Como seu help desk enfrenta a engenharia social?

Este é um assunto que envolve o Help Desk / Service Desk e também a área de segurança de TI da sua empresa.

Um detalhamento maior sobre o significado de “engenharia social” pode ser lido na Wiki (em português!).

A primeira vez que travei conhecimento deste conceito foi lendo o livro “Contra-ataque“, do Tsutomu Shimomura e John Markoff. O primeiro, o especialista em segurança que ajudou a prender o famoso hacker Kevin Mitnick. Lá em 1994 essa fera roubou 20.000 números de cartões de crédito. E, empolgado com suas conquistas, topou de cara com outra fera: Shimomura.

A idéia é do conceito “engenharia social” é simples, senão patética: invés de invadir computadores para pegar senhas de alguém, é mas fácil entrar em contato com este ou outro alguém, fingir-se de autoridade (internas ou externas) e pedir senhas ou informações vitais para o funcionamento da segurança.

Aliás, o próprio Mitnick (para ver como a indústria norte-americana de livros aproveita todas as oportunidades), um reconhecido criminoso, escreveu outro livro – com o sugestivo nome de “A arte de enganar” – onde apresenta seus truques e armas.

Vale a pena ler.

Não para aprender a usar. Mas para compreender como se defender dessas artimanhas.

No artigo entitulado Combatendo os efeitos da Engenharia Social (texto só em inglês), o articulista questiona a ação dos analistas de Help Desk / Service Desk no assunto.

(Achava que este post nada tinha a ver com você, hein?)

Obviamente, ilustrarei um pouco sobre os motivos pelos quais as pessoas “caem” de ví­timas na engenharia social (aspectos apontados no artigo):

  • É natural as pessoas quererem ajudar
  • Faz parte do ser humano acreditar nos outros
  • É natural as pessoas temerem o que acontece quando fazem algo errado
  • Medo de reprimendas ou de perder o emprego
  • Usam certas palavras que fazem a pessoa dar completa atenção
  • (outros, leia o artigo todo, não coma na mão do Cohen)

E então…

O lado negro onde o Help Desk / Service Desk entrega o ouro…

O primeiro aspecto é uma escancarada compreensão da força de poderes dentro de uma empresa. Se o invasor identificar-se como um gerente ou diretor junto ao Help Desk (quanto mais alto o cargo, mais medo mete), a coisa fica fácil. Ainda mais quando o primeiro ní­vel de suporte técnico tem medo de aborrecer a direção, perder o emprego ou repassar para um segundo ní­vel hierárquivo.

Segundo o articulista, funciona em 99% das vezes por que a equipe do Help Desk / Service Desk sabe que é dispensável e que seus supervisores não irão apoiar a sua decisão (seja ela qual for).

Terrí­vel, hein?

Imagina alguém ligando para seu primeiro ní­vel, identificando-se como um diretor e pedindo para reinicializar a senha dele!!

O articulista – Dan Morril – tem boas sugestões para enfrentar esta situação.

Basta ler o texto dele. E pensar na implementação de processos para evitar tais momentos.

E se você não ler, please, não finja que uma pulguinha já não lhe começa a incomodar…

🙂

Abraços

El Cohen

Deixe um comentário

O seu endereço de e-mail não será publicado.