Arthur Lira (PP-AL), presidente da Câmara, sinaliza que pretende votar proposta nas próximas semanas

A minuta do novo Código Eleitoral discutida pela Câmara dos Deputados estabelece a proibição de divulgação de pesquisas eleitorais no dia e na véspera das disputas, além de criar um suposto “percentual de acerto” dos institutos.

As duas medidas são criticadas por especialistas sob o argumento que representam censura a informações relevantes para os eleitores, além de desconsiderarem a natureza dos levantamentos, que apontam retratos do momento em que foram feitos, passíveis de mudanças até a hora exata do voto.

O texto, relatado pela deputada Margarete Coelho (PP-PI), é uma das prioridades do presidente da Câmara, Arthur Lira (PP-AL), que já sinalizou que pretende votar as mudanças na legislação eleitoral nas próximas semanas.

Para valer para o pleito de 2022, essas mudanças têm que ser aprovadas por Câmara e Senado e sancionadas pelo presidente Jair Bolsonaro, aliado de Lira, até o início de outubro deste ano.

Um dos artigos da proposta do novo Código, que terá uma parte dedicada às pesquisas, de um “percentual de acerto” calculado com base nas pesquisas realizadas pelo instituto nas últimas cinco eleições.

É uma discussão superada, antiga, porque não existe percentual de acerto”, afirma Mauro Paulino, diretor-geral do Datafolha.

“Os institutos não fazem prognósticos, eles apontam a realidade daquele momento. Então, mesmo que seja uma pesquisa feita na véspera da eleição. “Esses noticiários divulgam pesquisas. Os próprios resultados das pesquisas são considerados pelos eleitores para praticarem, por exemplo, o voto útil.

O diretor geral do Datafolha afirma que a medida é impraticável. “É um atraso, é uma falta de sintonia dos que redigiram esse item com a ciência estatística, com nós que fazemos o nosso trabalho e entendemos do assunto. É uma exigência que não tem como ser cumprida.”

Duílio Novaes, presidente da Abep (Associação Brasileira de Empresas de Pesquisa), reforça a posição, ao afirmar que as pesquisa apontam tendências, mas não cravam o resultado eleitoral.

“Dificilmente a pesquisa diz que vai ser 48,2% e a urna dá 48,2%. Ela vai dentro da margem de erro, 49%, 50% ou 46%, 47%. Isso é super natural”, diz.

“A gente não é bola de cristal. A gente ouve o eleitor naquele momento e retrata a opinião dele. Agora se algo acontece no final do campo, após o término da pesquisa, a gente não consegue medir.

A relatora do texto referente a mudança e afirma que o dado é objetivo e não está sujeito “à definição deste ou daquele órgão”. “O contraste entre as pesquisas realizadas e o resultado final do pleito eleitoral dirá se aquela pesquisa acertou ou errou”, disse.

“Nós sabemos que as pesquisas captam momentos, e que elas muitas vezes não correspondem aos percentuais apurados nas urnas, mas é suficiente saber se as lideranças apontadas nas pesquisas ou tendências de alta ou baixa se confirmaram nas urnas.”

Segundo ela, a Justiça Eleitoral será responsável por analisar a correlação entre os dados informados pelos institutos e o resultado para medir se “captaram satisfatoriamente as tendências do eleitorado, inclusive os movimentos de alta ou de queda de determinadas candidaturas.”

O texto de Margarete também define que as pesquisas eleitorais só poderão ser divulgadas até a antevéspera ( a sexta-feira) do dia da eleição. Hoje, os institutos podem publicar pesquisas de intenção de voto até o dia da eleição.

“As regras se contradizem com a anterior, porque se elas querem que os institutos provem que acertaram nas eleições anteriores, agora eles reduzem o prazo entre a realização e a divulgação da pesquisa para dois dias antes”, afirma Paulino, do Datafolha.

“´É mais um fator. A gente faz pesquisa também no sábado para tentar chegar no último momento possível para entrevistar as pessoas, porque no dia da eleição só vale boca de urna. É mais uma restrição, é na verdade uma censura em relação ao que existe hoje. Hoje não há qualquer tipo de limite para divulgação de pesquisa, ela pode ser divulgada inclusive no dia da eleição, como tem sido feito.

Em 2006, o Supremo Tribunal Federal derrubou parte de projeto aprovado pelo Congresso que vetava a publicação de pesquisas eleitorais nos 15 dias que antecedem o pleito. O argumento dos ministros foi de que a medida restringia o direito dos eleitores à informação.

Segundo Margarete Coelho, os três dias que antecedem as eleições são períodos de grande incerteza, em que o eleitorado está suscetível a fortes oscilações em favor de determinados candidatos.

“É quando pesquisas podem sugerir tendências de alta ou de queda de candidaturas que indulgenciem decisivamente sobre as escolhas dos eleitores. Um erro na pesquisa durante esse período pode insuflar artificialmente uma candidatura, por isso a restrição se justifica, evitando que movimentos de alta ou de queda ilusórios, que não correspondem à realidade, mas que acabam por influenciar os eleitores mais indecisos.”

“O objetivo é trazer segurança ao processo eleitoral, tanto aos candidatos quanto aos eleitores, mitigando o risco de capturas ilusórias da realidade eleitoral.”

São frequentes as mudanças e tentativas de mudanças patrocinadas pelo Congresso nas regras de divulgação de pesquisas eleitorais.

Em linhas gerais, há a tentativa de restringir a publicação de levantamentos feitos principalmente em pequenas cidades, nas eleições municipais, patrocinados por empresas não raro associadas a políticos com interesse na disputa.

Especialistas contestam um terceiro ponto, que é a necessidade de informar, até a véspera da divulgação da pesquisa, dados referentes ao bairro ou área em que o levantamento ocorreu. “A pesquisa ainda não terminou, a pesquisa termina praticamente em cima da divulgação diz Novaes.

“Se você divulga onde, você corre o risco de enviesar resultado, porque as pessoas sabem onde a pesquisa está sendo feita e podem chegar pessoas que não são do bairro que possam dar resultado de que não vão votar, falar que vai votar num, quando na verdade não é nesse que ela vai votar. Isso pode comprometer o resultado”, diz.

Margarete Coelho discorda e afirma que, além de a divulgação dos bairros em que foi realizada a pesquisa só pode ocorrer após sua efetiva realização, ela não vincula a realização de futuras entrevistas naqueles bairros.”

“A própria divulgação dos bairros em que foram realizadas as pesquisas permite à justiça eleitoral medir se determinado instituto tem variado ou não as áreas consultadas. É de se esperar que os institutos variem os bairros consultados, mas, se isso não for feito, a justiça eleitoral terá informações suficientes para sugerir ajustes de metodologia”, diz deputada.

Apesar das críticas, Paulino e Novaes dizem que a minuta contemplou algumas demandas do setor, como a determinação que só empresa de pesquisa poderá fazer esse tipo de levantamento.

“Nas últimas eleições, a gente viu uma série de empresas que não são de pesquisa fazendo pesquisa eleitoral. Isso para nós é muito complicado”, diz Novaes.

Novas medidas anunciadas recentemente pelo governo chinês impactaram o preço do bitcoin e voltaram a levantar a questão sobre a legalidade da criptomoeda no mundo. Na Turquia, semanas antes, o governo havia tornado ilegal a atuação de corretoras de criptomoedas. Como é no Brasil?
O bitcoin não tem regulamentação específica no país, mas não é ilegal. Brasileiros não só podem possuir e negociar criptomoedas no mercado, como também devem declarar ganhos com o investimento dependendo do valor mensal movimentado. Em 2021, a Receita Federal, inclusive, criou códigos específicos para utilizar na Declaração de Imposto de Renda, estabelecendo distinções entre bitcoin, altcoins (como é chamada a maioria das demais criptos) e stablecoins (criptomoedas com valor fixado ao preço de uma moeda fiduciária, como o real).
Para a Receita, o bitcoin e outras criptomoedas são equiparadas a ativos financeiros, por isso a exigência em informar a posse a partir de R$ 5.000 pelo preço de aquisição, além de declarar ganho de capital do que exceder R$ 35 mil mensais em vendas ou alienações, segundo disposto na Instrução Normativa 1.888, que entrou em vigor em agosto de 2019.
Por outro lado, a comercialização de alguns criptoativos pode requerer autorização expressa da Comissão de Valores Mobiliários (CVM) caso estes configurem valor mobiliário. Nos EUA, um dos principais debates em curso é justamente a caracterização ou não do XRP, um criptoativo popular entre brasileiros, como valor mobiliário.
Já a atividade de corretagem de criptomoedas é reconhecida como uma atividade econômica pelo Instituto Brasileiro de Geografia e Estatística (IBGE). Em maio de 2020, o IBGE disponibilizou uma Classificação Nacional de Atividades Econômicas (CNAE) para bolsas de criptomoedas após a falta de um código específico ser utilizada por bancos como justificativa para o fechamento de contas de corretoras.  
Regulamentação pelo Banco CentralApesar de ser chamado de moeda digital e poder ser trocado por mercadoria em alguns estabelecimentos, o bitcoin não é considerado, juridicamente, uma moeda no Brasil. O ativo também não faz parte do Sistema Brasileiro de Pagamentos nem se enquadra na definição de arranjos de pagamento do Banco Central. Por ora, o BC sequer sinaliza qualquer intenção de capitanear um movimento pela regulação do bitcoin e outras criptomoedas.
Algumas iniciativas, no entanto, partem do Legislativo. O Presidente da Câmara dos Deputados, Arthur Lira (PP-AL), determinou a unificação dos Projetos de Lei 2060/2019 e 2303/2015, que tratam da regulação de criptoativos, ambos de autoria do deputado Aureo Ribeiro (Solidariedade-RJ). O primeiro trata de penas para fraudes envolvendo criptoativos, enquanto o segundo propõe a integração das criptomoedas ao arranjo de pagamentos do BC. O PL unificado deverá ser apreciado pelo plenário ainda em 2021.
“Os projetos são essenciais na medida que visam incorporar abordagens jurídicas importantes para a tecnologia”, afirma Julieti Brambila, diretora jurídica do Alter, fintech do setor de criptomoedas. Para a advogada, os PLs deverão ajudar a criar regras transparentes e propor tratamentos jurídicos uniformizados, que devem ajudar a proteger os agentes de mercado.
“Regulamentações equacionadas com o desenvolvimento e propósito da tecnologia, bem como camadas de segurança jurídica que vão proporcionar mais eficiência na gestão de responsabilidades e governança institucional, são o único caminho para amadurecer um mercado como o nosso”, afirma.
Além dos PLs na Câmara, no Senado há outros três que, desde maio de 2021, passam a tramitar em conjunto: 3825/2019, 3949/2019 e 4207/2020. Eles propõem a regulamentação de exchanges, o controle via Banco Central, e definem regras mais claras de atuação da CVM, entre outras mudanças que dialogam com os projetos que correm pela Câmara.
AutorregulaçãoMesmo antes de uma eventual regulamentação, empresas do setor de criptomoedas dizem já cumprir com boas práticas de compliance mundo afora. Nos bastidores, a indústria manda a mensagem de que uma regulação formal poderia não ser necessária, ao mesmo tempo em que se protegem de acusações de facilitar crimes de lavagem de dinheiro.
Em abril de 2021, a PF executou uma ordem judicial para apreensão de R$ 110 milhões de uma corretora de criptomoedas supostamente envolvida com atividade ilícita.
Para driblar problemas como esse, exchanges se reuniram na Associação Brasileira de Criptoeconomia (ABCripto) e criaram um Código de Autorregulação para proteger empresas e o público de crimes contra a economia popular. Brambila, que também é conselheira da Associação, acredita que regras autoimpostas ajudam a distinguir entre exchanges mais ou menos confiáveis.
“É importante pontuar que o mercado, embora não tenha um órgão supervisor, não está desamparado. Hoje temos exchanges com cooperação articulada com instituições financeiras contra fraudes, com o Coaf [Conselho de Controle de Atividades Financeiras] e autoridades policiais, as quais aplicam as melhores infraestruturas, tecnologias de segurança e boas práticas de mercado”, diz a especialista.
Fonte: Reuters

Google cria página para explicar como age no combate às fake news

O Google deu um importante passo para o combate às fake news. A gigante da tecnologia anunciou a criação da página “Mitos e Fatos”, um espaço virtual que reúne explicações sobre como a empresa atua no combate à desinformação em suas plataformas, entregando conteúdo de qualidade e também respeitando a diversidade e a liberdade de expressão.
De acordo com o Google, a iniciativa visa promover informação de qualidade. Na página é possível encontrar informações sobre como a Busca do Google foi projetada para fornecer as informações mais relevantes e confiáveis disponíveis e, também, como suas políticas proíbem que os proprietários de sites busquem enganar o usuário sobre sua identidade ou produtos.
Especialmente em um ano em que fomos bombardeados por informações diversas sobre a COVID-19, esclarecer a veracidade das notícias é um papel importante dos grandes players de tecnologia.

Quatro passos para checar informação

O conteúdo abaixo foi traduzido e adaptado pelo projeto Educamídia, que conta com apoio financeiro do Google.org. Veja essas e outras dicas no site do projeto.

1. Ao começar a ler uma página, pause.
2. Você conhece e confia neste site ou na fonte da informação? Se não conhece, não compartilhe ou passe adiante a informação. Vá para os próximos passos para tentar saber mais claramente o que está lendo. Se em algum momento se sentir perdido, ou se afastar do seu objetivo inicial, pause e comece de novo.
3. Em seguida, investigue a fonte.
4. Quem está dizendo isso? Quais as suas qualificações ou motivações? É um prêmio Nobel? Um site de teorias da conspiração? É alguém que pode ter uma agenda comercial ou política implícita? É claro que até um prêmio Nobel pode estar enganado, e que organizações e empresas com interesses políticos ou comerciais publicam muitas informações de qualidade. Ainda assim, antes de ler, procure conhecer melhor quem escreveu/publicou. Vale a pena gastar alguns segundos para estabelecer se a fonte em questão é confiável ou relevante, e até mesmo se o texto merece a sua atenção.
5. Busque informações melhores.
6. Outra estratégia é buscar a mesma informação em outras fontes que você conhece e nas quais confia. Qual a melhor fonte de informação que você consegue encontrar sobre isso? Faça uma busca e analise os resultados. Tente encontrar uma cobertura mais confiável, mais aprofundada ou mais equilibrada. Melhor ainda, procure descobrir se há consenso sobre essa afirmação. Você não precisa concordar, mas conhecer o histórico e o contexto de determinada afirmação irá lhe ajudar a ter uma melhor avaliação.
7. Encontre o contexto original da informação.
8. De forma intencional ou não, a internet pode ser um “telefone sem fio”. Afirmações, dados e imagens muitas vezes são retirados de seu contexto original e apresentados de forma isolada, oferecendo um recorte da realidade. Outras vezes, podem ter sido editados para criar uma nova mensagem. Elementos deixados de fora de uma imagem ou vídeo, legendas que não combinam com o que está na foto ou informações científicas superficiais são exemplos de mensagens descontextualizadas. Procure a informação completa.

Quer saber mais? Aprenda seis maneiras de usar a Busca do Google para verificar fatos e combater a desinformação.

Perfis divulgadores de informação falsa são oficiais e têm contas verificadas

Por Erica Abe*

Um estudo instigante publicado pela revista Big Data & Society mostra que a disseminação do novo coronavírus no mundo está relacionada à propagação de informações erradas, também conhecida como Infodemia Covid-19. A análise contempla 53 milhões de tweets e retweets postados por 12 milhões de usuários entre janeiro e outubro de 2020; e 37 milhões de posts públicos em 140 mil páginas e grupos no Facebook, todos nos Estados Unidos.

São vários apontamentos que merecem atenção. Um deles mostra que os principais publicadores de informações de baixa credibilidade possuem muitos seguidores, são oficiais e contas verificadas – e não robôs (também chamados de bots). São os “super espalhadores”: perfis dedicados a difundir desinformação de forma coordenada nas redes.

Outro destaque é a visualização de conteúdo conforme a credibilidade nas duas plataformas: ao longo do tempo, cresce o volume de informações de maior credibilidade no Twitter (linha contínua) e o contrário acontece no Facebook (linha tracejada).

São vários apontamentos que merecem atenção. Um deles mostra que os principais publicadores de informações de baixa credibilidade possuem muitos seguidores, são oficiais e contas verificadas – e não robôs (também chamados de bots). São os “super espalhadores”: perfis dedicados a difundir desinformação de forma coordenada nas redes.

Outro destaque é a visualização de conteúdo conforme a credibilidade nas duas plataformas: ao longo do tempo, cresce o volume de informações de maior credibilidade no Twitter (linha contínua) e o contrário acontece no Facebook (linha tracejada).

Mas não se desespere, caro leitor. Se para enfrentar a pandemia de covid-19 é preciso esperar o desenvolvimento da ciência e a logística de distribuição, para combater a infodemia basta uma coisa: checagem de informação. E isso pode ser feito por qualquer pessoa, inclusive você.

*Érica Abe é diretora de Estratégia Digital da FSB Comunicação

Geralmente, quando ocorre um data breach em função de um ciberataque, essas informações costumam ser compartilhadas sem permissão, vendidas ou, dependendo da motivação do cibercriminoso, sequestradas para extorsão.
Portanto, um data breach ocorre quando existe um ponto de entrada não-autorizado no banco de dados de uma empresa que permite que hackers acessem dados de clientes, como senhas, números de cartão de crédito, CPFs, informações bancárias, carteiras de motorista, registros médicos, dentre outros dados que, por lei, devem ser mantidos em sigilo.
Isso pode ser feito fisicamente, através de endpoints (dispositivos como computador e celular de trabalho, por exemplo), ou ultrapassando a segurança da rede remotamente.
O que você vai ler neste artigoQuem está por trás das violações de dados?Os métodos utilizados para violação de dadosDescubra a Anatomia das Ameaças CibernéticasQuer levar seu conhecimento ainda mais longe? confira agora mesmo o nosso material com a anatomia das principais ameaças cibernéticas, um material muito completo, gratuito, em duas partes!

Quem está por trás das violações de dados?

