Meme de Carbono

Foto de Rachel Tobac

Rachel Tobac e social hacking

por

Roney Belhassof
in

Rachel Tobac é especialista em engenharia social. Mantém a empresa Social Proof Security, que ajuda a identificar falhas na segurança de empresas e ensina como melhorar os procedimentos de verificação de identidade.

Be politely paranoid

Rachel Tobac (1h09 no vídeo no final desse post)

O vídeo ao final tem 1h10 e vale a pena porque é bem divertido! Vou destacar os prontos principais, mas alguma coisa pode escapar:

  • O simples uso de verificação em 2 etapas por SMS (mensagem enviada para o celular), que não é a verificação em 2 etapas mais indicada por causa do “SIM swaping”, já evita 76% dos ataques direcionados e 96% dos ataques em massa.
  • Chaves físicas, como as Yubico FIDO2, são muito mais seguras. Pessoalmente acho as passkeys, suportadas pela maioria dos gerenciadores de senha, suficientes para quase todos, mas concordo com ela que pessoas públicas ou com uma forte presença online deviam usar uma chave física.
  • Ela fala do caso do CEO flagrado em adultério num show do Coldplay e, muito embora não tenha relação direta com hacking, as recomendações são boas para exercitar o senso crítico: as pessoas te reconhecem na rua? o seu círculo de contatos se interessa nesse show? O evento é no seu fuso horário? Seu rosto é conhecido pelos funcionários? Avalie qual é o seu perfil de risco.
  • Pessoas públicas também devem controlar sua exposição apagando suas informações pessoais da Internet. Várias empresas oferecem esse serviço como a Incogni, que vem investindo em propaganda junto a grandes influenciadores, mas busque por “Remove Personal Information From The Internet” para encontrar guias gratuitos e outras empresas.
  • Quando publicávamos nossas fotos online ou mesmo em jornais que seriam digitalizados tempos depois, não imaginávamos que haveria ferramentas de processamento de imagens (IAs não generativas, em geral) capazes de associar nossa aparência atual àquelas fotos.
  • “Agentic attacks” é uma modalidade de engenharia social usando agentes de IA que combinam diversas IAs generativas (texto, voz, etc) com outras para fazer ataques de engenharia social com a mínima interferência humana (para cada bom uso de IA generativa tem 100 que são terríveis, né? Opinião minha). Aos 29 minutos
  • Aos 33 minutos a Rachel liga para algum conhecido do entrevistador clonando a voz dele. Se a sua voz está disponível online a clonagem é possível e uma amostra de 10 segundos (sim, segundos) já basta para um resultado aceitável.
  • Armadilhas de WiFi (wifi pineapple) que tem nomes iguais aos legítimos, mas servem para interceptar dados das pessoas conectadas é algo que acho que todo mundo conhece, mas o meu “todo mundo” é bem específico. Eles falam nisso aos 38 minutos.
  • Ainda usando só o WhatsApp? Pelo jeito todo mundo com alguma preocupação com segurança usa o Signal, que estou sempre recomendando como aplicativo para falar com as pessoas importantes. Aos 41 minutos.
  • Psicose por IA generativa. Já ouviu falar? Eles entram nesse tópico aos 44 minutos. Recomendo se informar, senão por você, por quem você conhece e pode estar vulnerável. Até investidores na área de IA generativa tem demonstrado sintomas.
  • Empresas desenvolvendo IAs generativas deviam ter um departamento de especialistas em saúde mental e neurologia. Concordo veementemente!
  • Red teamer são hackers que testam vulnerabilidades e reportam para a empresa antes que alguém com más intenções faça o mesmo. Também chamado de white hat hacker. Eles podem testar também os riscos de psicose catalizada por IA
  • Aos 50 minutos falam do Friend Necklace, um pingente que ouve as nossas conversações e gera mensagens com IA generativa que são enviadas como notificações para o celular.
  • Interaja com pessoas. Recupere e cultive suas habilidades sociais. Preciso falar sobre isso aqui no Meme de Carbono!
  • Muito importante: IAs generativas desenvolvidas e mantidas por mídias sociais. Aos 55 minutos.
  • “Eu não tenho nada a esconder, sou uma pessoa qualquer”. No entanto todos temos famílias, amizades, contas correntes, reputações que podem ser roubadas para iludir pessoas a dar dinheiro para golpistas. Essa falsa impressão de falta de importância precisa acabar. No entanto a solução não é colocar nos nossos ombros a tarefa de nos proteger; as plataformas precisam ser regulamentadas para que desenvolvam proteções. Vá para 1h na entrevista.
  • Verificação de idade nas plataformas (também importante!). Vá para 1h03. Falam de KYC flow, que é o fluxo de identificação de usuário que frequentemente pede imagem de documento, selfie etc.
  • Agentes de IA podem ser usados para moderação? 1h05.
Reações no Fediverso

Comentários

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Este site utiliza o Akismet para reduzir spam. Saiba como seus dados em comentários são processados.