Kevin Mitnick - A Arte de Enganar
Kevin Mitnick - A Arte de Enganar
Kevin Mitnick - A Arte de Enganar
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
22 A Arte de Enganar
"São Francisco?", diz Peter. "Eu não vou para São Francisco."
"O senhor é Peter Abeis?"
"Sim, mas eu não tenho nenhuma viagem programada."
"Bem", disse o interlocutor com uma risada amistosa, Você tem certeza de que não quer
ir a São Francisco?",
"Se você acha que pode convencer o meu chefe... ", retruca Peter, brincando com a
conversa amistosa.
"Parece que houve alguma confusão", salienta o interlocutor, "No nosso sistema, tomamos
as providências de viagem pelo número de empregado. Talvez alguém tenha usado o
número errado. Qual é o seu número de empregado?"
Peter informa o seu número. E por que não? Ele aparece em quase todos os formulários
pessoais que preenche, muitas pessoas da empresa têm acesso a ele — recursos
humanos, folha de pagamento e, obviamente, a agência externa de viagens. Ninguém
trata um número de empregado como um segredo. Que diferença faria?
A resposta não é difícil de descobrir. Duas ou três informações seriam o suficiente para
montar uma farsa efetiva — o engenheiro social usando a identidade de outra pessoa.
Consiga o nome de um empregado, o seu número de telefone, o seu número de empregado,
e quem sabe também o nome e número de telefone do seu gerente, e um engenheiro
social a caminho de ser competente tem a maior parte daquilo que ele precisa para parecer
autêntico para o próximo alvo.
Se alguém dizendo que era de outro departamento dentro da sua empresa ligasse ontem,
desse um motivo plausível e pedisse o seu número de empregado, você relutaria em darlhe
a informação?
E por falar nisso, qual é o seu número de seguro social?
Recado do
Mitnick
A moral da história é: não dê nenhuma informação pessoal ou interna da empresa, nem
identificadores para ninguém, a menos que a sua voz seja conhecida e o solicitante
tenha necessidade de saber a informação.
EVITANDO A TRAPAÇA
A sua empresa tem a responsabilidade de informar os empregados sobre como pode ocorrer um erro
sério quando informações não públicas são tratadas da forma errada. Uma política de segurança
bem desenvolvida, combinada à educação e treinamento adequados, aumenta bastante a consciência
do empregado sobre o tratamento correto das informações comerciais corporativas. Uma política
de classificação de dados ajuda você a implementar os controles adequados para a divulgação das
informações. Sem uma política de classificação de dados, todas as informações internas devem ser
consideradas confidenciais, a menos que seja especificado o contrário.
Use estas etapas para proteger a sua empresa contra a divulgação de informações aparentemente
inofensivas:
• O Departamento de Segurança das Informações precisa realizar o treinamento da conscientização,
o qual detalha os métodos usados pelos engenheiros sociais. O método descrito an-