Capítulo 9
O Golpe Inverso
117
Com o acesso à central telefônica, ele configurou o encaminhamento de chamadas de uma das linhas telefônicas da polícia do Departamento de Trânsito para o seu telefone celular. Em seguida, na parte mais espalhafatosa, enganou um agente da lei após o outro para que eles revelassem não apenas os seus códigos de solicitante, como também suas próprias informações de identificação pessoal, dando a Eric a capacidade de se fazer passar por eles. Embora, sem dúvida, um certo conhecimento técnico tivesse sido necessário para realizar essa façanha, isso poderia não ter funcionado sem a ajuda de uma série de pessoas que não tinham a menor idéia de que estavam falando com um impostor. Essa história é outra ilustração do fenômeno no qual as pessoas não perguntam "Por que eu?". Por que o oficial do teletipo deu essas informações para algum representante de delegado que ele nem conhecia — ou, neste caso, um estranho se fazendo passar pelo representante do delegado — em vez de sugerir que ele obtivesse as informações de um colega representante ou do seu próprio oficial? Novamente, a única resposta que posso dar é que as pessoas raramente fazem essa pergunta. Não lhes ocorre perguntar? Elas não querem parecer tolas e pouco dispostas a ajudar? Talvez sim. Qualquer outra explicação seria pura adivinhação. Mas os engenheiros sociais não se importam com o motivo; eles só se importam com o fato de esse pequeno detalhe facilitar a obtenção das informações que, de outra forma, seriam difíceis de obter.
EVITANDO A TRAPAÇA Um código de segurança bem utilizado agrega uma camada valiosa de proteção. Um código de segurança mal usado pode ser pior do que nenhum código, porque ele dá a ilusão de segurança quando ela na verdade não existe. Para que servem os códigos se os seus empregados não os mantêm em segredo? Qualquer empresa que tenha necessidade de códigos verbais de segurança precisa declarar expressamente para seus empregados quando e como os códigos devem ser usados. Se fosse treinado adequadamente, o personagem da primeira história deste capítulo não teria de depender dos seus instintos, os quais foram facilmente superados, quando lhe foi pedido que desse um código de segurança para um estranho. Ele sentiu que naquelas circunstâncias o código não seria pedido, mas sem uma política clara de segurança — e sem o bom senso — ele o deu com facilidade. Os procedimentos de segurança também devem definir as etapas a serem seguidas quando um empregado faz uma solicitação inadequada por um código de segurança. Todos os empregados devem ser treinados para relatar imediatamente qualquer solicitação de credenciais de autenticação, tais como o código diário ou uma senha, solicitação essa que é feita em circunstâncias suspeitas. Eles também devem informar quando uma tentativa de verificação da identidade de um solicitando não confere. No mínimo, o empregado deve registrar o nome, o número do telefone e o escritório ou departamento do solicitante e depois desligar. Antes de ligar de volta, ele deve verificar se a organização realmente tem um empregado com aquele nome e se o número de telefone que ele deu coincide com o número da lista on-line ou impressa da empresa. Na maior parte do tempo, essa tática simples será o necessário para verificar se o interlocutor é quem diz ser. A verificação torna-se um pouco mais complicada quando a empresa tem uma lista telefônica publicada em vez de uma versão on-line. As pessoas são contratadas, vão embora, mudam de departamentos, de cargos e de números de telefone. A lista de telefones impressa já está desatualizada no