por Aylons Hazzud

Bastam alguns telefonas e um pouco de lábia para obter informações de dentro de grandes empresas. É o argumento do social-engineer.org, grupo que organizou uma competição que conseguiu extrair informações internas de algumas das maiores empresas do mundo, incluindo a Apple e Microsoft.

Usando a técnica conhecida como engenharia social, os participantes – a maioria voluntários sem treinamento específico – tiveram 15 dias para escolher o alvo e preparar sua estratégia, sem nunca entrar em contato com as empresas. Neste final de semana, na conferência de especialistas de segurança DEF CON (defcon.org), cada um teve 25 minutos para fazer telefonemas e obter informações de dentro das empresas. Todas as empresas atingidas estvam na lista das 500 maiores pela Forbes, e nenhuma “resistiu ao ataque”. Das 140 ligações feitas, 135 resultaram na obtenção de alguma das informações “premiadas” pelo jogo.

Os dados obtidos no teste não são especialmente confidenciais, pois a competição não permitia a obtenção de senhas, dados financeiros, ou qualquer informação sensível. Os objetivos da gincana eram coisas mais amenas, como o navegador instalado, o programa de PDF padrão ou como funciona a lanchonete. As técnicas empregadas variaram de uma encenação de um suposto auditor interno até a interpretação de uma pessoa altamente ignorante.

Mas “se você consegue que alguém te dê essa informação, muito provavalmente consegue que te deem muito mais”, diz o organizador Chris Hadnagy à eSecurity planet. Para se proteger, as organizações devem ser preocupar mais com o correto treinamento dos empregados, especialmente o baixo escalão geralmente negligenciados pela administração, diz Mati Aharoni, também da social-engineer.org, para a InfoWorld.