Audio via YouTube
Audio via Odeo/FileFreak
Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.
Clique aqui para ler um artigo de Robert McMillan, do site Computerworld sobre o concurso de phishing do DefCon.
Para ler esse artigo, clique no botão abaixo.
Em um concurso de phishing realizado dentro do evento DefCon, no mês passado, os atacantes voltaram suas baterias contra 135 empresas de grande porte dos EUA. Todas, aliás, da lista Fortune 500, incluindo Google, Coca-Cola, Ford, Microsoft, Pepsi e várias outras. Os hackers ligavam sob a égide de auditores terceirizados interessados em informações sobre o ambiente da empresa, e faziam perguntas cujas respostas são bastante sensíveis para as mesmas. Das 135 empresas alvo desse concurso, apenas uma delas não revelou segredos corporativos, e mesmo assim, porque os atacantes não conseguiram falar com nenhum empregado, pois ninguém atendeu o telefone.
As regras do concurso eram explícitas: nada de pedir senhas, nem números de documentos ou de cartões das vítimas, mas sim informações que os ajudassem a invadir sistema a posteriori. Mas informações tipo qual o sistema operacional usado na empresa, qual a solução de antivírus adotada, qual o navegador padrão, e informações sobre a rede e sobre o ambiente interno eram alvos permitidos. Os atacantes também conseguiram fazer com que as vítimas navegassem até um site externo, simplesmente na base da lábia. E claro que este site estava preparado para coletar ainda mais informações dos desavisados, principalmente porque muitos deles ainda usam a versão 6 do Internet Explorer, da Microsoft. Vivo dizendo para todo mundo que esse navegador já deveria ter sido aposentado e aqui encontramos várias empresas entre as 500 maiores do mundo que ainda o utilizam. É ou não é pedir para ter problemas?
De todos os usuários corporativos contatados, apenas cinco não entregaram o ouro. Não penso que seja coincidência que todos os cinco sejam mulheres, e apesar de não ter uma explicação para este fenômeno, não posso deixar de elogiar o comportamento adequado exibido por elas. Elas desconfiaram, e agiram com prudência, desligando o telefone ou simplesmente se recusando a responder perguntas.
E qual a lição aqui? É simples: dar informações só é algo que deve ser feito na empresa (ou em casa) quando temos certeza de quem as está recebendo. Na empresa uma coleta assim de informações de auditoria deve ser amplamente divulgada, e o coletor deve se identificar sem deixar dúvidas para nós. Existem procedimentos oficiais e formais a serem seguidos, do contraio é bastante lícito simplesmente se recusar a divulgar o que está sendo pedido. “Pede para meu superior me mandar uma mensagem de e-mail solicitando que eu te passe essas informações, OK?” é uma forma bem simples de descobrir se quem está do outro lado da linha está dizendo a verdade. Falar com o chefe antes de responder, é melhor ainda. O que não podemos é sair divulgando informações internas só porque o fulano se apresenta com ares oficiais. Melhor investir um tempinho na averiguação do que arcar com as consequências depois.
Até a próxima.
As regras do concurso eram explícitas: nada de pedir senhas, nem números de documentos ou de cartões das vítimas, mas sim informações que os ajudassem a invadir sistema a posteriori. Mas informações tipo qual o sistema operacional usado na empresa, qual a solução de antivírus adotada, qual o navegador padrão, e informações sobre a rede e sobre o ambiente interno eram alvos permitidos. Os atacantes também conseguiram fazer com que as vítimas navegassem até um site externo, simplesmente na base da lábia. E claro que este site estava preparado para coletar ainda mais informações dos desavisados, principalmente porque muitos deles ainda usam a versão 6 do Internet Explorer, da Microsoft. Vivo dizendo para todo mundo que esse navegador já deveria ter sido aposentado e aqui encontramos várias empresas entre as 500 maiores do mundo que ainda o utilizam. É ou não é pedir para ter problemas?
De todos os usuários corporativos contatados, apenas cinco não entregaram o ouro. Não penso que seja coincidência que todos os cinco sejam mulheres, e apesar de não ter uma explicação para este fenômeno, não posso deixar de elogiar o comportamento adequado exibido por elas. Elas desconfiaram, e agiram com prudência, desligando o telefone ou simplesmente se recusando a responder perguntas.
E qual a lição aqui? É simples: dar informações só é algo que deve ser feito na empresa (ou em casa) quando temos certeza de quem as está recebendo. Na empresa uma coleta assim de informações de auditoria deve ser amplamente divulgada, e o coletor deve se identificar sem deixar dúvidas para nós. Existem procedimentos oficiais e formais a serem seguidos, do contraio é bastante lícito simplesmente se recusar a divulgar o que está sendo pedido. “Pede para meu superior me mandar uma mensagem de e-mail solicitando que eu te passe essas informações, OK?” é uma forma bem simples de descobrir se quem está do outro lado da linha está dizendo a verdade. Falar com o chefe antes de responder, é melhor ainda. O que não podemos é sair divulgando informações internas só porque o fulano se apresenta com ares oficiais. Melhor investir um tempinho na averiguação do que arcar com as consequências depois.
Até a próxima.
Nenhum comentário:
Postar um comentário