Pois bem, nosso engenheiro social está no hall “falando ao telefone” e após uma brecha entra por uma das portas de acesso aos setores. O objetivo da “visita” é conseguir uma valiosa informação para um concorrente. Sabe o setor onde precisa estar e a pessoa com quem deve conversar – o senhor Roberto. As diversas preferências dele e de outros funcionários foram obtidas no Facebook e no LinkedIn. O nobre senhor é abordado com muita delicadeza pra falar sobre um assunto que tanto gosta; papo vai, papo vem e em pouco tempo conquistou a confiança do funcionário. Quando o senhor Roberto vira-se para o computador a informação estava estampada no e-mail aberto. Nosso engenheiro social olha por sobre os seus ombros e conseguiu parte da informação que procurava, o senhor Roberto vai até o banheiro e deixa o computador desbloqueado (quanta facilidade) … o trabalho estava quase pronto, a informação que faltava fora conseguida na conversa informal que se estendeu até o cafezinho. O visitante então “recebe uma ligação” e precisa se retirar da empresa. Na saída entrega seu cartão (fake) e deixa um abraço para aquela sua tia que “mora” na mesma cidade do pai do senhor Roberto.
Nem mesmo a proteção do perímetro, o controle de acesso físico, o uso de crachá para visitante e o CFTV impediram o ataque passivo. Investimos em firewall de grande porte, IDS, ferramenta de DLP, controle de acesso, proteção em camadas, hardening, mas o elo mais fraco da corrente continua desassistido. E não é que nosso engenheiro social utilizou dos exatos mesmos passos de um hacker ao invadir um sistema?!
- Levantamento de informações sobre o alvo: site institucional e LinkedIn
- Busca por vulnerabilidades: informações sobre funcionários no Facebook
- Planejamento de execução: conhecimento de processos e fornecedores
- Ataque: visita à empresa, shoulder surf, conquista de confiança
- Ocultação de rastros: cartão falso e vínculo criado com o senhor Roberto
A melhor e mais eficaz arma de contra inteligência interna para combater a engenharia social é o investimento em treinamentos e ferramentas de conscientização dos funcionários. Injetar uma cultura segura pode levar tempo, mas os funcionários terão reflexos até suas vidas privadas. As informações via telefone poderiam ser evitadas, o porteiro seria menos gentil e o senhor Roberto não seria vítima tão fácil de um desconhecido.
Políticas de controle e procedimento rígidos podem ajudar a mitigar o risco, mas a vulnerabilidade humana precisa ser tratada.
Até a próxima!
Leave a Comment