Engenharia Social e seu impacto para o avanço dos crimes virtuais
Por Jomar Nascimento
Crimes virtuais tornaram-se algo cada vez mais presente na realidade dos brasileiros. Ao longo de 2020, o país sofreu 8,4 bilhões de tentativas de ataques cibernéticos, sendo que 5 bilhões ocorreram nos últimos três meses daquele ano. Esses dados, divulgados no mais recente relatório do FortiGuard Labs, laboratório de ameaças da Fortinet, mostram a dimensão deste tipo de crime e justificam os crescentes investimentos em segurança pelas empresas, incluindo a área da saúde, como hospitais, clínicas e consultórios médicos.
Os criminosos podem utilizar técnicas avançadas, como inteligência artificial, para alcançar seus objetivos. Por isso, os estabelecimentos de saúde – seguindo uma tendência de todo o mercado – começou a desenvolver tecnologias capazes de barrar ou pelo menos identificar esses ataques, considerando a IoT (Internet of Things ou Internet das Coisas) e até o aprendizado de máquina a plataformas de segurança que operem de forma integrada e automatizada na rede principal, em ambientes multi-cloud, em filiais e nas casas dos que trabalham remotamente, realidade crescente devido à pandemia, como é o caso da teleconsulta – que exige inclusive o acesso de prontuários médicos de forma remota.
Porém, o que muitos ainda não consideram é a importância do fator comportamental para os crimes virtuais se concretizarem. Essa técnica tem um nome e se chama engenharia social.
Inúmeros crimes virtuais acontecem com base comportamental, sem o uso de nenhum celular ou computador, induzindo pessoas a compartilharem dados confidenciais sem perceber. A técnica, chamada engenharia social, utiliza informações captadas por meios analógicos, ou seja, não virtuais, para aí sim acessarem seus computadores e/ou celulares com malware* ou abrir links para sites infectados. Essa modalidade expõe a falta de conhecimento das pessoas sobre a relevância dos dados pessoais e como é fundamental protegê-los.
O mercado da saúde é um alvo muito visado, já que junto ao setor bancário, é o que mais lida com dados pessoais e sensíveis. A maioria dos médicos sabe de sua responsabilidade sobre a integridade e segurança das informações dos pacientes, mas ainda não sabe como armazená-los de forma realmente segura e como utilizar corretamente os seus dados, respeitando os limites da segurança da informação e do que prevê a Lei Geral de Proteção de Dados (LGPD). A velocidade da tecnologia impacta a forma como os profissionais de saúde assimilam informações relacionadas à segurança, partindo do princípio que esta não é sua área de atuação direta. Porém, como guardião dos dados dos pacientes, o uso correto dos dados não é apenas uma questão ética, como também legal.
Uma pesquisa realizada pelo Procon-SP este ano mostrou que apenas 35% dos entrevistados afirmaram conhecer a LGPD, criada para organizar e disciplinar as relações entre os titulares dos dados e aqueles que os coletam e fazem uso destes. Além disso, quase 60% não sabem a definição correta de dados pessoais. Essas informações são um sinal de alerta quanto ao rumo da segurança da informação e até da continuidade dos estabelecimentos, já que a LGPD inclui sanções que vão de multas à suspensão da atividade de tratamento de dados, em caso de violação da lei.
Como ocorre a engenharia social no mercado da saúde
Um exemplo comum no dia a dia de várias pessoas é o famoso golpe do whatsapp, em que alguém envia uma mensagem de WhatsApp em nome de outro indivíduo, se passando por ele, pedindo dinheiro emprestado. A forma com que o criminoso aborda a vítima é utilizando-se de engenharia social, com nomes e apelidos que a pessoa normalmente usa, ou com informações sobre a situação financeira dela. Por esse motivo, por mais que seja um golpe já conhecido, muitos caem. Essa mesma lógica se aplica a inúmeras formas de crimes virtuais. Imagine algumas situações como:
- O médico atende um paciente e, em seguida, sai para tomar uma água, deixando o computador desbloqueado e o prontuário do paciente aberto;
- A secretária do médico comenta, em uma ligação com uma colega, que a clínica passa por uma situação financeira complicada e ela está com medo de ser demitida;
- Em uma conversa no elevador com um colega, o médico comenta que naquele dia atendeu um paciente famoso, uma celebridade. Um jornalista também estava no mesmo elevador;
- O médico compartilha sua senha com um funcionário, que sai do emprego insatisfeito. O médico esquece de alterar a senha e, meses mais tarde, uma alteração é feita em um prontuário de paciente;
- O médico joga no lixo uma prescrição para um paciente com erro de grafia, sem destruir o documento antes;
- A secretária dá acesso de seu computador a um técnico de informática sem checar sua real identidade
Todas essas situações são ligadas ao comportamento inseguro de indivíduos. Estes comportamentos são a porta de entrada que criminosos precisam para executarem seus crimes. A partir do vazamento dessas informações, é possível que pessoas mal intencionadas conheçam o padrão de comportamento de uma pessoa ou estabelecimento e use esse conhecimento para fazer um ataque. O clássico e-mail de “phishing” , principal porta de entrada para ransomware, e os golpes com vírus são repletos de insinuações de conotação social. Os e-mails de phishing tentam convencer os usuários de que são de fontes legítimas, usando de informações padrão para atrair a vítima.
