Tailgating: o que é e como funciona?

A palavra “tailgating” deriva de “tail” (cauda) e é usada, em debates sobre circulação automóvel, para descrever situações em que um condutor segue demasiado perto da traseira do carro à sua frente, sendo incapaz de abrandar ou parar em segurança se o carro da frente travar subitamente.

Em segurança informática, trata-se de uma manobra de hacking na qual uma pessoa não autorizada consegue acesso a uma organização através de uma pessoa autorizada, como um funcionário. Isto pode acontecer com ou sem o conhecimento do funcionário em questão. Em cibersegurança, o tailgating é um ataque de engenharia social.

A expressão é associada, em princípio, a um acesso físico por parte do intruso. O termo “hacker” pode ser enganador, pois associamo-lo geralmente a um acesso virtual, mas a necessidade de proteger um edifício, escritório, armazém, etc., contra acesso indevido de terceiros deve ter o tailgating em conta. O objetivo de quem usa esta técnica é aceder com o mínimo de esforço possível, sem ter de arrombar uma porta ou ameaçar alguém.

O tailgating é um ataque de engenharia social muito simples que dá ao hacker acesso a uma área física que está protegida por password, cartão de identificação com permissões ou isolada de outra forma. A manobra envolve seguir atrás de uma pessoa autorizada quando essa pessoa entra na área restrita, aproveitando a porta aberta.

Imagine uma divisão ou área do edifício em construção ou renovação. Um pintor está a trabalhar, deixando uma porta aberta para ventilação e para os odores da tinta não se acumularem. Esse momento pode ser aproveitado pelo invasor para entrar.

O que é o piggybacking

Usa-se também a expressão “piggybacking” para este contexto, sendo a distinção entre os dois conceitos muito ténue. Por vezes, usam-se como sinónimos. Mas podemos fazer uma pequena diferença.

No tailgating, os atacantes entram sem autorização e sem conhecimento do responsável. Por exemplo, uma situação em que o funcionário entra, deixa a porta aberta atrás de si e o intruso aproveita a porta aberta. No piggybacking, a pessoa autorizada apercebe-se de que deixou entrar o intruso. Por exemplo, caso este tenha pedido apenas para verificar “uma coisa simples” ou “são só dois minutinhos”. A pessoa autorizada pode ceder momentaneamente o acesso e nem se aperceber de que está a cometer um erro.

As manobras de tailgating tiram partido do comportamento humano típico, e é por isso que as classificamos como ataques de engenharia social. Tal como acontece no phishing, o tailgating explora os comportamentos e atitudes do alvo, que se assumem como previsíveis numa determinada situação. O alvo torna-se depois a “chave” que permite contornar um torniquete de segurança ou uma porta protegida com uma password.

Tal como, em meio estritamente online, o colaborador de uma empresa que é vítima de phishing pode descarregar sem querer o anexo de um e-mail cujo malware contaminará toda a rede da empresa.

É importante perceber que, e tal como no meio online, a pesquisa de informações sobre os alvos é fundamental. E isto não é matéria exclusiva de estudos de história da cibersegurança; ela é largamente abordada em filmes, romances e séries de TV. Se o agente souber que, num determinado turno, um segurança faz uma pausa sempre à mesma hora, ou um determinado segurança é mais crédulo que os colegas, ou tem uma fobia que os colegas não têm – tudo isso é informação que pode ser explorada para conseguir distrair ou iludir o segurança e conseguir assim passar pelos portões sem dar nas vistas. O mesmo acontece, por exemplo, se existir um horário específico para uma empresa terceira fazer entregas e potencialmente distrair o segurança.

Daí a importância de conceder o mínimo de informação possível, respeitante à organização, a elementos externos.

O tailgating é tão perigoso como qualquer outra forma de ciberataque. Pode considerar-se que é mais perigoso até, porque o intruso pode roubar, danificar ou vandalizar valores, ferramentas, registos de informação em papel, etc. Mas o maior risco do tailgating enquanto ciberataque é a possibilidade de um intruso, durante o acesso físico a um espaço restrito, obter acesso posterior a uma rede informática.