Porém, embora automaticamente tenhamos a supor que toda violação de dados é causada por um hacker ou cibercriminoso externo, nem sempre isso é verdade. Vale considerar que um data breach também pode ocorrer das seguintes formas:

Um acidente entre colaboradores: um exemplo que muitos costumam esquecer ou relevar envolve um colaborador que usa o computador de um colega de trabalho e lê arquivos confidenciais sem a devida permissão. O acesso não é intencional e nenhuma informação é compartilhada. No entanto, como foram visualizados por uma pessoa não-autorizada, os dados são considerados violados;

• Um funcionário mal-intencionado: nesse caso, a pessoa acessa e/ou compartilha propositalmente dados com a intenção de causar danos a um indivíduo ou empresa. O usuário mal-intencionado pode ter autorização legítima para usar os dados, mas a intenção é usar as informações de forma escusa;
• Dispositivos roubados ou perdidos: um notebook, celular ou HD externo não-criptografado e desbloqueado – qualquer coisa que contenha informações confidenciais, na verdade – desaparece ou é roubado, e um terceiro tem acesso às informações neles contidas;
• Pessoas maliciosas de fora: finalmente, aqui temos os hackers que usam vetores de ataque para roubar informações de uma rede ou de um indivíduo.

Quais foram as principais ameaças do ano passado?

Olhar para o passado é essencial para entendermos a origem, medir, ou até mesmo prever o crescimento das ameaças cibernéticas. Em nosso cybertalks do mês, conversamos com o nosso Gerente de Produtos, Adalberto Costa, sobre as principais ameaças cibernéticas que ocorreram no ano passado e como as empresas podem se prevenir neste ano novo. 

Os métodos utilizados para violação de dados

Obviamente, cada ataque tem suas particularidades, variando conforme os objetivos de cada indivíduo e gravidade da violação. Porém, comumente, as etapas envolvidas em uma operação de data breach são:

1. Pesquisa: o cibercriminoso procura pontos fracos na segurança da empresa (pessoas, sistemas ou rede);
2. Ataque: O cibercriminoso faz contato inicial, usando um vetor de ataque;
3. Extração: Depois que o cibercriminoso entra em um computador, ele pode atacar a rede e abrir caminho até dados confidenciais da empresa. Uma vez que o hacker consegue extrair os dados, o ataque é considerado bem-sucedido.

Os infratores tendem a seguir esse padrão de ataque, ainda que planejem violação por violação. Afinal, o caminho até a joia da coroa é relativamente conhecido por eles e não costuma variar muito.

Os cibercriminosos estudam suas vítimas, para saber onde estão suas vulnerabilidades, como falhas em atualizações de software ou suscetibilidade dos colaboradores a campanhas de phishing.

1. Depois de conhecerem os pontos fracos de um alvo, eles desenvolvem uma campanha para convencer os usuários a baixarem malwares por engano, ou tentam penetrar diretamente na rede.
2. Uma vez lá dentro, os invasores têm a liberdade de procurar os dados que desejam e muito tempo para fazê-lo, pois a violação média leva mais de cinco meses para ser detectada.

Dentro desse esquema mais genérico, temos as variações dos métodos de ataque. Alguns destaques são:

• Credenciais roubadas: a grande maioria das violações de dados é causada por credenciais roubadas. Se os cibercriminosos tiverem uma combinação de nome de usuário e senha de um de seus colaboradores, eles terão uma porta aberta na sua rede. Pior ainda: como a maioria das pessoas reutiliza senhas, os criminosos cibernéticos podem acessar e-mails, sites, contas bancárias, arquivos na nuvem e outras fontes de informações financeiras ou de informações pessoais através de uma única credencial roubada.
• Recursos comprometidos: vários ataques de malware são usados para negar as etapas regulares de autenticação que normalmente protegem um computador, liberando mais facilmente o caminho até os dados de interesse.
• Fraude no pagamento: os escumadores de cartão, por exemplo, invadem caixas eletrônicos ou dispositivos de pagamento (maquininhas de cartão) e roubam dados sempre que um cartão é passado.
• BYOD (bring your own device): quando os funcionários levam seus próprios dispositivos para o local de trabalho, ou para coworkings, por exemplo, é fácil para equipamentos desprotegidos fazerem o download automático de aplicativos carregados de malware que fornecem aos hackers uma abertura para roubar os dados armazenados no dispositivo. Esses dados geralmente incluem e-mail e arquivos de trabalho, bem como as informações de identificação pessoal do proprietário do dispositivo.

