People

Engenharia social aplicada à vida offline

por Chris Stephen

“Você tem alguma ideia de que maldição é ter um retrospecto perfeito de 20/20? Assim que algo de ruim acontece, imediatamente sei como poderia ter sido evitado. Eu não aguento mais!” – Capitão Restrospectiva, South Park.

Para mim, os humanos se dividem em duas categorias: aqueles que querem ajudar e aqueles que não querem ser incomodados. Agora, quando eu uso as palavras “querem ajudar”, isso não significa que sejam boas pessoas. Não, na verdade, isso poderia indicar exatamente o oposto.

Pense nisso no contexto do videogame The Legend of Zelda. No jogo, Link, o protagonista, quer salvar Zelda das garras de Ganon, o antagonista. Agora, a perspectiva é forçada no jogo; nós só vemos as coisas de um lado – é assim que podemos identificar quem é o protagonista e quem é o antagonista. É apenas uma narrativa.

Agora imagine o jogo do ponto de vista oposto: Ganon, o protagonista, está tentando manter Zelda longe de Link, o antagonista. Aqui os rótulos (protagonista e antagonista) mudaram; a história e, portanto, a perspectiva, também.

Onde Zelda está em tudo isso? Ela é aquela que não quer ser incomodada. De qualquer perspectiva (de Ganon ou de Link), Zelda é quem acaba sendo incomodada pela coisa toda. Ela estava tentando governar um reino e não queria lidar com nada disso.

Porque engenharia social funciona

Então por que isso é importante? É importante porque, para ser bom na engenharia social, você precisa não somente ser capaz de identificar que tipo de pessoa é o alvo, mas também sua motivação.

Engenharia social funciona porque as pessoas permitem que ela funcione. Se todos caíssem para a categoria do “não querem ser incomodados”, então todas as tentativas de engenharia social cairiam (no contexto do e-mail) na pasta de spam. Nós inevitavelmente desligaríamos e nunca pensaríamos duas vezes sobre isso.

Deixe-me lhe dar um exemplo do mundo real e, na época, eu vou ser honesto, isso nem sequer me ocorreu e eu não estava tentando enganar ninguém.

Um dia, eu estava dirigindo na Tyson´s Corner, em Virgínia, e estava saindo da Rota 7 para a Gallows Road. O tráfego (que é sempre horrível nessa área) começou a voltar, e não havia muito espaço entre os carros na Gallows Road.

À minha direita, estava o Capital Grille, e pude ver alguém tentando desesperadamente virar à direita do estacionamento para a Gallows Road. Eu, sendo uma pessoa que se enquadra na categoria de “querer ajudar”, acenei para que ele entrasse. O carro começou a virar à direita na Gallows Road… e a pessoa atrás de mim bateu na traseira do meu carro.

Tenho de admitir que fiquei um pouco atordoado e abalado. A pessoa que bateu em mim saiu do carro e começou a gritar comigo sobre como eu não deveria ter deixado essa pessoa entrar e como o acidente foi, de alguma forma, minha culpa.

Agora, na maioria dos casos, quando alguém bate no seu carro não é sua culpa, é dele. Como a pessoa continuava a me repreender, o motorista a quem eu dei passagem saiu do carro e admitiu ter visto tudo. Ele me deu seu cartão e me disse para contatá-lo, se eu precisasse de uma testemunha. Além disso, o motorista do carro à minha esquerda (era uma estrada de duas pistas) saiu do carro e me deu suas informações de contato, uma vez que ele também tinha visto que eu estava tentando ajudar alguém, e me disse que também testemunharia, se eu precisasse. Depois, liguei para a polícia.

A pessoa da colisão continuou gritando comigo até que a polícia apareceu, multou-a e coletou suas informações para mim. Como eu tinha todas as informações de contato das testemunhas, eu não recebi multa e meu seguro cobriu os reparos.

O presente da retrospectiva

Qual é o objetivo dessa história? Bom, eu poderia (metaforicamente falando) usar essa cadeia de eventos a meu favor, caso eu precise no futuro. Suponha, por um segundo, que eu queira obter informações de alguém. Como eu poderia fazer isso? Eu poderia substituir qualquer uma das pessoas nessa cadeia de eventos pelo meu alvo. Esse indivíduo pode ser a pessoa para quem eu acenei, a testemunha à minha esquerda ou o motorista da colisão. Todas as opções são viáveis nesse cenário.

Outra coisa a considerar é a mentalidade do alvo: se eu escolher a opção A, a pessoa para quem eu acenei, ela provavelmente estaria com uma mentalidade mais positiva e seria mais amigável, se eu tentasse contatá-la no futuro (porque eu estava sendo educado e acenando para ela e, em troca, ela poderia “querer me ajudar” no futuro).

Então há a opção B, a testemunha à minha esquerda – esse indivíduo provavelmente seria mais ou menos neutro para mim. Eu poderia seguir com ele para obter mais informações porque essa pessoa se enquadra na categoria de “querer ajudar”.

Finalmente, a opção C, a pessoa que colidiu com meu carro, provavelmente seria a menos gentil comigo.

Se meu alvo for a opção A ou B, eu me arrisco a não fornecerem suas informações porque elas podem ser do tipo de pessoa que não quer ser incomodada e que pode ir embora. Inferno, mesmo que o meu alvo seja a opção C, ela poderia partir deixando-me com um amassado na parte de trás do meu veículo.

O ponto de partida é que sempre há variáveis, então isso é algo a ser levado em consideração ao se realizar qualquer forma de engenharia social.


EXCLUSIVO – Quer aprender a evitar processos judiciais? Clique aqui


Configuração e pagamento

Então, o que eu faço com essa informação? Bem, isso é com o engenheiro. Digamos que eu queira acompanhar essa cadeia de eventos indo fisicamente ao escritório dessa pessoa (pessoa A ou B do cenário listado anteriormente). Eu posso levar uma cesta de biscoitos para agradecer-lhe por ter sido tão gentil a ponto de me ajudar. Durante a visita, posso obter a configuração do território (cobrindo o lugar), assumindo que meu objetivo é, em última análise, conseguir alguma coisa ou aprender algo com a visita ao escritório. Eu também poderia enviar-lhe algum malware por e-mail, uma vez anotado seu endereço de e-mail durante o incidente.

Outra opção seria enviar uma mensagem de texto para ela, solicitando que verificasse algo do acidente. Tudo é possível com o mínimo de informações.

E sobre a pessoa da opção C? Seria um pouco mais difícil, mas eu provavelmente ainda poderia aproveitar as duas últimas áreas referenciadas (e-mail e texto).

Em última análise, são as experiências do engenheiro que ajudam a direcionar possíveis resultados de um cenário. Os engenheiros sociais não são estáticos em seus comportamentos: suas tendências e táticas mudam ao longo do tempo com base no que aprenderam de eventos anteriores.

Sobre o autor

Chris Stephen é engenheiro de vendas sênior na Cylance. Chris tem mais de uma década de experiência na área de TI, desde a sua start up inicial, onde projetou sistemas de gerenciamento de perfuração de fase final para construtores comerciais e residenciais, até o seu trabalho na Apple e na indústria médica. Chris é pau para toda obra quando se trata de TI.

 

Saiba mais sobre a clicando aqui.

Relacionados

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Fechar