Durante a conferência de segurança Ekoparty, um evento conhecido em toda a América Latina e que ocorre anualmente há 15 anos em Buenos Aires, na Argentina, foi realizada uma atividade organizada pela empresa Base4 de Segurança denominada Social Engineering CTF, na qual os participantes, utilizando engenharia social a partir de informações públicas, entraram em um stand com proteção acústica e realizaram ligações telefônicas para organizações e empresas em busca de informações - uma atividade que teve como objetivo evidenciar como muitas dessas empresas e instituições podem ser vítimas de fraudes, golpes ou qualquer outro tipo de ataque.
Falamos sobre essa CTF com Leonardo Pigñer, organizador e fundador da Ekoparty, que foi quem moderou a atividade, assim como com os jurados Claudio Bazán, Carlos García e Emiliano Piscitelli. Carlos explicou que a ideia teve origem na conferência de segurança Defcon e foi reproduzida na Ekoparty.
A dinâmica foi composta por duas partes, uma etapa anterior e outra que é a própria dinâmica. Antes da Ekoparty, cada participante teria que apresentar três “alvos” que poderiam ser empresas ou entidades governamentais. Em seguida, os jurados escolhiam alguns dos inscritos e os participantes escolhidos teriam que estar no dia do evento com informações públicas coletadas pela Internet sobre esse “alvo”, principalmente o nome de alguém que trabalha na empresa escolhida, explicou Claudio Bazán.
No dia da dinâmica, os participantes teriam que obter uma série de flags (objetivos) ao entrar na cabine acústica e realizar uma ligação telefônica, tendo um tempo máximo de 20 minutos para conseguir informações sobre a empresa e, dessa forma, obter esses flags.
Na hora de entrar em contato com as organizações, os participantes, que utilizaram um pseudônimo, fizeram uso de diferentes estratégias para tentar convencer a pessoa que atendia a ligação telefônica, sem que a mesma pudesse suspeitar de algo.
Segundo Carlos e Cláudio, para obter esses flags os participantes não precisavam ter informações sensíveis que pudessem prejudicar a empresa, já que o objetivo era simplesmente fazer um jogo que mostrasse a falta de conscientização por parte das organizações e como pode ser fácil em alguns casos produzir uma fraude utilizando engenharia social a partir de informações públicas. Mas também expor como pode ser simples para um atacante usar esta estratégia para obter informações de dentro de uma organização que, posteriormente, também podem ser usadas para produzir um e-mail direcionado com dados específicos, fazendo com que o texto da mensagem possa parecer legítimo.
As informações que os participantes tiveram que coletar para obter estes flags incluía, por exemplo, a marca, o modelo de computador, o sistema operacional e o navegador utilizados, qual antivírus instalaram, que cliente de e-mail e qual programa e versão para abrir documentos PDF. Há também perguntas que visam descobrir se o suporte técnico é terceirizado ou se é feito internamente, ou se eles têm uma cozinha ou uma área de descanso.
Durante as ligações telefônicas ao vivo presenciamos como foi fácil, em alguns casos, para aqueles que atenderam a ligação, desavisados e desprevenidos, responder às perguntas e, dessa forma, descrever o cenário interno da organização.
Como explicou Leonardo Pigñer, a atividade expôs a falta de conscientização que, em muitos casos, existe por parte das empresas, algo que é visto diariamente, mesmo em grandes empresas e diferentes setores, que se enfocam nas implementações tecnológicas de segurança, mas não na sensibilização das pessoas que trabalham para a empresa.
A atividade também mostrou o potencial da engenharia social para funcionários inconscientes sobre esse tipo de golpe e muitas pessoas e empresas foram surpreendidas pelo potencial dessa ameaça.