Fios de telefone. Para pessoas comuns são nada mais do que fios, tão comuns que são capazes de não serem notados, apesar de estarem por toda parte. Mas para alguns não são apenas fios, são portas para um outro universo, um lugar onde existe tudo, nada está fora do alcance, informações sem limites. O controle!
Este artigo se destina a alertar quanto a importância que se deve dar aos fios de telefone... e hoje em dia, também às ondas de rádio.
Estamos cercados de fios, mas é tão comum que nem percebemos o quanto estamos expostos.
As técnicas apresentadas neste artigo são altamente eficazes, não é aconselhável utilizá-las para fins maliciosos.
Lembre-se: A arma mais perigosa é a inteligência humana. Você pode escolher utilizá-la para o bem ou para o mal. Mas sempre há recompensas ou conseqüências.
Vou abordar aqui as possibilidades e falhas dos fios.
Pegando os primeiros lugares nas filas
Esta é uma das técnicas que eu mais uso, odeio chegar no banco e encontrar aquela fila que mais parece distribuição de dinheiro.
Quando chegar no banco ou qualquer outro estabelecimento que utilize senhas, encontro todos sentados com suas senhas na mão. Daí vá direto para as cadeiras, não pegue senha, se observar, vai perceber que alguns números são chamados, mas ninguém aparece pois perderam a paciência e foram embora ou erraram de fila. É aqui que você entra. Ao perceber que um determinado número não levantou ninguém, você finge que é seu número. Quando chegar no terminal, exponha rapidamente seu objetivo, geralmente metade das pessoas nunca entrega as senhas para o atendente, eles já se acostumaram com isso. E como o verdadeiro dono da senha não está presente, tanto faz se você é o não a pessoa.
Estou tão habituado a fazer isso que geralmente pego a senha e guardo, depois de atendido, observo quem chega por último na fila e entrego minha senha para esta pessoa, daí ela é atendida com antecedência. Geralmente escolho idosos ou alguém que mereça ser atendido logo.
Outra maneira interessante é estar de acompanhante na fila com um amigo, daí quando estiver perto de ser atendido, você oferece seu lugar para os últimos da fila... ou essa cortesia pode ser o início de um ataque maior de engenharia social no office-boy da empresa vítima... tudo depende de sua necessidade e criatividade.
Portanto, se alguém te oferecer lugar na fila, lembre-se disso se ele começar a puxar assunto mesmo que seja dias depois.
E caso um espertalhão faça isso na fila de sua empresa... bom, minha sugestão é que deixe passar, afinal, se não é um... é outro. Tanto faz.
[6] Comentário enviado por removido em 24/01/2007 - 17:40h
Achei um pouco óbvio o que foi colocado aqui, mas vale como alerta para pessoas que incrivelmente ainda caem em coisas assim.
Por telefone, é assustador o numero de pessoas que passam, não só o CPF mas coisas muito piores. Já vi pessoas que compraram cartoes de celular novos e passaram por telefone, como se tivesse ganho uma "promoção".
[9] Comentário enviado por heckjp em 25/01/2007 - 08:47h
Muito bom artigo, um ótimo complemento para o artigo do Domguilherme, pois você conseguiu abordar aspectos que talvez ele tenha esquecido e deu a visão do atacante, coisa que poucos artigos sobre o tema fazem. Parabéns...
[10] Comentário enviado por fernandus em 26/01/2007 - 17:56h
Tem uma política meio velada de que não devemos criticar artigos e coisa e tal...mas olha só...sem flames...parece até que você leu o livro do mitnick...e são dicas óbvias...e nenhum embasamento técnico para o uso de telefonia...Imagino o pessoal entrando nas empresas e se arriscando para tirar uma cópia...
[12] Comentário enviado por cytron em 26/01/2007 - 22:37h
Tudo bem fernandus, se você observar bem o texto, perceberá que "tirar uma cópia" é apenas um exemplo para o real objetivo do assunto, "engenharia social", alí apresentei a facilidade de "manipular" e explorar falhas das pessoas, o exemplo poderia ser qualquer coisa. Pra ser sincero nunca lí o livro do Mitnick e qualquer outro que não fosso assuntos técnicos como manuais, guias, tutoriais e afins.
As dicas são óbvias, realmente, mas a coisa é tão óbvia que ninguém se preocupa e acaba passando batido, é tão óbvio um homem desconhecido convidar mulheres pobres para serm modelos em outros países e acabarem fazendo programa "como escravas", mas mesmo assim todo mês tem notícia nos jornais.
Todas as técnicas que apresentei neste artigo já utilizei muito. Hoje em dia não, o tempo passa e sempre surgem novas coisas para fazer. Mas sempre surgirão novas pessoas para fazerem o que para nós é passado. A diferença é que elas vão pegar nossos conhecimentos e aprimorar.
