Estarão as organizações a sentir as dores dos ataques de engenharia social?

Talvez a definição mais lean que encontrei sobre ataques de engenharia social seja a do Prof. Carvalho Rodrigues, pai do 1º satélite português, que os sintetizou como “um ataque aos seres de carbono (pessoas) para aceder aos seres de silício (sistemas de informação). Se a esta definição, digna de constar na tabela periódica de Mendeleev, acrescermos uma conclusão pertinente de Bruce Schneier, especialista em criptografia, que afirma que “somente amadores atacam máquinas, os profissionais atingem as pessoas”, temos condensado tudo o que necessitamos saber para aferir a ameaça colocada por ataques de engenharia social. Grandes ataques são iniciados através do elemento humano das organizações, mesmo os mais sofisticados em termos tecnológicos. No universo bancário, relembro o ataque iniciado em 2013 e que ficou conhecido por Carbanak. Neste ataque, p.e., houve ATMs na vizinha Espanha a dispensarem dinheiro sem a utilização de cartão bancário, dentro de janelas de tempo combinadas com cúmplices que o recolhiam, foi iniciado com um ataque de phishing direccionado aos colaboradores de determinados bancos. Depois de infectadas as máquinas, os atacantes observaram durante meses as operações nos sistemas de transferências monetárias, até desferirem o ataque final – sem que os bancos alvo tivessem qualquer indicação que estavam a ser estudados. Este foi um ataque muito sofisticado tecnologicamente, que se iniciou com um ataque de engenharia social. Mas outros existem em que a tecnologia nem sequer é necessária. Em agosto de 2020, o CEO da Experian South Africa, uma empresa de informações sobre consumidores, empresas e crédito, cujos clientes incluem os maiores bancos Sul-africanos, veio defender-se nos media, afirmando “Nós não fomos atacados. Um criminoso inteligente convenceu-nos a fornecer-lhe a nossa informação”. Por informação entenda-se 24 milhões de registos pessoais e de 800 mil empresas. Ou ainda o recente caso de utilização de inteligência artificial (deepfake) para simular a melodia, sotaque e timbre da voz do CEO de uma empresa de energia alemã, que solicitou (ordenou) por telefone uma transferência de 220K€ ao CEO da sua subsidiária em UK, sendo que este apenas sentiu a dor do ataque num 2.º pedido de transferência – por erro dos atacantes, o 2.º telefonema chegou a Inglaterra com um indicativo da Áustria, ao invés da Alemanha.

O vector comum que gostaria de destacar é que as organizações visadas não sentiram a dor do ataque. E quando um organismo não sente a dor, não reage e não aprende com a mesma. Em termos médicos dir-se-ia que sofre de insensibilidade congénita à dor, isto é, a dor não é sentida e não é comunicada ao sistema nervoso central.

Nesta analogia de gestão da dor, a epiderme é composta pelos controlos perimétricos definidos pela segurança física, de SIs e prevenção de fraude. Estes perímetros protegem a organização da grande maioria dos ataques. Mas quando existe um ataque que consegue ultrapassar estes controlos, é necessário que o colaborador reconheça o mesmo, tente pará-lo e comunique esta situação à 2.ª linha de defesa – o sistema nervoso central. É nesta 2.ª linha de defesa que as políticas de segurança são definidas, os programas de sensibilização implementados e se procede à resposta e recuperação de incidentes.

Mas estarão os nossos colaboradores preparados para reconhecer estes ataques? É que não basta uma sensibilização em segurança de SI. A segurança física e a prevenção da fraude também têm de ser incluídas neste radar do factor humano. E os canais de reporte da dor têm de estar bem definidos e ser conhecidos.

E, já agora, tal como o médico que testa os reflexos com uma ligeira pancada no joelho com um martelo de borracha, temos de testar os nossos reflexos organizacionais com testes de penetração utilizando ataques de engenharia social. Só assim perceberemos se estamos a sentir as dores.