Engenharia Social: Os profissionais também se abatem...

... é a opinião de Mike Bailey e Mike Murray, ambos da Mad Security, e vencedores do desafio organizado pela StrongWebMail, no qual tinham que comprometer uma conta de correio electrónico de um dos utilizadores (comprometeram a conta do CEO da empresa promotora do concurso...).

Numa entrevista recente, reportada no The Register, deixaram umas notas interessantes que me despertaram os sentidos. Dizem eles, mais ou menos assim:

A parte social da nossa indústria, nunca iremos corrigi-la. A indústria, como um todo, tem que compreender isto. É sobre essa componente que os ataques sociais incidem (...) Estas técnicas funcionam, mesmo em organizações e indivíduos que consideram ter conhecimentos sobre segurança, embora os truques tenham que ser personalizados à sua medida. Eles passam imenso tempo a falar sobre segurança; se lhes mandarmos um email que diga Faça esta coisa importante para a segurança, eles dizem OK, e são comprometidos. As coisas que funcionam na maioria das organizações não funcionam com estes indivíduos, mas se conseguirmos compreender o que funciona, eles são tão facilmente comprometidos como qualquer outro, mesmo com a sua preparação.

in Hacking human gullibility with social penetration.

É uma provocação interessante, de facto... mas que não deve estar muito longe da verdade, digo eu. Se juntarmos um texto bem elaborado e uma técnica de Cross-Site Scripting — que também é referida na entrevista — é provável que muitas defesas sejam ultrapassadas, sim...

What say U?