Como Roubar Segredos Corporativos em 20 Minutos: Pergunte

Algumas empresas na Fortune 500 precisam atualizar seus navegadores da Web. E enquanto eles estão nisso, um pequeno treinamento interno em engenharia social também não seria uma má idéia.

Hackers de engenharia social - pessoas que enganam os funcionários fazendo e dizendo coisas que eles não deveriam - - levou sua melhor chance na Fortune 500 durante um concurso na Defcon Friday e mostrou como é fácil levar as pessoas a falar, se você disser a mentira certa.

As conferências de segurança Defcon e Black Hat estão acontecendo em Las Vegas. Vegas esta semana.

[Leia mais: Como remover malware do seu PC com Windows]

Os participantes da equipe de TI de grandes corporações, incluindo Microsoft, Cisco Systems, Apple e Shell, desistiram de todo tipo de informação poderia ser usado em um ataque de computador, incluindo qual navegador e número de versão eles estavam usando (as primeiras duas empresas chamadas sexta-feira estavam usando o IE6), qual software eles usam para abrir documentos PDF, seu sistema operacional e número de service pack o software antivírus que eles usam, e até mesmo o nome de sua rede local sem fio

Os dois primeiros competidores fizeram com que parecesse fácil.

Wayne, um consultor de segurança da Austrália que não daria seu sobrenome, foi o primeiro a levantar a manhã de sexta-feira. Sua missão: obter dados de uma grande empresa dos EUA. (O IDG News Service optou por não informar quais empresas sofreram os ataques devido a possíveis riscos de segurança.)

Sentado atrás de um estande à prova de som antes de uma audiência, ele se conectou a um call center de TI e chamou um funcionário chamado Ledoi.. Fingindo ser um consultor da KPMG fazendo uma auditoria sob pressão de prazo, Wayne fez com que ele desse mais detalhes, Wayne ignorou um pedido por um número de funcionário e imediatamente lançou uma história sobre como seu chefe estava em suas costas, e como ele realmente precisava terminar essa auditoria. Ele trabalhou seu charme australiano no trabalhador, que só tinha estado com seu novo empregador por um mês. Em poucos minutos, parecia que ele estava disposto a dar a Wayne praticamente qualquer informação que ele quisesse - em certo ponto ele até visitou uma página da KMPG falsa que Wayne havia criado.

Ele terminou a ligação prometendo comprar uma cerveja para o funcionário.

"De que cerveja você gosta?"

"Neste momento estou em um chute da Lua Azul."

Em uma entrevista após a ligação, Wayne não podia acreditar em sua sorte. "Eu estava pensando que eles são uma grande empresa e eu sei que eles fizeram muitas auditorias internas de segurança."

Mais tarde, os organizadores do concurso disseram que seu esforço foi o melhor do dia. Mas todo mundo que foi alvo desistiu da informação. Chris Hadnagy, um dos fundadores do concurso, acredita que as vítimas teriam dado informações confidenciais, como senhas, caso tivessem sido solicitadas. "Eles teriam dado fotos de sua família se tivessem pedido", disse ele.

As regras do concurso proibiam a solicitação de informações confidenciais ou a segmentação de certos tipos de organizações, como o governo ou instituições financeiras. Mesmo assim, o concurso abalou os nervos antes mesmo de começar. No mês passado, Hadnagy recebeu um telefonema do FBI perguntando sobre o concurso.

Wayne, que fez esse tipo de engenharia social por 15 anos em seu trabalho de dia como consultor de segurança, disse que fez cerca de 20 horas de reconhecimento antes de o concurso. Ele sabia como chegar ao call center de TI e quais os nomes a largar quando chegasse.

Ele admitiu que tivera sorte ao conseguir um funcionário tão verde. Mas os novos funcionários fazem as melhores fontes. "Se você escolher alguém que é uma pessoa importante na empresa, você não receberá nada", disse ele. "Eles têm muito a perder".

O segundo participante, Shane MacDougall, decidiu ignorar o call center e ir direto para a equipe de segurança de outra empresa conhecida. Ele adotou uma abordagem mais simples, alegando estar realizando uma pesquisa para a revista CSO.

A primeira pessoa que ele conheceu sabia o que estava fazendo, e com firmeza, mas educadamente fechou MacDougall depois de se recusar a responder algumas perguntas, dizendo: "Essas são perguntas específicas que não me sinto à vontade para responder".

Concorrentes foram dados apenas 25 minutos para o trabalho. Então, com o passar do tempo, MacDougall teve sorte na sua próxima marca - um funcionário contratado no departamento de engenharia de segurança que estava na empresa há dois meses. Depois de algumas perguntas de softball sobre a satisfação no trabalho e a qualidade da comida da lanchonete, ele procurou os dados concretos.

A marca entregue: sistema operacional: Windows XP, service pack 3; antivírus: McAfee VirusScan 8.7; email: Outlook 2003, service pack 3; navegador: IE 6.

MacDougall então disse a ele para visitar um site para coletar seu cupom de pesquisa de US $ 25, eo trabalhador cumpriu.

O concurso acontece na Defcon até domingo. O vencedor ganha um iPad.

Robert McMillan cobre segurança informática e tecnologia geral de notícias de última hora para o IDG News Service. Siga Robert no Twitter em @bobmcmillan. O endereço de e-mail de Robert é [email protected]