Estou lendo o livro "Social Engineering: The Art of Human Hacking" e a cada página lida minha cabeça explode com os exemplos que o autor usa. Exemplos que ele cita que aconteceram com ele com com alguma pessoa próxima. Um desses relatos me chamou muito a atenção, como foi fácil e rápido comprometer uma empresa que quase não tinha fingerprint na internet atacando o ponto mais fraco, as pessoas.
Seguindo o relato do livro, traduzido e adaptado por mim:
Veja como interagir com uma pessoa do modo certo no local certo pode ser devastador. No caso a seguir, eu fui contratado para auditar uma certa empresa e antes de começar eu preciso reunir algumas informações. Veja como informações simples e meio sem sentido levaram a uma brecha de segurança numa empresa relativamente segura.
Comecei seguindo por um dia ou dois um dos "Cabeças" da empresa e percebi que ele parava toda manhã na mesma cafeteria sempre no mesmo horário. Eu poderia aproveitar esse tempo, aproximadamente 7:30 da manhã e armar uma "reunião" com ele. Notei que ele ficava no estabelecimento por volta de 30 minutos, lendo um jornal e tomando um latte médio. Entrei na cafeteria uns 5 minutos depois que ele havia se sentado no balcão. Pedi o mesmo que ele e me sentei próximo a ele. Assim que ele terminou de ler o jornal pedi se ele me emprestava para ler. Eu já havia lido o jornal daquele dia e sabia que na página 3 tinha um artigo sobre um assassinato recente na região. Agindo como se realmente estivesse lendo aquilo, comentei "mesmo em cidades pequenas como esta, estas coisas assustadoras estão cada vez mais frequentes hoje em dia. Você mora por aqui?"
Agora neste ponto ele poderia simplesmente ignorar, ou cair no meu jogo se, minha linguagem corporal, tom de voz, e aparência forem convincentes e amigáveis. E ele disse, "Sim, me mudei para cá a alguns anos por causa do meu trabalho. Eu gosto de cidades pequenas, mas ouve-se isso mais e mais."
Eu continuei, "Estou apenas viajando pela área. Eu vendo serviços de consultoria para grandes empresas e gosto de dar uma passada nessas cidades menores, mas parece que esse tipo de coisa vem acontecendo mais e mais em qualquer lugar, até mesmo nas zonas rurais.". E com um tom mais descontraído falei, "Por falar em grande empresa, por acaso você não trabalha em uma grande empresa que eu possa prestar consultoria né?"
Ele riu um pouco e como se eu tivesse desafiado ele a provar seu valor ele diz "Bem, eu sou o Vice Presidente local de finanças da empresa XYZ Corp. mas eu não trabalho com esse departamento."
"Hey, veja bem, eu não estou tentando te vender nada, apenas apreciando este café, mas se você acha que eu posso dar uma passada lá amanhã e te mostrar algumas coisas eu vou, ou que tal quarta?"
Aqui a história começa a ficar interessante, ele responde, "Eu até que gostaria mas eu estou me preparando para umas merecidas férias, e estou saindo quarta feira. Mas porque você não me manda um email com isso e eu te ligo depois?" e me entrega um cartão.
"Indo para um lugar quente e ensolarado, eu espero?" Perguntando isso sabendo que já está na hora de sair fora.
"Levando a mulher em um passeio pelo sul." Deu para perceber que ele não queria me dizer para onde ia, nisso cumprimentei-o e sai.
Agora vendo isso, parece que ele me cortou e deu errado minha técnica né? Provavelmente, mas vamos contabilizar as informações que eu consegui:
Claro que algumas informações eu já tinha da busca anterior, mas consegui informações importantes nessa "reunião". Agora para lançar a próxima parte do ataque, vou ligar para seu número direto só para confirmar se ele realmente saiu de férias. E foi isso que ouvi, "Desculpe mas o Sr. Smith está de férias, gostaria de deixar recado?".