Tal intruso poderia, por exemplo, aceder à rede wi-fi interna da sua empresa ou organização. Bastaria consultar o nome de utilizador ou password que algum colaborador tenha colado num papel para referência e acesso fácil. A partir daí, poderia chegar a computadores, discos rígidos, arquivos na cloud interna da organização, etc. Outros exemplos incluiriam instalar malware ou spyware num dos aparelhos da rede, ou enviá-lo através da rede interna, para que a organização passasse a ser monitorizada a partir de fora. O intruso sairia novamente pela porta, sem causar quaisquer danos físicos ao escritório, e o ataque passaria despercebido.

O exemplo clássico do tailgating cibernético é o roubo da conta numa rede social. Imagine uma sala de computadores públicos numa universidade, como eram habituais no início do século, ou um escritório numa empresa com ambiente descontraído. Alguém abandona o seu computador por uns instantes para ir tomar café, não bloqueia o ecrã e deixa o browser “logado” na sua conta na rede social.

Um brincalhão pode sentar-se e fazer um rápido “post” na rede social, em nome da vítima, escrevendo um disparate escabroso ou apalermado, para envergonhá-la perante todos os contactos da rede social que irão ler essa publicação. A brincadeira pode ser inconsequente, mas o método de tailgating é literalmente este.

Outro exemplo que costuma ser referido associado a segurança e tailgating é o do famoso Frank Abagnale, um norte-americano que inspirou o filme “Apanha-me se Puderes” de 2002, com Leonardo DiCaprio como protagonista. Abagnale tornou-se famoso na década de 70 ao alegar ter sido o autor de diversas fraudes baseadas em técnicas de tailgating. Apesar de várias das suas alegações terem sido posteriormente postas em causa, o exemplo ficou. Entre outras situações, Abagnale alegou ter estado detido numa prisão de alta segurança em Atlanta e ter conseguido fugir.

Crê-se que grande parte dos ataques de tailgating provenham de ex-funcionários de uma empresa ou organização atacada. Eles têm a motivação (caso tenham sido despedidos, com ou sem justa causa, ou simplesmente estejam descontentes) e têm os meios e as possibilidades (conhecem as passwords, têm confiança com pessoas dentro da organização, e podem até conservar algumas das suas permissões).

Mas isso não significa que outros membros da equipa não possam ser alvo. Ficou célebre o estudo realizado por um consultor da Siemens Enterprise Communications, Colin Greenless, em 2009, que rapidamente conseguiu que vários funcionários de uma organização lhe dessem as respetivas credenciais de acesso ao sistema informático. A chave está na confiança gerada: uma atitude assertiva e descontraída, um motivo plausível e um “jeitinho para desenrascar” são o suficiente para levar a pessoa a pensar “não há-de ser nada” e a conceder a informação confidencial.

O tailgating é mais uma componente numa estratégia de segurança, em geral, e de cibersegurança, em particular. Vejamos algumas das principais medidas a tomar:

• Formar e treinar a equipa. O passo mais importante é instruir regularmente os seus colaboradores quanto à necessidade de respeitar os procedimentos de segurança. É importante fazer formação regular, repetir procedimentos e garantir que todos sabem o seu papel e as suas responsabilidades. Um sistema de permissões concêntrico, com um mínimo de permissões para todos e um máximo para poucos (e muito específicos), deverá estar implementado.
• Atenção à segurança física. Serão necessárias câmaras de vigilância, fechaduras reforçadas (eventualmente com código ou outro meio de identificação), seguranças, etc.
• Atenção particular aos visitantes. O visitante é sempre uma potencial ameaça; as suas permissões de acesso podem ser limitadas, e pode tornar-se obrigatório que estejam sempre acompanhados por um funcionário ou até por um segurança.
• Atenção à segurança online e à privacidade da informação. Se hackers e bisbilhoteiros conseguirem descobrir, nas redes sociais ou em conversas descontraídas com um colaborador incauto, pormenores sobre o funcionamento da empresa, isso facilitará o lançamento de ataques tailgating. Se toda a comunicação online da sua organização estiver protegida com uma VPN, será muito mais difícil a terceiros intercetar os conteúdos dessas comunicações. A NordVPN tem uma funcionalidade adicional que ajuda a proteger a sua organização contra ataques de phishing e similares: a Proteção Contra Ameaças. Esta bloqueia o acesso inadvertido a sites maliciosos, impede o descarregamento de anexos infetados e “corta” a exibição de anúncios falsos ou disruptivos.