• Bloquei0
  • Posts
  • O ponto fraco de uma empresa de mais de US$ 33 bilhões: LinkedIn + conversa de 10 minutos pelo telefone

O ponto fraco de uma empresa de mais de US$ 33 bilhões: LinkedIn + conversa de 10 minutos pelo telefone

Author

Jorge G
19 de abril de 2025

Uma coisa que ninguém gosta: ser manipulado.

Uma coisa que todo mundo gosta: uma boa história de hackers.

Ao misturamos essas duas coisas, o resultado vai ser a história de hoje.

O grupo Scattered Spider utilizou táticas de "vishing" (phishing por voz) e informações coletadas no LinkedIn para convencer o help desk da MGM Resorts International a redefinir senhas. Imagine ligar para o suporte técnico, se passar por um funcionário de alto escalão, e, com alguns detalhes convincentes extraídos do perfil do LinkedIn da vítima, conseguir o que quer… Foi assim que os hackers conseguiram paralisar os sistemas da MGM e exigir um resgate enorme!

Antes de conectar os pontos 👇👇👇

Apresentando… esta newsletter

Bloquei0 (sim, esse é o nome da newsletter) existe há vários anos (pelo menos na minha cabeça). Depois de me interessar em cibersegurança e privacidade digital durante a pandemia, descobri que eu podia matar dois coelhos com uma cajadada só. Podia me manter informado ao mesmo tempo em que aprendia conceitos básicos de cibersegurança, o que me ajudaria a, pelo menos, fazer o básico bem feito. Como? Por mudar a forma de ver e consumir notícias.

E é bem isso que cada artigo da Bloquei0 pretende fazer. Em vez de selecionar, resumir, ou tentar abranger todas as notícias que têm a ver com segurança da informação (vazamento de dados, vulnerabilidades, tendências, mercado de cibersegurança, patches e correções e cibercriminosos), meu objetivo é focar em notícias passadas que contêm lições práticas. Podemos usar essas lições para construir aos poucos uma base de conhecimento sólida o bastante para poder criar nossas próprias estratégias de segurança, além de contribuir para a segurança das pessoas que amamos, das pessoas às que servimos e das pessoas com quem trabalhamos.

Sem foco nas pessoas, é difícil manter o foco na segurança e torná-la uma prioridade.

Agora sim, vamos nos aprofundar um pouco mais.

Conectando os pontos…

  • A engenharia social é poderosa: Os criminosos não precisam ser gênios, apenas precisam pensar no caminho mais fácil de obter o que querem. Muitas vezes, eles usam a "engenharia social" – manipulação psicológica – para obter acesso. Um simples e-mail de phishing pode ser a brecha, mas uma ligação bem arquitetada, com informações pessoais em mãos, pode ser ainda mais eficaz. (É tipo aquele golpe do "seu nome está sujo", que TODO MUNDO já recebeu 🤦‍♂️)

  • Senhas (fracas, reutilizadas e mal administradas) não são suficientes: Confiar apenas em senhas, mesmo com autenticação de dois fatores (2FA), pode não ser o bastante. Isso se não fizermos bem feito o básico do básico.

  • Impacto real: Imagine o caos: reservas de hotel canceladas, operações de cassino paralisadas, dados pessoais em risco. O ataque à MGM teve um impacto financeiro enorme, além de danificar sua reputação; sem mencionar a ação coletiva que um tempo depois foi resolvida por meio de um acordo de US$ 45 milhões. A falta de proatividade pode gerar um transtorno e tanto na rotina de grandes empresas e de pessoas comuns, como as que tiveram seus dados vazados por causa do ataque.

Beleza, mas o que isso tem a ver comigo?"

Tudo começou com uma ligação. Uma ligação!

Quem nunca recebeu uma ligação não solicitada? E o que dizer se você, pelo contrário, fosse quem estivesse esperando por essa ligação, ou recebesse ligações parecidas com certa frequência? Algum desconhecido (humano ou "robô") já falou o seu nome ao ligar para você? Talvez, no fundo, você sabe que alguns dos seus dados pessoais são públicos. Como pode ter controle sobre a sua informação pessoal que "deu um jeito" de vazar para sites públicos? E se alguém ligasse para você afirmando ser o seu supervisor ou gerente regional e pedindo sua ajuda? Ou se alguém dissesse para você pelo telefone que quer um orçamento da sua empresa? Ou um cliente (ou potencial cliente) pedindo sua ajuda para resolver um problema urgente?

Os cenários são infinitos e a probabilidade de alguém eventualmente nos convencer é alta. Qualquer pessoa pode ser vítima de engenharia social. Qualquer pessoa… que não superar as barreiras de conscientização que impedem que percebamos que alguém do outro lado está tentando nos manipular.

Enxergar com clareza essas barreiras e desafios é o primeiro passo para saber como superá-los.

Desafios e soluções

Desafio 1: Implementar medidas de segurança leva tempo e pode parecer complexo.

Solução: Começar com pequenas ações. O primeiro passo é focar em entender conceitos básicos sobre segurança.

Já tentou acompanhar as notícias de cibersegurança? Eu já, por diferentes meios (newsletters, blogs, podcasts…) Mas a verdade é que nós não conseguimos gravar algo que não entendemos. Ler e ler (ou ouvir e ouvir) notícias que logo vamos esquecer por não entender as lições que elas nos ensinam pode parecer uma perda de tempo. Com o tempo, por não vermos conexão entre o que acontece no mundo e as nossas vidas, paramos de nos preocupar com isso. E, um dia, sem perceber, não temos mais interesse no assunto ou nos lamentamos por "não ter tempo" para nos manter atualizados. Até que ficamos sabendo de algo que nos lembra de novo como é importante saber, no mínimo, o básico sobre como nos proteger da engenharia social, por exemplo. Aí voltamos ao início: tentar acompanhar de novo as notícias, daquele mesmo jeito de antes. Ficamos presos num ciclo vicioso.

Aprender leva tempo e é um processo contínuo. Mas não precisa ser um processo solitário. Por meio de notícias podemos aprender dos erros passados de pessoas e empresas que vão nos ajudar a sermos proativos e fazermos tudo o que pudermos para proteger a nós, nossas famílias, as empresas em que trabalhamos, ou nosso próprio negócio. A segurança digital não é o objetivo final, é um meio que nos permite sentir paz e focar nas coisas que são importantes para cada um de nós, sabendo que, quando acontecer alguma coisa, estaremos prontos para nos defender, ou suficientemente preparados para encarar o desafio.

Desafio 2: Ferramentas de segurança digital podem ser caras.

Solução: Explore opções gratuitas ou de baixo custo. Sim, elas existem e são confiáveis. Mas esse é um assunto para outra ocasião (spoiler: assunto da semana que vem).

Sem as prioridades certas, ser manipulados é só uma questão de tempo.

Quase esqueço!

A lição da história de hoje: as pessoas geralmente são o ponto mais fraco e acessível de uma empresa. Todos podemos ser vítimas de engenharia social (manipulação psicológica). Entender e aceitar que somos vulneráveis nos motiva a aprender a nos proteger.

O que achou da edição desta semana?

Pode me responder, ou deixar um comentário. Prometo ler e te retornar. Quem sabe? Pode até dar numa conversa interessante.