Você reconheceria um ataque de Personificação?
Descrevendo os fatos
Em 2012 servidores de todo o estado de São Paulo foram convocados, para reunião de suas respectivas áreas.
Eu trabalhava no 3°andar e vi vários servidores passarem pelo corredor, para irem ao Setor de Atendimento.
Uns cinco minutos depois um homem branco, alto, magro, cabelos e olhos castanhos, aparentando ter entre 30 e 35 anos, trajando calças jeans e blusa polo branca, portando crachá, parou em frente a porta do meu setor.
Lançou um olhar panorâmico pelo ambiente e ali ficou com meio corpo para fora da porta.
Perguntei o que ele desejava e ele respondeu: qual é a sala do setor de atendimento?
Respondi: a sala ao lado, então o homem foi embora.
Lembro-me que algo me incomodou bastante.
Instantes depois, falei para minha colega: Ligue para a portaria e chame os seguranças, aquele homem não é servidor!
Lembro-me que ela me lançou um olhar desconfiado enquanto os outros, um olhar de reprovação.
Não me importei, levantei-me e fui até o corredor, na tentativa de avistá-lo.
Pude vê-lo um pouco mais à frente da minha sala, com algo na mão, descendo as escadas correndo.
Ao voltar para minha sala, deparei-me com o Chefe do Setor de Atendimento.
Ele disse que o telefone institucional dele, havia sumido de cima de sua mesa e se vimos alguém diferente.
Eu disse que sim e descrevi o homem para ele.
O Chefe respondeu que não se lembrava dele, porque tudo foi muito rápido e que havia muitas pessoas diferentes em seu setor.
Os meus colegas, agora assustados, perguntaram: Por que desconfiou daquele homem? O que você percebeu de tão diferente? Não notamos nada!
A resposta foi simples: Um servidor se parasse em nossa porta, usaria o crachá para se identificar e falaria imediatamente de qual Gerência era, o que não ocorreu, vi que o logotipo da fita que prendia o crachá era nosso, mas o lado da identificação estava voltado para o seu peito, fato que confirmou que ele não era um servidor.
Após o ataque só sobram perguntas e o preenchimento do boletim de ocorrência
Como aquele homem sabia que naquele dia exato estaria ocorrendo reuniões de áreas diferentes no prédio? Onde ele conseguiu o nosso modelo de crachá? Como ele sabia o andar exato e o nome do setor?
Alguns meses após o ataque
A empresa de segurança foi trocada, uma recepcionista passou a fazer o cadastro de documentos, para o acesso ao prédio e câmeras foram instaladas em outros andares do prédio.
______________________________________________________________________
Para melhor elucidar os fatos, um esclarecimento:
Em 2010 em uma reunião, propus a implementação de alguns controles para mitigar riscos e dentre eles, o controle de acesso ao prédio.
O controle contaria com crachás de visitantes e registro de documentos de identificação em um sistema, que seria criado pelos próprios funcionários, sem qualquer custo para a Instituição.
Contudo, o controle não teve permissão para ser implementado!
Para ajudar uma breve definição:
A técnica de personificação refere-se ao atacante passar-se por uma pessoa autorizada para obter informações sigilosas.
O atacante pode personificar-se como funcionário, terceirizado, parceiro, fornecedor ou uma autoridade.
Este tipo de ataque pode ocorrer presencialmente ou à distância via telefone, e-mail ou carta.
Para combater este tipo de ameaça, a empresa deve investir em planos de conscientização, na criação de processos e ferramentas de segurança.
https://www.linkedin.com/pulse/draft/preview/7176940772506689536
