Equipe Conta AzulA engenharia social é uma estratégia de roubo de informações a partir da falha humana. Veja como proteger seus dados — e dos clientes.
Já ouviu falar em engenharia social?
Esse é o nome de uma estratégia que hackers utilizam para roubar informações de suas vítimas.
Aqui no blog, nós já falamos sobre segurança da informação.
Mas você sabe como ela pode ser usada para se proteger de engenharia social?
Neste artigo, vamos mostrar a importância desse tema, especialmente para a contabilidade, que lida com muitas informações e dados sensíveis de clientes e empresas.
Além disso, vamos dar dicas práticas que você pode adotar para evitar invasões e tentativas de obtenção de dados sigilosos do escritório, dos colaboradores e dos clientes.
O que é engenharia social
A engenharia social é uma armadilha que explora a confiança das pessoas para conseguir informações confidenciais.
Ela também pode ser utilizada para acessar áreas importantes da empresa, até então consideradas seguras.
Na prática, a engenharia social é uma tática adotada por hackers para conseguir acesso a informações por meio da intervenção humana, e não da falha de um dispositivo.
O que acontece em um golpe assim é que, sem querer, você compartilha com o invasor a informação confidencial à qual ele pretende ter acesso.
Por isso, a engenharia social está ligada ao contexto da segurança da informação.
O conceito ganhou fama na década de 1990, com o programador americano Kevin Mitnick.
O hacker conseguiu driblar a segurança de alguns órgãos do governo americano, como o FBI, utilizando muitas técnicas de engenharia social.
Inclusive, a história de Mitnick virou filme em Hollywood.
Esse exemplo mostra que nem mesmo as maiores organizações do mundo estão seguras quando a intenção é se apropriar de informações.
Por isso, é importante estar protegido, preservando os dados dos clientes e do seu negócio.
Como a engenharia social pode afetar a contabilidade
A engenharia social pode ser usada de diferentes maneiras para obter dados de clientes da contabilidade.
Esse tipo de ataque utiliza técnicas de persuasão, abusando da ingenuidade ou da confiança das pessoas, para obter informações.
Marcos Araújo Assunção, consultor na área de Segurança da Informação, explica que o engenheiro social manipula sua vítima a partir dos seguintes pontos:
- Curiosidade
- Confiança
- Orgulho
- Simpatia
- Culpa
- Medo.
Mas como?
É o que vamos ver no exemplo abaixo.
Como você sabe, o contador costuma lidar com muitos números, prestações de contas, pagamentos e relatórios — sempre em um ritmo acelerado.
Imagine, então, no meio da correria de um fechamento, receber uma mensagem de WhatsApp do seu banco pedindo para que você confirme um código que acabou de receber por SMS.
Você imagina que é um procedimento de segurança para garantir a atualização dos seus dados, abre o aplicativo de mensagens, vê o SMS indicado e confirma o código recebido.
Pronto, seu WhatsApp acaba de ser clonado.
O contato recebido do banco não era do banco, mas de um engenheiro social se passando por gerente.
E a mensagem de SMS recebida não era uma confirmação de dados, mas um protocolo de segurança ativado antes de transferir a sua conta do WhatsApp para outro número.
O problema é que você não vai descobrir imediatamente que seu WhatsApp foi clonado.
Apenas quando clientes começarem a receber pedidos estranhos em seu nome, como informações confidenciais da empresa, dados de pagamento, boletos, entre outros.
Pronto, está feito o estrago.
Você foi vítima da engenharia social.
Observação: esse é um golpe que já existe e que poderia afetar o universo da contabilidade.
Por isso, tenha muito cuidado com qualquer ação de confirmação de dados que você toma em dispositivos eletrônicos.
Como se proteger da engenharia social na contabilidade
É possível se proteger da engenharia social na contabilidade.
Se você levar em conta as nossas dicas sobre segurança da informação, já terá meio caminho andado.
Mas, antes de prosseguirmos com as dicas, precisamos deixar algo bem claro.
Os engenheiros sociais não utilizam suas estratégias só no meio virtual.
Na verdade, a prática ocorria antes mesmo da popularização da internet.
Isso porque a engenharia social utiliza de manipulação, influência e psicologia para obter vantagens ou informações.
Com a internet cada vez mais presente na nossa vida e o uso cada vez mais intenso de computadores e smartphones, os riscos de ataques virtuais são maiores.
Mas “o elo mais fraco da corrente é o ser humano”, conforme afirmam Antonio Marcelo e Marcos Pereira, autores de “A arte de hackear pessoas” (Brasport, 2005).
Por isso, vamos listar algumas ações que podem ser aplicadas nas rotinas contábeis para oferecer maior segurança ao seu trabalho.
Esteja atento aos golpes fiscais
Como regra, a Receita Federal nunca inicia contato com os contribuintes por e-mail ou pelas redes sociais.
A Receita se comunica oficialmente pelos correios.
Por isso, se você receber por algum canal alternativo, desconfie.
