Sua empresa está segura? Mesmo? - parte 1

Por Cesar Brod

Data de Publicação: 02 de Dezembro de 2013

Recentemente a BrodTec e a Blackdoor Security estabeleceram uma parceria para proporcionar uma experiência tecnológica segura às empresas que estão conectadas à internet. Alguma não está? Claro, como qualquer parceria de negócios, a nossa também é oportunista. Como todo esse furor na mídia sobre espionagem e ataques cibernéticos (o efeito Snowden), muitas empresas, sejam elas clientes ou fornecedoras de serviços de TI, estão mais propensas a conversar sobre questões de segurança. E é aí que entramos!

Em várias destas conversas eu lembro do Fábio Wiebbelling (o popular Wiebbellindo) que, lá na virada do século, costumava dizer que um firewall era a ilusão de segurança vivida pelas empresas e demonstrava alguns ataques que aconteciam quer a empresa tivesse ou não o melhor firewall do mundo. De fato, as coisas não mudaram muito de lá para cá. Está certo que várias empresas já tiveram algum tipo de susto e estão mais antenadas mas, mesmo assim, faça um pequeno teste. Use a caixa de busca do Google para procurar pelos seguintes termos:

inurl:webmail site:.br

Isto dará a você uma lista de mais de 500.000 sites de entrada a vários serviços de webmail disponibilizados em todo o Brasil. Outras empresas fornecem serviços de webmail, dentre outros, através de sua intranet. Então, tente a seguinte busca:

inurl:intranet site:.br

Agora são mais 400.000 sites nos quais você sabe que é possível ter algum tipo de acesso, desde que você tenha um nome de usuário e senha. Se a sua empresa oferece algum acesso como esse, faça agora a seguinte busca:

"@minhaempresa.com.br"

Às vezes, ajuda especificar a busca de arquivos do tipo texto puro, separados por vírgula ou alguns formatos de planilha para identificar quais os e-mails de nossos colegas de trabalho que são facilmente encontrados na web. Qualifique um pouco mais a sua busca:

"@minhaempresa.com.br" filetype:txt OR filetype:csv OR filetype:xls

Não foi difícil encontrar alguns endereços, certo? Pois bem, para começar, essa é uma das formas através das quais os remetentes de spam utilizam para capturar endereços de e-mail. Mas, claro, isso não é feito da forma manual ilustrada aqui, mas com o uso de programas feitos especialmente para isso.

Mas vamos um pouco adiante. Converse com o pessoal de sua área de TI, explique que você está fazendo uma experiência de engenharia social. Crie um endereço de e-mail em qualquer serviço que permita isso, com o nome suporte-minhaempresa@gratis.com (onde gratis.com, claro, deve ser substituído pelo domínio do serviço através do qual você criou o endereço). Use este endereço para enviar mensagens para todos os endereços de e-mail que você foi capaz de capturar em suas pesquisas. Como texto, coloque algo similar ao seguinte:

Prezado colaborador,

Nosso serviço de webmail está passando por uma manutenção. Por essa razão, o departamento de suporte solicita que você nos informe os seguintes dados para garantir a continuidade do acesso a seu email:

usuário:
senha:

Por questões de segurança, para podermos identificá-lo em nossa base de dados do departamento de recursos humanos, forneça também as seguintes informações:

Nome completo:
CPF:

Atenciosamente,

Equipe de suporte

Verifique quantas pessoas respondem a seu e-mail com as informações solicitadas.

Acabo de ilustrar, ainda que de forma bastante simplificada, um ataque cibernético bastante típico. Ele pode ser mais sofisticado, por exemplo, oferecendo um formulário web, com o logotipo roubado de uma página real da empresa, onde o destinatário da mensagem será incentivado a preencher esses e outros dados, ou até a baixar um programa que, por exemplo, ficará capturando os dados que circulam pela rede da empresa e os enviando ao atacante.

Agora, parece um baita trabalho pegar essa senha, né? Mas tem aquela funcionária da empresa que adora postar fotos no facebook, diretamente de seu smartphone, no escritório, com a hashtag #chegalogosextafeira e, no fundo da imagem festiva, aparece uma etiqueta amarela colada no monitor com as senhas de acesso ao sistema. As dela e a do chefe...

A função desse artigo não é a de assustar, mas a de alertar quanto ao fato de que, muitas vezes, nos preocupamos muito com questões de segurança e privacidade, adquirimos firewalls, filtros antispam, bloqueadores de acesso e tantas outras coisas e esquecemos que, no fim das contas, o mais importante é disseminar uma consciência de segurança entre todos os colaboradores da empresa para que ela possa usar todos os benefícios oferecidos pela web da melhor forma possível.

No próximo artigo conversaremos sobre macacos com metralhadoras.

Este artigo teve a colaboração do Edson Borelli, da Blackdoor Security.