Por Juliana Gaidargi em 22/04/2019 em Segurança

O visual hacking pode ser descrito como o ato de coletar informações ou credenciais de alguém por meios visuais. Como, por exemplo, olhando por cima do ombro de alguém. Essa prática também é conhecida como shoulder surfing. Além disso, quando um invasor examina a tela de laptops, desktops, tablets ou smartphones próximos para coletar informações sobre seu dono também é visual hacking.

Uma prática comum do visual hacker é procurar no teclado da vítima indícios da senha. Por exemplo, se o invasor reconhecesse quais teclas foram pressionadas no teclado, ele poderia usar o ataque de força bruta para hackear ou quebrar a senha da vítima. O atacante pode, ainda, fazer um vídeo ou tirar fotos de sua tela e teclado usando a câmera do próprio smartphone.

Portanto, o visual hacking pode ocorrer em locais públicos ou escritórios. Uma nova pesquisa da empresa de armazenamento e gerenciamento de informações Iron Mountain destacou novamente o quão predominante é o shoulder surfing ou o hábito de observar uma tela de laptop ou tablet próxima. Esta pesquisa mostrou que 72% dos passageiros do Reino Unido olham por cima do ombro da pessoa sentada ao lado deles para descobrir em que seu companheiro de viagem está trabalhando. Dessa forma, um em cada cinco passageiros do Reino Unido viu informações confidenciais ou altamente confidenciais. Apesar disso, 20% dos funcionários do nível de diretoria consideram o local de negócios do aeroporto um terreno fértil para o manejo de informações.

Ebook Maior Estudo de Cloud no Brasil

Ainda assim, o escritório pode ser um lugar muito mais perigoso. Afinal,  os usuários estão cientes de estranhos em um local público. Contudo, deixam sua guarda cair quando estão em sua própria mesa.

O básico sobre visual hacking

A invasão visual é o ato de espionar fisicamente a mesa de alguém ou as telas de computadores alheios. Portanto, o visual hacking é uma ameaça de baixa tecnologia em comparação ao malware, ransomware ou outras ameaças de alta tecnologia. No entanto, as repercussões podem ser tão prejudiciais quanto.

Afinal, de acordo com a pesquisa realizada pelo Ponemon Institute, 91% das tentativas de visual hacking  são bem-sucedidas. Isso porque os ataques podem acontecer rapidamente e são quase impossíveis de detectar.

O visual hacking não tem lugar para acontecer

Como um artigo do American Banker relatou, até mesmo o mais sofisticado sistema de segurança bancária poderia ser facilmente subvertido. Bastaria tirar fotografias de documentos deixados em carteiras ou na tela de um caixa.

Além disso, o risco para profissionais de campo é imenso. Afinal, alguém pode ler facilmente o que está em seu telefone por cima do ombro ao acessar os dados da empresa.

Vale lembrar que o acesso não autorizado a informações confidenciais não se limita a dados do consumidor ou dados financeiros. Ele inclui bens de propriedade intelectual e informações da sua empresa. Ou seja, mesmo a condução de e-mails de rotina em dispositivos que podem ser vistos por outras pessoas pode colocar em risco informações confidenciais.

O fator humano no visual hacking

Quando se trata de segurança de dados, a engenharia social atinge o que pode ser o ativo mais explorável de uma empresa: seus funcionários.

Engenharia social

Manipulação psicológica das pessoas para que divulguem informações confidenciais da empresa.

No “The Human Factor Report 2016”, a empresa de segurança e conformidade Proofpoint reportou a engenharia social como a técnica de ataque número 1 desde 2015. Da mesma forma, a empresa de tecnologia de segurança européia Balabit colocou a engenharia social no topo de sua lista dos 10 métodos de hackers mais populares .

Phishing é a tática de engenharia social que recebe mais atenção. Raramente passa um dia em que não há notícias sobre uma violação de dados em que um hacker remoto obtém acesso a informações corporativas confidenciais. Ou, pior, informações particulares de clientes.

Contudo, o hacking visual também é uma forma de engenharia social. Porém, recebe menos atenção. Talvez por se tratar de uma técnica de ataque de baixa tecnologia ela seja considerada menos preocupante. Vale lembrar que, no visual hacking, funcionários ou visitantes de um site de trabalho corporativo acessam informações confidenciais para uso não autorizado visualizando fisicamente tela aberta de computadores ou dispositivos móveis. Assistir a pressionamentos de teclas para determinar a senha de um usuário também é prática comum do visual hacking. Ou seja, isso pode acontecer facilmente sem que uma empresa perceba. Portanto, o risco é muito maior do que as pessoas tendem a considerar.

Ou seja, os CFOs precisam agir rapidamente para virar a maré e garantir que seus funcionários sejam educados sobre esse problema e devidamente preparados para ajudar a evitá-lo.

Por onde começar a se proteger?

Uma das melhores maneiras de impedir o hacking visual é por meio de treinamento e conscientização.

O treinamento de conscientização de segurança deve começar no programa de orientação de admissão ou de novo contratado. Afinal, é nesse momento que a maioria dos funcionários está realmente sintonizada para saber o que precisa fazer para ter sucesso.

