Se fosse um ataque de engenharia social, eu poderia ter caído.

Jefferson, 28 de junho de 2015,

Acaba de acontecer algo bizarro comigo, que acho que pode servir de lição para todos os que me seguem.

Na semana passada um amigo com quem raramente me comunico e muito menos vejo me mandou uma mensagem pelo Whatsapp me questionando sobre o boleto de pagamento do domínio xxxxxxxxxxxx que ele usa para email. O domínio expirara um dia antes e eu sou o contato no Registro.br (administrativo, técnico e financeiro) e esqueci de encaminhar o boleto para ele pagar. Na verdade, eu jurava que ele era o contato financeiro e estava recebendo os boletos, mas como pude conferir no meu painel no Registro.br, somente eu podia recebê-los.

Gerei o boleto e encaminhei para um outro email fornecido por ele e esqueci o assunto, até hoje.

Esse amigo (vou chamá-lo de agora em diante de “Beto”) respondeu meu email dizendo que havia pago mas o email dele não havia voltado a funcionar e queria meu ID e senha no Registro.br para resolver o problema.

O pedido me pareceu absurdo por várias razões, mas então eu só achei que fosse resultado de Beto não ter noção de como a coisa funciona.

Minha resposta para ele:

Meu login e senha no Registro.br dão acesso a uma dezena de domínios.

Você precisa me passar seu ID no Registro.br para que eu possa dar a você permissão na configuração desse domínio.

Ele então me passou seu ID e eu o cadastrei como contato técnico para o domínio.

Ele então me perguntou qual era a senha dele.

??????

Eu tentei recordar alguma possibilidade de ter feito o cadastro dele no Registro.br e não consegui. Eu nem sabia que ele tinha um ID.

Minha resposta:

Como eu poderia saber? Eu não me recordo de estar presente quando você se cadastrou.

Outra coisa: se você esqueceu a senha jamais vai poder resetá-la por email, porque você configurou como email “beto@xxxxxxxxxxxxx”. Não se deve usar como email no registro.br nenhum email que dependa de alguma forma do registro.br.

Segundo email que recebi em 2009, quem tem o controle da sua hospedagem é um tal de “josé”. É ele quem deve saber por que xxxxxxxxxxxxxxx está fora do ar.

Ele agradeceu, disse que ia entrar em contato  com o tal josé e que achava que lembrava a senha.

Minutos depois eu recebi emails do Registro.br informando que foram feitas várias tentativas de acessar minha conta com a senha errada e um pedido de recuperação de senha que não fiz.

Continuei achando que tudo era resultado de Beto não ter tomado seu Chá de Bússola diário e mandei e-mail avisando que ele estava usando as credenciais erradas.

Dez minutos depois, enquanto enchia uma xícara de café e pensava sobre o assunto, “a ficha finalmente caiu”:

“E se não era com Beto que eu estava falando?”

A meu favor: Beto estava falando comigo por um endereço por onde eu já havia iniciado uma conversa com ele

Contra: esse endereço de email havia sido passado para mim uma semana antes pelo Whatasapp e na ocasião eu não chequei (meu segundo erro) se havia entrado em contato com Beto antes por ele.  Eu chequei agora e realmente existiram outros contatos por esse email desde 2009 (apenas uma dúzia), o que confirma que o email era de Beto (e somente isso).

A meu favor: Ué… mas o Whatasapp é mais seguro ainda por estar atrelado ao telefone do cara…

Contra: Errado! A identidade do remetente no Whataspp não é garantida (confira nos comentários deste post) e ainda por cima eu fiz algo nessa conversa que, olhando para trás,  poderia ter sido minha primeira fisgada no anzol. A conversa pelo Whataspp foi iniciada por um número que não estava na minha agenda. Eu assumi que fosse um novo número de Beto e adicionei esse número à minha agenda porque o perfil tinha a foto dele e ele estava tratando de um assunto inócuo que fazia sentido para Beto.

Ao me dar conta disso eu fiquei alarmado. Não que eu realmente ache que não se trata de Beto, mas analisando o que aconteceu eu percebi que um ataque bem feito de engenharia social tinha uma chance não nula de ter me feito dar informações sigilosas para um terceiro, apenas por eu ter criado maus hábitos para acomodar a constante mudança de email e telefone de amigos, clientes e colegas.

Quando você se acostuma com as pessoas ao seu redor fazendo solicitações “sem noção”, o risco de cair em um ataque de engenharia social aumenta assustadoramente.

Para constar: eu uso o mesmo número de celular há mais de dez anos.

28 de junho de 2015 | Categorias: Sem categoria

Deixe um comentário

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »