Por Jim Stickley*, CSO / EUA
Publicada em 31 de outubro de 2011 às 08h00
- ormações e senhas de um escritório ao simplesmente se passar por alguém com autoridade.
Se uma empresa te contrata para um serviço de engenharia social, normalmente ela quer que você entre e acesse suas fitas de backup, ou os dados na sua sala de documentos.
Vamos dizer que estou fingindo ser um inspetor de segurança de incêndio. A primeira coisa que terei ao lado do meu distintivo e do meu uniforme é um walkie-talkie, como todos os bombeiros. Do lado de fora, teremos “o cara do carro”. É a pessoa que senta no automóvel, e basicamente seu trabalho no começo é enviar conversa mole para os nossos rádios. Teríamos uma gravação de todo esse papo que você ouve nos walkie-talkies. Ele senta no carro, toca o conteúdo e envia pros nossos rádios.
Nós entramos no local e nos certificamos de que a conversa está bem barulhenta nos walkie-talkies para que sejamos imediatamente o centro das atenções. Quando entro, quero que todos saibam. Meu rádio comunicador está alto e todos olham enquanto peço desculpas e abaixo o volume.
Mostro meu distintivo para a pessoa na mesa da frente. Eles perguntarão “Oi, como você está?”, ao que responderei “Bem, estou aqui para uma inspeção de incêndio”. Eles dizem “Ótimo” e chamam alguém para nos acompanhar. Geralmente é uma pessoa simpática. Começo a falar com eles, flertar com elas, o que for preciso fazer. Começamos então a andar pelo escritório.
Enquanto falo com a pessoa que nos acompanha, meu parceiro sabe que o trabalho dele é “fugir” de nós. Por isso, meu colega começará a se desviar imediatamente. Na maioria dos casos nossa acompanhante dirá “Você pode voltar aqui? Preciso manter vocês juntos.” Nós então dizemos “É claro, desculpe.” Mas na verdade isso não quer dizer nada para a gente. Tudo o que significa é que vamos continuar fazendo até a pessoa desistir. Meu parceiro vai dar uma fugida mais umas duas ou três vezes e seremos repreendidos até que ela finalmente desista. Ela acha que ele é só um bombeiro e pensa “Vamos apenas deixá-los fazer o que precisam.”
A espionagem
Neste ponto, a tarefa do meu colega é começar a roubar tudo o que puder e colocar na sua mala. Ele também precisa entrar debaixo das mesas de qualquer funcionário que conseguir e instalar pequenos loggers (pendrives com um software) de teclado. Eu fico com a nossa acompanhante e meu único dever agora é mantê-la entretida. Continuo andando pelas salas, dando conselhos sobre como manter o local seguro contra incêndios, mesmo que não tenha a mínima ideia do que esteja falando. Invento algumas coisas e provavelmente dou os piores conselhos da história. Pego alguns fios e digo “Isso parece um pouco perigoso”. Faço comentários sobre os aquecedores. Estou “viajando” completamente.
Neste ponto, a tarefa do meu colega é começar a roubar tudo o que puder e colocar na sua mala. Ele também precisa entrar debaixo das mesas de qualquer funcionário que conseguir e instalar pequenos loggers (pendrives com um software) de teclado. Eu fico com a nossa acompanhante e meu único dever agora é mantê-la entretida. Continuo andando pelas salas, dando conselhos sobre como manter o local seguro contra incêndios, mesmo que não tenha a mínima ideia do que esteja falando. Invento algumas coisas e provavelmente dou os piores conselhos da história. Pego alguns fios e digo “Isso parece um pouco perigoso”. Faço comentários sobre os aquecedores. Estou “viajando” completamente.
