Teresa Pereira, licenciada em Engenharia Informática pelo Politécnico de Leiria, vai participar na DEF CON, uma das maiores e mais prestigiadas convenções de cibersegurança a nível mundial, realizada anualmente em Las Vegas, nos Estados Unidos da América (EUA). A antiga estudante do IPLeiria foi uma das 14 concorrentes selecionadas em todo o mundo para participar na competição de vishing da Social Engineering Community (SEC), integrada na village (vila) de Engenharia Social da DEF CON, que se realiza de 7 a 10 de agosto.

A village de Engenharia Social funciona como um espaço dentro do evento dedicado ao estudo, prática e discussão sobre engenharia social, isto é, a arte de manipular pessoas para obter informações ou acesso a sistemas, frequentemente explorando falhas humanas em vez de vulnerabilidades técnicas.

Na competição de vishing – uma forma de ataque em que o criminoso utiliza chamadas telefónicas para realizar fraudes –, os participantes vão realizar ligações telefónicas com o objetivo de extrair, de forma ética, informações específicas de alvos previamente definidos, usando técnicas legítimas de persuasão. O objetivo é mostrar na prática a eficácia e o risco da engenharia social, mas com regras rígidas para garantir a privacidade e segurança dos envolvidos.

“A engenharia social sempre foi um tema que me cativou bastante, porque mexe muito com a psicologia humana. Existem várias técnicas que são tão óbvias e que, por vezes, nem damos conta, sendo bastante utilizadas neste mundo”, refere Teresa Pereira, de 27 anos, que começou a praticar vishing em 2021.

No âmbito desta competição, cujo objetivo é avaliar as competências de engenharia social dos participantes, a cada concorrente (individual ou dupla) é atribuída uma empresa, que não é informada do desafio competitivo, de modo a salvaguardar a experiência e os resultados.

Até cerca de três semanas antes da competição, os concorrentes têm de pesquisar e recolher o máximo de informações sobre a empresa, sem estabelecer qualquer contacto direto com a mesma, recorrendo sobretudo a técnicas de Google Dorking, um método que utiliza comandos avançados de busca no Google para encontrar informações sensíveis ou vulnerabilidades em sites e sistemas, que normalmente não aparecem em pesquisas comuns. Embora seja associada ao hacking, trata-se de uma prática legal, utilizada por profissionais de segurança para identificar vulnerabilidades nos sistemas.

Além desta pesquisa, os participantes têm ainda de preparar e entregar um plano de vishing, que compreende os cenários a serem utilizados, bem como os números de telefone de onde os participantes pretendem ligar e os números para os quais vão ligar. Quando chegar o momento da prova, já em Las Vegas, os concorrentes terão um horário definido para contactar a empresa, durante um tempo limitado, sendo avaliados pelo júri em função do desempenho ao longo da competição e do contacto com a empresa.

“Foi-me atribuída uma empresa dos EUA, o que significa que tenho de ligar para um número desse país – o que nunca o fiz até agora –, pesquisar e conhecer a empresa, e adaptar-me à cultura e ao modo como eles falam, de forma a extrair o máximo de informações. Importa referir que as informações recolhidas não causam qualquer risco nem dano às empresas. Tratam-se de informações mais simples, como o sistema operativo utilizado e a empresa responsável pela limpeza das instalações”, explica Teresa Pereira.

Sobre as expectativas para a participação na competição, afirma não ter somente os olhos postos na classificação e na vitória, mas também na experiência e no potencial de aprendizagem. “Espero, acima de tudo, aprender coisas novas, porque o mercado em Portugal e o mercado nos Estados Unidos não têm nada a ver um com o outro. As pessoas têm experiências diferentes e há muitas variáveis em jogo. Portanto, espero adquirir novos conhecimentos, não só para aplicar também no meu trabalho – agora e no futuro –, mas até mesmo na vida pessoal, porque quando aprendemos algo novo, retiramos sempre coisas para a nossa vida pessoal.”

Natural da Marinha Grande, no distrito de Leiria, Teresa Pereira concluiu a licenciatura em Engenharia Informática em 2020, tendo iniciado o seu percurso profissional numa pequena consultora, em Lisboa. Começou depois a trabalhar numa das Big Four, onde permaneceu durante cerca de três anos, fazendo parte da Red Team, na qual, entre explorar vulnerabilidades em aplicações e definir e executar cenários de vishing, era também responsável por fazer phishing, um tipo de ataque cibernético em que se tentam obter informações confidenciais, como senhas, dados bancários ou números de cartão de crédito, geralmente através de e-mails, mensagens ou sites falsos que imitam entidades confiáveis.

Há cerca de um ano e meio, mudou-se para uma multinacional no setor da energia, onde trabalha agora do lado da defesa, também chamada de Blue Team.

No início deste ano, juntamente com um colega programador, fundou a OWASP Leiria, um capítulo local da OWASP Foundation, uma organização internacional sem fins lucrativos dedicada a promover a segurança de software e aplicações. A missão do OWASP é tornar a segurança de software visível, permitindo que indivíduos e organizações tomem decisões informadas sobre segurança.

No capítulo de Leiria, o objetivo é os co-líderes organizarem eventos, formações e workshops direcionados à segurança de aplicações, tanto web como mobile, envolvendo a comunidade de cibersegurança e desenvolvimento de software da região.

Fonte: On-It!