Ou seja, não faltam recursos para cibercriminosos causarem dano que desejarem através de uma violação. Faz sentido, uma vez que as frentes de proteção são as mesmas de ataque. Pouco a pouco, os agressores vão ganhando permissões administrativas para rodar códigos maliciosos nos endpoints das vítimas, danificando ou tomando controle e, então, sem muito esforço, conseguem ganhar acesso à joia da coroa.

Para combater esses ataques, é preciso pensar que o cibercrime evolui em paralelo com as soluções tecnológicas que possibilitam vivermos em um mundo cada vez mais conectado. Todas as superfícies de ataque – redes corporativas, colaboradores remotos usando endpoints da empresa, serviços na nuvem, dispositivos móveis dentro ou fora da empresa – e todos os vetores de ataque – endpoints, e-mail, websites – devem ser protegidos no intuito de se evitar uma violação.

Quem é quem em um ataque de Engenharia SocialSe a Engenharia Social pode atingir qualquer nível de usuário, como traçar o perfil de quem a pratica com más intenções e quem sofre com suas consequências?Um ataque de Engenharia Social envolve abordagens que podem despertar o interesse do alvo pela ativação de algum senso emotivo.
Diferente de ataques focados em tecnologia, a aproximação do engenheiro social pode ter diferentes caras e afinidades, tudo vai depender do que o criminoso sabe previamente o alvo.
Se um ataque de Engenharia Social pode fazer de qualquer um uma vítima, definir os alvos prioritários de um possível ataque deve ser baseado em algumas outras características.
Para chegarmos nas vítimas mais vulneráveis, iremos abordar neste artigo:
Como funciona um ataque de Engenharia SocialQuais os principais tipos de ataqueOs dados mais importantes que sua empresa precisa proteger?O Perfil do Engenheiro SocialQuem é a Vítima de Engenharia SocialComo Proteger Funcionários da Engenharia SocialVamos lá?
Como funciona um Ataque de Engenharia Social na Segurança da InformaçãoPara entendermos como os ataques de Engenharia Social, ainda que semelhantes, possam ter impactos diferentes, é importante compreender que seu sistema funciona na base de tentativa e erro:
Coleta de informações, planejamento de ataques, aquisição das ferramentas necessárias, ataque, uso das informações coletadas.

Sendo assim, novas tentativas de ataques podem ser mais convincentes por trazerem elementos que as tornem mais verídicas, com os dados coletados na tentativa anterior.

Principais ataques realizados com Engenharia Social

Phishing

O Phishing é o ataque da engenharia social mais comum da atualidade, em suas dezenas de versões.

O crime consiste na obtenção de dados de uma pessoa ou organização através de técnicas de comunicação que resultam na persuasão da vítima.

No ambiente corporativo, qualquer usuário pode ser uma porta de entrada para uma brecha de segurança por saber, ter acesso ou simplesmente saber quem sabe de algo importante.

O contato do criminoso pode ocorrer a partir de qualquer meio de comunicação, como telefone, e-mail, ou SMS – na tentativa de fazer com que pessoas caiam em um golpe.

Fácil de ser executado, o phishing também não é um ataque difícil de ser reconhecido quando observado com atenção. Por isso, a chance de sucesso da prática depende de dois fatores: O momento certo e a desatenção do usuário.

Quem é exposto a essa tática pode ser surpreendido com algum contato em um momento em que aquele contato faça sentido, por exemplo.

Pretexting

O Pretexting é uma ação maliciosa que consiste na tentativa de se obter dados pessoais ou sobre uma empresa de maneira voluntária por uma falsa causa.

Este golpe pode vir disfarçado de uma causa ou confirmação de informações e com isso, despertar a generosidade do alvo.

Suas vítimas podem receber um e-mail suspeito, um telefone ou até mesmo mensagem de texto no WhatsApp.

Quid pro quo

O Quid pro quo é uma abordagem de troca inconsciente. Alguém oferece algo em troca de outra coisa.

Uma vítima desta abordagem pode receber ajuda técnica por algo, que embora seja resolvido pelo criminoso, dá a ele o poder de instalar ou induzir a instalação de arquivos maliciosos no dispositivo.

É uma falsa sensação de benefício em troca de dados pessoais ou problemas técnicos maiores no futuo.

Sextorsão

A sextorsão (sexo + extorsão) é um crime virtual em que a vítima é chantageada a realizar uma ação caso não queira que algum conteúdo íntimo seja divulgados.

Quando uma vítima possue algum e-mail ou número de celular exposto e que possam ser encontrado por botnets, é muito provável que receba tentativas de diversos tipos de ataques, incluindo a sextorsão.

É uma prática que se apoia muito na informação que coleta sobre um alvo, por muitas vezes ele não possui, realmente, um arquivo confidencial, mas sua abordagem (mais informada do que a maioria) vai fazer a vítima acreditar que sim.

