Contexto do ataque
Este texto tem como objetivo explorar uma maneira interessante e diferente de se obter o primeiro acesso em uma empresa, utilizando um tipo peculiar de spear phishing — se é que podemos usar esse termo nesse contexto de ataque.
Todo mundo já assistiu e se inspira em ataques desse tipo em filmes nada reais como WHOAMI ou em episódios mais realistas de Mr. Robot.
Vale lembrar que esse modelo de exploração está mais para hacking do que para um Black Teaming, uma vez que vamos explorar pessoas e não a empresa em si nesse ponto do projeto. Por isso, é necessário analisar bastante e verificar até que ponto da campanha ainda está na legalidade para ser efetuada e se realmente deve ser executada.
O primeiro acesso a uma empresa é um passo bastante importante, dado que a maioria das empresas tem suas defesas físicas, como:
- Vigilantes;
- Catracas;
- Cartões de acesso RFID;
Conseguir esse acesso de forma evasiva se torna bastante necessário para um bom andamento do projeto.
Tinder: seu like é meu acesso!
Desenhando um ataque que permitisse bypassar essas três camadas de segurança e ainda manter tudo em modo silencioso, surgiu um pensamento interessante:
“Considerando que empresas grandes têm bastante funcionários, e nesse contexto uma parcela dos funcionários pode utilizar o Tinder, por que não utilizar o Tinder como meio de acesso?”
A estratégia é relativamente simples: criar uma conta no Tinder e montar um perfil parecido com o dos funcionários da empresa alvo. Para isso, é necessário já ter feito pelo menos os seguintes passos:
- Observar e traçar o perfil dos funcionários da empresa;
- Analisar a média de idade e o tipo de vestimenta dos colaboradores;
- Verificar se eles saem para almoçar ou se preferem almoçar no local de trabalho.
Para esses passos iniciais, é importante que o projeto tenha uma janela de tempo suficiente para que esse tipo de pesquisa não impacte o tempo dos testes.
Com a conta do Tinder atendendo a esses requisitos, é necessário ativar o interesse em todos os gêneros e orientações sexuais, para aumentar as chances de match e, consequentemente, de um encontro com “nosso acesso na bandeja”.
Hora do match!
Uma vez conseguido o match, a recomendação é buscar um encontro no horário de almoço, pois assim as chances desses funcionários irem com o crachá da empresa são significativas e, durante a conversa, esse cartão de acesso pode ser clonado via Proxmark ou Flipper Zero. O tempo para clonagem é de aproximadamente 2–3 segundos.
Assim que conseguir clonar o cartão de acesso, é altamente recomendável continuar com o almoço normalmente, para não levantar nenhum tipo de suspeita.
Obtendo esse primeiro acesso com sucesso, podem ser efetuados todos os passos seguintes do objetivo da campanha, que variam de projeto para projeto. No geral, a ideia é obter um acesso ao domínio da empresa para que o time de Red Team possa continuar os testes.
Medidas de proteção e conscientização
É determinante que treinamentos de segurança sejam realizados com frequência para que os colaboradores entendam a importância de seguir boas práticas de segurança.
Cartões de acesso devem ficar sempre no pescoço, de forma visível, e é crucial que esses colaboradores saibam o valor desse dado (o próprio cartão) para agentes maliciosos. Assim, o cuidado se torna maior, bem como a responsabilidade de carregar uma chave de acesso que pode comprometer a organização.
Uma vez que todos na empresa entendem a importância dessa chave, é bem menos provável que deixem o cartão em qualquer lugar ou permitam que pessoas sem crachá acessem partes restritas da empresa.
Happy Hacking! 🏴☠️