104
A Arte de Enganar
Um ponto central de apoio A sua política de segurança deve estabelecer uma pessoa ou um grupo designado como um ponto central ao qual devem ser relatadas as atividades suspeitas que parecem ser tentativas de infiltração na sua organização. Todos os empregados precisam saber para quem devem ligar quando suspeitarem de uma tentativa de invasão eletrônica ou física. O número de telefone desse local sempre deve estar à mão para que os funcionários não tenham de procurar quando suspeitarem de que um ataque está ocorrendo.
Proteja a sua rede Os empregados precisam entender que o nome de um servidor ou rede de computadores não é uma informação comum, mas sim uma informação que pode dar a um atacante o conhecimento essencial que o ajuda a ganhar a confiança ou encontrar a localização das informações que ele deseja. Em particular, pessoas tais como os administradores de banco de dados, que trabalham com software, pertencem àquela categoria de pessoas que têm especialização técnica e que precisam operar sob determinadas regras especiais e bastante restritivas sobre a verificação da identidade das pessoas que ligam para elas para obter informações ou consultoria. As pessoas que fornecem regularmente qualquer tipo de ajuda com computadores precisam estar bem treinadas sobre os tipos de solicitações que devem levantar suspeitas e sugerir que o interlocutor pode estar tentando realizar um ataque de engenharia social. Vale a pena notar, porém, que, sob a perspectiva do administrador de banco de dados da última história deste capítulo, o interlocutor atendia aos critérios de ser um usuário legítimo: ele estava ligando do campus e obviamente estava em um site que requeria um nome de conta e uma senha. Isso só deixa claro mais uma vez a importância de ter procedimentos padronizados para a verificação da identidade de alguém que solicita informações, sobretudo em um caso como esse, no qual o interlocutor estava pedindo ajuda para obter acesso a registros confidenciais. Tudo isso vale em dobro para faculdades e universidades. Não é novidade que o hacking de computadores é o passatempo preferido de muitos alunos da faculdade e também não deve ser surpresa que os registros dos alunos — e eventualmente os registros da faculdade também —- sejam um alvo tentador. Esse abuso é tão disseminado que algumas corporações consideram os campi como um ambiente hostil e criam regras de firewall que bloqueiam o acesso das instituições educacionais que têm endereços terminados em .edu. O resultado disso tudo é que todos os registros de alunos e de pessoal de qualquer tipo devem ser vistos como alvos primários para um ataque, e devem ser bem protegidos como informações confidenciais.
Dicas de treinamento A maioria dos ataques da engenharia social tem uma defesa ridiculamente fácil... para todos aqueles que sabem o que procurar. Sob a perspectiva corporativa, o bom treinamento é fundamental. Mas também há a necessidade de algo mais: várias formas de lembrar as pessoas sobre aquilo que aprenderam. Use telas chamativas que aparecem quando o computador do usuário é ligado, com uma mensagem de segurança diferente a cada dia. A mensagem deve ser criada para que não desapareça