Dumpster Diving

O dumpster diving é uma das práticas mais comuns e cotidianas que não utilizam dispositivos eletrônicos.

Trata-se do ato de vasculhar o lixo alheio para obter algum bem.

No mundo da tecnologia, vasculhar o lixo não é apenas uma ação de desespero, pois resíduos, peças ou até mesmo dispositivos com falhas podem ser descartados pelas companhias e tornarem-se alvo de algum tipo de vazamento ou boato.

Muitas organizações já possuem políticas de descarte para formalizar a ação e blindar qualquer tipo de vazamento ao tornar os itens inutilizáveis.

Shoulder Surfing

O Shoulder Surfing consiste na prática de observar as ações que uma pessoa está realizando em dispositivos como um celular ou computadores.

Para os engenheiros sociais, a ação pode representar mais do que uma simples curiosidade e tornar-se uma oportunidade para descobrir e memorizar senhas ou informações da vítima ou empresa que trabalha.

Tailgating

O tailgating é uma tática mais complexa que consiste no acesso presencial a lugares restritos por pessoas não autorizadas.

Considerada a mais antiga das abordagens de engenharia social, utiliza-se na maioria das vezes da bondade da vítima, como quando alguém está com as mãos tão ocupadas que uma pessoa gentil decide ajudar ao abrir e segurar a porta.

Quais informações mais importantes que sua empresa precisa proteger

Talvez sua empresa colete muitos dados bancários de usuários, por envolver o credenciamento para alguma plataforma financeira (como uma fintech).

Ou talvez ela simplesmente envolva dados particulares e identificáveis, como documentos e as preferências de cada um, como em uma rede social.

O mais importante a se compreender é que toda empresa possui um dado que acaba sendo mais importante que o outro pelo valor que representa para o negócio.

Para traçar o perfil de quem é vítima e engenheiro social nesse tipo de ataque, é importante primeiro entender qual a informação mais importante para cada marca.

Talvez a informação mais relevante para o setor de limpeza, por exemplo, seja o calendário de locais que precisam ser limpos, listagem de produtos, dentre outras coisas neste sentido, mas o mesmo funcionário pode ter acesso a lugares críticos.

E é por isso que não importa necessariamente quem você é, e sim o que você sabe ou os locais para os quais você tem acesso.

Quem é o Engenheiro Social

Apesar do nome, um engenheiro social não é um especialista na área de roubar informações.

Até porque a formação ainda não existe. Ao menos não formalmente.

Mas para que alguém execute ataques de engenharia social, algumas habilidades podem ser necessárias:

• Capacidade de contar uma boa história de maneira convincente.
• Habilidade para utilizar as informações coletadas a seu favor.
• Poder de persuadir para conseguir que as ações sejam voluntárias.
• Inteligência analítica necessária para estudar o alvo ou público-alvo com precisão.

Quem é a Vítima de Engenharia Social

A engenharia social está presente em todo lugar, qualquer sinal ou ação pode ser o suficiente para que alguém obtenha alguma informação da vítima.

A maior brecha dos sistemas de segurança não é sua tecnologia, mas as pessoas.

Todos os seres humanos possuem características (como o gosto por algum estilo musical), padrões de comportamento e psicológicos. É na observação dessas características que um engenheiro social obtêm o que precisa.

Seja o colaborador um profissional da área técnica ou mais humanizada, todos estão sujeitos a falhar na proteção contra um ataque deste tipo, pois possuem vulnerabilidades humanas.

Em situações cotidianas, vítimas podem ser feitas:

• Quando desatentos – em modo “automático” na realização de suas tarefas.
• Ocasião em que não verificam a autenticidade das mensagens recebidas.
• Ao passo que vivenciam algum problema pessoal e a mensagem soa como a oportunidade de melhorar as coisas.
• No momento em que se sensibilizam com a mensagem recebida e tem intenções de ajudar.
• Na hora em que precisa de ajuda e não possui muitas habilidades técnicas.

Como proteger funcionários da Engenharia Social

Muitas empresas erram na prevenção contra golpes virtuais ao só importarem-se com eles após uma primeira ocorrência.

A verdade é que quando falamos que a maior vulnerabilidade de segurança no ambiente corporativo é o fator humano e não suas tecnologias, não estamos falando que os funcionários são menos competentes, mas sim, que todos podem ser persuadidos.

É por isso que uma boa estratégica para combater a engenharia social possui duas características:

• Prevenção.
• Constância.

O fato de ser preventiva mostra que a organização já está preparada para caso algo aconteça, ela reconhece o problema e suas probabilidades, e só isso já é o suficiente para afastar muitos criminosos entusiastas.