Um objetivo principal do treinamento de conscientização de segurança deve ser garantir que os funcionários entendam que são responsáveis pela proteção de informações corporativas confidenciais. Isso inclui educá-los sobre como os hackers visuais podem explorar as lacunas de privacidade visual em seus espaços de trabalho.

O Global Visual Hacking Experiment 2016, uma expansão do Visual Hacking Experiment 2015 conduzido nos Estados Unidos pelo Ponemon Institute e patrocinado pela 3M, descobriu que o hacking visual é uma ameaça global insuficientemente endereçada.

Os estudos combinados de 2015 e 2016 incluíram 157 testes em 46 empresas participantes na China, França, Alemanha, Índia, Japão, Coréia do Sul, Reino Unido e Estados Unidos. Em cada tentativa, um hacker visual de chapéu branco assumiu o papel de um trabalhador de escritório temporário e recebeu um distintivo de segurança usado à vista. Eles tentaram obter informações confidenciais em 46 empresas participantes em oito países diferentes por meio de visual hacking.

O hacker de chapéu branco, então, entrou em cada instalação e realizou três tarefas explícitas:
  1. Visualizar e registrar informações sensíveis visíveis na tela do computador, na mesa ou na impressora;
  2. Pegar uma pilha de documentos comerciais rotulados como “confidenciais” de uma mesa e colocá-los em uma pasta;
  3. Tirar uma foto de informações confidenciais exibidas na tela do computador com o smartphone.

Em média, o hacker visual teve sucesso em acessar informações corporativas confidenciais em 91% dos testes. 52% dos hacks visuais ocorreram através de uma tela de computador desprotegida de funcionários. Globalmente, 27% das violações de dados envolveram informações confidenciais, como credenciais de login, documentos privilegiados de advogado-cliente e informações financeiras. Vale ressaltar que eles aconteceram em menos de 15 minutos em quase metade de todas as tentativas.

Esse estudo global enfatiza a necessidade de os funcionários prestarem atenção às pessoas, mesmo dentro de seus ambientes de trabalho confiáveis, e agir de acordo. Afinal, a intenção não é tornar os funcionários desconfiados de seus colegas. Mas garantir que eles saibam que as ameaças de hackers visuais são geralmente indetectáveis ​​e podem ter várias formas.

Em última análise, a conscientização dos funcionários deve ser consistente e contínua. Afinal, somente assim será capaz de impulsionar efetivamente a mudança cultural e proteger as informações. Também é importante abordar o problema por meio de políticas e procedimentos aprimorados.

O Global Visual Hacking Experiment descobriu que empresas com práticas de controle de som experimentaram, em média, 26% menos violações de privacidade visual. Contudo, as medidas específicas implementadas variam para cada organização com base nos riscos exclusivos que enfrentam. Porém, algumas políticas e procedimentos amplamente aplicáveis ​​incluem:

Ebook Melhores Práticas em Gestão de TI

Implementação de políticas de limpeza:

Para ajudar a garantir que os funcionários não deixem dados confidenciais, da empresa ou do cliente, em uma mesa quando não estiverem em uso.

Cuidado com impressões:

Exigir que o material impresso seja coletado imediatamente de impressoras, copiadoras e aparelhos de fax comuns.

Atenção aos monitores:

Assegurar que monitores e dispositivos não estejam dentro do alcance de visualização de olhares indiscretos. Isso pode ser feito mudando a visualização da tela ou usando filtros de privacidade. Afinal, estes escurecem a visão angular dos espectadores.

Capacitar os funcionários:

Seus funcionários podem ser sua defesa mais poderosa contra hackers visuais. Afinal, políticas corretas, como a limpeza da mesa, reduzem o risco de as informações serem expostas.

Proteger informações confidenciais é um bloco básico de privacidade. O visual hacking pode ser evitado, mas somente se os funcionários aumentarem a percepção de privacidade sobre o ambiente ao seu redor. Isso, além de seguirem dicas básicas para proteger a privacidade visual.

Portanto, eles sempre devem perguntar a convidados errantes ou visitantes se precisam de ajuda. Mesmo em ambientes que podem experimentar um alto nível de tráfego devido a empreiteiros, equipes de limpeza e muitas outras pessoas caminhando pelo prédio, é melhor prevenir do que remediar.

Abordar a questão do visual hacking abertamente:

A violação de dados mostrou que os hacks nem sempre podem ser rastreados até uma causa raiz específica. O Global Visual Hacking Experiment mostrou que hacks podem acontecer dentro das paredes confiáveis ​​de uma empresa. Portanto, os CFOs precisam abordar o visual hacking. Caso contrário, colocarão sua organização em risco de se tornar mais um registro na lista de organizações invadidas.

Realizar uma auditoria:

Realizar uma explicação passo a passo do espaço de trabalho pode ajudar a descobrir problemas. Como a identificação de monitores expostos a áreas de tráfego intenso, por exemplo. Pratique também a conscientização situacional ao trabalhar em espaços públicos, como lanchonetes, hotéis ou aeroportos. Ou seja, procure áreas que oferecem mais privacidade de olhares indiscretos.

