Ataques cibernéticos, tanto a usuários domésticos, quanto a empresas e seus funcionários, ocorrem basicamente de duas formas: atacando-se os sistemas informatizados, ou as pessoas por trás deles. Por isso, é importante não só adquirir equipamentos e softwares de segurança (veja os principais) e mantê-los atualizados, como conscientizar seus usuários da importância de identificar os sinais de ataque.

No campo da segurança digital, a técnica de atacar pessoas é chamada de "engenharia social". Trata-se de uma abordagem sutil para iludir usuários e induzi-los a praticar tarefas ou fornecer informações privilegiadas, que beneficiarão os atacantes. Seria uma forma moderna e mais sofisticada do velho "conto do vigário". Casos notáveis atualmente são os golpes de phishing, que atingem tanto usuários domésticos quanto corporativos. O phishing, basicamente, é o envio de uma grande quantidade de mensagens fradulentas na forma de spam, a fim de obter, da parcela dos destinatários que caem no golpe, informações privadas.

Segundo dados de um relatório fornecido recentemente pela IBM, em 2005, as empresas foram alvo não só do phishing já tradicional (chamado de phishing scam), como de uma outra forma de ataque, mais dirigido, chamado de "spear phishing". Nesta categoria, criminosos bombardeiam empresas com spam altamente direcionado que parece vir de dentro da corporação, geralmente dos departamentos de TI e RH. Em troca de alguma recompensa, os funcionários são induzidos a fornecer informações privadas das empresas ou executar programas maliciosos, acreditando que estão trocando mensagens com alguém do trabalho.

Para orientar sobre essas questões, procuramos a opinião de dois especialistas no assunto: o brasileiro Nelson Murilo, e o norte-americano David Mackey, do setor de Inteligência de Segurança da IBM. Os dois concordam em um ponto: a educação dos funcionários é uma das principais ferramentas para se garantir a segurança das informações nas empresas.

"A maior parte dos ataques ao usuário (quer seja corporativo ou não) envolve algum tipo de engenharia social. No caso dos spear phishing a forma mais simples de evitá-los é combinar tecnologia (bloquear falsas mensagens externas que usem endereços internos, usando políticas como SPF, por exemplo), com treinamento e concientização constantes", diz Nelson Murilo. SPF é a sigla de Sender Policy Framework, um procedimento que evita o envio de e-mails forjados ao verificar os dados presentes nas mensagens, e que deve ser adotado tanto do lado do servidor do remetente, quanto do lado do servidor do destinatário.

Mackey segue a mesma linha de pensamento quanto à educação dos funcionários: "A melhor maneira para os empregados se prevenirem de ciberataques é estarem totalmente a par das políticas e procedimentos de segurança existentes na organização. As empresas devem definir quando as estações de trabalho devem ser atualizadas, que softwares devem ser usados e que controles de segurança devem ser adotados em todas as estações. Os empregados que seguem as diretrizes de segurança podem ir longe na prevenção de ataques. Adicionalmente, os empregados tem de ter cuidado com quais e-mails são abertos, que websites são visitados e que softwares são instalados. Se há alguma dúvida na validade das fontes, os empregados em conjunto devem evitá-las. Empregados bem educados são uma importante linha de defesa na luta contras as ameaças à Tecnologia da Informação."

Na opinião de Murilo, em geral, somente as pessoas que lidam com informação gerencial ou contábil têm algum tipo de treinamento, ou intuitivamente agem de forma mais reservada. Mas outros funcionários que têm acesso a estas mesmas informações, como secretárias, responsáveis por bancos de dados e pessoal de atendimento ao usuário (instalação e manutenção de software ou hardware), normalmente não recebem qualquer atenção. "Um chefe perguntando alguma coisa sensível por e-mail, telefone, pager ou PDA? Confirme a informação por telefone ou, de preferência, pessoalmente", orienta.

O especialista não descarta, no entanto, a importância da tecnologia e do uso de equipamentos e softwares, juntamente com a educação de empregados, para combater os ataques ao ambiente corporativo. Em resumo, ele recomenda ações em três frentes:

• Tecnologia (SPF, greylisting, ou lista para restrição de e-mails, antivírus, anti-spam, etc.)


• Política organizacional (normas, diretrizes, procedimentos, recomendacõees, etc.)


• Conscientização de todo o pessoal de trabalho (palestras, cursos, canais de relacionamento, folhetos educativos, etc.)