Quanto a ser constante, é para que os funcionários também estejam sempre alertas sobre o perigo e não apenas em campanhas específicas ou ações reativas a ataques sofridos.

Em outras palavras, a prevenção é a melhor arma contra ataques de engenharia social. Confira algumas dicas que podem ser lembradas dentro do ambiente corporativo:

Manter gavetas e armários fechados.

Holerites, documentos e diversos outros arquivos impressos, com informações sensíveis, podem tornar-se uma vulnerabilidade ao serem facilmente vistas por colegas no ambiente corporativo.

Por isso, é importante manter as gavetas e armários fechados, e instruir os funcionários a levarem tudo o que for crítico para casa no final do expediente, ou disponibilizar um armazenamento específico para este fim.

Minimizar ou encerrar softwares que exponham dados da empresa ou funcionário.

Especialmente em empresas em que as mesas e computadores estiverem expostas em ambiente aberto, é muito comum que, quase inconscientemente, funcionários “bisbilhotam” o que outros estão executando no dispositivo.

Embora na maioria das vezes isso não represente nenhum problema, pode representar uma vulnerabilidade ao gerar oportunidades para pessoas com más intenções.

Não compartilhar login e senha com nenhum colega de trabalho.

Talvez a prática mais comumente difundida em qualquer ambiente, o compartilhamento de senhas é uma das práticas simples que podem causar as piores consequências a um trabalhador.

Imagine que ao fornecer a senha, a pessoa não apenas ganhar acesso total aos recursos disponibilizados para o dono da conta como também abre uma nova vulnerabilidade para seus dados pessoais, que podem a qualquer momento ser obtidos por algum usuário mal intencionado dependendo da prática do novo portador das informações de acesso.

Na necessidade de ausentar-se da mesa de trabalho, realizar o logout até o retorno.

Isso pode ser feito através do menu iniciar ou CTRL + Alt + Del caso esteja utilizando o Windows como sistema operacional.

Da mesma maneira que é importante fechar gavetas e armários que contenham documentos críticos, é essencial que os integrantes de qualquer equipe em uma empresa recebam o treinamento adequado para adquirirem o hábito de, ao ausentar-se da mesa de trabalho, encerrem a sessão de login no computador.

Isso porque ao manter o sistema logado o usuário abre brechas para que outras pessoas acessem ou alterem um arquivo específico que possa comprometer a vítima.

Não jogue documentos inteiros no lixo, rasgue-o ou fragmente caso seja uma opção no local de trabalho.

Jogar documentos e itens críticos como cartões de crédito, exames ou papéis com outras informações podem abrir brechas para a prática de no-hacking conhecida como “dumpster diving”, que consiste basicamente na vulnerabilidade encontrada num lugar muito comum: as lixeiras.

Em situações externas, evitar ao máximo mencionar informações internas da empresa (quadro de funcionários, rotinas, procedimentos).

Exceto quando receber instruções específicas e treinamento de uma assessoria de imprensa, por exemplo.

Colaboradores bem informados sobre a própria organização nunca representarão algo negativo.

No entanto, é importante que os mesmos sejam instruídos nos lugares e momentos em que poderão falar sobre os temas internas.

Pessoas passam por diversos ambientes, além da empresa, ao longo do dia: transportes públicos, outras empresas e claro, a própria residência.

Todos os lugares externos podem abrir vulnerabilidades para que pessoas de fora ganhem acesso a informações privadas e que podem usar para finalidades de impacto negativo.

Coletar documentos impressos logo em seguida.

Impressão em rede é um excelente recurso para a maioria das empresas, afinal, diminui a necessidade de espaços físicos para diversas impressoras e permite que os funcionários compartilhem um mesmo equipamento.

No entanto, o compartilhamento desse dispositivo pode abrir vulnerabilidades para que pessoas tenham acesso ao que foi impresso antes mesmo de quem o solicitou.

E por isso recomendação geral é de que os documentos sejam coletados logo depois da impressão ser solicitada.

Um guia sobre Engenharia Social

Todos estão vulneráveis

Como visto, todos podem tornar-se alvos de um engenheiro social, tudo irá depender dos seguintes fatores:

• As intenções do criminoso
• As informações que a vítima sabe, as pessoas que conhece ou os lugares para os quais tem acesso
• Seu estado emocional

É por isso que embora pessoas com os maiores cargos sejam alvos maiores, a hierarquização não funciona para traçar o impacto de um ataque, pois algo que um novo funcionário saiba ou o local para o qual tem acesso pode ser suficiente.

Quer saber o que sua empresa pode fazer ainda hoje para prevenir os ataques de Engenharia Social? Consulte os Especialistas em Segurança da Informação da Compugraf.