Recentemente, navegando por uma rede social, me deparei com uma publicação de uma pessoa que não conheço. Um contato comum fez um elogio nos comentários e, por isso, o post apareceu na minha timeline. Em termos gerais, a pessoa dizia:

“Hoje é uma data “especial”. Neste mês “M”, aconteceram muitas coisas boas para mim (“X”). Conheci minha mulher “Y” exatamente neste mês.

Neste mês “M” entrei em uma nova fase de minha vida, pois fui contratado por uma empresa que mudou meus padrões de vida e meu deu a felicidade de oferecer uma vida melhor para a minha família. Completo faço 20 anos de empresa “S”, sempre trazendo novos prospectos e clientes para esta empresa que tanto me deu e me reconheceu. “Neste mês “M” também nasceu a minha filha “Z”.

A publicação era acompanhada por uma foto de três crachás com nome completo, matrícula, foto e mais algumas informações em cima da mesa.

O que parece um simples depoimento de realizações profissionais e pessoais, acaba se transformando em um alerta sobre como o comportamento virtual precisa estar bem alinhado com uma postura que atenda a segurança cibernética e segurança empresarial. A publicação expõe diversas informações que podem servir a indivíduos mal-intencionados para engendrar o que chamamos de engenharia social.

A engenharia social consiste no uso das informações coletadas sobre algum usuário ou empresa para desenvolvimento de golpes customizados. Por isso, antes da exposição de qualquer informação em redes sociais, é importante avaliar sua relevância e as consequências da exposição daqueles dados, evitando criar problemas futuros.

Leia mais: os rastros digitais podem levar a golpes e fraudes.

A superexposição das informações de  “X” podem facilitar o acesso a sistemas, ferramentas e/ou novas redes sociais, gerando ainda mais informações para uma pessoa má intencionada ou um potencial atacante.

Com as informações publicadas, qualquer pessoa pode fazer uma busca simples sobre “X”. Seu nome completo e imagens permitem confirmar sua identidade. Outras informações interessantes também podem ser descobertas; por exemplo, que “X” possui um alto nível de gerencia, o que o qualifica como uma peça chave para ataques direcionados à empresa “S”. Além disso, pelo seu perfil, ele poderia conceder diversas informações privilegiadas sobre sua empresa, clientes ou outros executivos a sua volta. Além disso, as informações sobre tempo de empresa e sobre sua família, ajuda a contextualizar e construir um golpe.

Não estamos falando de atacar fisicamente “X”, mas utilizar suas informações públicas. Com alguma pesquisa é fácil assimilar tais informações e, desta forma, desenvolver um ataque de engenharia social, buscando acesso a “X” e a empresa “S”.

Para evitar a superexposição, é importante seguir algumas recomendações:

  • Evite publicar informações pessoais em redes sociais ou outros meios, salvo seja extremamente necessário. Você pode restringir quem deve ter acesso a esse tipo de informação quando publicada por meio das configurações de privacidade das redes;
  • Evite postar fotos com informações importantes sobre seu trabalho, principalmente se estas informações possuírem algum tipo de vínculo com sistemas da empresa (como uma matrícula que pode ser usada em ferramentas como um CRM ou plataformas internas com informações confidencias ou privilegiadas). Procure rasurar na imagem estes dados importantes com uma fita ou edições;
  • Crie senhas seguras para sistemas e redes sociais seguindo as boas práticas de mercado: mínimo de 8 caracteres, com letras maiúsculas e minúsculas, números e pelo menos um caracteres especiais (como !, @, #, $);
  • Avalie: Toda essa exposição de dados é realmente importante? Talvez esta seja uma das recomendações mais importantes.

A questão principal não é o que pode ser exposto e compartilhado nas redes sociais, mas de como isso deve ser feito de forma coerente, garantindo segurança.

Raul Vieira é Consultor de Segurança da Informação da CIPHER