Em ataques direcionados, hackers podem frequentar um edifício corporativo e o ambiente que cerca para colher informações de pessoas que trabalham ali, sem que precisem enviar sequer um e-mail ou escrever uma linha de código de vírus, construindo as bases para o que chamamos de pré-ataque.
Por sua vez, outros ataques dependem da comunicação real entre invasores e vítimas. Nesse caso, o invasor pressiona o usuário a conceder acesso à rede com a alegação de um problema sério que requer ação imediata. Essa inteligência da engenharia social não está ligada à tecnologia em sua base, mas sim a padrões de comportamento.
O comportamento seguro é cultural e impõe uma mudança de caráter social Há uma preocupação legítima ligada à segurança de tecnologias usadas no dia a dia dos profissionais de saúde: qual software de gestão utilizar, criar senhas seguras para os sistemas, dentre outras. De fato, é fundamental que ao contratar e utilizar plataformas médicas, o médico verifique a política de privacidade da empresa e as eventuais integrações com terceiros, que podem abrir precedentes de segurança.
Ao mesmo tempo, é preciso criar mecanismos de senhas seguras, dupla autenticação e outras ferramentas que aumentem a segurança das informações. Porém, nada disso é eficiente se não há uma mudança cultural, que gere um novo padrão de comportamento seguro em todos os envolvidos no processo. Essa é com certeza a parte mais difícil, já que não estamos falando de algo matemático ou objetivo, mas sim de pessoas.
Algumas dicas valiosas para não cair em golpes
- Não forneça informações baseado em pressão de alguém que está atuando em nome de terceiro detentor de posição elevada na organização ou na cadeia de comando. Valide sempre antes se realmente se trata da pessoa em questão.
- Ao receber qualquer telefonema se dizendo ser da operadora de cartão de crédito ou banco e você não tiver certeza de que é verdade, simplesmente peça para aguardar e ligue de outro telefone para o número que consta na parte posterior do seu cartão de crédito ou débito. Se você verificar que se trata de uma tentativa de fraude, informe ao seu banco.
- Não converse em elevadores ou qualquer lugar público sobre algo confidencial seu ou de terceiros
- Ao atender uma ligação, peça para se identificarem antes de falar seu nome ou dar qualquer informação;
- Evite falar o nome de parentes ou pessoas próximas;
- Nunca revele suas informações pessoais ou de terceiros por email, whatsapp ou ligação telefônica;
- Jamais compartilhe senhas
- Sempre que se ausentar de sua máquina ou celular, bloqueie.
Todos esses cuidados fazem parte de um exercício de valores maior e constante. O foco em tecnologias seguras nunca pode deixar de existir, mas junto com ele deve vir a preocupação com o comportamento das pessoas, o que exige disciplina, conscientização e treinamentos. A era da informação traz inúmeros benefícios para a sociedade a um ritmo cada vez mais acelerado, mas se não houver responsabilidade com os dados, muito em breve qualquer um de nós terá sido vítima de um crime virtual. Ou pior: você poderá ter sido responsável por um crime contra um paciente seu, sem nem mesmo saber, e responder legalmente por isso.
*Malware é um termo para classificar todo tipo de software malicioso usado para causar prejuízo, que pode ser financeiro, danificar sistemas, interceptar dados ou simplesmente irritar o usuário, afetando tanto computadores como celulares e até redes inteiras.
*Jomar Nascimento é CEO e Cofundador da ProDoctor Software S/A.