Chris Hadnagy é pago para enganar as pessoas, e ele ficou muito bom nisso ao longo dos anos. Co-fundador da social-engineering.org e autor do livro Social Engineering: The Art of Human Hacking , Hadnagy utiliza suas táticas de manipulação a mais de uma década para mostrar aos clientes como criminosos conseguem informações privilegiadas das empresas.
Hadnagy nos apresenta três histórias memoráveis de testes de engenharia social que ele está incluíndo em seu novo livro, e salienta que as organizações podem aprender muito com estes resultados.
O Diretor executivo super confiante
Em um estudo de caso, Hadnagy descreve como ele foi contratado como auditor de segurança digital para acessar os servidores de uma empresa de impressão que tinha alguns segredos industriais que despertavam grade interesse na concorrência.
Em uma reunião por telefone com o parceiro de negócios, o presidente informou que hackea-lo seria impossível porque ele guardava seus segredos com a vida e nunca ia cair nessa historia de engenharia social.
Ele estava pensando que alguém, provavelmente iria ligar e pedir a sua senha e ele estava pronto para uma abordagem como essa.
Depois de recolher algumas informações, Hadnagy encontrou a localização de servidores, os endereços IP, endereços de email, números de telefone, endereços físicos, servidores de email, nomes de funcionários e títulos, e muito mais. Mas, o verdadeiro prêmio veio quando ele descobriu que o diretor executivo teve um membro da família que tinha travado uma luta contra o câncer e sobrevivido. Depois desse episódio o executivo ficou engajado em campanhas de apoio a instituições ligadas ao câncer.
Através do Facebook, ele também foi capaz de obter outros detalhes pessoais sobre o Diretor executivo, tal como o seu restaurante favorito e suas equipes esportivas.
Armado com as informações, ele estava pronto para atacar, ligou para o diretor executivo e posou como um representante de uma instituição de caridade do câncer e informou-lhe que eles estavam oferecendo um sorteio em troca de doações, dentre os prêmios estavam incluídos ingressos para um jogo de seu time favorito e refeições de presente a vários restaurantes, incluindo o seu local preferido.
O Diretor concordou em deixar Hadnagy lhe enviar um PDF com mais informações sobre a movimentação dos fundos. Ele até conseguiu que o presidente informasse qual a versão do Adobe Acrobat ele tinha instalado, “Eu quero ter certeza que estou lhe enviando um arquivo você vai pode ler…” Pouco depois ele mandou o PDF, o presidente abriu e instalou um trojan que permitiu Hadnagy acessar sua máquina e toda a rede.
Quando foi enviado à empresa um relatório sobre o seu sucesso com a quebra da segurança, o presidente ficou irritado, ele sentiu que era injusto o método usado, mas é assim que o submundo digital funciona, um hacker mal intencionado não pensaria duas vezes antes de fazer a mesma coisa.
Lição 1: Nenhuma informação, independentemente do seu carácter pessoal ou emocional, está fora dos limites de um engenheiro social que procuram fazer o mal
Lição 2: Muitas vezes a pessoa que pensa ser a mais segura, representa a maior vulnerabilidade. Um consultor de segurança disse recentemente que os executivos são os alvos mais fáceis da engenharia social .