Mesmo que visualmente o conteúdo pareça ser da Receita Federal, acredite, não é o Leão.
Apenas ignore e não clique em nada, principalmente nos anexos.
Cuide com contatos pessoais
Uma das possibilidades da engenharia social é utilizar o contador como fonte de informações sobre as empresas com as quais ele trabalha.
Por isso, você deve redobrar toda a sua segurança, já que você é um alvo “valioso” para esse tipo de ataque.
Imagine, como no exemplo lá de cima, que alguém se passe por você no WhatsApp ou no e-mail.
Quanto estrago poderia ser feito?
Então, ao receber e-mail, SMS, mensagem de WhatsApp e ligação pedindo informações e dados pessoais, tome todos os cuidados para não “entregar” nada além do necessário.
Desconfie de propostas sedutoras
Um boleto de cobrança recebido por e-mail com uma proposta de quitação de dívida com desconto enorme deve entrar no seu radar instantaneamente.
Há muitos outros exemplos de propostas aparentemente imperdíveis recebidas por e-mail.
Ainda que o texto esteja bem escrito e a tentação seja grande, não caia na cilada.
Provavelmente é uma comunicação falsa tentando roubar seus dados pessoais e bancários.
Redobre a atenção com arquivos em anexo
São muito comuns mensagens contendo arquivos maliciosos, capazes de se instalar no seu computador quando você clica e faz download.
Quando esses arquivos invadem a máquina, eles são ativados e começam a atuar em segundo plano.
Assim, o arquivo “espião” vai coletar dados digitados por você e transmiti-los ao engenheiro social.
Por isso, oriente seu cliente a redobrar o cuidado antes de baixar arquivos sem procedência conhecida.
Use duplo fator de autenticação
Em todos os sistemas, adote o duplo fator de autenticação para garantir que uma única brecha na sua segurança não comprometa todos os seus dados.
Imagine, por exemplo, que alguém acessou seu computador, que já tem a senha de um homebanking gravada, por exemplo.
Com o duplo fator de autenticação, ele teria que ganhar acesso ainda ao seu smartphone ou e-mail para poder utilizar esse homebanking, já que haverá um pedido de confirmação por parte do sistema.
Seja rápido ao detectar perigo
É melhor se prevenir e agir preventivamente do que esperar pelo pior.
Então, se o sistema detectar um acesso estranho à sua conta, verifique imediatamente e, dependendo da situação, troque sua senha e denuncie.
Ou se perder o celular, troque logo todas as suas senhas dos aplicativos, sites e e-mails.
Crie senhas fortes
Muito se fala em “senha forte”, mas o que isso quer dizer?
Bom, a senha fraca você já conhece: seunome123, a data de nascimento, o nome da esposa ou do marido, o time do coração.
Agora, vamos descobrir quais são as dicas do Google para criar sua senha:
- Use números, letras maiúsculas e minúsculas e símbolos
- Não reutilize senhas já usadas no sistema
- Tente criar variações de senhas para cada uma das plataformas
- Crie senhas com 8 ou mais caracteres
- Evite senhas que possam ser adivinhadas por pessoas que conhecem você
- Evite palavras comuns e nomes de amigos e familiares.
Parece difícil?
Essa é justamente a ideia.
A senha forte deve ser difícil até para você.
Mas você poderá praticá-la e, aos poucos, dominará esse conjunto de caracteres.
Proteja ao máximo os dados pessoais
Tenha o hábito de usar login e senha para acessar até o seu computador pessoal.
Para isso, evite senhas fáceis e óbvias, como data de nascimento ou número do telefone.
Essa é uma medida simples que ajuda a proteger as informações, negando acesso a qualquer pessoa não autorizada.
Outra dica importante: não transmita seus dados pessoais ou informações bancárias por telefone para qualquer pessoa.
Por mais que se identifique como funcionário de algum banco ou instituição, se certifique com quem está falando.
Lembre-se de que os engenheiros sociais usam da boa-fé das pessoas para aplicarem seus golpes.
Então, o melhor a fazer é pedir um número para retornar a ligação e checar as informações passadas pelo interlocutor.
Preste atenção aos papéis
As precauções com a internet devem ser constantes para evitar crimes cibernéticos.
Mas elas devem recair também sobre as informações em meios físicos.
Por isso, dê especial atenção aos papéis sobre a mesa de trabalho, aos cartazes e anotações em murais de recados e, até, no lixo.
Às vezes, aquela anotação de última hora com o número da conta e CPF do cliente acaba indo para a lixeira.
E essa desatenção pode custar caro se cair em mãos erradas.
Por isso, tenha o hábito de destruir papéis antes de jogá-los fora.
Documentos importantes devem ficar sempre em pastas ou gavetas, e não expostos sobre a mesa, aos olhos de qualquer pessoa.
Com essas dicas simples, você estará mais protegido em seu ambiente de trabalho.
E no seu escritório, como você lida com essas ameaças virtuais?
Já foi vítima de algum golpe de engenharia social?
Deixe um comentário.
Karin Von Hartenthal
Marcos Perillo
