A C&I recebeu uma pergunta de um leitor: como evitar ser enganado como aconteceu na reportagem (acima)? Perguntamos para o especialista Guilherme Neves, Partner Cibersegurança da Doutornet Tecnologia, Pesquisador do IME – Instituto Militar de Engenharia:
“Eu assisti a reportagem e, olha, tem várias maneiras de se proteger. Vamos lá na. Primeiro, no caso do diretor que fez transferência de milhões… quando alguém faz uma videoconferência da empresa, ela deve ser acessível apenas utilizando o computador da empresa, com login da empresa. E esse computador tem que estar conectado à rede da empresa através de uma VPN. Porque aí, nesse caso, o bandido teria que ter um computador da empresa registrado, teria que estar logado na conta da empresa, teria que ter validado a sua identidade primeiro antes de entrar. Segunda coisa para desconfiar… numa videoconferência, quando você clica nos convidados, tem os e-mails de quem foi convidado certo? Então, se determina que só podem participar da videoconferência pessoas convidadas. E todas as pessoas convidadas precisam pedir permissão e ficar no lobby para poder entrar porque as pessoas da própria empresa não precisariam passar pelo lobby. Com esses cuidados, a pessoa não era da própria empresa, não estava no computador da empresa, não estava ligado na rede da empresa, alguém precisaria autorizar a entrada dela. O engano da reportagem então não aconteceria se a empresa tivesse usado essas barreiras de segurança. Ainda, toda a ordem que for dada precisa ser confirmada por escrito usando um e-mail da empresa – nada de mensagem só verbal. E mais: você pode gravar a reunião de forma que se valide quando alguém recebe uma ordem verbal, embora ordens verbais de empresas sejam coisas muito raras, principalmente para transferência de dinheiro. Então é preciso ajustar o processo de negócio para que ele precise ser validado em várias camadas para aumentar a segurança como um todo. No segundo caso, do deep fake. Como utilizamos WhatsApp e redes sociais, a primeira coisa é validar o número de telefone, é checar com a própria pessoa se é ela que está ligando. A dica que o repórter dá de pedir para a pessoa fazer o movimento passando a mão na frente do rosto é bastante válida, mas não funciona sempre. Outra coisa para validar a identidade é ter uma palavra-chave que só você e a pessoa conheçam, então no caso de uma desconfiança, usa-se essa palavra-chave para poder validar a identidade da pessoa. Outra coisa é nunca transferir dinheiro para uma conta que não a da própria pessoa. E fica mais difícil quando se tem uma gravação no Youtube, um reels… Lembrar que o mundo virtual não é 100% seguro, desconfiar sempre!”
