Não dá para infetar a rede da vítima? Então liga-se à vítima a perguntar pelos códigos de acesso. Dito assim pode parecer demasiado fácil – e ridículo – para ser verdade, mas foi o que aconteceu com a mais recente fuga de informação, que envolveu dados pessoais de milhares de funcionários do FBI e do Departamento de Segurança Interna dos EUA (DHS).
Em declarações à Motherboard, o alegado autor do ataque, que chegou a publicar uma primeira tranche de um total de 200 GB de dados sensíveis, explicou como conseguiu ser bem sucedido no acesso aos dados do FBI e do DHS: o hacker começou por infetar a conta de um utilizador legítimo de Departamento de Justiça dos EUA. E acabou por ganhar acesso a essa conta de e-mail.
Poderia ter sido o fim de uma aventura, mas o hacker quis mais: e depois de reparar que não tinha acesso ao portal do Departamento de Justiça (DoJ) ligou para o serviço de assistência e… acabou por ser brindado com os códigos de acesso.
Eis o relato do alegado autor da fuga de informação que foi publicado na Motherboard: «Liguei-lhes (para o serviço de assistência do DoJ) e disse que era novo naquele trabalho e que não sabia como podia aceder ao portal». A reação dos serviços de assistência é uma prova viva de que, por vezes, a ousadia é bem sucedida. «Perguntaram-me se tinha um código token, disse-lhes que não, e eles disseram que não havia problema – e disseram-me para o código deles».
O caso não é inédito: no passado recente, um teenager logrou obter o acesso ao e-mail pessoal de um dos chefes da CIA através de um simples telefonema. E são vários os ataques que começam com o contágio de um endereço de e-mail que é usado para dar legitimidade a um utilizador malicioso e um telefonema que dará acesso a áreas da rede a que, anteriormente, não tinha acesso. A Popular Science recorda que o método foi usado com sucesso em ataques de hackers russos contra o Pentágono, centrais elétricas da Ucrânia, e até uma fábrica de aço na Alemanha.
