Segurança da Informação

Ξ 3 comentários

Engenharia Social – Cuidado com a visita

publicado por Lindson Brum

Figura - Engenharia Social - Cuidado com a visitaUm sujeito bem aparentado e muito bem vestido chega na portaria da empresa. Identifica-se como diretor de um dos grandes fornecedores da área de Compras e quer falar com um gestor. Na portaria constava o nome do suposto diretor com a devida autorização, porém estava com horário bem adiantado. O sujeito disse que sua secretária havia lhe informado horário errado, mas como conhecia bem a empresa poderia esperar no hall. O porteiro, atencioso como poucos, deu-lhe o crachá de visitantes. O sujeito sabia que o gestor não estava lá naquele horário. Nosso engenheiro social ligou para a empresa nos últimos três dias e falou com diferentes pessoas, descobriu diversos procedimentos internos da empresa e escolheu exatamente o dia daquele evento que os gestores estariam fora. Para definir o nome da empresa que iria “representar”, acessou o site institucional e identificou os principais fornecedores. E ele ainda teve o trabalho de levantar o nome de um diretor do fornecedor.

Pois bem, nosso engenheiro social está no hall “falando ao telefone” e após uma brecha entra por uma das portas de acesso aos setores. O objetivo da “visita” é conseguir uma valiosa informação para um concorrente. Sabe o setor onde precisa estar e a pessoa com quem deve conversar – o senhor Roberto. As diversas preferências dele e de outros funcionários foram obtidas no Facebook e no LinkedIn. O nobre senhor é abordado com muita delicadeza pra falar sobre um assunto que tanto gosta; papo vai, papo vem e em pouco tempo conquistou a confiança do funcionário. Quando o senhor Roberto vira-se para o computador a informação estava estampada no e-mail aberto. Nosso engenheiro social olha por sobre os seus ombros e conseguiu parte da informação que procurava, o senhor Roberto vai até o banheiro e deixa o computador desbloqueado (quanta facilidade) … o trabalho estava quase pronto, a informação que faltava fora conseguida na conversa informal que se estendeu até o cafezinho. O visitante então “recebe uma ligação” e precisa se retirar da empresa. Na saída entrega seu cartão (fake) e deixa um abraço para aquela sua tia que “mora” na mesma cidade do pai do senhor Roberto.

Nem mesmo a proteção do perímetro, o controle de acesso físico, o uso de crachá para visitante e o CFTV impediram o ataque passivo. Investimos em firewall de grande porte, IDS, ferramenta de DLP, controle de acesso, proteção em camadas, hardening, mas o elo mais fraco da corrente continua desassistido. E não é que nosso engenheiro social utilizou dos exatos mesmos passos de um hacker ao invadir um sistema?!

  1. Levantamento de informações sobre o alvo: site institucional e LinkedIn
  2. Busca por vulnerabilidades: informações sobre funcionários no Facebook
  3. Planejamento de execução: conhecimento de processos e fornecedores
  4. Ataque: visita à empresa, shoulder surf, conquista de confiança
  5. Ocultação de rastros: cartão falso e vínculo criado com o senhor Roberto

A melhor e mais eficaz arma de contra inteligência interna para combater a engenharia social é o investimento em treinamentos e ferramentas de conscientização dos funcionários. Injetar uma cultura segura pode levar tempo, mas os funcionários terão reflexos até suas vidas privadas. As informações via telefone poderiam ser evitadas, o porteiro seria menos gentil e o senhor Roberto não seria vítima tão fácil de um desconhecido.

Políticas de controle e procedimento rígidos podem ajudar a mitigar o risco, mas a vulnerabilidade humana precisa ser tratada.

Até a próxima!

  •  
  •  
  •  
  •  
  •  
  •  
  •  

Compare preços de Uber, 99 e Taxi

Minimum Way

Autor

Lindson Brum é pós graduado em Gestão de Segurança da Informação pela Fumec, atua no mercado de tecnologia da informação há quinze anos, os últimos oito dedicados à segurança da informação. Atua no time de Gestão de Segurança da Informação na Drogaria Araujo.

Lindson Brum

Comentários

3 Comments

  • Bacana! O problema é que o brasileiro tem a cultura sempre do “Jeitinho” e não seguem as regras de uma forma padronizada; Penso que é um problema cultural que acaba gerando essa brechas para engenharia social. Vamos ficar atentos!

  • Lindson,
    Eu já atuei para implementar Sistema de segurança no CPD na década de 80 e os especialistas já diziam que não existem sistemas de Seguranças com garantia 100%. O motivo é justamente as pessoas que executam os procedimentos de segurança, bem como, outros procedimentos operacionais da organização, e este é o ponto vulnerável do sistema de segurança!
    O Investimento na tecnologia é importante porém a capacitação e conscientização sobre segurança dos funcionários são fundamentais.
    Você abordou no seu artigo com muita propriedade.
    Parabéns.

  • De que era o produto?

You must be logged in to post a comment.

Busca

Patrocínio

Publicidade




Siga-nos!

Newsletter: Inscreva-se

Para se inscrever em nossa newsletter preencha o formulário.