O tail­ga­ting constitui uma ameaça à segurança física que é fre­quen­te­mente ignorada, dada a im­por­tân­cia que a proteção contra ci­be­ra­ta­ques tem adquirido atu­al­mente. No entanto, é igual­mente im­por­tante proteger a segurança física, uma vez que o tail­ga­ting pode ser par­ti­cu­lar­mente perigoso. Ao contrário do scam, esta técnica não é realizada online e não depende de tec­no­lo­gias avançadas, mas pode ser igual­mente pre­ju­di­cial.

O que é o tail­ga­ting?

Tal como o phishing, o vishing ou o smishing, o tail­ga­ting é um método de en­ge­nha­ria social. Trata-se de uma prática em que uma pessoa não au­to­ri­zada consegue aceder a uma área de acesso restrito, con­tor­nando uma entrada ou um posto de vi­gi­lân­cia. O termo provém do inglês e descreve a situação em que um veículo segue na esteira de outro.

Um ataque de tail­ga­ting funciona exa­ta­mente assim: o atacante mantém-se muito próximo de uma pessoa au­to­ri­zada e «entra» atrás dela na zona restrita sem levantar suspeitas. Este tipo de ataque pode ocorrer em edifícios de es­cri­tó­rios, centros de dados, hospitais e outros locais críticos para a segurança. O objetivo é roubar in­for­ma­ções con­fi­den­ci­ais ou instalar malware.

Que padrões segue um ataque de tail­ga­ting?

Os ataques de tail­ga­ting costumam seguir um padrão simples, baseado em com­por­ta­men­tos humanos pre­vi­sí­veis, como segurar a porta por cortesia. Trata-se ba­si­ca­mente de uma forma de fraude em que se abusa da confiança. Os atacantes iniciam conversas breves com uma pessoa au­to­ri­zada para ganhar a sua confiança. A seguir, são descritos os passos que costumam seguir.

  1. Iden­ti­fi­ca­ção do alvo: o atacante escolhe um edifício ou uma zona para se infiltrar.
  2. Com­por­ta­mento discreto: o atacante comporta-se como se fizesse parte do es­ta­be­le­ci­mento.
  3. Apro­vei­tar a opor­tu­ni­dade: o atacante espera que uma pessoa au­to­ri­zada abra a porta.
  4. Acesso: se o atacante tiver acesso à zona restrita, pode realizar diversas ações ma­li­ci­o­sas.

No entanto, as técnicas de ataque de tail­ga­ting são tão variadas quanto ousadas e podem variar bastante consoante o alvo. Estas são as formas mais comuns:

  • O fun­ci­o­ná­rio esquecido. O criminoso finge ter esquecido o seu cartão de acesso e pede a um fun­ci­o­ná­rio legítimo que o deixe entrar no edifício.
  • A emer­gên­cia. O criminoso finge ter uma emer­gên­cia para conseguir acesso ao telemóvel da vítima. Assim que consegue, re­di­re­ci­ona-o para páginas web perigosas a partir das quais são des­car­re­ga­dos programas ma­li­ci­o­sos, por exemplo, spyware.
  • O en­tre­ga­dor. O criminoso faz-se passar por um en­tre­ga­dor de en­co­men­das, trans­porta objetos pesados ou volumosos e espera que alguém lhe abra a porta.
  • O novato. O criminoso finge ser novo na empresa e procura um es­cri­tó­rio es­pe­cí­fico.
  • A distração. O criminoso finge receber uma chamada te­le­fó­nica ou cria outra distração para parecer ocupado e dar a impressão de que faz parte do es­ta­be­le­ci­mento.
  • O visitante. O criminoso finge ter uma reunião com um fun­ci­o­ná­rio real e é au­to­ri­zado a entrar no edifício para esse efeito.
  • A iden­ti­dade falsa. O criminoso tenta enganar o pessoal de segurança ou os sistemas ele­tró­ni­cos de segurança através de um cartão de iden­ti­fi­ca­ção falso ou roubado.
  • A distração. Um cúmplice distrai o pessoal de segurança ou os fun­ci­o­ná­rios enquanto o criminoso entra no edifício.

