A Nova Era dos Ataques: 4 Maneiras Inovadoras que Hackers Roubam Seus Dados (e Como se Proteger)É inegável que os hackers do século 21 desenvolvem vírus, *malware* e novos métodos cada vez mais complexos. No entanto, a maior ameaça à segurança, tanto para o usuário comum quanto para as empresas, não reside apenas na tecnologia (*software*), mas sim no **fator humano: nós**.
Empresas podem construir infraestruturas robustas com *firewalls*, VPNs e *Gateways* bem configurados, mas isso não mitiga o risco de ameaças maliciosas (ou acidentais) que vêm de dentro da própria organização. A técnica de *hacking* de baixa tecnologia no século 21 se tornou muito fácil, com fraudadores entrando em contato direto com a vítima após uma simples investigação em redes como o LinkedIn.
Os exemplos a seguir são baseados em experiências reais, especialmente no período da Pandemia de Coronavírus, atendendo empresas e profissionais liberais. Lembre-se: se um hacker obtém seus dados pessoais, ele pode usá-los para acessar seus dados profissionais. Apresentaremos **quatro maneiras que os criminosos contornam a segurança** para roubar dados pessoais e corporativos.
A **Engenharia Social** é a ameaça mais forte e atual na segurança cibernética. Trata-se do ato de manipular uma pessoa para que ela forneça dados confidenciais voluntariamente.
Em vez de infectar uma rede com *malware* e invadir por um *backdoor*, o hacker pode simplesmente **enganar um funcionário para que ele forneça a senha**, navegando tranquilamente pela rede da empresa sem levantar alarmes. Uma vez que o invasor se apodera de uma senha (autorizada por você), as defesas se tornam quase nulas.
As técnicas se aprimoraram porque o usuário médio aprendeu a ignorar e-mails genéricos de estranhos. Agora, os hackers estão mais inteligentes: eles vasculham contas de redes sociais (como o Facebook) em busca de nomes de amigos. Desta forma, enviam e-mails **fingindo ser alguém que você conhece**, aumentando drasticamente a probabilidade de você cair no golpe.
Dica de Segurança: Tenha cuidado redobrado com os dados pessoais informados nas redes sociais. Informações aparentemente inofensivas, como o nome do seu primeiro animal de estimação ou nome de solteira da sua mãe, podem ser usadas em ataques de phishing para descobrir respostas a perguntas de recuperação de contas.
A maioria das ameaças de segurança cibernética dentro das empresas vêm de **funcionários (atuais ou ex-funcionários)**. Estes indivíduos podem obter acesso não autorizado a dados confidenciais ou, intencionalmente ou não, infectar a rede.
Para evitar essas ameaças, as empresas devem **educar os funcionários** com palestras de segurança. O uso de softwares gerenciadores de senhas (como o Kaspersky PSM ou KeePass) é altamente recomendado para armazenar credenciais com segurança complexa. Bloquear portas USB também é uma opção, mas deve ser avaliada com o TI devido à redução de flexibilidade.
Semelhante à Engenharia Social, o *phishing* moderno utiliza informações obtidas sobre o próprio usuário para criar iscas personalizadas. Por exemplo, um hacker pode saber que você adora uma série da Netflix e enviar um e-mail com o título: **”Clique aqui para assistir ao último episódio da série ‘Tal'”**.
A isca direcionada aumenta drasticamente a probabilidade de o usuário clicar no link malicioso. Outro cenário comum, facilitado pelo LinkedIn, é o hacker se passar por um CEO de uma empresa, solicitando dados pessoais (CPF, RG) sob o pretexto de uma **falsa contratação**. Por mais improvável que pareça, isso ocorre regularmente.
Esta é uma tática super inteligente: usar o botão de cancelamento de inscrição (*UNSUBSCRIBE*) para induzir o download de *malware*.
Por lei, e-mails de propaganda devem ter um link de cancelamento. O hacker envia e-mails repetidos (fingindo ser uma loja ou marca), e o usuário, irritado pela frequência, simplesmente clica no botão **”Cancelar Inscrição”** para parar de receber a publicidade.
**O Perigo:** No e-mail de *phishing* deste hacker, clicar no botão de cancelamento de assinatura, na verdade, **efetua o download e a instalação de *malware***.
Conclusão: Fortalecendo Sua Defesa CibernéticaA melhor abordagem é permanecer **atento e atualizado** sobre a variedade de métodos que os hackers usam para roubar dados. Utilize um filtro *anti-spam* bem configurado e mantenha-se vigilante.
No ambiente corporativo, eduque seus funcionários para que estejam cientes dessas técnicas (Engenharia Social, Ameaças Internas, Phishing). Incentive-os a questionar qualquer pessoa que não reconheçam e a desconfiar de comunicações estranhas.
A internet continua sendo um lugar extremamente positivo, desde que a **segurança cibernética seja tratada como uma habilidade** a ser constantemente desenvolvida e treinada.
