Engenharia Social – Cuidado com a visita

Um sujeito bem aparentado e muito bem vestido chega na portaria da empresa. Identifica-se como diretor de um dos grandes fornecedores da área de Compras e quer falar com um gestor. Na portaria constava o nome do suposto diretor com a devida autorização, porém estava com horário bem adiantado. O sujeito disse que sua secretária havia lhe informado horário errado, mas como conhecia bem a empresa poderia esperar no hall. O porteiro, atencioso como poucos, deu-lhe o crachá de visitantes. O sujeito sabia que o gestor não estava lá naquele horário. Nosso engenheiro social ligou para a empresa nos últimos três dias e falou com diferentes pessoas, descobriu diversos procedimentos internos da empresa e escolheu exatamente o dia daquele evento que os gestores estariam fora. Para definir o nome da empresa que iria “representar”, acessou o site institucional e identificou os principais fornecedores. E ele ainda teve o trabalho de levantar o nome de um diretor do fornecedor.

Pois bem, nosso engenheiro social está no hall “falando ao telefone” e após uma brecha entra por uma das portas de acesso aos setores. O objetivo da “visita” é conseguir uma valiosa informação para um concorrente. Sabe o setor onde precisa estar e a pessoa com quem deve conversar – o senhor Roberto. As diversas preferências dele e de outros funcionários foram obtidas no Facebook e no LinkedIn. O nobre senhor é abordado com muita delicadeza pra falar sobre um assunto que tanto gosta; papo vai, papo vem e em pouco tempo conquistou a confiança do funcionário. Quando o senhor Roberto vira-se para o computador a informação estava estampada no e-mail aberto. Nosso engenheiro social olha por sobre os seus ombros e conseguiu parte da informação que procurava, o senhor Roberto vai até o banheiro e deixa o computador desbloqueado (quanta facilidade) … o trabalho estava quase pronto, a informação que faltava fora conseguida na conversa informal que se estendeu até o cafezinho. O visitante então “recebe uma ligação” e precisa se retirar da empresa. Na saída entrega seu cartão (fake) e deixa um abraço para aquela sua tia que “mora” na mesma cidade do pai do senhor Roberto.

Nem mesmo a proteção do perímetro, o controle de acesso físico, o uso de crachá para visitante e o CFTV impediram o ataque passivo. Investimos em firewall de grande porte, IDS, ferramenta de DLP, controle de acesso, proteção em camadas, hardening, mas o elo mais fraco da corrente continua desassistido. E não é que nosso engenheiro social utilizou dos exatos mesmos passos de um hacker ao invadir um sistema?!

1. Levantamento de informações sobre o alvo: site institucional e LinkedIn
2. Busca por vulnerabilidades: informações sobre funcionários no Facebook
3. Planejamento de execução: conhecimento de processos e fornecedores
4. Ataque: visita à empresa, shoulder surf, conquista de confiança
5. Ocultação de rastros: cartão falso e vínculo criado com o senhor Roberto

A melhor e mais eficaz arma de contra inteligência interna para combater a engenharia social é o investimento em treinamentos e ferramentas de conscientização dos funcionários. Injetar uma cultura segura pode levar tempo, mas os funcionários terão reflexos até suas vidas privadas. As informações via telefone poderiam ser evitadas, o porteiro seria menos gentil e o senhor Roberto não seria vítima tão fácil de um desconhecido.

Políticas de controle e procedimento rígidos podem ajudar a mitigar o risco, mas a vulnerabilidade humana precisa ser tratada.

Até a próxima!