A engenharia social é geralmente utilizada para enganar o usuário e não envolve o uso de falhas de segurança: o único culpado em um ataque de engenharia social é o usuário. Ela é utilizada em e-mails fraudulentos, mas também é muito comum no mundo real: quem nunca recebeu uma chamada telefônica falsa de um desconhecido dizendo ser da companhia de telefone e pedindo todos os seus dados para algum recadastramento ou promoção especial?

O pessoal da Secure Network Technologies, para avaliar o nível de segurança de uma organização, decidiu tentar algo diferente explorando o fator humano. A avaliação foi requisitada pela própria organização, que queria saber qual era o seu atual nível de segurança.

O que eles fizeram foi largar 20 drives USB infectados ao redor do prédio antes que os empregados chegassem para trabalhar. 15 drives foram coletados pelos empregados, que os conectaram no computador e executaram o cavalo-de-tróia que estava escondido no meio de vários arquivos de fotos.

“Toda a tecnologia, filtragem e scanning no mundo não vão consertar a natureza humana. Mas ela ainda é a maior porta aberta para os segredos de qualquer companhia.”

O artigo foi mencionado no site Slashdot, onde diversos comentários já foram postados. É claro que, ao invés de drives USB, poderíam ter sido disquetes, CDs (com autorun) — a mídia provavelmente não faria diferença. O que assusta é como essas técnicas, que requerem tão pouca tecnologia, podem funcionar tão bem.

Anúncios

Escrito por Altieres Rohr

Jornalista e tradutor. Editor dos sites Linha Defensiva e Garagem 42 e colunista de Segurança Digital no portal G1 da Rede Globo.