Em evento produzido na última DEFCON, foram realizadas várias ligações para 135 pessoas, funcionárias das 500 empresas listadas na Forbes, destas, apenas 5 não revelaram informações. As ligações tinham como finalidade testar o nível de acesso as informações que seriam conseguidas utilizando técnicas de Social Engineering, uma técnica de se obter informações.
O interessante deste teste é que as 5 pessoas que se recusaram a fornecer informações eram mulheres e ocupavam cargos de gerência em suas empresas, e muitas delas desligavam o telefone logo após a frase - ‘This doesn’t seem right to me’ - assim que eram questionadas por algumas informações.
Por motivos de segurança, nos testes eram solicitadas informações que não pudessem causar problemas as empresas como senhas e outras informações mais sigilosas. No entanto, foram questionadas informações sobre sistema operacional usado, browser, sistemas de anti-vírus e outras, e na grande maioria foram conseguidas as informações muito utilizada por hackers.
Dois dados interessantes identificados durante as ligações, para a surpresa de muitos, em muitas empresas ainda existe o uso do IE 6, sabidamente um browser com sérios problemas de segurança, e outro dado, que a meu ver é o mais sério, durante as ligações era solicitado que as pessoas ao telefone acessassem uma página externa a empresa, desenvolvida especificamente para o evento, e conseguiram em muitos casos.
Desta forma, podemos dizer que o dito popular de que - “A força de uma corrente é proporcional ao seu elo mais fraco.” - é verdade, e pode ser transportado para o mundo da segurança da informação sem o menor problema. Não adianta as empresas gastarem seus orçamentos de segurança da informação em equipamentos, cursos técnicos e outras coisas mais se os seus usuários não forem bem preparados para lidar com algumas situações que, segundo os organizadores do evento, são bastante comuns para as empresas nos dias de hoje.
O que podemos concluir inicialmente e que pode ajudar e muito em nossos projetos é que, planos de treinamento de funcionários devem ser desenvolvidos na maior seriedade possível, e como tal devem ser realizados de forma periódica e constante. Somente desta forma, os problemas de vazamento de informações podem ser minimizados.
E quanto ao fato de que as 5 pessoas que se recusaram a dar informações serem mulheres, tem alguma relevância no processo ? Para os organizadores do teste não. Aparentemente a técnica e a forma como o teste foi construído não “afetou” diretamente as mulheres mas, isso não quer dizer que elas não possam ser alvo de Social Engineering, o que demonstra é que a forma como este teste foi realizado não teve o mesmo efeito em homens e mulheres.
Mas, o que impressiona mesmo nisso é que as 5 mulheres que não revelaram a informação, perceberam em 15 segundos de ligação que alguma coisa não estava certa e que logo após a frase - ‘This doesn’t seem right to me’, desligação o telefone.
Disso tudo fica uma lição muito valiosa. O treinamento deve ser um processo constante e sempre atualizado para refletir as novas técnicas e melhorar o conhecimento de seus funcionários mas, sempre lembrando que este tipo de técnica não surge somente por meio de telefonemas, surgem de muitas outras formas e estas outras formas podem ter efeitos diferentes dos encontrados nestes testes.