome de “A arte de enganar” – onde apresenta seus truques e armas.
Vale a pena ler.
Não para aprender a usar. Mas para compreender como se defender dessas artimanhas.
No artigo entitulado Combatendo os efeitos da Engenharia Social (texto só em inglês), o articulista questiona a ação dos analistas de Help Desk / Service Desk no assunto.
(Achava que este post nada tinha a ver com você, hein?)
Obviamente, ilustrarei um pouco sobre os motivos pelos quais as pessoas “caem” de vítimas na engenharia social (aspectos apontados no artigo):
- É natural as pessoas quererem ajudar
- Faz parte do ser humano acreditar nos outros
- É natural as pessoas temerem o que acontece quando fazem algo errado
- Medo de reprimendas ou de perder o emprego
- Usam certas palavras que fazem a pessoa dar completa atenção
- (outros, leia o artigo todo, não coma na mão do Cohen)
E então…
O lado negro onde o Help Desk / Service Desk entrega o ouro…
O primeiro aspecto é uma escancarada compreensão da força de poderes dentro de uma empresa. Se o invasor identificar-se como um gerente ou diretor junto ao Help Desk (quanto mais alto o cargo, mais medo mete), a coisa fica fácil. Ainda mais quando o primeiro nível de suporte técnico tem medo de aborrecer a direção, perder o emprego ou repassar para um segundo nível hierárquivo.
Segundo o articulista, funciona em 99% das vezes por que a equipe do Help Desk / Service Desk sabe que é dispensável e que seus supervisores não irão apoiar a sua decisão (seja ela qual for).
Terrível, hein?
Imagina alguém ligando para seu primeiro nível, identificando-se como um diretor e pedindo para reinicializar a senha dele!!
O articulista – Dan Morril – tem boas sugestões para enfrentar esta situação.
Basta ler o texto dele. E pensar na implementação de processos para evitar tais momentos.
E se você não ler, please, não finja que uma pulguinha já não lhe começa a incomodar…
🙂
Abraços
El Cohen