Voucher by Proxy — Legitimação Remota
Você a conhece mas não com esse nome.
Senti vontade de escrever esse artigo por alguns meses, sempre deixando para depois por ter algo mais importante para fazer. Nesse carnaval de 2018 ouvi um relato que me fez lembrar dessa vontade e finalmente o escrevi.
Não é incomum, na realidade acontece com frequência que algo nos seja exposto e tenhamos muita familiaridade com aquilo, tenhamos experiência mas não tínhamos a ciência daquele nome ou termo.
Provavelmente você já foi vítima desta técnica, pois infelizmente acontece com mais frequência do que gostamos de admitir, embora isso possa acontecer em diversos níveis, no dia a dia passamos por isso geralmente como consequência de nossa educação em sermos úteis.
Antes de entrar no artigo propriamente dito, aponto para o trecho “Palavras Finais” ao fim do mesmo, nele exponho minha motivação de publicá-lo.
O que é?
A técnica de Voucher by Proxy é uma técnica de Engenharia Social que visa conquistar uma Legitimação através de um terceiro, através de algo remoto, ganhando assim espaço para aplicar um golpe com uma pessoa incauta.
O Voucher by Proxy é compreendido de três partes básicas, sendo elas o alvo, o enganador e o “proxy”, que é quem atesta em prol do enganador, quase sempre sem saber que está fazendo isso, muitas vezes também sendo alvo de uma enganação.
Engenheiros sociais conhecem essa técnica com diversos nomes, alguns a entendem como derivação de outras que também exploram uma fraqueza da sociedade e do comportamento humano, essa fraqueza das pessoas é nada menos que a educação e a cordialidade.
Mas e sobre a técnica, qual é exatamente o significado dela? Voucher é uma palavra de origem inglesa que significa título, recibo, mas que vem também do verbo “vouch” que significa atestar, confirmar, daí o papel que dá o “vouch” ser o atestado, o recibo, algo que legitima.
Proxy é outra palavra também de origem inglesa que significa “um terceiro”, enquanto um agente ou um substituto autorizado por algo ou alguém, geralmente em posse de algum documento que comprove isso, uma procuração por exemplo.
É uma técnica relativamente simples e deveras funcional, que pode assolar qualquer pessoa ou instituição, ela é baseada no caráter das pessoas de sempre procurarem se sentir úteis, como disse acima, isso tende a ser problemático em ambientes corporativos, em especial no Brasil, onde há constantemente uma tensão de funcionários e empregados temerosos pelos seus empregos.
Como funciona?
Basicamente consiste em enganar uma pessoa ou apenas usá-la de forma que ela não perceba, com isso, conseguir enganar outras pela pura legitimação dada pela primeira pessoa enganada, o Proxy. A partir do momento que o enganador consegue essa primeira parte, ele não precisa mais se esforçar em enganar as seguintes, a primeira já concedeu a credencial necessária, basta que ele siga o papel que está representando.
Os exemplos disso são mais comuns do que se imagina, nem sempre são cometidos de maneira consciente e nem sempre são usados para grandes golpes, as vezes são apenas interpretados como “jeitinho” ou ainda, “esperteza” em se valer da inocência alheia
Caso 1
Tome a seguinte cena, você está em seu horário de almoço conversando com um colega de trabalho, ele sai para comprar alguma coisa e enquanto você o observa, ele é abordado por uma pessoa estranha, que a cumprimenta, ambos parecem conversar um pouco, afastados se viram pra você enquanto o estranho ou seu colega apontam em sua direção, seu colega se despede e o estranho vai em sua direção.
Ao abordar você, o estranho te cumprimenta provavelmente pelo seu nome, se apresenta e conversa com você com naturalidade, dizendo que seu colega de trabalho, a quem se refere também pelo nome, falou que você poderia mostrar o escritório para ele para que ele tire medida da porta da sala de reuniões para uma placa.
Você, ao ver que ambos conversaram um pouco e apontaram pra você, infere inocentemente que eles sejam amigos, conhecidos ou tenham algum relacionamento, não vê mal em fazer esse favor rapidamente. Com isso, você o leva para o escritório e mostra a tal porta da sala de reuniões, ele saca uma trena e faz as medições, agradece e pergunta onde é o banheiro. Após ir ao banheiro ele agradece você e se despede.
Nada de estranho, nada que levante qualquer suspeita, você pode até comentar com seu amigo de trabalho, embora isso não seja uma regra, mas o fato é, o estranho já conseguiu o que queria, ir até o seu escritório e teve acesso à tal sala de reunião.
