A invasão do Parque Temático
O alvo de nosso próximo estudo de caso foi um Parque Temático que estava preocupado com possível comprometimento do seu sistema de bilheteria. Os computadores utilizados nas bilheterias tinham ligações diretas com os servidores, informações de clientes e registros financeiros. O cliente estava preocupado pois, um acesso indevido a esses computadores comprometeria dados e informações confidencias.
Hadnagy começou o seu teste telefonado para o parque apresentando-se como um vendedor de software. Ele estava oferecendo um novo tipo de programa novo que o parque receberia através de uma oferta experimental, a proposta foi aceita e tudo estava pronto para a segunda etapa.
A próxima fase foi pura engenharia social, e o analista resolveu usar a própria família a fim de garantir o sucesso. Chegando a um dos guichês com sua esposa e filho no colo, ele perguntou a um dos funcionários se eles podem usar seu computador para abrir um arquivo de seu e-mail. O e-mail com um cupom premiado que lhes dariam direito a um de desconto.
A coisa toda poderia ter dado errado, se o funcionário dissesse um “Não”, mas, olhando um pai com um garotinho ansioso para entrar no parque, estremesse o coração.
O empregado concordou e sistema do parque foi rapidamente comprometido pelo arquivo malicioso vindo do email.
Apesar de haver a política de que o empregado não deve abrir anexos de fontes desconhecidas (mesmo um cliente precisando de ajuda), não havia nenhuma restrição real que impedissem o fato de acontecer.
Lição 3: A política de segurança não pode levar em consideração apenas o comportamento das pessoas.
Lição 4: Os criminosos, muitas vezes, se aproveitam da humanidade dos funcionários para aplicar seus golpes.
O hackeado o invasor
Nosso terceiro exemplo mostra como a engenharia social foi utilizado para fins defensivos. Desta vez nosso amigo foi contratado para verificar a segurança de uma rede corporativa e estava fazendo uma varredura com um scanner de vulnerabilidades e detectou um servidor VNC aberto rodando, serviço que permite o controle de máquinas remotamente.
Ele foi até o local verificar o problema, de repente, o mouse começou a se mover pela tela, no momento do teste nenhum usuário estava conectado à rede, e este era provavelmente um intruso.
Sem pensar muito ele abriu o bloco de notas e começou a conversar com o invasor, um “n00b”, hacker iniciante, com poupa qualificação.
Ele pensou: Como eu posso obter mais informações desse cara?
Enchendo seu ego, tentando fingir que era um novato que queriam aprender mais com um mestre hacker!
No momento que conversa acabou, ele tinha e-mail, informações de contato e até uma foto do invasor. Ele relatou as informações de volta ao seu cliente, e o problema de acesso indevido ao sistema também foi corrigido.
Hadnagy descobriu através de sua conversa com o hacker que a empresa não era um alvo especifico, ele simplesmente procurava por sistemas vulneráveis e já encontrou a porta aberta.
Lição 5: A engenharia social pode ser parte de uma estratégia de defesa.
Lição 6: Os criminosos muitas vezes não precisam arrobar as portas para entrar. Qualquer um pode ser um alvo quando a segurança é baixa.
