Especialista em segurança conta como é
fácil obter informações e senhas de um escritório ao simplesmente se
passar por alguém com autoridade.
Se uma empresa te contrata para um serviço de engenharia social,
normalmente ela quer que você entre e acesse suas fitas de backup, ou os
dados na sua sala de documentos.
Vamos dizer que estou fingindo ser um inspetor de segurança de
incêndio. A primeira coisa que terei ao lado do meu distintivo e do meu
uniforme é um walkie-talkie, como todos os bombeiros. Do lado de fora,
teremos "o cara do carro”. É a pessoa que senta no automóvel, e
basicamente seu trabalho no começo é enviar conversa mole para os nossos
rádios. Teríamos uma gravação de todo esse papo que você ouve nos
walkie-talkies. Ele senta no carro, toca o conteúdo e envia pros nossos
rádios.
Nós entramos no local e nos certificamos de que a conversa está bem
barulhenta nos walkie-talkies para que sejamos imediatamente o centro
das atenções. Quando entro, quero que todos saibam. Meu rádio
comunicador está alto e todos olham enquanto peço desculpas e abaixo o
volume.
Mostro meu distintivo para a pessoa na mesa da frente. Eles
perguntarão "Oi, como você está?”, ao que responderei "Bem, estou aqui
para uma inspeção de incêndio”. Eles dizem "Ótimo” e chamam alguém para
nos acompanhar. Geralmente é uma pessoa simpática. Começo a falar com
eles, flertar com elas, o que for preciso fazer. Começamos então a andar
pelo escritório.
Enquanto falo com a pessoa que nos acompanha, meu parceiro sabe que o
trabalho dele é "fugir” de nós. Por isso, meu colega começará a se
desviar imediatamente. Na maioria dos casos nossa acompanhante dirá
"Você pode voltar aqui? Preciso manter vocês juntos.” Nós então dizemos
"É claro, desculpe.” Mas na verdade isso não quer dizer nada para a
gente. Tudo o que significa é que vamos continuar fazendo até a pessoa
desistir. Meu parceiro vai dar uma fugida mais umas duas ou três vezes e
seremos repreendidos até que ela finalmente desista. Ela acha que ele é
só um bombeiro e pensa "Vamos apenas deixá-los fazer o que precisam.”
A espionagem
Neste ponto, a tarefa do meu colega é
começar a roubar tudo o que puder e colocar na sua mala. Ele também
precisa entrar debaixo das mesas de qualquer funcionário que conseguir e
instalar pequenos loggers (pendrives com um software) de teclado. Eu
fico com a nossa acompanhante e meu único dever agora é mantê-la
entretida. Continuo andando pelas salas, dando conselhos sobre como
manter o local seguro contra incêndios, mesmo que não tenha a mínima
ideia do que esteja falando. Invento algumas coisas e provavelmente dou
os piores conselhos da história. Pego alguns fios e digo "Isso parece um
pouco perigoso”. Faço comentários sobre os aquecedores. Estou
"viajando” completamente.
Há alguns anos comprei um aparelho na Home Depot (rede varejista dos
EUA de materiais para casa). É como uma fita métrica, mas não uma comum.
Ela tem um ponta com laser e faz um barulho de estalo. Esse aparelho é
como o Tricorder da série "Jornada nas Estrelas”. Posso fazer
praticamente qualquer coisa com ele. Coloco em frente a uma meia e digo
"Isso aqui parece ter muita corrente (elétrica).” E as pessoas
simplesmente acreditam. É incrível as coisas estúpidas que posso fazer.
São as bugigangas que importam e as pessoas querem ver que você tem
produtos.
Enquanto isso, meu parceiro está entrando debaixo das mesas. Se os
funcionários estão lá, ele diz "Ei, você se importa seu entrar debaixo
da sua mesa por um minuto? Estou apenas checando se há algum tipo de
perigo de incêndio.” Se a pessoa perguntar "Que tipo de perigo pode ter
embaixo da minha mesa?”, ele então dirá "Você sabe aquele ventilador na
parte de trás do seu computador? Se ele parar de girar, pode se tornar
um risco de incêndio.” Esse tipo de explicação parece razoável.
Meu colega vai para trás do computador e em sua bolsa ele tem vários
dongles (dispositivos usados para autorizar o funcionamento de
determinados programas). Ele facilmente instala um no computador do
funcionário e agora todos os dados estão indo para esse aparelho.
Obviamente que, enquanto meu parceiro está fazendo isso, a pessoa não
consegue ver e normalmente apenas vai dar uma volta e tomar um café.
A essa altura, nós normalmente nos encontramos de novo e discutimos
entre nós de modo barulhento todos os lugares em que já estivemos. Assim
temos uma boa ideia do que já foi feito e ele pode ir para lugares em
que não pude roubar nada por causa da minha acompanhante. Ele dirá "Já
passei por todas as mesas.” Então falo "Você pode me fazer um favor e
voltar e checar novamente esse local?” e menciono algum lugar em que
possa ter visto algo interessante.
Saída estratégica
Em nossa saída, não queremos
que saibam que já terminamos. O objetivo é poder voltar em outro
momento. É aí que o nosso "cara do carro” faz uma ligação falsa para o
walkie-talkie e diz que precisa que respondamos a um chamado. Olho para a
minha acompanhante e digo "Ei, desculpe, nós voltaremos.”
Voltamos nos próximos dias, fazemos uma nova verificação rápida,
entramos de novo e pegamos os dongles de volta dos computadores. Damos
outra olhada rápida em tudo, dizendo que perdemos nosso formulário
original de inspeção. E como já fizemos tudo, a segunda visita é rápida.
Dizemos que terminamos e que enviaremos um relatório pelo correio.
Ao terminarmos, conseguimos roubar coisas e obter logins e senhas
porque ficamos gravando essas informações com os aparelhos de key
logging, seja em sites da web ou contas locais no sistema deles.
Estivemos na rede wireless deles e também conseguimos invadi-la.
Depois de fazer tudo que precisávamos, a última coisa que fazemos é
um "mergulho” nas lixeiras. É algo miserável, mas é incrível o quanto
isso é lucrativo. Aparecemos com luvas de borracha e começamos a abrir
os sacos. Impressionante a quantidade de informações confidenciais que
acabam no lixo.
Quando voltamos após o trabalho para apresentar o que encontramos,
geralmente há um olhar de choque total no rosto dos funcionários. Mas é
uma experiência de aprendizado que esperamos que os ensine algo. É algo
que nunca pensaram que ia acontecer. Se você falasse com eles uma semana
antes, nunca pensariam que cairiam em algumas das coisas que fizemos.
Mas agora eles veem que pode acontecer, e com eles.
*dono da empresa TraceSecurity, o americano Jim Stickley escreveu como autor convidado e é um especialista em segurança online e engenharia social
Fonte: http://idgnow.uol.com.br/seguranca/2011/10/28/como-espionar-uma-empresa-uma-volta-pelo-mundo-da-engenharia-social/