Excelente! A informação foi verificada e agora posso iniciar a ultima fase do ataque que é colocar um terno e ir até o escritório do Sr. Smith. Entrei, me identifiquei, e falei para a recepcionista que tinha hora marcada com o Sr. Smith as 10:00 da manhã. E nisso ela respondeu, "Ele está de férias, tem certeza que é hoje?"
Usando minha experiência com microexpressões, demonstrei surpresa e disse, "Espera, o passeio pelo sul que ele ia fazer com a esposa era essa semana? Achei que era na semana que vem."
Agora, por que essa reação é importante? Eu queria que esse compromisso fosse "acreditável" e que a recepcionista confiasse em mim por tabela. Com esse argumento eu mostrava que eu conhecia do passeio com a esposa, dava um ar de intimidade, como se eu conhecesse a tempo o Sr. Smith. E a recepcionista respondeu bem a minha expressão, ela disse, "Oh querido me desculpe, quer que eu chame o assistente dele?"
"Não precisa!", respondi. "Eu preciso muito entregar essas informações para ele. Que tal se eu deixar com você e assim que ele chegar você entrar por mim? Estou tão envergonhado, por favor, não conte dessa mancada para ele ok?"
"Minha boca é um túmulo."
"Muito obrigado! Depois dessa vou embora, mas antes de ir, posso usar seu banheiro?" Neste ponto estava bem perto de algo grande, o que facilitou foi o espírito prestativo da recepcionista, mas nada que não pudesse ser superado caso necessário.
Já no banheiro, "deixei cair" um envelope com uma etiqueta grudado escrito "IMPORTANTE", e dentro do envelope um pendrive com um payload que me daria acesso remoto a rede da empresa. Assim que alguém encontrasse o envelope e visse a etiqueta de "IMPORTANTE" iria de fato abrir e a curiosidade falaria mais alto e o pendrive seria conectado numa máquina que me daria o acesso. E em poucas horas foi isso que aconteceu. Consegui com uma técnica "non-tech" quebrar a segurança e mostrar como é possível roubar informações em uma das mais bem protegidas empresas em questão de software do país.
Seguindo o relato do livro, traduzido e adaptado por mim:
Veja como interagir com uma pessoa do modo certo no local certo pode ser devastador. No caso a seguir, eu fui contratado para auditar uma certa empresa e antes de começar eu preciso reunir algumas informações. Veja como informações simples e meio sem sentido levaram a uma brecha de segurança numa empresa relativamente segura.
Comecei seguindo por um dia ou dois um dos "Cabeças" da empresa e percebi que ele parava toda manhã na mesma cafeteria sempre no mesmo horário. Eu poderia aproveitar esse tempo, aproximadamente 7:30 da manhã e armar uma "reunião" com ele. Notei que ele ficava no estabelecimento por volta de 30 minutos, lendo um jornal e tomando um latte médio. Entrei na cafeteria uns 5 minutos depois que ele havia se sentado no balcão. Pedi o mesmo que ele e me sentei próximo a ele. Assim que ele terminou de ler o jornal pedi se ele me emprestava para ler. Eu já havia lido o jornal daquele dia e sabia que na página 3 tinha um artigo sobre um assassinato recente na região. Agindo como se realmente estivesse lendo aquilo, comentei "mesmo em cidades pequenas como esta, estas coisas assustadoras estão cada vez mais frequentes hoje em dia. Você mora por aqui?"
Agora neste ponto ele poderia simplesmente ignorar, ou cair no meu jogo se, minha linguagem corporal, tom de voz, e aparência forem convincentes e amigáveis. E ele disse, "Sim, me mudei para cá a alguns anos por causa do meu trabalho. Eu gosto de cidades pequenas, mas ouve-se isso mais e mais."
Eu continuei, "Estou apenas viajando pela área. Eu vendo serviços de consultoria para grandes empresas e gosto de dar uma passada nessas cidades menores, mas parece que esse tipo de coisa vem acontecendo mais e mais em qualquer lugar, até mesmo nas zonas rurais.". E com um tom mais descontraído falei, "Por falar em grande empresa, por acaso você não trabalha em uma grande empresa que eu possa prestar consultoria né?"