O experimento Global Visual Hacking

Em 2015, o Ponemon Institute conduziu um experimento nos EUA que revelou como era fácil capturar informações confidenciais da empresa por meio de visual hacking. Para determinar se o visual hacking era um problema em escala global, a 3M patrocinou uma experiência expandida em 2016 para incluir escritórios na China, França, Alemanha, Índia, Japão, Coréia do Sul e Reino Unido.

Os resultados mundiais são alarmantes e servem como um bom lembrete da importância de abordar a privacidade visual em organizações de todo o mundo.

Confira abaixo o infográfico mostrando a realidade do visual hacking no mundo:

visual hacking

Como evitar visual hacking, segundo Larry Ponemon

O Dr. Larry Ponemon é o presidente e fundador do Ponemon Institute, um centro de pesquisa dedicado ao avanço das práticas de privacidade e proteção de dados, e presidente do Conselho Consultivo de Privacidade Visual patrocinado pela 3M.

Identifique e controle:

Cada configuração tem áreas exclusivas de alto risco para endereçar. Eles podem incluir áreas de espera em hospitais, balcões de atendimento, balcões de atendimento e caixas eletrônicos em bancos. Nos escritórios, eles podem incluir espaços de trabalho compartilhados, cubículos abertos e lobbies. Cada uma dessas áreas precisa ser examinada e abordada com base na ameaça que elas representam.

Portanto, uma combinação de políticas da empresa e controles visuais de privacidade é a melhor abordagem para ajudar a evitar ataques visuais. As políticas devem incluir instruções aos trabalhadores para bloquear e proteger com senha seus computadores e dispositivos móveis quando não estiverem em uso. Ele também deve incluir a implementação de uma política de mesa limpa que garanta que documentos com informações confidenciais sejam removidos da exibição normal quando não estiverem em uso. Isso inclui a destruição de documentos com informações confidenciais quando deixam de ser necessários.

Afinal, os funcionários são a primeira linha de defesa contra o hacking visual, mas mudar o comportamento humano pode ser difícil. Portanto, políticas devem ser reforçadas com esforços de comunicação interna, treinamento e auditoria para construir uma cultura de privacidade. Isso pode ajudar a capacitar os trabalhadores a tomar a privacidade em suas próprias mãos e a protegerem informações proprietárias da empresa.

Controles também desempenham um papel importante. Todos os monitores de computador e telas de dispositivos móveis devem ser equipados com filtros de privacidade física, que escurecem as telas quando vistas de um ângulo lateral.

Trata-se de uma ameaça evitável?

O visual hacking é muito fácil de realizar na maioria dos prédios de escritórios hoje, como evidenciado pelo Global Visual Hacking Experiment. Portanto, sua prevalência só pode crescer à medida que os hackers procuram novas maneiras de acessar informações. Dessa forma, uma combinação simples de pessoas, processos e tecnologias é a melhor maneira de lidar com essa ameaça sob todos os ângulos.

Implicações e recomendações

De acordo com os resultados da pesquisa, o hacking visual no local de trabalho representa um sério risco para as informações confidenciais de uma organização. A seguir estão as implicações desta pesquisa:

Por razões de produtividade e um ambiente de trabalho mais igualitário, muitas organizações estão migrando da configuração tradicional de escritórios e cubículos privados para espaços de trabalho abertos. Uma conseqüência não intencional disso é a dificuldade em impedir que documentos em papel e telas de computador sejam vistas por hackers visuais.

Portanto, as organizações devem avaliar o risco desse novo ambiente de escritório para informações confidenciais. Vale ressaltar que o visual hacking é difundido e ocorre em todos os setores da indústria e em todos os níveis de uma organização. Onde as informações sensíveis e confidenciais residem, há o risco de uma violação de dados.

O que fazer?

Dessa forma, todas as organizações devem instituir uma política visual de privacidade. Esta deve descrever as ações, procedimentos e práticas recomendadas específicas para impedir a exibição de dados importantes. Muitas vezes, funcionários não sabem que as informações com as quais trabalham são desejáveis ​​para hackers virtuais. Por isso, eles geralmente não tomam as devidas precauções para evitar que essas informações sejam exibidas em tela aberta.

Infográfico Modelos de Suporte Técnico Para Contratar

Ou seja, programas de treinamento e conscientização devem ser parte integral da estratégia de segurança e privacidade de uma organização. A privacidade visual é uma ameaça à segurança que muitas vezes é invisível para a gerência sênior. Embora as organizações estejam aumentando os orçamentos para habilitar tecnologias de segurança, os recursos para dar suporte a uma estratégia de privacidade visual mais forte geralmente não são disponibilizados.

As organizações devem, portanto, avaliar quanto de acesso os funcionários e contratados têm a informações sensíveis. Ou até mesmo quanto acessam dados confidenciais em locais externos. Afinal, limitar esses acessos sem reduzir a produtividade pode ajudar a mitigar o risco de uma potencial violação de dados.