Com qual objetivo? Talvez ele tenha plugado algum equipamento em sua rede, talvez ele apenas quisesse saber como é a segurança de sua empresa, algo que ele conseguiu pura e unicamente pela sua boa vontade em ser prestativo.
— Estudo do Caso 1
Mas o que realmente aconteceu? Esse estranho abordou seu amigo com educação, procurando por você, deu o seu nome e perguntou se ele sabia onde você estava, o amigo apontou para você, ele agradeceu e todo o resto não passou de uma ilusão causada por alguém hábil em engenharia social.
Talvez ele soubesse seu nome por ter ouvido alguém chamá-lo em algum dia na rua, ou quem sabe ele estivesse simplesmente rastreando você há algum tempo, fosse pessoalmente indo no mesmo lugar onde você almoça, ou mesmo pela internet ao pesquisar a sua empresa e encontrar você como funcionário da mesma.
Seja lá como foi feita a prospecção de detalhes, ele coletou informações suficientes para traçar uma estratégia simples e que depende muito da ousadia e da naturalidade com a qual ele consiga agir, o enganador costuma ser um bom ator.
Claro que a situação acima é hipotética e desconsidera uma série de fatores, desde por exemplo o seu trabalho permitir a entrada de um estranho, mesmo que acompanhado, até mesmo de você achar crível a história dele. O grande segredo do Engenheiro Social é a prospecção, a coleta de informações e o planejamento que ele faz para só então agir.
Caso 2
Atualmente isso acontece não apenas pessoalmente, nem sempre é necessário que o enganador mostre seu rosto para conquistar algo, ilustro isso com uma situação comum que todos normalmente vivemos, o uso de redes sociais.
Um belo dia, você, solteiro, recebe um convite de amizade de uma mulher bonita, não necessariamente linda e estonteante, mas uma mulher que você considere bonita.
Após aceitar a amizade, talvez ate você converse com ela, procurando saber de onde ela o conhece, ou mesmo já com segundas intenções, abrindo-se como um livro para um perfil que você sequer saber se existe.
Dependendo do objetivo, basta que a pessoa dê respostas evasivas ou genéricas, muitas vezes a sua boa vontade fará todo trabalho para a pessoa, fazendo com que você ignore sinais claros de que algo está errado, em prol da educação e cordialidade, pois raramente a primeira reação das pessoas é destratar alguém que está conhecendo.
— Estudo do Caso 2
O simples fato de ter aquela pessoa como amigo, pode ser usado e explorado para obter vantagens em cima de terceiros, afinal, a pessoa que construiu aquele perfil falso, pode ter feito isso analisando o seu comportamento, suas tendências e ter criado um perfil falso com fotos que tendem a ser do seu gosto.
Você não faz ideia, mas aquela pessoa escolheu você como um proxy para alcançar outra, provavelmente se dirigindo ao alvo real dela e usando a sua “amizade” como um certificado de que aquela é uma pessoa real, ou alguém com qual você tem algum relacionamento.
Talvez ela tenha visto contatos entre vocês através de redes sociais, talvez ela tenha te escolhido por ver alguma foto em comum, não importa muito a forma, ela percebe que através de você, pode conseguir contato com outra pessoa.
Nem sempre isso é feito com o intuito de se obter vantagens indevidas, nem sempre isso é feito por alguém usando de fato um perfil falso, pode muito bem ser um vendedor ou algum outro profissional que pretende usar você como forma de alcançar o verdadeiro objetivo dela.
O verdadeiro objetivo pode ser um familiar, um amigo, alguém de seu círculo de relacionamentos, nem sempre alguém com quem você tenha muita intimidade ou contato, uma vez que isso tenha sido alcançado, o enganador parte para essa pessoa.
A primeira abordagem tende a ser feita usando o seu nome, a sua referência como validador, nesse momento uma pessoa que tenha o mínimo de desconfiança pode até investigar alguma informação, mas fatalmente ela cairá na rede que foi armada antes, vendo que de fato vocês dois “se conhecem”.
Tudo que vem a seguir depende do objetivo e da capacidade da pessoa, talvez ela queira vender um serviço, talvez ela queira obter alguma informação privilegiada, o fato é, a segurança dessa informação foi minada pela simples gentileza de não ser rude com um estranho.
Como se prevenir?
A melhor forma de se prevenir desse tipo de ataque social é talvez uma das piores ferramentas sociais em si, a dúvida, o questionamento, não ligar de poder parecer rude para alguém que possa a vir ser legitimo.
Desconfiar de tudo e de todos tende a ser a única forma de se manter seguro desse tipo de ataque, questionando as pessoas estranhas que se aproximam de você com ações suspeitas.