Há alguns anos comprei um aparelho na Home Depot (rede varejista dos EUA de materiais para casa). É como uma fita métrica, mas não uma comum. Ela tem um ponta com laser e faz um barulho de estalo. Esse aparelho é como o Tricorder da série “Jornada nas Estrelas”. Posso fazer praticamente qualquer coisa com ele. Coloco em frente a uma meia e digo “Isso aqui parece ter muita corrente (elétrica).” E as pessoas simplesmente acreditam. É incrível as coisas estúpidas que posso fazer. São as bugigangas que importam e as pessoas querem ver que você tem produtos.
Enquanto isso, meu parceiro está entrando debaixo das mesas. Se os funcionários estão lá, ele diz “Ei, você se importa seu entrar debaixo da sua mesa por um minuto? Estou apenas checando se há algum tipo de perigo de incêndio.” Se a pessoa perguntar “Que tipo de perigo pode ter embaixo da minha mesa?”, ele então dirá “Você sabe aquele ventilador na parte de trás do seu computador? Se ele parar de girar, pode se tornar um risco de incêndio.” Esse tipo de explicação parece razoável.
Meu colega vai para trás do computador e em sua bolsa ele tem vários dongles (dispositivos usados para autorizar o funcionamento de determinados programas). Ele facilmente instala um no computador do funcionário e agora todos os dados estão indo para esse aparelho. Obviamente que, enquanto meu parceiro está fazendo isso, a pessoa não consegue ver e normalmente apenas vai dar uma volta e tomar um café.
A essa altura, nós normalmente nos encontramos de novo e discutimos entre nós de modo barulhento todos os lugares em que já estivemos. Assim temos uma boa ideia do que já foi feito e ele pode ir para lugares em que não pude roubar nada por causa da minha acompanhante. Ele dirá “Já passei por todas as mesas.” Então falo “Você pode me fazer um favor e voltar e checar novamente esse local?” e menciono algum lugar em que possa ter visto algo interessante.
Saída estratégica
Em nossa saída, não queremos que saibam que já terminamos. O objetivo é poder voltar em outro momento. É aí que o nosso “cara do carro” faz uma ligação falsa para o walkie-talkie e diz que precisa que respondamos a um chamado. Olho para a minha acompanhante e digo “Ei, desculpe, nós voltaremos.”
Em nossa saída, não queremos que saibam que já terminamos. O objetivo é poder voltar em outro momento. É aí que o nosso “cara do carro” faz uma ligação falsa para o walkie-talkie e diz que precisa que respondamos a um chamado. Olho para a minha acompanhante e digo “Ei, desculpe, nós voltaremos.”
Voltamos nos próximos dias, fazemos uma nova verificação rápida, entramos de novo e pegamos os dongles de volta dos computadores. Damos outra olhada rápida em tudo, dizendo que perdemos nosso formulário original de inspeção. E como já fizemos tudo, a segunda visita é rápida. Dizemos que terminamos e que enviaremos um relatório pelo correio.
Ao terminarmos, conseguimos roubar coisas e obter logins e senhas porque ficamos gravando essas informações com os aparelhos de key logging, seja em sites da web ou contas locais no sistema deles. Estivemos na rede wireless deles e também conseguimos invadi-la.
Depois de fazer tudo que precisávamos, a última coisa que fazemos é um “mergulho” nas lixeiras. É algo miserável, mas é incrível o quanto isso é lucrativo. Aparecemos com luvas de borracha e começamos a abrir os sacos. Impressionante a quantidade de informações confidenciais que acabam no lixo.
Quando voltamos após o trabalho para apresentar o que encontramos, geralmente há um olhar de choque total no rosto dos funcionários. Mas é uma experiência de aprendizado que esperamos que os ensine algo. É algo que nunca pensaram que ia acontecer. Se você falasse com eles uma semana antes, nunca pensariam que cairiam em algumas das coisas que fizemos. Mas agora eles veem que pode acontecer, e com eles.
*dono da empresa TraceSecurity, o americano Jim Stickleyescreveu como autor convidado e é um especialista em segurança online e engenharia social
0 comentários:
Postar um comentário