Mas é isso aí, curto muito os comentários, inclusive os contras, o mundo não é feito de mel... certo?!!!
[14] Comentário enviado por removido em 27/01/2007 - 19:37h
Wilker
Trabalhei com segurança patrimonial durante alguns anos e sempre me interessei pelos processos de engenharia social, linguagem e persuasão e técnicas afins. Achei seu texto interessante, mesmo que desprovido de esclarecimentos muito técnicos, até mesmo porque acredito que a menção dos mesmos não seria adequada.
O fato é que as maiores brechas de segurança das empresas são, quase sempre, o elemento humano. E a falha começa na seleção de pessoal, uma vez que são admitidos para o quadro, indivíduos tímidos, falantes e/ou retraídos demais. Não raro me deparei com situações de risco devido à presença de elementos com essas características na equipe.
Outra coisa comum e falha, é a mera substituição do elemento humano apto, por mecanismos eletro-eletrônicos para fins de segurança. Um bom exemplo são as chamadas cercas elétricas e eletrônicas e os detectores de metais. veja como são inúteis se não instaladas corretamente:
As cercas elétricas: Para aumentar o lucro, as empresas instaladoras diminuem o número de hastes fixadoras dos fios. Com isso, é possível erguer o 1º fio com material isolante sem deixar que encoste no 2º logo acima sem arrebentar ou disparar o alarme. Então o cara passa por baixo com certa facilidade e segurança, uma vez que o grau de curvatura fica muito ampla;
As cercas eletrônicas: também por medida de economia elas são distanciadas ao máximo. Como os sensores fazem conexão direta entre um poste e outro e dependem de uma corrente elétrica muito bem dosada, meio metro a mais entre os postes fará com que não funcionem adequadamente. Para burlar esse sistema, basta observar no local, aquele caso onde a distancia entre sensores seja a maior da média. Identificado o ponto, entre na exata metade da distancia entre estes postes;
Porta Trava Metais: Os gerentes dos bancos, para não constragerem os clientes, determinam a regulagem dos sensores destas portas para um nível que consideram seguro. Este nível seguro abrange volumes metálicos de valor aproximado ao de um revólver ou pouco maiores. O mesmo mecanismo pode ser regulado para captar até o zíper de um jeans. A forma de burlar esse sistema é ridiculamente fácil, mas não a mencionarei.
[15] Comentário enviado por fellipe em 07/02/2007 - 13:37h
Vc esqueceu de um requisito: cara de pau. Coisa que eu não teria para fazer nada disso. Se formos nos preocupar muito com a parte do telefone, ficaríamos neuróticos... A parte de tirar cópias de graça achei um pouco difícil... ah não ser que a secretária seja muito viajona, a empresa não tenha praticamente nenhuma segurança e vc saiba exatamente onde está a máquina. Quanto a parte do CPF... bom, é sabido que nenhuma empresa liga para a sua casa pedindo CPF (ah não ser que te liguem oferecendo cartão de crédito e vc compre por telefone). Do contrário, eles pedem CPF quando VOCÊ liga para eles.
De qualquer forma, é bom saber de tudo isso para ficar precavido (principalmente contra vc, hehehe).
[16] Comentário enviado por cytron em 18/02/2007 - 21:04h
Caiapó, falou bem! Eu acho muito engraçado as pessoas colocando os celulares delas nas gavetinhas para passarem pelas portas eletrônicas, enquanto eu passo com meu celular e um molho de chaves. Já passei até com dois celulares, tamanho suficiente para um artefato explosivo de grandes proporções.
Hehe felipe, tem perigo mais não! Mas é aquela coisa, apesar de todos saberem que a empresa não liga para pedir o CPF, as pessoas sempre acabam falando, faça o teste você mesmo. E elas relaxam mais ainda se você fornecer qualquer informação como nome ou endereço.
Aquele famoso golpe aplicado contra os aposentados funcina dessa mesma maneira, os golpistas ligam para a casa de uma aposentada, se passam por um funcionário do INSS e acabam conseguindo o número do benefício e fazem empréstimos e saques. Minha mãe quase foi vítima desse golpe, só que não foi por telefone, eles foram pessoalmente no portão da casa e só não conseguiram fazer nada porque minha mãe estava com o benefício bloqueado devido a falta de um laudo médico que ficou devendo ao INSS.
Uma boa lábia é uma das mais perigosas armas do serumano.
[19] Comentário enviado por luizvieira em 24/07/2009 - 07:55h
Ótimos exemplos!
E é justamente o que vemos no dia a dia.
Trabalho com Segurança da Informação e é o elemento humano a maior brecha existente em qualquer sistema, afinal "não há patch de segurança para a burrice humana"!
[ ]'s