Um exemplo de tail­ga­ting

A seguir, é descrito um exemplo para com­pre­en­der melhor o quão eficaz e perigoso o tail­ga­ting pode ser, sobretudo quando se ignoram os pro­to­co­los de segurança ou se é demasiado ingênuo. Este exemplo destaca a im­por­tân­cia de manter uma vi­gi­lân­cia constante em de­ter­mi­na­das áreas para evitar este tipo de ataques:

A sede de um im­por­tante banco dispõe da mais recente tec­no­lo­gia de segurança e um segurança vigia a entrada principal. Um invasor que utiliza a técnica de tail­ga­ting iden­ti­fi­cou o edifício como alvo e planeia aceder aos sistemas internos do banco e roubar in­for­ma­ções con­fi­den­ci­ais. Descobriu que o banco permite a entrada de técnicos in­for­má­ti­cos externos todas as quintas-feiras para realizar tarefas de ma­nu­ten­ção, pelo que se faz com um uniforme se­me­lhante ao de um técnico in­for­má­tico e prepara do­cu­men­tos e iden­ti­fi­ca­ções falsos.

No dia seguinte, o atacante aproxima-se do edifício do banco. Para parecer um técnico de verdade, leva até uma caixa de fer­ra­men­tas. Na entrada, encontra um grupo de técnicos in­for­má­ti­cos reais e aproveita a opor­tu­ni­dade para se juntar a eles e fingir fazer parte da equipa. Sem levantar suspeitas, entra no banco atrás deles. Uma vez lá dentro, pergunta a um fun­ci­o­ná­rio como chegar a uma sala de ser­vi­do­res es­pe­cí­fica e finge ser novo na equipa. O fun­ci­o­ná­rio indica-lhe o caminho e, já lá dentro, liga o seu portátil e começa a extrair dados con­fi­den­ci­ais. Depois de reunir in­for­ma­ção su­fi­ci­ente, sai do edifício dis­cre­ta­mente. Sim­ples­mente seguindo outras pessoas, o atacante conseguiu aceder a uma zona de alta segurança e roubar dados valiosos sem que ninguém se aper­ce­besse.

Como se proteger do tail­ga­ting?

Para prevenir efi­caz­mente os ataques de tail­ga­ting, além de im­ple­men­tar medidas técnicas, é ne­ces­sá­rio promover ações de sen­si­bi­li­za­ção do pessoal, uma vez que o chamado «erro de camada 8», ou seja, o erro humano, constitui o principal risco no tail­ga­ting:

  • Formação. Os fun­ci­o­ná­rios devem estar cientes dos riscos do tail­ga­ting e receber formação para saber como prevenir e re­co­nhe­cer esses ataques.
  • Câmaras. As câmaras de vi­gi­lân­cia podem funcionar como elemento dissuasor e permitir a in­ves­ti­ga­ção dos ataques a pos­te­ri­ori.
  • Au­ten­ti­ca­ção de dois fatores. Um sistema que exija tanto um cartão de iden­ti­fi­ca­ção como um PIN ou um dado bi­o­mé­trico, como uma impressão digital, pode reduzir o risco de tail­ga­ting.
  • Barreiras físicas. As portas gi­ra­tó­rias e os tor­ni­que­tes que permitem a entrada de apenas uma pessoa impedem que os cri­mi­no­sos passem des­per­ce­bi­dos.
  • Gestão de vi­si­tan­tes. Os con­vi­da­dos e pres­ta­do­res de serviços externos devem registar-se ao entrar no edifício e usar um crachá de visitante visível.
  • Inspeções pe­rió­di­cas de segurança. As inspeções e ve­ri­fi­ca­ções das medidas de segurança ajudam a detetar pontos fracos.

Se quiser proteger-se efi­caz­mente contra o tail­ga­ting, também é im­por­tante garantir a máxima segurança dos seus sistemas in­for­má­ti­cos. Para tal, deve manter o software atu­a­li­zado, fazer cópias de segurança de acordo com a regra 3-2-1 e criar palavras-passe seguras.

Ir para o menu principal