Um sujeito bem aparentado e muito bem vestido chega na portaria da empresa. Identifica-se como diretor de um dos grandes fornecedores da área de Compras e quer falar com um gestor. Na portaria constava o nome do suposto diretor com a devida autorização, porém estava com horário bem adiantado. O sujeito disse que sua secretária havia lhe informado horário errado, mas como conhecia bem a empresa poderia esperar no hall. O porteiro, atencioso como poucos, deu-lhe o crachá de visitantes. O sujeito sabia que o gestor não estava lá naquele horário. Nosso engenheiro social ligou para a empresa nos últimos três dias e falou com diferentes pessoas, descobriu diversos procedimentos internos da empresa e escolheu exatamente o dia daquele evento que os gestores estariam fora. Para definir o nome da empresa que iria “representar”, acessou o site institucional e identificou os principais fornecedores. E ele ainda teve o trabalho de levantar o nome de um diretor do fornecedor.
Pois bem, nosso engenheiro social está no hall “falando ao telefone” e após uma brecha entra por uma das portas de acesso aos setores. O objetivo da “visita” é conseguir uma valiosa informação para um concorrente. Sabe o setor onde precisa estar e a pessoa com quem deve conversar – o senhor Roberto. As diversas preferências dele e de outros funcionários foram obtidas no Facebook e no LinkedIn. O nobre senhor é abordado com muita delicadeza pra falar sobre um assunto que tanto gosta; papo vai, papo vem e em pouco tempo conquistou a confiança do funcionário. Quando o senhor Roberto vira-se para o computador a informação estava estampada no e-mail aberto. Nosso engenheiro social olha por sobre os seus ombros e conseguiu parte da informação que procurava, o senhor Roberto vai até o banheiro e deixa o computador desbloqueado (quanta facilidade) … o trabalho estava quase pronto, a informação que faltava fora conseguida na conversa informal que se estendeu até o cafezinho. O visitante então “recebe uma ligação” e precisa se retirar da empresa. Na saída entrega seu cartão (fake) e deixa um abraço para aquela sua tia que “mora” na mesma cidade do pai do senhor Roberto.
Nem mesmo a proteção do perímetro, o controle de acesso físico, o uso de crachá para visitante e o CFTV impediram o ataque passivo. Investimos em firewall de grande porte, IDS, ferramenta de DLP, controle de acesso, proteção em camadas, hardening, mas o elo mais fraco da corrente continua desassistido. E não é que nosso engenheiro social utilizou dos exatos mesmos passos de um hacker ao invadir um sistema?!
A melhor e mais eficaz arma de contra inteligência interna para combater a engenharia social é o investimento em treinamentos e ferramentas de conscientização dos funcionários. Injetar uma cultura segura pode levar tempo, mas os funcionários terão reflexos até suas vidas privadas. As informações via telefone poderiam ser evitadas, o porteiro seria menos gentil e o senhor Roberto não seria vítima tão fácil de um desconhecido.
Políticas de controle e procedimento rígidos podem ajudar a mitigar o risco, mas a vulnerabilidade humana precisa ser tratada.
Até a próxima!
You must be logged in to post a comment.
5:50:45 pm
Bacana! O problema é que o brasileiro tem a cultura sempre do “Jeitinho” e não seguem as regras de uma forma padronizada; Penso que é um problema cultural que acaba gerando essa brechas para engenharia social. Vamos ficar atentos!
6:10:18 pm
Lindson,
Eu já atuei para implementar Sistema de segurança no CPD na década de 80 e os especialistas já diziam que não existem sistemas de Seguranças com garantia 100%. O motivo é justamente as pessoas que executam os procedimentos de segurança, bem como, outros procedimentos operacionais da organização, e este é o ponto vulnerável do sistema de segurança!
O Investimento na tecnologia é importante porém a capacitação e conscientização sobre segurança dos funcionários são fundamentais.
Você abordou no seu artigo com muita propriedade.
Parabéns.
3:53:46 pm
De que era o produto?