Ele riu um pouco e como se eu tivesse desafiado ele a provar seu valor ele diz "Bem, eu sou o Vice Presidente local de finanças da empresa XYZ Corp. mas eu não trabalho com esse departamento."
"Hey, veja bem, eu não estou tentando te vender nada, apenas apreciando este café, mas se você acha que eu posso dar uma passada lá amanhã e te mostrar algumas coisas eu vou, ou que tal quarta?"
Aqui a história começa a ficar interessante, ele responde, "Eu até que gostaria mas eu estou me preparando para umas merecidas férias, e estou saindo quarta feira. Mas porque você não me manda um email com isso e eu te ligo depois?" e me entrega um cartão.
"Indo para um lugar quente e ensolarado, eu espero?" Perguntando isso sabendo que já está na hora de sair fora.
"Levando a mulher em um passeio pelo sul." Deu para perceber que ele não queria me dizer para onde ia, nisso cumprimentei-o e sai.
Agora vendo isso, parece que ele me cortou e deu errado minha técnica né? Provavelmente, mas vamos contabilizar as informações que eu consegui:
- Seu número direto
- Quando ele irá sair de férias
- Que tipo de férias
- Que ele mora ali mesmo
- O nome da empresa
- Seu cargo na empresa
- Que ele foi recentemente transferido para lá
Claro que algumas informações eu já tinha da busca anterior, mas consegui informações importantes nessa "reunião". Agora para lançar a próxima parte do ataque, vou ligar para seu número direto só para confirmar se ele realmente saiu de férias. E foi isso que ouvi, "Desculpe mas o Sr. Smith está de férias, gostaria de deixar recado?".
Excelente! A informação foi verificada e agora posso iniciar a ultima fase do ataque que é colocar um terno e ir até o escritório do Sr. Smith. Entrei, me identifiquei, e falei para a recepcionista que tinha hora marcada com o Sr. Smith as 10:00 da manhã. E nisso ela respondeu, "Ele está de férias, tem certeza que é hoje?"
Usando minha experiência com microexpressões, demonstrei surpresa e disse, "Espera, o passeio pelo sul que ele ia fazer com a esposa era essa semana? Achei que era na semana que vem."
Agora, por que essa reação é importante? Eu queria que esse compromisso fosse "acreditável" e que a recepcionista confiasse em mim por tabela. Com esse argumento eu mostrava que eu conhecia do passeio com a esposa, dava um ar de intimidade, como se eu conhecesse a tempo o Sr. Smith. E a recepcionista respondeu bem a minha expressão, ela disse, "Oh querido me desculpe, quer que eu chame o assistente dele?"
"Não precisa!", respondi. "Eu preciso muito entregar essas informações para ele. Que tal se eu deixar com você e assim que ele chegar você entrar por mim? Estou tão envergonhado, por favor, não conte dessa mancada para ele ok?"
"Minha boca é um túmulo."
"Muito obrigado! Depois dessa vou embora, mas antes de ir, posso usar seu banheiro?" Neste ponto estava bem perto de algo grande, o que facilitou foi o espírito prestativo da recepcionista, mas nada que não pudesse ser superado caso necessário.
Já no banheiro, "deixei cair" um envelope com uma etiqueta grudado escrito "IMPORTANTE", e dentro do envelope um pendrive com um payload que me daria acesso remoto a rede da empresa. Assim que alguém encontrasse o envelope e visse a etiqueta de "IMPORTANTE" iria de fato abrir e a curiosidade falaria mais alto e o pendrive seria conectado numa máquina que me daria o acesso. E em poucas horas foi isso que aconteceu. Consegui com uma técnica "non-tech" quebrar a segurança e mostrar como é possível roubar informações em uma das mais bem protegidas empresas em questão de software do país.
0 comentários:
Postar um comentário