No primeiro caso, dependendo do cenário, bastaria entrar na recepção da empresa e pedir para que a pessoa esperasse sob os olhos de um segurança e averiguar a informação, uma pessoa que fosse tirar tais medidas teria sido enviada por alguém ou solicitada por alguém de dentro da empresa. Apenas com essa busca de informação, a estratégia toda iria por água abaixo.
No segundo caso é um pouco mais complicado, mas alguns indícios normalmente existem, não aceitar desconhecidos que não tenham boas justificativas é um começo, pesquisar a foto da pessoa na internet pode ajudar também, pois normalmente esses enganadores buscam essas fotos em lugares que podem ser encontrados.
Além de fotos, verificar informações como local de trabalho, amigos em comum (afinal, você pode ser o alvo em si e não apenas o proxy) e questioná-los a respeito dessa pessoa costumam quebrar essa estratégia.
Em empresas os cuidados costumam ser mais efetivos, com catracas de acesso e necessidade de identificação e cadastro para ingresso mesmo como visitante, desencorajam esse tipo de estratégia.
Reflexão
O enganador que se vale da engenharia social para conquistar privilégios indevidos usa e abusa da boa fé das pessoas, sabe que muitos preferem passar por algum sufoco a constranger alguém através de questões de precaução.
Talvez soe paranoico, mas a única forma real de se proteger desse tipo de atuação é através da desconfiança com pessoas novas e, até então, desconhecidas.
Se alguém afirma ser algo ou alguém, faça sua verificação quanto a isso, não tome a palavra dela como verdade absoluta apenas por receio de causar algum constrangimento ou ainda, com temor de estar questionando alguém “importante” para a sua empresa ou serviço.
Sua maior fraqueza é a boa vontade e é justamente ela que é o grande alvo desses enganadores, não há a necessidade de se tornar um cínico completo, especialmente com pessoas que já sejam conhecidas, mas certamente tomar esses pequenos cuidados pode facilitar em muito a detecção de qualquer tentativa similar.
Extra
Há ainda algumas variações e amplificações do Voucher by Proxy, como por exemplo, a confecção de cartões de visita falsos, uso de trajes e uniformes que podem ser tanto falsificados, quanto roubados, entre muitas outras formas.
Para esses exemplos, a melhor forma costuma ser não acreditar na pessoa ou no material usado por ela. Se alguém solicitou algum reparo, essa pessoa deve ser consultada, se alguém fornece um número de telefone para validar uma informação, não acredite que aquele telefone é algo concreto, pode muito bem ser parte de um golpe mais complexo e efetuado por mais pessoas.
Mais a respeito disso, quem sabe em um próximo artigo, caso haja interesse de leitores em entender isso e como é feito e, principalmente, em encontrar formas de detectar e prevenir esse tipo de acontecimento.
Palavras Finais
Para não atrapalhar o fluxo do artigo, escrevo essas palavras finais por sentir a necessidade de me explicar para mim mesmo enquanto exponho alguns pensamentos, é uma forma de externalizar meu diálogo interno para relembrá-lo se necessário.
O que foi exposto aqui, não é em momento algum a invenção da roda, nem mesmo algo novo sob o sol, é apenas os rudimentos de uma técnica de engenharia social que já é usada sabe-se lá há quanto tempo, as pessoas familiarizadas com esse campo de estudo, provavelmente se sentirão entediadas de ler esse artigo.
Ao escrevê-lo, um amigo me aponto para um fato que eu já tinha cogitado, mas acabei por deixar de lado na ânsia de concluir o artigo. Claro que ele pode encorajar pessoas de má índole a utilizarem essa técnica, pesquisarem e a buscarem formas de prejudicar pessoas com o que foi exposto aqui, no entanto o contrário é o mais importante.
O contrário, nesse caso, é que mais pessoas tomem ciência disso, mesmo que já conheçam a situação, mas a entendam de maneira consciente, conseguindo assim se precaver e se prevenir para não serem enganadas por isso.
Um dos motivos pelo qual escrevo é ter presenciado isso acontecer mais de cinco vezes no cenário Brasileiro de League of Legends, sendo o último caso disso, a “história do Coach Kim”, na qual uma pessoa foi enganada e a partir dela, muitas outras acabaram caindo em uma rede de mentiras.
Portanto sinto que posso publicar esse artigo de consciência tranquila, quem busca fazer o mal e é criativo, não precisa de um artigo desses para se inspirar, mas certamente as pessoas que o lerem podem formas de se proteger.
Conhecimento é poder, a responsabilidade do que é feito com ele é de quem o obtém.
